Beslut Dnr 2008-04-11 476-2007 Posten AB 105 00 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket Datainspektionens beslut Datainspektionen bedömer att Posten AB:s behandling av personuppgifter för ändamålet att hantera reklamationer från mottagare och avsändare av paket är tillåten enligt 9 och 10 personuppgiftslagen, förutsatt att Posten AB såsom meddelats kortar ner lagringstiden till ett år och kompletterar information till registrerade. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har genom ett klagomål uppmärksammats på att Posten skannar legitimationshandlingar från personer som hämtar ut postpaket hos Postens ombud och att de insamlade uppgifterna lagras elektroniskt. Datainspektionen har inlett tillsyn mot Posten, som har yttrat sig. Posten har i huvudsak uppgett följande. Posten har infört en ny rutin i samband med att postpaket lämnas ut vid något av Postens serviceställen, t.ex. Postens ombud och Postens företagscenter. Posten begär att den som hämtar ut paket uppvisar en legitimationshandling och kontrollerar legitimationen och att personen på legitimationshandlingen är den person som visar upp legitimationshandlingen. Därefter registreras eller skannas den uppvisade legitimationshandlingens nummer. Åtgärden har införts för att säkerställa att ingen obehörig hämtar ut privatpersoners paket. Tidigare lämnades paket ut endast mot uppvisande av en av mottagaren undertecknad avi, som i många fall innehöll en oläslig namnteckning. Den nya 1
rutinen innebär att Posten, lagrar legitimationshandlingens nummer i två år. Det är den maximala tiden en reklamationsutredning kan pågå. Posten använder inte information om legitimationshandlingens nummer för andra ändamål än hantering av reklamationer från mottagare och avsändare. Informationen möjliggör för Posten att i reklamationsärenden kunna visa vem som faktiskt hämtat ut ett paket, eftersom det är möjligt för mottagaren att utse ett ombud för sig. I takt med en ökad handel över Internet och ökad postorderhandel har antalet paketleveranser och paketens värde ökat avsevärt. Antalet bedrägerier i samband med förmedling av postförsändelser, liksom reklamationsärenden har ökat de senaste åren. Posten har inte klart kunnat visa om rätt mottagare hämtat ut paketet eller inte. Såväl avsändarna som mottagarna har krävt bättre och säkrare rutiner vid utlämning av värdefulla paket. Rutinen är av stor vikt vid Postens säkerhetsarbete och Posten har kunnat konstatera att införandet av rutinen har resulterat i att det blivit lättare att utreda vad som faktiskt hänt i ett reklamationsärende. Legitimationshandlingens nummer är ofta men inte alltid samma som personens personnummer. Det är vikten av en säker identifiering som är grund för Postens behandling av personnummer. Posten tillhandahåller en programvara till ombuden, som skannar eller manuellt knappar in legitimationshandlingarnas nummer. Postens ombud har inte tillgång till informationen i mer än någon minut, dvs. den tid det tar att hantera utlämningen av en försändelse. När ärendet är avslutat sparas uppgifterna lokalt i en fysisk server med hög säkerhetsklassificering. Posten gör regelbundet körningar (minst varje halvtimme) mot postombudens lokala register och för över uppgifterna till Postens centrala register. Ombuden har inte möjlighet att komma åt uppgifterna under denna mellanlagringsperiod. De lagrade uppgifterna om identitetshandlingens nummer lagras tillsammans med det s.k. kollinumret, dvs. identitetsnumret på en försändelse eller paket i postens centrala register. Det går dock inte att söka på legitimationshandlingens nummer, t.ex. personnummer, utan enbart på kollinumret, vilket innebär att det inte är möjligt att sammanställa uppgifter om en persons uthämtade paket, avsändare m.m. Vid reklamationer från såväl mottagare som avsändare lämnar Posten ut uppgift till den som reklamerar om namn på den person som hämtat ut försändelsen samt vid vilken tidpunkt och vid vilket serviceställe, dock först efter att ha kontrollerat att vederbörande är behörig. Posten är givetvis skyldig att lämna ut uppgifter när polis, åklagare eller annan myndighet begär in uppgifter i anledning av en brottsutredning. 2
