Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Spärrlista med bedrägliga och oönskade kunder

Spärrlista med bedrägliga och oönskade kunder

Kunder

Fråga

Jag har en fråga om möjligheten att uppföra en spärrlista. Vi är ett företag som hjälper företag och myndigheter att avyttra inventarier via internetauktioner. I vårt arbete stöter vi på personer som inte agerar på ett korrekt sätt. Dessa kan förstöra företagets rykte och vi önskar inte göra affärer med dessa. Därför undrar vi över möjligheten att uppföra en intern spärrlista. Listan kommer endast användas av företaget internt och ej av utomstående.

Exempel på kundbeteende som inte är bra för företagets rykte.

Kunden har varit bedrägligt mot företaget, exempelvis deltagit i en fejkad budgivning.
Kunden har varit bedräglig mot tredje person, exempelvis köper en bil från företaget och därefter direkt fejkar mätarinställningen på denna och sätter ut den för försäljning.

Är det möjligt att uppföra ett sådant register?

Svar

Enligt din beskrivning av tjänsten är syftet med behandlingen att värna om företagets auktionssajts rykte och förhindra att såväl företaget såsom kunder och andra utsätts för bedrägerier. För detta ändamål vill ni skapa en intern "spärrlista" där till exempel kunder som varit bedrägliga mot företaget eller tredje person ska registreras.

Om de uppgifter som registreras går att koppla till fysiska personer, till exempel namn och adresser, samt är helt eller delvis automatiserad måste bestämmelserna i personuppgiftslagen följas.

Vilka regler i personuppgiftslagen som ska tillämpas på behandlingen beror på hur uppgifterna hanteras, Ska uppgifterna ingå i en påtagligt strukturerad samling av personuppgifter, såsom i en databas, måste i princip alla regler i personuppgiftslagen tillämpas. Är det däremot fråga om en behandling av personuppgifter i ostrukturerat material, till exempel uppgifter i löpande text, behöver man inte tillämpa alla regler i personuppgiftslagen. Sådan ostrukturerad behandling får dock inte utföras om den innebär en kränkning enligt personuppgiftslagen av den registrerades personliga integritet. Allt detta framgår av 5 a § personuppgiftslagen.

Eftersom det är fråga om en behandling av uppgifter om kunder utgår jag i det fortsatta svaret från att behandlingen är strukturerad på ett sådant sätt att undantaget i 5 § a inte är tillämpligt. Behandlingen av personuppgifter måste då uppfylla kraven i 9 och 10 §§ personuppgiftslagen. Det innebär bland annat att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får sedan inte behandlas för något ändamål som är oförenligt med dem för vilka uppgifterna samlades in. Som huvudregel får personuppgifter behandlas endast med stöd av ett samtycke. En annan grund är avtalet med den registrerade. I vissa fall kan behandlingen vara tillåten utan samtycke eller avtal med stöd av en så kallad intresseavvägning.

I 21 § personuppgiftslagen finns emellertid ett förbud för annan än myndigheter att behandla uppgifter om lagöverträdelser. Att rapportera och registrera att någon begått ett bedrägeri är en sådan uppgift om lagöverträdelse. Till detta förbud finns ett antal undantag i Datainspektionens föreskrift (DIFS 2010:1). Enligt ett av undantagen får personuppgifter om lagöverträdelser behandlas om behandlingen avser enstaka uppgift som är nödvändig för att rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras i enskilt fall. Datainspektionen kan också i enskilda fall bevilja ett särskilt undantag från förbudet efter ansökan.

Utifrån din beskrivning så talar mycket för att uppgifter om lagöverträdelser kommer att behandlas. Det är tveksamt om något av undantagen i föreskriften är tillämpligt. Det skulle innebära att det krävs att inspektionen beviljar ett särskilt undantag. Av uttalanden i förarbetena har Datainspektionen dragit slutsatsen att möjligheten att meddela ett sådant undantag ska utnyttjas restriktivt.

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.