Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut Dnr 2007-02-27 1603-2006 ICA Sverige AB 170 85 Solna Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Ärendet avslutas. Redogörelse för tillsynsärendet Efter att Datainspektionen, genom nyhetsartiklar i media, uppmärksammats på att Maxi ICA i Umeå krävde att kunder lämnar sitt födelsedatum eller låter skanna in sin legitimation eller sitt körkort i kassan vid köp av öl beslutade Datainspektionen under 2004 att inleda tillsyn mot ICA Sverige AB. I beslut den 9 mars 2005 (dnr 1978-2006) konstaterade Datainspektionen att ICA Sverige AB i kassasystemet Posica behandlar personuppgifter, dels vid inskanning av kundens legitimation eller körkort och dels vid inmatning av kundens födelsedatum. Datainspektionen fann att behandlingen stred mot 9 punkterna e) och f), 10 personuppgiftslagen samt vid behandling av personnummer mot 22 personuppgiftslagen, i de fall där tveksamhet inte föreligger om att kunder har fyllt 18 år. Datainspektionen förelade ICA Sverige AB att upphöra med behandlingen avseende sistnämnda kunder. ICA Sverige AB överklagade Datainspektionens beslut till Länsrätten i Stockholm. I dom den 7 juni 2006 (målnr 7055-05) fann länsrätten att registrering av de sex första siffrorna, dvs. födelsedatum, i personnumret i samband med köp av öl inte var en behandling av personuppgifter enligt personuppgiftslagen. Länsrätten ändrade Datainspektionens beslut på så sätt att föreläggande mot ICA Sverige AB skulle ha följande lydelse: ICA Sverige AB föreläggs att upphöra med att i kassasystemet Posica skanna in kunders legitimation i de fall där tveksamhet inte föreligger om att kunden har fyllt 18 år. Under hösten 2006 fick Datainspektionen in flera klagomål om att olika ICAbutiker skannade in kunders personnummer i samband med köp av öl i fall där tveksamhet om att kunden fyllt 18 år inte förelåg. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Datainspektionen har mot bakgrund av klagomålen inlett tillsyn mot ICA Sverige AB (fortsättningsvis ICA), som har yttrat sig. 2 (7) I sitt yttrande har ICA framfört bl.a. följande: Yttrandet avser bl.a. ett ursprungligt klagomål på att ICA Kvantum genom en kassörska skannat i legitimation i ett fall när tveksamhet inte råder om kundens ålder vilket har upplevts som kränkande av kunden som även uttryck oro över vad som händer med den inhämtade informationen. I anledning av detta har Datainspektionen frågat ICA vad som skett i det aktuella fallet och vilka åtgärder som vidtagits efter Länsrätten i Stockholms dom av den 7 juni 2006 (Domen). Vidare hänvisas till ytterligare klagomål. Bakgrund Det aktuella ärendet rör legitimationskontroll vid köp av öl och tobak. Försäljning av öl (s.k. folköl) regleras i Alkohollagen (1994:1738). Enligt Alkohollagen får folköl inte säljas eller lämnas ut till den som inte fyllt 18 år och det åligger den som säljer ölen att förvissa sig om att mottagaren har fyllt 18 år. Vid tveksamhet beträffande en kunds ålder skall legitimation begäras. Om legitimation inte lämnas skall försäljning eller servering vägras enligt förarbetena (prop. 1994/95:89 s. 90). I förarbetena uttalas även att [d]et är angeläget att bestämmelsen tillämpas fullt ut även vid detaljhandeln med och servering av öl. Denna bestämmelse är straffsanktionerad och straffansvar kan drabba såväl butiksinnehavare som enskild personal (t.ex. kassörer). Från statens och samhällets sida är målet att förhindra försäljning av alkoholhaltiga drycker och tobak till underåriga av hög prioritet. ICA tar avstånd från försäljning av alkoholdrycker och tobak till barn och