Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Datainspektionen konstaterar att Kuoni Scandinavia AB behandlar kunders personuppgifter i strid med 9 första stycket punkten i) personuppgiftslagen genom att spara kunduppgifterna i bokningssystemet under längre tid än två år efter avslutad resa. Datainspektionen förelägger Kuoni Scandinavia AB att antingen inhämta kundens samtycke eller gallra kunduppgifter som är äldre än två år. Datainspektionen konstaterar vidare att Kuoni Scandinavia AB:s information om personuppgiftsbehandling inte uppfyller kraven i 23-25 personuppgiftslagen. Bolaget föreläggs att komplettera och förändra de brister i informationen som framgår av skälen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar personuppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och andra klagomål. Som ett led i projektet genomförde Datainspektionen en inspektion hos Kuoni Scandinavia AB (Apollo) den 30 maj 2008. Protokoll över inspektionen har upprättats och översänts till Apollo för eventuella synpunkter. Vid inspektionen framkom bland annat följande. Bokningssystem Vid bokning av resa registrerar Apollo uppgifter om resenärer i ett bokningssystem. Kunduppgifter registreras direkt i bokningssystemet och det finns inte något ytterligare kundregister. Varje resa som en Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (7) kund gör registreras separat under ett särskilt bokningsnummer, vilket också innebär att en kunds kontaktuppgifter registreras på nytt vid varje bokning. En återförsäljare kan boka en resa direkt i Apollos system. Åtkomsten är dock begränsad genom att återförsäljaren i systemet endast kan se bokningar som återförsäljaren själv gjort. I bokningssystemet behandlas kundens kontaktuppgifter, uppgifter om medresenärer, uppgifter om bokad resa samt uppgifter om reklamationer. De kunduppgifter som registreras är; namn, adress, telefonnummer, e- postadress, födelsedatum och kön. Uppgifter om medresenärer som registreras är; namn, födelsedatum och kön. Födelsedata är obligatorisk för barn. Därtill registreras uppgifter om resan såsom resmål, datum för resan, hotell, flygbolag. I vissa fall kan även uppgifter registreras om specialmat samt uppgifter om att kunden behöver särskild hjälp pga. handikapp t.ex. wheelchair. För nyssnämnd registrering används internationella koder s.k. SSR-koder. Reklamationer Klagomål registreras och handläggs i bokningssystemet. För att kunna registrera reklamationer krävs ett bokningsnummer. Om kunden inte har kvar bokningsnumret hjälper Apollos personal till med att ta fram det. Det är inte möjligt att få en översiktsbild av en kunds olika reklamationer, eftersom det inte är går ta fram uppgifterna utan ett bokningsnummer. Oavsett hur kunden har reklamerat är det alltid Apollos personal som fyller i ett fritextfält och noterar vad kunden är missnöjd med. Därtill används ett antal förutbestämda koder för att ange vad kunden klagat på. Om kundens reklamation leder till ersättning registreras den eller de koder som ersättningen avser. Uppgifter i ett reklamationsärende är inte tillgängliga för Apollos bokningspersonal utan endast för en begränsad grupp anställda, som arbetar med reklamationer. Totalt 16 personer har åtkomst till uppgifter om reklamationer. Bokningspersonalen kan dock se en notering i systemet om pågående reklamation samt avslutad reklamation. För de särskilda handläggare som arbetar med reklamationer finns informationen tillgänglig under pågående reklamationsärende. Apollo tar emot reklamationer via telefon, webbplats, brev och e-post. Det går också att framföra reklamationer direkt till den lokala representanten på resmålet. Det är mycket ovanligt att resenärer klagar på privatpersoner i samband med en resa.
