Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Exponering av adressuppgifter vid handel på Internet

Exponering av adressuppgifter vid handel på Internet

Kunder

Fråga:

När en beställare anger ett personnummer vid beställning på Internet visas dennes folkbokföringsadress, vilket medför att beställaren kan se denna och med det se vart avtal och varor kommer att skickas. Detta flöde skulle kunna användas som sökfunktion för att söka upp adresser på personer via deras personnummer. Är det förenligt med personuppgiftslagen att använda beskrivet beställningsflöde?

Svar:

I 9 § personuppgiftslagen finns bestämmelser om grundläggande krav på behandlingar av personuppgifter som den personuppgiftsansvarige alltid måste uppfylla. Personuppgifterna måste enligt punkten e) vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Av punkten f) följer att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen.

Personuppgifter får enligt 10 § behandlas bara om den registrerade har lämnat samtycke till behandlingen eller om behandlingen är nödvändig. Behandlingen är nödvändig exempelvis om den behövs för att ett avtal med den registrerade ska kunna fullgöras (a) eller för att ett ändamål som berör ett berättigat intresse hos den personuppgiftsansvarige ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten (f).

Datainspektionen anser att uppgifter om kundens personnummer och folkbokföringsadress är adekvata och relevanta för att administrera det kundförhållande som uppstår i samband med att en beställning genomförs.

Det är enligt Datainspektionens mening däremot svårt att se varför det skulle vara nödvändigt att lämna ut folkbokföringsuppgifter på bolagets webbplats på det sätt som beskrivs. Detta särskilt som utlämnandet synes ske redan innan en beställning fullbordats. Det förhållandet att vem som helst som har tillgång till ett personnummer kan mata in personnumret i fråga och på så sätt få del av andra personers folkbokföringsadress utan att en beställning genomförs innebär risk för att den registrerades personliga integritet kränks. Det torde enligt Datainspektionens mening finnas andra sätt att säkerställa att en beställning registreras på rätt person. Uppgifter som beställaren själv lämnar kan matchas mot folkbokföringsuppgifter utan att folkbokföringsuppgifterna för den skull publiceras på bolagets webbplats.

Datainspektionen anser sammanfattningsvis att den aktuella personuppgiftsbehandlingen kan stå i strid med personuppgiftslagen.

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.