ungdomar och arbetar aktivt för att följa 18-årsgränsen för försäljning av dessa produkter. Tyvärr har det vid undersökningar uppdagats att underåriga har kunnat köpa öl i butiker och att legitimationskontrollen varit bristfällig. För att skärpa kontrollen har det inom detaljhandeln vidtagits en rad åtgärder. Inom ICA lämnas särskilt stöd i dessa frågor till butikerna genom ICA:s s.k. driftledare samt genom information på ICA:s intranät. För att få en effektiv kontroll har ICA genom kassasystemet Posica implementerat ett kontrollsystem som i största möjliga mån skall omöjliggöra underårigs köp av öl och andra produkter som är åldersbegränsade. Kassasystemet ICA Posica Posica är det kassasystem som installerats i alla ICA-butiker som är datoriserade (ca 95 procent av alla butiker). En funktion har utvecklats i Posica för att uppfylla de krav som finns rörande legitimationskontroll för vissa produkter, t.ex. öl och tobak. Till de artiklar för vil-

3 (7) ka råder åldersgräns kopplas ett attribut i kassasystemet. När en sådan vara skannas in i kassan får kassören ett meddelande på kassadisplayen om att artikeln har åldersgräns. Samtidigt anges på kunddisplayen att legitimationskontroll krävs. För att kunna fullfölja köpet måste kassören genom knapptryckning välja två av följande alternativ: (1) ange att kunden är känd eller över 25 år, eller (2) ange att legitimationskontroll ska göras. Väljs alternativ (1) kan köpet genomföras utan åtgärd. Väljs alternativet för legitimationskontroll görs denna antingen genom att kassörskan manuellt matar in kundens födelsedatum (ÅÅMMDD) eller skannar in kundens legitimation. Posica räknar därefter fram kundens ålder med hjälp av det inmatade/skannade födelsedatumet och datorns kalender. Om kunden är minst 18 år går köpet igenom. Vad avser manuell inmatning av födelsedatum är detta inte en behandling av personuppgifter vilket framgår av Domen. Det är också viktigt att framhålla att ett manuellt inmatat födelsedatum enbart används för beskriven ålderskontroll, att födelsedatum inte lagras i systemet eller på annat sätt samt att uppgifterna raderas så snart köpet har genomförts. På grund av tekniska orsaker kan endast hela streckkoden läsas vid inskanning. Så snart de sex första siffrorna lästs in raderas personnumret. Detta tar ca en tiondels sekund. Den egentliga behandlingen som sker, dvs. bearbetning och kontroll av åldersinformation, använder endast födelsedatum för att räkna fram kundens ålder. Någon lagring sker inte. Uppgifterna om ålder är inte återsökningsbara utan raderas så snart köpet fullgjorts. ICA:s konkurrenter har motsvarande funktioner i sina kassasystem. Ett av huvudskälen till att skanning har valts som alternativ i Posica är ergonomiska. Kassörer är en grupp som drabbas av förslitningsskador. ICA bedriver tillsammans med intresseorganisationer, skyddsombud och Arbetsmiljöverket ett arbete för att reducera arbetsskadorna. För att minska belastningen av framförallt axlar och handleder vill man generellt reducera användandet av tangentbordet till förmån för inskanning. Därutöver torde det minska stressen då inskanning går snabbare än manuell inmatning. Då detta system i vissa specifika fall inte lett till faktiska legitimationskontroller i tillräcklig omfattning vidareutvecklades systemet med en tilläggsfunktion till Posica så att alternativ (1) inte finns utan födelsedatum måste matas in eller legitimation skannas för samtliga kunder som önskar köpa öl eller annan åldersbegränsad vara. Denna tilläggsfunktion har installerats i ett mindre antal butiker, bl.a. MAXI ICA Stormarknad, Umeå, och ICA Kvantum.