3 (7) Ändamål med behandling av kunduppgifter Apollos huvudändamål med att behandla uppgifter om kunder är kundadministration, dvs. för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för att kunna behandla reklamationer, utskick av taxfreekatalog samt, i vissa situationer, för utskick av annan direktreklam. Användning av personuppgifter vid marknadsföring Apollo använder kunders adresser för att skicka ut taxfreekataloger. Kunden får alltid särskilt kryssa för att han eller hon accepterar att Apollos skickar resekatalogen. Vidare använder Apollo uppgifter ur bokningsregistret för marknadsföring endast om kunden godkänt detta på förhand. Information På webbplatsen finns information om personuppgiftsbehandling. Det lämnas ingen särskild information om hur personuppgifter behandlas i samband med en reklamation. Bevarande av personuppgifter Uppgifter ligger kvar i bokningssystemet och är tillgängliga för bokningspersonalen under cirka två år. Det går dock att på ett enkelt sätt få tillgång till uppgifter ytterligare fyra år tillbaka genom att tilldelas en särskild behörighet. Skälet till att informationen om bokningar inte gallras är att man vid behov ska kunna återskapa ett underlag. Uppgifter om reklamationer finns tillgängliga för de särskilda handläggare som arbetar med dessa under pågående reklamation. Efter en viss tid förs reklamationen över till ett pappersarkiv. Enligt Apollos riktlinjer sparas reklamationer i pappersarkivet under tio år. Skälet är att preskriptionstiden är tio år samt att uppgifter behövs för bokföringsändamål. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är helt eller delvis automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Apollo behandlar uppgifter om kunder och reklamationer/klagomål i ett elektroniskt system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen. Datainspektionen bedömer att personuppgiftslagens hanteringsregler är tillämpliga på behandlingen.
4 (7) Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller för behandling av personuppgifter. I 9 personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i 13-19 personuppgiftslagen Särskilt om behandling av personuppgifter i kundregister Apollo registrerar alla kunduppgifter direkt i bokningssystemet och det finns inte något ytterligare kundregister. Datainspektionen kommer fortsättningsvis att med kundregister avse de kunduppgifter som Apollo behandlar i bokningsregistret tillika kundregistret. I sitt kundregister behandlar Apollo uppgifter om kundens namn, adress, telefonnummer, e-postadress, födelsedatum och kön samt uppgifter om medresenärer och resa. Apollo behandlar kunduppgifterna för ändamålen kundadministration, reklamation och direktreklam. Datainspektionen väljer att särskilt ta upp Apollos gallring av kunduppgifter. I övrigt har Datainspektionen inga synpunkter på hur Apollo hanterar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Det framgår av 9 första stycket punkten i) personuppgiftslagen. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Apollo sparar kundens namn- och adressuppgifter under sex års tid i kundregistret. Även uppgifter om kundens resa sparas under denna tid. Säljarna har direktåtkomst till kundinformationen under två år och det går att få tillgång till kunduppgifterna i ytterligare fyra år med särskild behörighet.
5 (7) Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två års tid. Om resebolaget vill kunna lämna erbjudanden och ge särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret. Ett samtycke enligt personuppgiftslagen omfattar endast behandling av uppgifter om den person som lämnat sitt samtycke till behandlingen och kan inte avse uppgifter om någon annan, t.ex. medresenärer. Av utredningen framgår att Apollo sparar uppgifter om kunder, oavsett om denne samtyckt eller inte, under sex år. Det är inte visat att Apollo har ett behov av att spara uppgifter i kundregistret under en längre tid än två år. Mot denna bakgrund konstaterar Datainspektionen att Apollo behandlar uppgifter i strid med 9 första stycket punkten i) personuppgiftslagen. Reklamations- och klagomålshantering I samma bokningssystem behandlar Apollo uppgifter om klagomål och reklamationer. Det är alltid Apollos personal som fyller i fritextfältet i systemet och noterar vad kunden är missnöjd med. Därtill används ett antal förutbestämda koder för att ange vad kunden klagat