Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Datainspektionen konstaterar att Big Travel Sweden AB behandlar kunders personuppgifter i kundregistret i strid med 9 första stycket punkten i) personuppgiftslagen genom att spara kunduppgifter i kundregistret längre tid än två år efter avslutad resa. Datainspektionen förelägger Big Travel Sweden AB att antingen inhämta kundernas samtycke eller gallra kunduppgifter som är äldre än två år. Datainspektionen konstaterar att Big Travel Sweden AB inte lämnar den information som krävs enligt 23-25 personuppgiftslagen till kunderna. Big Travel Sweden AB föreläggs att informera kunderna i enlighet med vad som anges i dessa bestämmelser. Ärendet avslutas Redogörelse för tillsynsärendet Datainspektionen har under året arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar uppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och klagomål. Som ett led i tillsynsprojektet genomförde Datainspektionen en inspektion hos Big Travel Sweden AB (Big Travel) den 12 juni 2008. Vid inspektionen framkom bl.a. följande: Big Travel är ett privat aktiebolag och har 29 kontor i Sverige samt ett nyöppnat kontor i Köpenhamn. Bolaget producerar inga egna resor utan verkar som agent åt olika reseproducenter, däribland charterbo- Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (5) lag. Den allra största försäljningen sker över disk men sker även över Internet. Big Travel har ett dotterbolag, FlexTours AB. Kund, faktura och bokningssystem För kund och fakturahantering använder Big Travel ett system som heter AGM. De personuppgifter om kunder som registreras och behandlas i AGM är namn, adress, telefonnummer, bokningsnummer och bokad resa. Vid bokning av resa använder Big Travel arrangörernas egna bokningssystem, t.ex. Amadeus. Big Travel har direktåtkomst och kan boka och registrera en resa direkt i systemen. Därtill har Big Travel en e-postdatabas som används för utskick av nyhetsbrev. Reklamationshantering Reklamationer kan lämnas via e-post, telefon eller brev. Därtill kan man reklamera genom att använda Big Travels formulär för reklamationer som finns på företagets webbplats. Reklamationer som kommer in via webbformuläret omvandlas till ett e-postmeddelande som skickas till huvudkontoret. Detta skrivs ut av huvudkontoret och sparas inte elektroniskt. Reklamationer hanteras såväl lokalt på kontoren som centralt på huvudkontoret i Malmö. En reklamationspärm finns på varje kontor. Varje lokalkontor har endast tillgång till information om sina kunder. Vissa klagomål ska föras vidare till huvudkontoret. Enligt informationen som lämnas på Big Travels webbplats ska en resa reklameras tio dagar efter hemkomsten. Ändamålen med personuppgiftsbehandlingen Big Travels huvudändamål med att behandla kunduppgifter är kundadministration, dvs. för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för reklamationshantering, direktreklam och statistik. Information om personuppgiftsbehandling Big Travel lämnar ingen information om personuppgiftsbehandling eller annan information enligt personuppgiftslagen till sina kunder. Gallring av personuppgifter Big Travel sparar uppgifter om kunder i AGM i fem år. Därefter arkiveras informationen. I den e-postdatabas som används för utskick av nyhetsbrev tas uppgifter bort efter begäran från den registrerade. Denna databas har funnits i cirka fem år.
3 (5) Skriftliga reklamationer som inkommer till huvudkontoret sparas i tio år. Skälet är enligt Big Travel att uppgifterna behövs för bokföringsändamål och vid eventuell revision. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Big Travel behandlar uppgifter om kunder i elektroniska system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen. Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller för behandling av personuppgifter. I 9 personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I bestämmelsens andra stycke anges att en behandling av personuppgifter för statistiska ändamål inte ska anses som oförenligt för med de ändamål som uppgifterna samlades in. I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i 13-19 personuppgiftslagen. Särskilt om behandling av personuppgifter i kundregister eller liknande Big Travel registrerar kunduppgifter i ett kombinerat kund- och fakturasystem. Datainspektionen kommer fortsättningsvis att med kundregister avse de uppgifter som Big Travel behandlar i detta system. Därtill har Big Travel en särskild databas med uppgifter om e-postadresser. I sitt kundregister behandlar Big Travel uppgifter om kundens namn, adress, telefonnummer, bokningsnummer och bokad reseprodukt. Uppgifterna behandlas för ändamålen kundadministration inklusive reklamationshantering, marknadsföring och statistik.
4 (5) Datainspektionen väljer att särskilt ta upp Big Travels gallring av kunduppgifter ur kundregistret. I övrigt har Datainspektionen inga synpunkter på hur Big Travel behandlar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Det framgår av 9 första stycket punkten i personuppgiftslagen. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Om resbolaget vill kunna lämna erbjudanden och ge en särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret. Av utredningen framgår att Big Travel sparar uppgifter om kunder i kundregistret, oavsett om denne samtyckt eller inte, under fem år. Det är inte visat att Big Travel har ett behov av att spara uppgifter i kundregistret under en längre tid än två år. Mot denna bakgrund konstaterar inspektionen att Big Travel behandlar uppgifter i strid med 9 första stycket punkten i) personuppgiftslagen. Uppgifter i kunddataregistret som behövs för bokföringsändamål får sparas så länge som bokföringslagen kräver. Dessa uppgifter ska dock inte vara åtkomliga i kundregistret, som har helt andra syften än att tillgodose bokföringslagens krav på verifikationer, efter att den tid som uppgifterna får sparas för kundadministration löpt ut. Med att uppgifterna i kundregistret arkiveras efter fem år tolkar Datainspektionen som att dessa förs över på papper genom utskrift. Normalt omfattas inte personuppgifter i pappersform av personuppgiftslagen, såvida de inte utgör ett sådant manuellt register som avses i 5 andra stycket personuppgiftslagen. En utskrift från ett kundregister är i sig en personuppgiftsbehandling och om utskriften av uppgifter görs därför att uppgifterna behövs i pappersform för andra ändamål, såsom bokföringsändamål, är utskriften tillåten. Det ifrågasätts dock om alla uppgifter i kundregistret är nödvändiga att spara för detta ändamål. Reklamations- och klagomålshantering Ett av syftena med Datainspektionens granskning av Big Travel har varit att granska hur bolaget registrerar klagomål och reklamationer. Som framkommit i ärendet registreras varken klagomål eller reklamationer i något särskilt ärende eller klagomålssystem. Datainspektionen har därför inga synpunkter i detta avseende. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokning av en resa dels vid klago-
5 (5) mål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall Big Travel, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Big Travel lämnar ingen information om hur bolaget behandlar kunders personuppgifter. Datainspektionen konstaterar att Big Travel inte uppfyller de krav som ställs i 23-25 personuppgiftslagen. Datainspektionen förelägger Big Travel att lämna den information som krävs enligt 23-25 personuppgiftslagen till sina kunder. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Jonas Agnvall