4 (7) ICA:s åtgärder Som ovan angetts använder det stora flertalet ICA butiker Posica där alternativ (1) finns installerat. Detta innebär att skanning av legitimation kommer ifråga då kunden inte är känd och tveksamhet råder om kundens ålder. Denna behandling sker i enlighet med Domen. Länsrätten i Stockholm hade, vid avgivande av Domen, att ta ställning till det förfarande som tillämpades i Maxi ICA Stormarknad, Umeå, där obligatorisk ålderskontroll införts och där tilläggsfunktionen att koppla bort alternativ (1) installerats. Så snart Domen meddelade informerades butiken i Umeå av ICA om Domens innehåll. Detta skedde dels muntligen och dels genom att butiken tillställdes Domen med ett förklarande följebrev med information om att skanning av legitimation endast får ske när tveksamhet råder om kunden fyllt 18 år. Maxi Ica Stormarknad informerade sin personal om domens innehåll. Ett mindre antal ICA butiker har som ovan anförts kopplat in den tilläggsfunktion i Posica som medför att manuell inmatning av födelsenummer eller skanning av ID-kort ska ske i samtliga inköpssituationer för varor med ålderbegränsningar för att på så sätt förbättra ålderskontrollen. Genom de klagomål som nu kommit ICA till del framkommer det att det eventuellt kan uppstå en situation då skanningsfunktionen av misstag används även när det inte föreligger tveksamhet om att kunden fyllt 18 år. Med anledning av det inträffade, och för att förebygga misstag, har ytterligare förtydligande information skickats ut till samtliga ICAbutiker som använder tilläggsfunktionen i Posica. Eftersom ICA även bedömt det vara av vikt att denna information får en så bred spridning som möjligt har en förklarande informationstext även publicerats på ICA:s intranät. Informationen är riktad till samtliga ICA-butiker. Denna fråga har även behandlats av koncernens PuL-grupp. En diskussion angående ytterligare utbildningsstöd har inletts. Skäl för beslutet Enligt 5 personuppgiftslagen omfattas behandling av personuppgifter som är helt eller delvis automatiserad av lagens bestämmelser. Med behandling avses enligt 3 personuppgiftslagen varje tänkt åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, såsom t.ex. insamling, bearbetning och användning. Med personuppgifter avses enligt samma lagrum all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. När ICA registrerar personnummer genom att skanna in kunders legitimationshandlingar, t.ex. ett körkort, behandlar företaget personuppgifter. Vid denna behandling har företaget att följa bestämmelserna i personuppgiftslagen. Sedan Datainspektionens beslut den 9 mars 2005 och länsrättens dom av den 7 juni 2006 har nya bestämmelser i personuppgiftslagen trätt i kraft.

5 (7) Vilka regler i personuppgiftslagen som måste tillämpas beror på hur uppgifterna hanteras. Ska uppgifterna ingå i en påtagligt strukturerad samling av personuppgifter såsom i en databas eller ett ärendehanteringssystem måste i princip alla regler i personuppgiftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen. Lagtexten (5 a 1 st. personuppgiftslagen) anger att bestämmelserna i 9, 10, 13-19, 21-26, 28, 33, 34 och 42 inte behöver tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Sådan behandling som avses i första stycket får inte utföras, om den innebär en kränkning av registrerades personliga integritet. Det här betyder att behandling av personuppgifter i ett ostrukturerat material är tillåten så länge man inte kränker någons personliga integritet. Man behöver då inte tillämpa alla s.k. hanteringsregler i personuppgiftslagen. För att den förenklade regleringen ska få tillämpas på ett ostrukturerat material får det man arbetar med dock inte ingå eller vara avsett att ingå i ett dokument- eller ärendehanteringssystem eller någon annan databas som är påtagligt strukturerad utifrån personuppgifter. Lagens bestämmelser om säkerhetsåtgärder vid behandling av personuppgifter måste dock tillämpas. Bedömningen av vad som ingår i en strukturerad samling av personuppgifter ska göras utifrån det behandlade materialets helhet. Om ostrukturerade personuppgifter ingår i en strukturerad samling av uppgifter, t.ex. ett ärendehanteringssystem, ska hanteringsreglerna tillämpas på samtliga personuppgifter. Det har i ärendet inte framkommit omständigheter som talar för att ICA:s behandling av personuppgifter vid skanning av legitimation i samband med köp av varor med åldergräns är ordnad på ett sådant sätt att hanteringsreglerna måste tillämpas. En behandling av personuppgifter i s.k. ostrukturerat material får dock, enligt 5 a 2 st. personuppgiftslagen, inte utföras om den innebär en kränkning av den registrerades personliga