SAS registrering av Eurobonus- och taxfree medlemmars inköp. Datainspektionens rapport December 1998



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Kundregister hos banker. Datainspektionens rapport December 1998

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Resebranschens register. Datainspektionens rapport December 1998

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Regeringsrätten RÅ 2002 ref. 54. Målnummer: Avdelning: 1. Avgörandedatum:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Datainspektionen informerar. Hur länge får personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

Integritetspolicy. AriVislanda AB

ALLMÄNT JULACLUB VILLKOR OCH FÖRMÅNER Bonusregler

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftslagen konsekvenser för mitt företag

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

PERSONUPPGIFTSPOLICY WILDO SWEDEN AB

PERSONUPPGIFTSPOLICY

ALLMÄNT JULACLUB VILLKOR OCH FÖRMÅNER Bonusregler

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Policy avseende integritet och marknadsföring

INTEGRITETSPOLICY. Behandling av dina personuppgifter. Vilka personuppgifter samlar vi in och varifrån?

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Publicering på Internet

Elsäkerhetsverkets register och behandlingar av personuppgifter enligt 39 PUL

Integritetspolicy Vandra of Sweden AB

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Användaravtal och samtycke till behandling av personuppgifter

INTEGRITETSPOLICY BALUNGSTRANDS SÅGVERK AB. Om BALUNGSTRANDS SÅGVERK AB och denna integritetspolicy

Information om behandling av personuppgifter

Om du inte har möjlighet att använda DO:s anmälningsblanketter kan du göra en anmälan per brev, e-post, muntligen eller på annat sätt.

Policy för hantering av personuppgifter

Dina rättigheter. Begära rättelse. Personuppgiftsansvarig är Novo Sweden Dental AB org.nr

Personuppgiftsbehandling hos Almi

Rutin för webbpublicering av personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Varifrån samlar vi in personuppgifter? Dig själv. Externa parter. Vilka personuppgifter behandlar vi och för vilka syften? Tillhandahålla tjänster

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Version INTEGRITETSPOLICY. gällande rekrytering av personal, volontärer och praktikanter Enligt Dataskyddsförordningen

1. behandlingen är nödvändig för att vi ska kunna fullgöra vårt avtal med dig,

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Leverantörsuppgifter är sådana uppgifter som exempelvis namn, adress, e-postadress, telefonnummer.

Lathund Personuppgiftslagen (PuL)

Personuppgiftsbehandling för forskningsändamål

Riktlinjer för personuppgiftshantering AAKERMOUNT Marknadsutveckling AB

1. Behandling av personuppgifter... 2

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Asitis personuppgiftspolicy. Asitis personuppgiftspolicy Syfte Ändamål Riktlinjer Asitis personuppgiftsbehandling...

PERSONUPPGIFTSPOLICY CLAESSON KONSULT & VÄRDERING I BORÅS AB

Medlemsvillkor EuroBonus per 1 juli 2008

Datainspektionens beslut efter tillsyn enligt personuppgiftslagen vid Norra Real

Personuppgiftspolicy för Gustafsborgs Säteri AB med dotterbolag

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

INTEGRITETSPOLICY SOTENÄS TRÄVARU AB

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

POLICY Behandling av personuppgifter på Torkilstötens samfällighetsförening

Om DentalEye AB och denna integritetspolicy

Personuppgiftsbehandling i forskning

Anmälan om diskriminering eller missgynnande på arbetsplats

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

Rubrik: - Handelsregisterförordning (1974:188)

1. Vem ansvarar för mina personuppgifter?

Sleepingfox Hotel Group AB policy för datahantering och cookies

INTEGRITETSPOLICY FÖR BEHANDLING AV DINA PERSONUPPGIFTER

Club Clas medlemsvillkor Allmänt. Fördelar med medlemskapet i Club Clas

INTEGRITETSPOLICY Tikkurila Sverige AB

Datainspektionen informerar. Hur länge får personuppgifter

Integritetspolicy. Zhipster AB Gäller från

Personuppgiftspolicy

Information om behandling av personuppgifter

Wingårdhs Personuppgiftspolicy

Tillsyn enligt personuppgiftslagen (1998:204)