Posten lämnar information om behandling av personuppgifter på sin webbplats och på avin till mottagaren. Den nuvarande informationen kommer att ses över och kompletteras. Det är endast Postens anställda på reklamationsenheter och några superusers som för att kunna utföra sitt arbete har åtkomst till den lagrade informationen. Posten har ett system för behörighetstilldelning och behöriga användare har tilldelats certifikat samt användarnamn och lösenord. En logg registreras och det är möjligt att kontrollera vem som haft åtkomst till uppgifterna, men Posten har bedömt att en sådan kontroll inte är nödvändig i dag. Samtliga personer som hanterar post hos Postens ombud och partners har skriftligen bekräftat att de är medvetna om att de är skyldiga att följa reglerna om tystnadsplikt i posthantering som återfinns i Postlagen. Posten har på Datainspektionens synpunkter och frågor om lagringstid och om information till registrerade uppgett bland annat följande. Posten har efter flertal undersökningar och noggranna överväganden av riskerna kommit fram till att det finns möjlighet att korta lagringstiden för uppgifter om legitimationshandlingens nummer till tolv månader och angett skälen till att en reviderad lagringstid är möjlig. Förändringen kan genomföras efter formellt beslut i Posten och det praktiska genomförandet kan ske i slutet av tredje kvartalet 2008. Mot bakgrund av att det förekommer reklamationer upp till tolv månader från utlämningstillfället och att talefristen för de flesta brev och pakettjänster är begränsat till ett år gör Posten bedömningen att lagringstiden för de aktuella personuppgifterna dock inte bör vara kortare än tolv månader. Skulle uppgifterna gallras ut tidigare än så har Posten inte möjlighet att visa på de faktiska omständigheterna i reklamationsärende eller senare framförda anspråk och krav. Även om antalet reklamationsärenden är förhållandevis få har Posten inte någon som helst möjlighet att förutse vilka utlämningar som kan resultera i en reklamation. Informationen på Postens webbplats ska kompletteras med följande innehåll avseende utlämning av paket/försändelser När du ska hämta ut ett paket eller en försändelse vid något av Postens serviceställen, t.ex. Postens ombud och Postens företagscenter, ber vi dig ta med dig identitetshandling. Posten kontrollerar legitimationen samt att du är den person som visar upp legitimationen för att säkerställa att ingen obehörig hämtar ut dina paket. Därefter registrerar vi eller skannar identitetshandlingens nummer som sparas tillsammans med identitetsnumret på den utlämnade försändelsen/paketet (s.k. 3
kollinummer) i 12 månader. Uppgifterna används om du eller avsändaren behöver göra en reklamation, se nedan Reklamationer och klagomål. Posten planerar att revidera information till registrerade via den fysiska avin; Legitimera dig med Postens eller bankens identitetskort, körkort eller jämförbar handling. Legitimation kontrolleras och lagras elektroniskt i 12 månader för att hantera reklamationer och krav. Vid frågor, ring Postens Kundtjänst 020-23 22 21 eller sök på www.posten.se/personuppgifter. Eftersom utrymmet på avierna är starkt begränsat är tanken att lämna kompletterande information om behandlingen av personuppgifter till de personer som efterfrågar det via kundtjänst eller Postens hemsida så som en kompensatorisk åtgärd. Genom aktivt val kan mottagaren i vissa fall få sin avisering via sms istället för via fysisk avi. På grund av de tekniska begränsningar i form av antal möjliga tecken i ett sms har Posten inte möjlighet att lämna lika mycket information som i fysiska avin utan att skicka två sms. Det skulle innebära förutom dubbelt så stor kostnad även att viktig adressinformation om var mottagaren kan hämta sitt paket kan bli ofullständigt och otydlig. Posten lämnar dock så mycket information som möjligt utifrån givna förutsättningar. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserade (5 ). Med personuppgift menas all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 ). Vilka regler i personuppgiftslagen som ska tillämpas på behandlingen beror på hur uppgifterna hanteras. Om det är fråga om behandling av personuppgifter i ostrukturerat material utan koppling till registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen (5 a ). Posten samlar in och lagrar legitimationshandlingars nummer, t.ex. personnummer, i sitt centrala register. Datainspektionen anser att Postens behandling av personuppgifterna omfattas av personuppgiftslagen och att materialet är strukturerat på ett sådant sätt att de s.k. hanteringsreglerna är tillämpliga på den aktuella behandlingen av personuppgifterna. Är behandlingen av personuppgifter förenlig med personuppgiftslagen? Av de grundläggande kraven i personuppgiftslagen följer att den personuppgiftsansvarige ska se till att personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får inte behandlas för något ändamål som är oförenligt med det för vilket 4
