SAS registrering av Eurobonus- och taxfree medlemmars inköp Datainspektionens rapport December 1998
Innehållsförteckning Inledning 3 Syftet med inspektionerna 3 Resultatet av kartläggningen 3 Integritetsaspekter 4 Kort om personuppgiftslagen (PuL) 5 Slutsatser 5 2
Inspektionsprojekt med fördjupning i ämnet elektroniska spår avseende SAS kundregistrering Inledning Datainspektionen har i juni 1998 genomfört inspektioner hos Scandinavian Airlines Systems (SAS) avdelningar SAS Trading i Sollentuna och SAS EuroBonus i Solna och därvid undersökt dels EuroBonus-medlemskortet, dels Taxfree Plus-medlemskortet. SAS EuroBonus lojalitetsprogram startades 1992. Över hela världen finns 1,3 miljoner medlemmar. 1993 introducerades en vinklubb med 2 000 3 000 medlemmar. Taxfree Plus i sin nuvarande utformning startades 1995. SAS har ett 50-tal butiker på 32 flygplatser i Skandinavien. Sprit, tobak, parfym, kosmetika, choklad och konfektyr säljs. Även ett utbud av kläder, skor, CD-skivor, dataprogram, elektronik, leksaker och sportartiklar finns. Utbudet växer hela tiden. Försäljningen sker i sex länder: Sverige, Norge, Danmark, Spanien (på höghastighetståg som trafikerar Sevilla Malaga), Lettland (två butiker i Riga) samt Polen (en butik i Warzawa). Syftet med inspektionerna Syftet med inspektionerna var att kartlägga hur SAS registrerar kunduppgifter avseende resor och taxfreeköp vid användande av medlemskort. Resultatet av kartläggningen EuroBonus-medlemmen godkänner på ansökningshandlingen att SAS registrerar de av honom lämnade uppgifterna och uppgifter om resor som beställts av honom. Medlemmen godkänner vidare att SAS och SAS samarbetspartners använder uppgifterna som underlag i sin marknadskommunikation. Taxfree Plus-medlemmen samtycker i ansökan till att SAS Trading registrerar uppgifterna och använder dem för marknadsföring samt att reklam om parfym, alkoholhaltiga drycker och tobaksprodukter skickas till honom. EuroBonus-kortet används vid flygresor med SAS och vissa samarbetspartners till SAS - flygbolag inom Star Alliance. Taxfree Plus-kortet används vid inköp i SAS butiker på flygplatser (alltså inte på flygplan). Korten är s.k. bonuskort utan koppling till konto för insättning av belopp eller kredit. Dock kan EuroBonus-kortet kombineras med Diners 3
Club-kreditkort. Bonuspoäng registreras vid gjorda köp/resor. Uppnådda poängnivåer ger EuroBonusmedlemmen serviceförmåner av olika grad vid resor och möjlighet att erhålla vissa kostnadsfria resor. Taxfree Plus-medlemmen får en gång om året en värdecheck som kan användas i SAS butiker samt rabatt på priset direkt vid köpet och särskilda erbjudanden. I båda medlemsregistren registreras följande uppgifter. Namn, adress till bostaden/arbetet, telefonnummer, telefaxnummer, födelsedatum (inte personnummer), kön, land, kortnummer och bonuspoäng. Beträffande EuroBonus registreras även e-mailadress, nationalitet, titel, språk, resmål och hotelluppgift. Uppgifterna om resmål uppges vara nödvändiga för bonuspoängberäkningen eftersom poängantalet är avhängigt av resans längd. Beträffande Taxfree Plus registreras även rekryterare, kundgrupp, datum för uppläggningen, språk, antal internationella flygresor per år, butiksidentitet, datum och tidpunkt, kortnummer, totalbelopp, valuta, kreditkortskod, kvittoradsnummer, artikelnummer (d.v.s. produktidentitet), köp av vinflaskor, radbelopp och antal. Medlemsregistren samkörs varken med varandra eller med andra register och försäljning av uppgifter ur registren sker inte heller. Ingen regelbunden adressuppdatering sker. Ändring i medlemsregistren sker endast om medlemmen själv uppger ändrad adress. All databearbetning beträffande Taxfree Plus sker i Sverige. När det gäller EuroBonus sker databearbetningen i Danmark. SAS samarbetspartners har inte någon tillgång till medlemsregistret. Ingen gallring har hittills skett i medlemsregistren. Integritetsaspekter Den nya informationsteknologin skapar nya källor till information om människors vanor och beteende vilket kan användas för en ingående kartläggning av enskilda personer. Att registrering sker av uppgifter om resor och inköpta varor är inte konstigt eller känsligt i sig. Det är själva användandet av uppgifterna eller möjligheten till användning som medför farhågor ur integritetssynpunkt. Den stora mängden av personuppgifter beträffande en enskild person kan användas för att analysera den enskildes liv vad avser t.ex. resmål och köpvanor. Det kan skapas kundprofiler som sedan kan användas för marknadsföring direkt anpassad till den enskilde. Den enskilde skulle således kunna få skräddarsydd" direktreklam tillsänd sig med motiveringen att just han ofta reser till ett speciellt resmål eller köper speciella varor i resebutikerna. Sådan reklam kan av den enskilde uppfattas som kränkande. Dels kan uppgifterna i sig om vissa resvanor och köpvanor utvisa den enskildes beteende vilket kan vara "genant" eller "olämpligt", dels utgör reklamen ett bevis på att möjlighet finns att kartlägga den enskildes liv in i detalj - vid vilka tidpunkter denne befunnit sig på olika resmål, hur ofta och var denne köper 4
vissa varor o.s.v. Denna möjlighet till kartläggning har den enskilde kanske inte varit medveten om och skulle kanske inte heller ha accepterat. Kort om personuppgiftslagen (PuL) Registren förs med stöd av datalagen (1973:289). Datalagen har upphört den 24 oktober 1998 och har ersatts med personuppgiftslagen (1998:204). Enligt övergångsbestämmelserna till personuppgiftslagen gäller datalagen till och med den 30 september 2001 för behandlingar som påbörjats före ikraftträdandet om ändamålet för behandlingen inte ändras. För dessa register gäller således datalagen till och med den 30 september 2001. Förutsättningarna för att behandla personuppgifter är ungefär desamma enligt personuppgiftslagen som enligt datalagen. Av såväl personuppgiftslagen som datalagen framgår att det är ändamålet med registret/behandlingen som styr användningen av personuppgifterna. Av 9 personuppgiftslagen framgår bl.a. att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål, att behandlingar i strid med detta ändmamål inte får göras, att personuppgifter som behandlas måste vara adekvata och relevanta i förhållande till ändamålet, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålet samt att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. Av 10 personuppgiftslagen framgår att behandling får ske endast om den registrerade har samtyckt till detta eller om behandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Vidare föreskriver personuppgiftslagen enligt 23 ff. en omfattande informationsplikt för den personuppgiftsansvarige. Slutsatser Datainspektionen kan konstatera att registrering sker av en stor mängd detaljerad information om den enskilde kundens resor och inköp. Därmed finns möjlighet att göra analyser på kundnivå. Sådana kundanalyser görs inte idag. Om SAS överväger att göra kundanalyser bör kunderna informeras om detta så att de själva kan bestämma om de godtar att sådan analys görs beträffande dem. Det finns från Datainspektionens sida anledning att bevaka denna fråga i framtiden. 5
Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fax: 08-652 85 52 Tel: 08-657 61 00