Så behandlar vi dina personuppgifter

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER. VA SYD, org. nr , är personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

INTEGRITETSPOLICY 2. VILKA PERSONER BEHANDLAR VI PERSONUPPGIFTER OM? Vi behandlar personuppgifter om följande kategorier av personer:

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

GDPR (General Data Protection Regulation) Uppdaterad AB Lundamattor ( ) behandlar personuppgifter i syfte att kunna:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

INTEGRITETSPOLICY POLICY AVSEENDE INTEGRITET OCH MARKNADSFÖRING 1. ALLMÄNT

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

InfraGeoTech AB INTEGRITETSPOLICY

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

PERSONUPPGIFTSPOLICY Onyx Sportcenter AB

Transkript:

SAS registrering av Eurobonus- och taxfree medlemmars inköp Datainspektionens rapport December 1998

Innehållsförteckning Inledning 3 Syftet med inspektionerna 3 Resultatet av kartläggningen 3 Integritetsaspekter 4 Kort om personuppgiftslagen (PuL) 5 Slutsatser 5 2

Inspektionsprojekt med fördjupning i ämnet elektroniska spår avseende SAS kundregistrering Inledning Datainspektionen har i juni 1998 genomfört inspektioner hos Scandinavian Airlines Systems (SAS) avdelningar SAS Trading i Sollentuna och SAS EuroBonus i Solna och därvid undersökt dels EuroBonus-medlemskortet, dels Taxfree Plus-medlemskortet. SAS EuroBonus lojalitetsprogram startades 1992. Över hela världen finns 1,3 miljoner medlemmar. 1993 introducerades en vinklubb med 2 000 3 000 medlemmar. Taxfree Plus i sin nuvarande utformning startades 1995. SAS har ett 50-tal butiker på 32 flygplatser i Skandinavien. Sprit, tobak, parfym, kosmetika, choklad och konfektyr säljs. Även ett utbud av kläder, skor, CD-skivor, dataprogram, elektronik, leksaker och sportartiklar finns. Utbudet växer hela tiden. Försäljningen sker i sex länder: Sverige, Norge, Danmark, Spanien (på höghastighetståg som trafikerar Sevilla Malaga), Lettland (två butiker i Riga) samt Polen (en butik i Warzawa). Syftet med inspektionerna Syftet med inspektionerna var att kartlägga hur SAS registrerar kunduppgifter avseende resor och taxfreeköp vid användande av medlemskort. Resultatet av kartläggningen EuroBonus-medlemmen godkänner på ansökningshandlingen att SAS registrerar de av honom lämnade uppgifterna och uppgifter om resor som beställts av honom. Medlemmen godkänner vidare att SAS och SAS samarbetspartners använder uppgifterna som underlag i sin marknadskommunikation. Taxfree Plus-medlemmen samtycker i ansökan till att SAS Trading registrerar uppgifterna och använder dem för marknadsföring samt att reklam om parfym, alkoholhaltiga drycker och tobaksprodukter skickas till honom. EuroBonus-kortet används vid flygresor med SAS och vissa samarbetspartners till SAS - flygbolag inom Star Alliance. Taxfree Plus-kortet används vid inköp i SAS butiker på flygplatser (alltså inte på flygplan). Korten är s.k. bonuskort utan koppling till konto för insättning av belopp eller kredit. Dock kan EuroBonus-kortet kombineras med Diners 3

