Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Registerutdrag till kunder inom och utanför organisationen

Registerutdrag till kunder inom och utanför organisationen

Kunder

Fråga

I egenskap av personuppgiftsombud för vår tidning vill jag fråga följande. I våra prenumerationsvillkor skriver vi bland annat:

"Du har rätt att en gång om året, kostnadsfritt, få information om vilka personuppgifter vi har om dig och hur dessa används."

Vi skriver också att:

"Vi behandlar därför dina personuppgifter i syfte att du ska få relevant information, erbjudanden samt intressanta tjänster från oss eller våra samarbetspartners. I den mån det rör information från någon av våra samarbetspartners, kan sådan samarbetspartner också komma att behandla dina personuppgifter."

Nu kommer vi att börja med sådana här samarbetsprojekt med samarbetspartners både inom och troligen även utanför koncernen. Min fråga rör vad vi ska göra när/om en kund hör av sig och vill ha information om personuppgifterna och hur dessa används.

Är det vårt företag som måste lagra information om när vi har lämnat ut kunduppgifter för eventuella samarbetsprojekt eller kan vi uppdra detta åt vår samarbetspartner? Vår samarbetspartner måste ju lagra information om de personer som väljer att bli kunder hos dem, men kanske inte de som de bara skickar reklam till. Om det är vi som ska lagra denna information, hur omfattande måste den vara?

Svar

Du har ställt frågor om så kallade registerutdrag, det vill säga information som lämnas till den registrerade efter ansökan.

Vi vill påminna om att det är den personuppgiftsansvariges uppgift att självständigt och på eget ansvar se till att behandlingen av personuppgifter följer personuppgiftslagen (1998:204). Vi lämnar dock följande vägledning.

Enligt 26 § personuppgiftslagen är den personuppgiftsansvarige skyldig att till den som skriftligen ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter ska skriftlig information lämnas inom en månad också om

• vilka uppgifter om den sökande som behandlas,
• varifrån dessa uppgifter har hämtats,
• ändamålen med behandlingen och
• till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.

Det är alltså den personuppgiftsansvarige som är skyldig att lämna information om den behandling av personuppgifter som sker inom den egna organisationen/juridiska personen. Personuppgiftsansvarig är normalt den juridiska person som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till.

Om ni lämnar ut personuppgifter till andra, utanför er egen organisation och som själva bestämmer hur de ska använda uppgifterna, är de personuppgiftsansvariga för sin behandling. De är då skyldiga att lämna registerutdrag över sin behandling av personuppgifterna.

Den som finns utanför er egen organisation men som behandlar personuppgifter för er organisations räkning på sätt som ni bestämmer kallas personuppgiftsbiträde. Er organisation är personuppgiftsansvarig för den behandlingen som biträdet utför och ni är alltså skyldig att lämna registerutdrag över de uppgifter som biträdet behandlar åt er.

Läs mer om personuppgiftsansvar och personuppgiftsbiträde

Det är de personuppgifter som finns hos er i er egenskap av personuppgiftsansvarig och hos era personuppgiftsbiträden vid den tidpunkt som ni lämnar informationen som ska ingå i registerutdraget. Informationen ska innehålla vilka mottagare eller kategorier av mottagare, till exempel företag inom samma koncern, som ni lämnar ut uppgifter till. Detta för att den registrerade ska kunna ta till vara sina rättigheter gentemot dem. Tidpunkt för när utlämnande har skett torde inte behöva redovisas, om sådan inte är registrerad på ett sätt som gör att den utgör en personuppgift. Det är inte meningen att ni ska lagra uppgifter bara för att kunna lämna ut dem vid en ansökan om registerutdrag.

På samma sätt måste era samarbetspartners lämna information om de behandlingar av personuppgifter som de utför i egenskap av personuppgiftsansvarig. Behandlar de uppgifter som har hämtats från er ska deras information innehålla upplysning om att uppgifterna har hämtats från er.

Läs mer om vad personuppgiftslagen säger om information till registrerade

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.