Datum Dnr 2007-10-08 246-2007 TeliaSonera AB Att: Conny Larsson Mårbackagatan 11 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan Datainspektionens beslut Datainspektionen konstaterar att TeliaSonera AB vid sin förfrågan om personnummer i samband med prisuppgift för installation av fast telefon behandlat uppgifter i strid med 10 och 22 personuppgiftslagen. Datainspektionen förutsätter att de åtgärder som TeliaSonera AB kommer att vidta medför att bolagets behandling av personuppgifter i fortsättningen sker i enlighet med personuppgiftslagen och att potentiella kunder därvid skall kunna erhålla prisuppgift utan att behöva lämna ut sina personnummer. Redogörelse för tillsynsärendet I ett klagomål till Datainspektionen uppger klaganden att TeliaSonera AB (TeliaSonera) krävt att han skall lämna ut sitt personnummer för att erhålla prisuppgift för en eventuell installation av fast telefoni som han vill företa på sin fastighet. Datainspektionen har med anledning av TeliaSoneras krav på att personnummer måste uppges vid prisförfrågan beslutat om att inleda tillsyn mot bolaget. TeliaSonera har fått tillfälle att yttra sig. I skrivelse den 22 mars 2007 har bolaget uppgett i huvudsak följande. Då bolaget skall ingå avtal med en potentiell kund är det nödvändigt att inhämta vissa uppgifter så att en korrekt bedömning kan göras. Vid prisförfrågan för installation av fast telefoni är dessa uppgifter nödvändiga för att på så sätt bland annat kontrollera om det finns en befintlig telefonledning dragen till fastigheten eller om bolaget har att ombesörja att sådan dragning sker. Personnumret används vid TeliaSoneras registerföring och i förekommande fall även i samband med kreditprövning, då det gäller att bedöma den aktuelle personens betalningsförmåga. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (5) TeliaSoneras hantering av prisuppgifter m.m. sker efter kommunikation med de potentiella kunderna. Det är ett villkor för att tillmötesgå begäran om prisuppgift att den potentielle kunden lämnar de uppgifter som bolaget begär. Om den potentielle kunden av något skäl inte vill lämna uppgift om personnummer, står det självfallet denne fritt att inte göra det. Eftersom uppgift om personnummer är ett krav från bolagets sida för att lämna prisuppgift kommer en prisuppgift inte lämnas i ett sådant fall. Uppgiften om personnummer är en förutsättning för att den potentielle kunden ska kunna få en prisuppgift. När det gäller skälet för varför TeliaSonera kräver personnummer har bolaget hänvisat till den information som lämnats i samband med tidigare skriftväxling med klaganden. Av denna skriftväxling framgår att TeliaSoneras inre rutiner kräver namn och personnummer för att bolaget ska kunna lägga upp ett ärende. En ombyggnad av detta system skulle enligt TeliaSoneras personuppgiftsombud både vara svår och kostsam. Datainspektionen har i skrivelse till bolaget den 4 juli 2007 begärt att TeliaSonera ska förtydliga varför personnummer är nödvändigt att behandla i ett skede då det endast är fråga om att besvara en prisförfrågan och kunden ännu inte begärt att få ingå avtal med bolaget. I ett yttrande den 15 augusti 2007 har TeliaSonera uppgett bl.a. följande. TeliaSonera inhämtar följande personuppgifter från kunden i samband med att denne kontaktar TeliaSonera för att få en offert på anslutning till TeliaSoneras nät s.k. nätanslutning. Kundens namn och adress Namn och telefonnummer för anvisare Anläggningsadress Telefonnummer till närmaste granne Personnummer TeliaSonera har internt diskuterat användningen av kreditbedömning redan vid offertförfrågan och har beslutat att flytta kreditbedömningen till dess att kunden accepterat offerten. Detta innebär att TeliaSonera fortsättningsvis inte kommer att begära personnummer när kunden begär att få en offert på nätanslutning. TeliaSonera kommer dock att begära personnummer i samband med att kunden accepterar offerten för att kunna genomföra en sedvanlig kreditbedömning av kunden. Offerten kommer vidare att villkoras av att kunden blir godkänd vid kreditbedömningen. För att kunna genomföra den ovan beskrivna förändringen i hanteringen av offerter för nätanslutning behöver TeliaSonera