Club-kreditkort. Bonuspoäng registreras vid gjorda köp/resor. Uppnådda poängnivåer ger EuroBonusmedlemmen serviceförmåner av olika grad vid resor och möjlighet att erhålla vissa kostnadsfria resor. Taxfree Plus-medlemmen får en gång om året en värdecheck som kan användas i SAS butiker samt rabatt på priset direkt vid köpet och särskilda erbjudanden. I båda medlemsregistren registreras följande uppgifter. Namn, adress till bostaden/arbetet, telefonnummer, telefaxnummer, födelsedatum (inte personnummer), kön, land, kortnummer och bonuspoäng. Beträffande EuroBonus registreras även e-mailadress, nationalitet, titel, språk, resmål och hotelluppgift. Uppgifterna om resmål uppges vara nödvändiga för bonuspoängberäkningen eftersom poängantalet är avhängigt av resans längd. Beträffande Taxfree Plus registreras även rekryterare, kundgrupp, datum för uppläggningen, språk, antal internationella flygresor per år, butiksidentitet, datum och tidpunkt, kortnummer, totalbelopp, valuta, kreditkortskod, kvittoradsnummer, artikelnummer (d.v.s. produktidentitet), köp av vinflaskor, radbelopp och antal. Medlemsregistren samkörs varken med varandra eller med andra register och försäljning av uppgifter ur registren sker inte heller. Ingen regelbunden adressuppdatering sker. Ändring i medlemsregistren sker endast om medlemmen själv uppger ändrad adress. All databearbetning beträffande Taxfree Plus sker i Sverige. När det gäller EuroBonus sker databearbetningen i Danmark. SAS samarbetspartners har inte någon tillgång till medlemsregistret. Ingen gallring har hittills skett i medlemsregistren. Integritetsaspekter Den nya informationsteknologin skapar nya källor till information om människors vanor och beteende vilket kan användas för en ingående kartläggning av enskilda personer. Att registrering sker av uppgifter om resor och inköpta varor är inte konstigt eller känsligt i sig. Det är själva användandet av uppgifterna eller möjligheten till användning som medför farhågor ur integritetssynpunkt. Den stora mängden av personuppgifter beträffande en enskild person kan användas för att analysera den enskildes liv vad avser t.ex. resmål och köpvanor. Det kan skapas kundprofiler som sedan kan användas för marknadsföring direkt anpassad till den enskilde. Den enskilde skulle således kunna få skräddarsydd" direktreklam tillsänd sig med motiveringen att just han ofta reser till ett speciellt resmål eller köper speciella varor i resebutikerna. Sådan reklam kan av den enskilde uppfattas som kränkande. Dels kan uppgifterna i sig om vissa resvanor och köpvanor utvisa den enskildes beteende vilket kan vara "genant" eller "olämpligt", dels utgör reklamen ett bevis på att möjlighet finns att kartlägga den enskildes liv in i detalj - vid vilka tidpunkter denne befunnit sig på olika resmål, hur ofta och var denne köper 4

vissa varor o.s.v. Denna möjlighet till kartläggning har den enskilde kanske inte varit medveten om och skulle kanske inte heller ha accepterat. Kort om personuppgiftslagen (PuL) Registren förs med stöd av datalagen (1973:289). Datalagen har upphört den 24 oktober 1998 och har ersatts med personuppgiftslagen (1998:204). Enligt övergångsbestämmelserna till personuppgiftslagen gäller datalagen till och med den 30 september 2001 för behandlingar som påbörjats före ikraftträdandet om ändamålet för behandlingen inte ändras. För dessa register gäller således datalagen till och med den 30 september 2001. Förutsättningarna för att behandla personuppgifter är ungefär desamma enligt personuppgiftslagen som enligt datalagen. Av såväl personuppgiftslagen som datalagen framgår att det är ändamålet med registret/behandlingen som styr användningen av personuppgifterna. Av 9 personuppgiftslagen framgår bl.a. att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål, att behandlingar i strid med detta ändmamål inte får göras, att personuppgifter som behandlas måste vara adekvata och relevanta i förhållande till ändamålet, att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålet samt att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet. Av 10 personuppgiftslagen framgår att behandling får ske endast om den registrerade har samtyckt till detta eller om behandlingen är nödvändig för att fullgöra ett avtal med den registrerade. Vidare föreskriver personuppgiftslagen enligt 23 ff. en omfattande informationsplikt för den personuppgiftsansvarige. Slutsatser Datainspektionen kan konstatera att registrering sker av en stor mängd detaljerad information om den enskilde kundens resor och inköp. Därmed finns möjlighet att göra analyser på kundnivå. Sådana kundanalyser görs inte idag. Om SAS överväger att göra kundanalyser bör kunderna informeras om detta så att de själva kan bestämma om de godtar att sådan analys görs beträffande dem. Det finns från Datainspektionens sida anledning att bevaka denna fråga i framtiden. 5

Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fax: 08-652 85 52 Tel: 08-657 61 00