Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Skyldighet att lämna ut personuppgifter ur kvittodatabas till kund

Skyldighet att lämna ut personuppgifter ur kvittodatabas till kund

Kunder

Fråga:

I egenskap av personuppgiftsombud hos en matvarubutikskedja (nedan kallat bolaget) begär jag härmed samråd om följande. En registrerad person hos bolaget har begärt att få ut alla personuppgifter som vi har registrerade om honom. Bolaget har lämnat ut all information med undantag för information som finns lokalt lagrad i kvittodatabaser hos bolagets stormarknader. Den registrerade har visserligen fått den informationen på kontoutdrag som skickats till honom, men har ändock begärt ut alla kvitton på transaktioner han har genomfört.

Då kvittodatabasen inte har funktionalitet för att enkelt söka fram en enskild transaktion, så är det förenat med kostnader för bolaget att ta fram denna information. Sökning måste ske bakvägen genom att utifrån ett kontoutdrag identifiera en transaktion och därefter gå in i kvittodatabasen och ta fram den transaktionen. Det är inte möjligt att på ett enkelt sätt få fram alla transaktioner som en registrerad gjort i en viss stormarknad.

Svar:

Skyldigheten för den personuppgiftsansvarige att lämna ett så kallat registerutdrag till den sökande framgår av 26 § personuppgiftslagen. Skriftlig information ska lämnas om vilka uppgifter som behandlas, varifrån dessa uppgifter har inhämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Den registrerade har rätt att en gång per år få ett kostnadsfritt registerutdrag.

Den första frågan som inspektionen har att besvara är om bolaget är skyldig att lämna ut uppgifter ur de lokala kvittodatabaserna enligt 26 § personuppgiftslagen. Genom rätten till registerutdrag får den enskilde en möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade uppgifterna är riktiga. Rätten till registerutdrag är långtgående och en förutsättning för att den enskilde i praktiken ska kunna få felaktiga personuppgifter rättade. Det har i personuppgiftslagen inte föreskrivits något uttryckligt undantag från skyldigheten att efter ansökan lämna ett registerutdrag om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats att söka fram alla uppgifter om en person som behandlas. I förarbetena till personuppgiftslagen uttalade Datalagskommittén dock bland annat följande (SOU 1997:39 s. 392 f):

EG-direktivet kan inte anses kräva att en [personuppgiftsansvarig] ordnar sina uppgiftssamlingar på ett sådant sätt att det är möjligt att söka fram alla uppgifter om en registrerad som behandlas. Ett införande eller tillåtande av sådana sök- och sammanställningsmöjligheter, som inte behövs av något annat skäl, skulle i själva verket kunna hota den personliga integriteten; det skulle då bli enkelt att kartlägga en person. Enligt vår mening är det inte rimligt att utforma informationsskyldigheten på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den [personuppgiftsansvarige] bör, som vi ser det, bara vara skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon faktiskt och rättsligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den [personuppgiftsansvarige] faktiskt kan få fram om den registrerade, vilket måste anses tillräckligt; inte ens EG-rätten kan tvinga någon att göra det som i praktiken är omöjligt. … En [personuppgiftsansvarig] som behandlar många personuppgifter i många konstellationer, exempelvis Statistiska centralbyrån, kan med den föreslagna ordningen ändå behöva göra stora ansträngningar för att pröva alla sök- och sammanställningsmöjligheter som faktiskt finns. Men den som samlar på sig stora mängder personuppgifter får som regel finna sig i att också behöva göra stora ansträngningar för att kunna tillgodose de registrerades grundläggande rättigheter.

Av informationen i ärendet framgår att bolaget är personuppgiftsansvarig för den behandling och registrering som sker när en kund, som anslutit sig till självskanningssystemet, handlar varor i en butik. I butikens lokala databas lagras således detaljerad information om vilka varor som kunden köpt. Med hjälp av information om transaktioner kan uppgifterna sökas fram ur de olika lokala databaserna och sammanställas för en kund. Även om det är en krävande arbetsinsats för bolaget att ta fram dessa uppgifter är den enligt företaget genomförbar. Det är Datainspektionens bedömning att bolaget är skyldiga att tillhandahålla kunden informationen kostnadsfritt i registerutdraget. En annan sak är att det som ett första steg vid en begäran om registerutdrag är tillräckligt att informera om att uppgifter lagras lokalt hos butiken och ge kunden möjlighet att välja om han eller hon vill ha information från en viss butik eller all tillgänglig information.

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.