3 (5) genomföra ändringar i stödsystem, processer, offerter m.m. Vidare krävs utbildning av inblandad personal för att kunna säkerställa att förändringen inte innebär risker för kunder eller Telia- Sonera. Mot denna bakgrund beräknar TeliaSonera att förändringen kan vara genomförd per den sista december 2007. Skälen för Datainspektionens beslut Datainspektionens bedömning är att ett krav på att en potentiell kund måste lämna sitt personnummer för att erhålla prisuppgift dels strider mot bestämmelserna i 10 personuppgiftslagen om när personuppgifter överhuvudtaget får behandlas dels strider mot 22 personuppgiftslagen som anger när personnummer får behandlas utan samtycke. Skälen för detta är följande. De s.k. hanteringsreglerna är tillämpliga på behandlingen av personuppgifter i ett register Vilka regler i personuppgiftslagen som måste tillämpas beror på hur uppgifterna hanteras. Ska uppgifterna ingå i en strukturerad samling av personuppgifter såsom i en databas eller ett ärendehanteringssystem måste i princip alla regler i personuppgiftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen. De regler som undantas är de s.k. hanteringsreglerna. TeliaSonera har uppgett att personnummer används i deras registerföring. Ett register uppfyller normalt kraven på en personuppgiftsanknuten strukturering och behandlingen av personuppgifter i registret är då inte undantagen enligt 5 a personuppgiftslagen. Det är Datainspektionens bedömning att hanteringsreglerna är tillämpliga på TeliaSoneras behandling av personuppgifter i samband med prisförfrågan. Tillåten behandling? Personuppgifter får enligt huvudregeln i 10 personuppgiftslagen behandlas endast då den registrerade lämnat sitt samtycke till behandlingen. Ett samtycke definieras som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade godtar behandlingen som rör honom eller henne. Att ett samtycke ska vara frivilligt kan sägas innebära att den enskilde i praktiken ska ha ett fritt val att avgöra om hans eller hennes uppgifter ska få behandlas. Kravet på att ett samtycke har lämnats frivilligt orsakar mestadels inte något problem i en kundrelation. Detta eftersom en potentiell kund i normalfallet själv kan ta ställning till om han/hon vill lämna ut sina uppgifter, varvid den naturliga följden av ett avstående är att denne inte kan erhålla den efterfrågade varan eller tjänsten. TeliaSonera har krävt personnummer för att kunna svara en potentiell kund på hans fråga vad det skulle kosta att installera fast telefoni i en fastighet. Som Da-
4 (5) tainspektionen förstår det har TeliaSonera i praktiken en monopolställning på marknaden, dvs. den potentiella kunden saknar möjlighet att vända sig till ett annat bolag för installation av fast telefoni. Den potentielle kunden kan därför knappast sägas ha en sådan valmöjlighet att ett samtycke att lämna personnummer kan anses ha lämnats frivilligt. Det är därför inte möjligt att i denna situation att lämna ett giltigt samtycke i personuppgiftslagens mening. Det finns emellertid undantag i 10 personuppgiftslagen till huvudregeln att personuppgifter endast få behandlas med samtycke. Det är bl.a. tillåtet att behandla personuppgifter utan samtycke om behandlingen är nödvändig för att ett ingånget avtal med den registrerade ska kunna fullgöras eller för att en åtgärd som den registrerade har begärt ska kunna vidtas innan ett avtal träffas. Att ett bolags inre rutiner kräver namn och personnummer och att en ombyggnad av systemet är svår och kostsam är enligt inspektionens mening inte tillräckligt för att anse att personnummer är nödvändigt endast för att kunna ge en potentiell kund ett svar på en prisförfrågan. Inte heller något av de övriga undantagen i 10 personuppgiftslagen är tillämpligt i detta fall. En sådan behandling uppfyller därför inte kraven i 10 personuppgiftslagen. Särskilda regler för behandling av personnummer Inte heller är behandlingen tillåten enligt 22 personuppgiftslagen. I bestämmelsen anges när det är tillåtet att behandla personnummer utan samtycke. Det är tillåtet att behandla personnummer utan samtycke om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. TeliaSoneras planerade förändringar av systemet Enligt uppgifter kommer TeliaSonera att genomföra förändringar i systemet och frångå kravet på att personnummer ska krävas av kund som begär prisuppgift för anslutning av fastighet till det fasta nätet. Förändringarna kommer att vara genomförda senast den 31 december 2007. Mot denna bakgrund finner inspektionen inte något skäl att vidta någon åtgärd mot TeliaSonera. Ärendet ska därför avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning, om inspektionen inte själv ändrar beslutet på det sätt ni begärt. Catharina Fernquist Jonas Agnvall
Kopia till: Personuppgiftsombudet Jan Wellergård, TeliaSonera Sverige AB, 405 35 Göteborg 5 (5)