på. Om kundens reklamation leder till ersättning registreras den eller de koder som ersättningen avser. En tid efter ett avslutat reklamationsärende görs en utskrift, som sparas i ett pappersarkiv i tio år. Lagringstiden är vald med hänsyn till bokföringslagen och allmän preskriptionstid. Datainspektionen väljer att särskilt ta upp Apollos gallring av uppgifter om reklamationer. I övrigt har Datainspektionen inga synpunkter på hur Apollo hanterar reklamationer och klagomål. I de allmänna/särskilda resevillkoren anger Apollo att reklamationer avfattas skriftligen och ska vara Apollo till handa senast två månader efter hemkomsten. Apollo har inte uppgett närmare under hur lång tid efter en avslutad reklamation bolaget lagrar uppgifter om reklamationshantering i bokningssystemet. Uppgifter om en avslutad reklamation, dvs. när frågan om kompensation är slutligt avgjord, får sparas under den tid som kunden kan återkomma med en reklamation. Det för att resebolaget ska ha möjlighet att kontrollera om kunden reklamerat och förhindra att kunden får dubbel kompensation. När det gäller att spara uppgifter om reklamationer för bokföringsändamål får endast de uppgifter som krävs för att uppfylla bokföringslagens krav sparas för detta ändamål och under den tid som anges i denna lag. Det kan innebära att vissa uppgifter får sparas medan andra måste gallras. Datainspektionen kan inte inom ramen för detta tillsynsärende avgöra vilka uppgifter om reklamationer som är nödvändiga att spara för bokföringsändamål. Apollo har fört över reklamationerna på papper genom utskrift. Normalt omfattas personuppgifter i pappersform inte av personuppgiftslagen, såvida de inte utgör ett sådant manuellt register som avses i 5 andra stycket personuppgiftslagen. En utskrift från ett kundregister är i sig en personuppgiftsbehandling och
6 (7) om utskriften av uppgifter görs därför att uppgifterna behövs i pappersform för andra ändamål, såsom bokföringsändamål är utskriften tillåten. Det ifrågasätts dock om alla uppgifter om kundens reklamation är nödvändiga att spara för detta ändamål. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokningen av en resa dels vid klagomål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall, Apollo, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Apollo lämnar på sin webbplats information om Internet policy och under rubriken Personuppgifter finns information om Apollos personuppgiftsbehandling. Datainspektionen kan konstatera att Apollos information brister på följande punkter. Den personuppgiftsansvariges identitet. (En ansökan om information enligt 26 personuppgiftslagen ska vara skriftlig och undertecknad av den sökande. Det bör tydligt framgå till vem och vilken adress sökanden ska skicka sin ansökan om information. Det är inte tillräckligt att enbart ange en e-postadress) Det saknas information om vilka uppgifter som lagras Det saknas information om hur länge uppgifterna sparas Det saknas information om att ansökan om registerutdrag enligt 26 personuppgiftslagen är gratis en gång per år och att kunden har rätt till rättelse Datainspektionen förelägger Apollo att åtgärda de brister i informationen som framgår ovan.
7 (7) Datainspektionen anser även att Apollo bör se över placeringen av informationen för att alla kunder som lämnar personuppgifter till Apollo, via telefon, butik eller webb ska ha möjlighet att hitta information om behandlingen av personuppgifter. Datainspektionen föreslår att Apollo lämnar information om hur företaget behandlar kunders personuppgifter i företagets allmänna villkor. Uppfylls kraven på avtal med personuppgiftsbiträden? Den personuppgiftsansvarige är ansvarig för den behandling av personuppgifter som utförs. Genom att ge andra, utanför den personuppgiftsansvariges egen organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning tydliga instruktioner om hur uppgifterna ska behandlas får den personuppgiftsansvariges kontroll över den behandling som sker. Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde. Avtalet ska regler hur biträdet ska behandla uppgiften om vilka säkerhetsåtgärder som ska vidtas (30 personuppgiftslagen). Datainspektionen förutsätter att Apollo har gjort en översyn och upprättat personuppgiftsbiträdesavtal med andra som behandlar personuppgifter för Apollos räkning. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Gunilla Öberg