Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Samkörning av kundregister med fastighetsregistret

Samkörning av kundregister med fastighetsregistret

Kunder

Fråga

I egenskap av personuppgiftsombud för ett kommunalägt VA-bolag vänder jag mig till Datainspektionen med begäran om samråd.

Bolaget planerar att tillsammans med miljö- och hälsoskyddsnämnden i kommunen kartlägga avloppssituationen för att få en uppfattning hur många fastigheter som släpper ut sitt avlopp orenat i naturen det vill säga som ej är anslutna till bolagets allmänna va-anläggningar eller har av nämnden godkända enskilda avlopp. Syftet är utifrån kartläggningen att vidta erforderliga miljövårdande åtgärder till exempel förelägga fastighetsägare att ansluta/ordna godkänt avlopp för fastigheten.

Kartläggningen ska ske genom samkörning av bolagets kundregister och miljö- och hälsoskyddsnämndens avloppsregister kontra fastighetsregistret. Frågan uppkommer om samtycke behövs av berörda enligt 10 § personuppgiftslagen eller om någon annan grund i 10 § personuppgiftslagen kan tillämpas. Samtycke i detta fall innebär att bolagets 50 000 kunder måste tillfrågas vilket gör kartläggningen svårhanterlig.

Svar

Vem är personuppgiftsansvarig?
Innan en behandling av personuppgifter utförs är det viktigt att fundera över vem som är ansvarig för behandlingen. Enligt personuppgiftslagen är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig (3 §). Flera kan dela på ansvaret.

Bolaget torde vara ansvarigt för sitt kundregister, medan miljö- och hälsoskyddsnämnden torde vara ansvarig för avloppsregistret. Vem som är att anse som personuppgiftsansvarig för den behandling av personuppgifter som den aktuella kartläggningen innefattar har vi inte tillräckligt underlag för att uttala oss om.

Då en av er är personuppgiftsansvarig för den behandlingen innebär det att ett utlämnande av personuppgifter kommer att ske från den andres register till den som är personuppgiftsansvarig. Utlämnandet är i sig en behandling av personuppgifter. Det innebär att, utöver att den behandling av personuppgifter som kartläggningen innefattar måste vara tillåten, måste även själva utlämnandet vara tillåtet.

Du kan läsa mer om det här med personuppgiftsansvar på vår webbplats.

Är behandlingen strukturerad eller inte? Vilka regler i personuppgiftslagen som är tillämpliga beror på om behandlingen av personuppgifterna anses strukturerad eller inte. Är materialet strukturerat, dvs. att personuppgifterna ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, är alla de s.k. hanteringsreglerna i personuppgiftslagen tillämpliga på behandlingen. Är materialet däremot ostrukturerat är behandlingen av personuppgifterna tillåten, såvida den inte innebär en kränkning av den registrerades personliga integritet (5 a §).

Den behandling som du beskriver – som innefattar samkörning av flera register – är troligen att anse som strukturerad. I så fall är hanteringsreglerna i personuppgiftslagen tillämpliga. Den information som vi lämnar nedan bygger på att hanteringsreglerna är tillämpliga på den aktuella behandlingen.

Är ändamålet förenligt med det ursprungliga?
Den fråga som du har ställt rör visserligen 10 § personuppgiftslagen. Vi finner dock anledning att påminna om ett av de grundläggande krav som 9 § personuppgiftslagen ställer upp. Personuppgifter får nämligen inte behandlas för något ändamål som inte är förenligt med det ändamål för vilket uppgifterna samlades in.

Av din begäran om yttrande framgår inte huruvida en kartläggning av aktuellt slag utgör ett av de ändamål för vilka personuppgifter samlades in till bolagets kundregister respektive miljö- och hälsoskyddsnämndens avloppsregister. Den tilltänkta behandlingen av personuppgifter omfattas i vart fall inte av sådana ändamål för vilka kundregister typiskt sett förs. För att detta ändamål ska kunna anses utgöra ett av de ursprungliga ändamålen torde krävas att de registrerade fick information om det ändamålet redan i samband med att uppgifterna samlades in. Om man kommer fram till att behandlingen sker för ett nytt ändamål blir frågan om det nya ändamålet är förenligt med det ursprungliga.