uppgifterna samlades in. Personuppgifterna ska vara adekvata och relevanta och de får inte vara fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Personuppgifter får heller inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (9 personuppgiftslagen). Under förutsättning att de grundläggande kraven är uppfyllda kan behandling av personuppgifter anses tillåten utan samtycke från den registrerade efter en s.k. intresseavvägning. En behandling av personuppgifter får utföras om den är nödvändig för ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten (10 första stycket f personuppgiftslagen). För att avgöra om behandlingen är tillåten med stöd av en intresseavvägning får en helhetsbedömning av omständigheterna göras. I det aktuella ärendet kan hänsyn tas till bl.a. ändamålet med behandlingen, omfattning, bevarande, sökbarhet, åtkomst och om Posten följer övriga reglerna i personuppgiftslagen när det gäller t.ex. krav på information till registrerade och säkerhet. Posten samlar in och lagrar uppgift om legitimationshandlingens nummer från den som hämtar ut ett paket. Posten ska använda informationen enbart för ändamålet att hantera reklamationer från avsändare och mottagare. Datainspektionen anser att ändamålet får ses som sakligt grundad i Postens verksamhet för paketbefordran. Posten samlar systematiskt in personuppgifter om alla personer som hämtar ut ett paket hos något av Postens ombud. Postens lagring av personuppgifter omfattar väldigt många människor och de flesta kommer troligen aldrig i fråga för ett reklamationsärende. Det innebär att Posten behandlar en stor mängd personuppgifter under lång tid utan att veta om uppgifterna blir behövliga för ändamålet. Å andra sidan är det inte möjligt att förutse vilka utlämningar som kan resultera i en reklamation från avsändare eller mottagare av paket. Behandling av personuppgifter får inte gå längre än vad som krävs för att den personuppgiftsansvarige ska kunna uppfylla ändamålet. För att Postens behandling ska kunna anses proportionerlig med det intrång i de registrerades personliga integritet som behandlingen innebär anser Datainspektionen att lagringstiden på två år är för lång. Posten har angett att lagringstiden för uppgifter om legitimationshandlingens nummer kan kortas till ett år. Posten bedömer dock att lagringstiden inte bör vara kortare mot bakgrund av att det förekommer reklamationer upp till tolv månader från utlämningstillfället och att talefristen för de flesta brev och pakettjänster är begränsat till ett år. Datainspektionen anser att det får godtas att Posten lagrar personuppgifterna i ett år från utlämningstillfället för det angivna ändamålet. De lagrade uppgifterna om legitimationshandlingens nummer lagras tillsammans med det s.k. kollinumret i Postens centrala register. Det är inte 5
möjligt att söka på legitimationshandlingens nummer och det är inte möjligt att sammanställa uppgifter om en persons uthämtade paket. Att det inte går att söka i registret på legitimationshandlingens nummer, t.ex. personnummer, och sammanställa uppgifter om en personens uthämtade paket reducerar risk för integritetsintrång. Det är endast anställda som för att kunna utföra sitt arbete har åtkomst till den lagrade informationen. Den personuppgiftsansvarige är skyldig att på eget initiativ informera de registrerade om hur deras personuppgifter kommer att behandlas (23-25 personuppgiftslagen). Datainspektionen anser att Postens förslag på kompletterande information till registrerade på webbplatsen och avin är godtagbar. När det gäller avisering via sms får brist på platsutrymme kompenseras med informationen på webbplats och hos kundtjänst. Informationssäkerhet är en viktig del av skyddet för den personliga integriteten (30-32 personuppgiftslagen). Datainspektionen har på inkomna uppgifter inte några särskilda synpunkter på säkerheten för de insamlade uppgifterna. Datainspektionen bedömer att Postens behandling av personuppgifter uppfyller de grundläggande kraven (9 personuppgiftslagen) och är tillåten med stöd av en intresseavvägning (10 första stycket f personuppgiftslagen) förutsatt att Posten kortar lagringstiden till ett år från utlämnandet och att information till registrerade kompletteras som planerat. Efter ett år ska personuppgifterna raderas på ett sådant sätt att de inte kan återskapas. Sammanfattning För att säkra paketutlämningen har Posten infört en ny rutin. Posten utför en legitimationskontroll när paket lämnas ut till en person. Därefter dokumenteras legitimationshandlingens nummer genom att uppgiften skannas eller registreras för att sedan lagras i Postens centrala register. Posten använder personuppgiften enbart för ändamålet att hantera reklamationer från avsändare och mottagare av paketet. Datainspektionen anser att Postens behandling av personuppgifter är tillåten enligt 9 och 10 personuppgiftslagen, förutsatt att personuppgifterna såsom Posten meddelat lagras i längst ett år och att informationen till registrerade kompletteras. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Catharina Fernquist samt juristen Gunilla Öberg, föredragande. Göran Gräslund Gunilla Öberg 6