Undernavigering

Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Lämna ut personnummer vid elektroniska betalningar?

Lämna ut personnummer vid elektroniska betalningar?

Kunder

Fråga:

Vi är ett fastighetsbolag med huvudsaklig inriktning på uthyrning av bostäder.

Vi fakturerar våra bostadshyresgäster en gång per kvartal. I hyressystemet skapas en faktureringsfil som sedan sänds till Postens E-brevsavdelning för utskrift, bipaketering av marknadsmaterial samt kuvertering.

Filerna innehåller bland annat kontraktsnummer, periodicitet, namn, adress och debiteringsuppgifter samt uppgifter till inbetalningskort antingen via Postgirot eller Bankgirot samt diverse styrkoder för Postens hantering. När filerna kommit Posten tillhanda processas jobben i deras anläggningar. Därefter förstörs filerna.

Idag erbjuder Posten en tjänst som kallas E-skicka. Det innebär att Postens kunder som idag har E-brevsavtal kan erbjuda sina hyresgäster elektronisk avisering och betalning via Internet-bank i stället för avisering och betalning via pappersavi. Detta skulle innebära att man i filen bifogar personnummer (eller annan uppgift som säkert verifierar vem hyresgästen är) för samtliga hyresgäster och att Posten, när våra filer processas, delar upp försändelserna på tjänsterna E-skicka resp. E-brev. För de av våra hyresgäster som valt att anmäla sig för elektronisk betalning via sin ordinarie Internetbank kommer hanteringen av betalinformation att slussas vidare i bankernas system Enar. För de som inte valt elektronisk betalning sker ingen förändring i processen. Personnumret kommer inte att skrivas ut på pappersavin.

Vår samrådsförfrågan till Datainspektionen gäller utlämnande av personnummer till extern part, i detta fall Posten E-brev, för hantering av tjänsten E-skicka. Kan vi utan särskilt samtycke föra över filerna innehållande samtliga hyresgästers personnummer till posten för uppdelning på tjänsterna E-brev respektive E-skicka och hävda vikten av säker identifiering för hantering av betalrader till banksystemen.

Svar:

Ni har begärt samråd i en fråga angående utlämnande av personnummer till Posten avseende Era kunder som valt elektronisk avisering och betalning av sin hyra via Internetbank.

Inledningsvis vill Datainspektionen erinra om att det är den personuppgiftsansvariges uppgift att självständigt och på eget ansvar se till att behandlingen av personuppgifter följer personuppgiftslagen.

Om utlämnande av personuppgifter sker till exempel till ett företag som anlitats av den personuppgiftsansvarige och det anlitade företaget inte har befogenhet att självständigt bestämma över för vilka ändamål och hur behandlingen av personuppgifter skall ske torde företaget vara att betrakta som personuppgiftsbiträde.

Personuppgiftsbiträde är den som behandlar uppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde får enligt 30 § personuppgiftslagen bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Det skall finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I det avtalet ska det föreskrivas att personuppgiftsbiträdet får behandla personuppgifter bara i enlighet med instruktioner från den personuppgiftsansvarige och att personuppgiftsbiträdet är skyldigt att vidta de säkerhetsåtgärder som krävs enligt 31 § personuppgiftslagen.

Personuppgiftsbiträdet anses inte som tredje man och kan därför, utan hinder av de bestämmelser som gäller utlämnande till tredje man, få del av uppgifter som skall behandlas. Om behandling av uppgift om hyresgästernas personnummer är tillåten enligt 22 § personuppgiftslagen hos den personuppgiftsansvarige är den således tillåten även hos personuppgiftsbiträdet förutsatt att förutsättningarna enligt 30 – 31 §§ är uppfyllda.

(November 2003)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.