Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; elektroniska biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

UPPDATERAD

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; elektroniska biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

Integritetspolicy. 1 Vilka personuppgifter behandlar vi? 2 Vad används uppgifterna till?

Personuppgiftsbehandling i forskning

BERGHOLM FÖRSÄLJNING AB

Integritetspolicy Din integritet är av yttersta vikt för oss. I följande integritetspolicy förklaras på ett lättförståeligt sätt hur Cyklos AB, org.

Personuppgifter hos SVEA Sverige Group AB

PERSONUPPGIFTSPOLICY - KUNDER & LEVERANTÖRER

Personuppgiftsbehandling för forskningsändamål

Så behandlar vi dina personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Vilka personuppgifter behandlar vi, i vilket ändamål (varför) och på vilken laglig grund?

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Strand Kapitalförvaltning AB:s integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Information om behandling av personuppgifter på Tellus bostadsrättsförening

1. behandlingen är nödvändig för att vi ska kunna fullgöra vårt avtal med dig,

Hantering av personuppgifter

Victoria Behandlingscenter AB Integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling vid systemtester

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Integritetspolicy Rinkaby Rör

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Information om behandling av personuppgifter

Att. GDPR Humlegårdsgatan , Stockholm. Besök oss gärna på

GUSTAF FAGERBERG AB - INTEGRITETSPOLICY

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

DATASKYDDSPOLICY FÖR HAGMANS NORDIC AB - FÖRETAGSKONTAKTER

Personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Generell information Personuppgiftsansvarig Vilka personuppgifter samlar vi in? Varifrån har vi fått tillgång till uppgifterna?

Policy för hantering av personuppgifter

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Salinity är personuppgiftsansvarig för behandlingen av personuppgifter inom verksamheten samt på denna och andra webbplatser som drivs av Salinity.

Integritetspolicy Upplev Norrköping

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kanslichef - Tillsvidare

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Vad är en personuppgift och behandling av personuppgifter?

INTEGRITETSPOLICY OCH PERSONUPPGIFTSBEHANDLING

Integritetspolicy Mölndal Energi

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Integritetspolicy för externa kontakter inom Fastighetspartner i Göteborg AB

Får stärkta möjligheter att ta del av dina personuppgifter och att, under vissa förutsättningar, få dem rättade eller raderade

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Integritetspolicy kunder

Integritet och behandling av personuppgifter

VÅR PERSONUPPGIFTSPOLICY

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Information om behandling av personuppgifter

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Information om behandling av personuppgifter

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

SL:s behandling av personuppgifter

Integritetsskyddsinformation konsumentkund pellets

Integritet och behandling av personuppgifter

PERSONUPPGIFTSPOLICY

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

Integritetsskyddsinformation företagskund

Dataskyddspolicy för Rotsunda Utbildning AB

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

1. Behandling av personuppgifter... 2

Personuppgifter som samlas in av MP behandlas därmed också vid behov av WHAB för nedan angivna ändamål.

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Integritetsskyddsinformation leverantör

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Nordic Waterproofings AB Integritetspolicy 1 Inledning Vilka personuppgifter samlar vi in om dig och varför?... 2

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Leverantörsuppgifter är sådana uppgifter som exempelvis namn, adress, e-postadress, telefonnummer.

Transkript:

Beslut Dnr 2009-01-12 771-2008 Ticket Travel Group AB Värmdövägen 84 131 08 Nacka Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har under året arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar uppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och klagomål. Som ett led i tillsynsprojektet genomförde Datainspektionen en inspektion hos Ticket Travel Group AB (Ticket) den 10 juni 2008. Vid inspektionen framkom bl.a. följande: Ticket har ingen egen produktion av resor utan agerar som agent för olika reseproducenter. Ticket är agent för fem charterbolag. Resor säljs via butik, webb och per telefon. Kund-, boknings- och ekonomiregister Ticket registrerar kunduppgifter på två sätt dels i kundregistret SA- LES dels direkt i reseproducentens eget bokningssystem. I SALES registreras namn, personnummer (ej obligatoriskt), adress, e-post, telefonnummer samt om kunden samtyckt till att reklam skickas. Tickets huvudändamål med att behandla uppgifter om kunder i bokningsregistret är kundadministration dvs. för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för marknadsföring, statistik (t.ex. Populäraste resmålet ), och försäljningsuppföljning. Ticket sparar kunders personuppgifter i tre år i SALES. Bolaget har dock kvar uppgifterna i tio år, men då är de inte åtkomliga för resesäl- Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (5) jarna. Bokföringslagen kräver att bolaget bevarar uppgifterna under denna tid. Ticket registrerar inte reklamationer och klagomål. Dessa skickas direkt till reseproducenten. Den som har klagomål får hjälp med att kontakta reseproducenten. Skriftligt underlag krävs för att klagomålet ska kunna skickas vidare. Vid bokning av resa via Tickets hemsida lämnas information om personuppgiftslagen. Samma information lämnas i de allmänna villkoren i Tickets katalog. Ticket har sin IT-drift utlagd till TietoEnator i Älvsjö. Det finns inget personuppgiftsbiträdesavtal med detta företag. I skrivelse den 13 juni 2008 till Datainspektionen har Ticket kompletterat med bl.a. följande uppgifter. Kundinformationen finns sparad för aktiva kunder så länge som man är en aktiv kund. Informationen avseende kunden raderas efter tre år efter kundens senaste kontakt, förutsatt att kunden ifråga är passiv. En resa kan inte beställas från leverantör, t.ex. flygbolag, hotell, charterresor, utan resenärsinformation. Det innebär att resenärsinformationen är en förutsättning för affärshändelsens uppkomst och spårbarhet. Resenärsinformationen är därför en väsentlig del av informationen på våra verifikationer avseende resor. Enligt bokföringslagen måste verifikationer sparas i tio år. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Ticket behandlar uppgifter om kunder i elektroniska system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen. Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller för behandling av personuppgifter. I 9 första stycket personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och rele-