integritet. I förarbetena till ändringen i personuppgiftslagen (prop. 2005/2006:173 s. 27 och 28) har uppgetts bl.a. följande: Som utgångspunkt för bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet kan tas bestämmelserna om grundläggande krav i 9 och om när behandling av personuppgifter är tillåten i 10 personuppgiftslagen. Har dessa bestämmelser följts, trots att de i och för sig inte är tilllämpliga på behandlingen, kan behandlingen inte betraktas som en kränkning. Det kan i vissa fall även gälla om behandlingen omfattat känsliga personuppgifter. Över huvud taget bör graden av känslighet hos de personuppgifter som behandlas vara bara en faktor bland flera som bör beaktas vid en samlad bedömning [ ]

6 (7) Bedömningen av vad som är en kränkning skall alltså inte göras schablonartat enbart utifrån vilka uppgifter som behandlas utan måste även ta sin utgångspunkt i t.ex. vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller har riskerat att få samt vad behandlingen kan leda till. [ ] Avsikten med missbruksregeln är således inte att tillskapa ett generellt skydd mot vad som i dagligt tal i och för sig kan betecknas som en kränkning av den personliga integriteten [ ] avsikten med den föreslagna ändringen är att inte fler förfarande än i dag ska bedömas som överträdelser av personuppgiftslagen. Bedömning av huruvida en behandling av personuppgifter innebär en kränkning av den personliga integriteten ska, som framgår av förarbetena, göras utifrån en sammanvägning av omständigheterna i det enskilda fallet. I flera av klagomålen uppges att olika ICA butiker skannat in kunders legitimation trots att tveksamhet inte förelegat om att kunden fyllt 18 år. Datainspektionen väljer därför att pröva om en sådan skanning kan anses utgöra en kränkning enligt personuppgiftslagen. Vid denna bedömning bör man inte bara se till själva behandlingen av personuppgifterna i systemet utan även beakta för vilket syfte som uppgifterna behandlas. Att använda ett automatiserat kassasystem som är uppbyggt på ett sådant sätt att alla kunder, oavsett ålder, som köper öl eller tobak, kontrolleras genom att legitimation skannas, innebär att uppgifter behandlas om fler personer än vad som behövs. Inskanning av kunders legitimation i de fall där tveksamhet inte råder om att kunden fyllt 18 år utgör således en onödig personuppgiftsbehandling för den avsedda ålderskontrollen. Om hanteringsreglerna vore tillämpliga på behandlingen skulle den inte vara tillåten. Det talar för att behandlingen av personuppgifter i kassasystemet inte heller utan vidare kan betraktas som tillåten enligt 5 a personuppgiftslagen utan att behandlingen kan vara att anse som kränkande enligt den bestämmelsen. De klagomål som kommit in till inspektionen indikerar att den aktuella behandlingen kan komma att uppfattas som kränkande av de kunder som måste legitimera sig på detta sätt trots att det inte råder tvekan om att han eller hon fyllt 18 år. Som förarbetena till bestämmelsen om kränkning i 5 a personuppgiftslagen anger ligger det i sakens natur att tillämpningen av bestämmelsen får bygga på en intresseavvägning där den registrerades intresse av en fredad privat sfär vägs mot andra motstående intressen i det enskilda fallet. Datainspektionen bedömer i detta fall att de registrerades intresse klart väger över ICA-butikernas intresse av att utföra en obehövlig registrering av kunders personuppgifter. Mot denna bakgrund finner Datainspektionen att det får anses som kränkande att skanna en kunds legitimation i samband med köp av öl och tobak när tveksamhet inte råder om att kunden fyllt 18 år. Att behandla kunders personuppgifter på detta sätt strider därför mot personuppgiftslagen även i dess nya lydelse.

7 (7) ICA har numera vidtagit åtgärder för att förhindra att kunders legitimation skannas av misstag. Bl.a. har förtydligande information om hur kunders personuppgifter får behandlas i samband med köp av öl- och tobak gått ut. ICA har även inlett en intern diskussion om ytterligare utbildningsstöd. Datainspektionen förutsätter att ICA:s åtgärder är tillräckliga för att förhindra att kunders personuppgifter, i samband med köp av öl och tobak, behandlas i strid med personuppgiftslagen. Mot denna bakgrund finner Datainspektionen inget skäl att vidta några ytterligare åtgärder utan ärendet avslutas. Ärendet avslutas. Datainspektionen kan komma att följa upp ärendet. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, datarådet Hans-Olof Lindblom, teamledaren Catharina Fernquist samt juristen Jonas Agnvall, föredragande. Göran Gräslund Jonas Agnvall Kopia till: 1. ICA Kvantum i Örnsköldsvik 2. ICA Supermarket Hjärtat 3. ICA Supermarket Älvsbyn