Vid en bedömning av vad som är förenligt med det ursprungliga ändamålet kan man utgå från hur en registrerad person typiskt sett skulle se på saken. Kommer man fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet kan det inte anses oförenligt med det ursprungliga ändamålet.

Om man finner att det nya ändamålet med behandlingen av personuppgifter är oförenligt med det ursprungliga har man möjlighet att inhämta de registrerades samtycke till att de redan insamlade personuppgifterna behandlas på det nya sättet och för det nya ändamålet. Det anses jämställt med en ny insamling av uppgifterna. Man behöver alltså inte samla in personuppgifterna en gång till.

Läs mer om samtycke i vår broschyr.

Är behandlingen tillåten?
I 10 § personuppgiftslagen finns en uttömmande uppräkning av i vilka situationer behandling av personuppgifter är tillåten. Huvudregeln är att personuppgifter får behandlas bara om den registrerade har samtyckt till behandlingen. Från denna huvudregel finns en rad undantag.

Det undantag som i första hand aktualiseras i detta fall är att behandlingen kan vara tillåten för att den är nödvändig för att den personuppgiftsansvarige, eller en tredje man till vilken personuppgifter lämnas ut, ska kunna utföra en arbetsuppgift i samband med myndighetsutövning (10 § punkten e). Genom denna bestämmelse torde en stor del av den behandling av personuppgifter som utförs inom den offentliga sektorn vara tillåten, i vart fall när det gäller den egentliga sakverksamheten.

Om man har kommit fram till att det är miljö- och hälsoskyddsnämnden som är personuppgiftsansvarig för den behandling av personuppgifter som kartläggningen innefattar, och kartläggningen kan anses vara en arbetsuppgift i samband med myndighetsutövning, torde den alltså vara tillåten.

Samma bestämmelse torde då också tillåta bolaget att lämna ut personuppgifter till nämnden för att kartläggningen ska kunna göras.

Om man av någon anledning kommer fram till att detta undantag inte är tillämpligt i det aktuella fallet skulle behandlingen av personuppgifter kunna vara tillåten med stöd av en s.k. intresseavvägning. I så fall krävs att behandlingen är nödvändig för att ett berättigat intresse hos den personuppgiftsansvarige, eller hos en tredje man till vilken personuppgifterna lämnas ut, ska kunna tillgodoses och att detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten (10 § punkten f). Vid avvägningen bör man beakta t.ex. syftet med behandlingen, vilken typ av uppgifter som behandlas, på vilket sätt uppgifterna ska behandlas, vilken spridning uppgifterna får genom behandlingen och vilken information den registrerade får. Man bör också väga in om samma ändamål kan uppnås på ett mindre integritetskänsligt sätt.

Det råder ju ingen tvekan om att det ändamål för vilket ni vill behandla uppgifterna är ett berättigat intresse. Det kan dessutom sägas vara tungt vägande då det handlar om ett samhällsintresse. Det innebär att det krävs ganska mycket för att en intresseavvägning skulle leda till att behandlingen inte fick utföras. Vår bedömning är därför att den behandling som kartläggningen innefattar torde vara tillåten med stöd av en intresseavvägning.

Om miljö- och hälsoskyddsnämnden är personuppgiftsansvarig för den behandling som kartläggningen innefattar torde det också vara tillåtet för bolaget att lämna ut personuppgifter till nämnden för detta ändamål.

Övrigt
Vi kan slutligen upplysa om att lag (2000:224) om fastighetsregister reglerar för vilka ändamål fastighetsregistret får användas. Lantmäterimyndigheten är personuppgiftsansvarig för det registret.

September 2010

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.