3 (5) vanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I bestämmelsens andra stycke anges att en behandling av personuppgifter för statistiska ändamål inte ska anses som oförenligt för med de ändamål som uppgifterna samlades in. I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i 13-19 personuppgiftslagen. Särskilt om behandling av personuppgifter i kundregister I sitt kundregister behandlar Ticket uppgifter om kundens för- och efternamn, personnummer (ej obligatoriskt) adress, telefonnummer, e-postadress, information om bokade och avslutade resor samt uppgift om kunden samtyckt till reklam antingen via e-post eller vanligt brev. Uppgifterna behandlas för ändamålen kundadministration, marknadsföring, statistik samt försäljningsuppföljning. Datainspektionen väljer att särskilt ta upp Tickets gallring av kunduppgifter ur kundregistret. I övrigt har Datainspektionen inga synpunkter på hur Ticket behandlar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Det framgår av 9 första stycket punkten i personuppgiftslagen. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Ticket sparar kunders personuppgifter i minst tre år i kundregistret. Även uppgifter om kundens resor sparas under denna tid i kundregistret. Om kunden återkommer inom denna tid och köper en ny resa hos Ticket sparas kontaktuppgifterna och resehistoriken ytterligare tre år räknat från den nya resan dvs. under den tid som Ticket anser att kunden är aktiv. När tre år gått och kunden inte längre anses aktiv är uppgifterna inte längre åtkomliga för säljarna. Uppgifterna ligger dock kvar i kundregistret under ytterligare sju år, dvs. totalt tio år. Skälet är enligt Ticket att bokföringslagen ställer krav på att uppgifterna ska sparas under tio år. För kunder som reser frekvent innebär detta att Ticket kan följa kunders resemönster på ett detaljerat sätt. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Om resbolaget vill kunna lämna erbjudanden och ge en särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret.

4 (5) Av utredningen framgår att Ticket sparar uppgifter om kunder i tre år efter den senaste resan. Uppgifterna sparas, enligt villkoren för registrering, under denna tid med stöd av kundens samtycke. Mot bakgrund av att uppgifterna sparas längre än två år med stöd av kundens samtycke har Datainspektionen inga synpunkter på detta. Uppgifter i kundregistret som behövs för bokföringsändamål får sparas så länge som bokföringslagen kräver. Dessa uppgifter ska dock inte vara åtkomliga i kundregistret, som har helt andra syften än att tillgodose bokföringslagens krav på verifikationer, efter att den tid som uppgifterna får sparas för kundadministration löpt ut. Reklamations- och klagomålshantering Ett av syftena med Datainspektionens granskning av Ticket har varit att granska hur bolaget registrerar klagomål och reklamationer. Som framkommit i ärendet registreras varken klagomål eller reklamationer i något särskilt system. Datainspektionen har därför inga synpunkter i detta avseende. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokning av en resa dels vid klagomål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall Ticket, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Ticket lämnar information om hur företaget behandlar kunders personuppgifter i företagets allmänna villkor samt på webbplatsen. Datainspektionen kan konstatera att Tickets sammanlagda information till kunderna uppfyller de krav som kan ställas. Det krävs dock att kunden läser dels informationen på webbplatsen samt de allmänna villkoren eftersom den information som ges är lite olika. Datainspektionen rekommenderar därför Ticket att se över informationen.

5 (5) Uppfylls kravet på avtal med personuppgiftsbiträden? Den personuppgiftsansvarige är ansvarig för den behandling av personuppgifter som utförs. Genom att ge andra, utanför den personuppgiftsansvariges egen organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning tydliga instruktioner om hur uppgifterna ska behandlas får den personuppgiftsansvarige kontroll över den behandling som sker. Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde. Avtalet ska reglera hur biträdet ska behandla uppgifterna och vilka säkerhetsåtgärder som ska vidtas (30 personuppgiftslagen). Enligt Ticket saknas personuppgiftsbiträdesavtal med det företag som sköter IT-driften. Datainspektionen förutsätter att Ticket snarast upprättar ett sådant. Jonas Agnvall

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss