Omfattas IP-telefoni av PuL?

Arbetslivet

Fråga:

Vår kommun står i begrepp att införa IP-telefoni inom och mellan de kommunala förvaltningarna, det vill säga internt. Efter som rösten inom IP-telefoni omvandlas till så kallat dataspråk och går i samma linjenät som övrig datakommunikation, undrar jag följande:

I vilken omfattning omfattas databehandlingen av personuppgiftslagen vid,

  • telefonsamtal i realtid?
  • inspelade samtal?

Givetvis allt under förutsättning att personuppgifter behandlas, vilket torde vara ofrånkomligt.

Svar:

Du har ställt frågor om IP-telefoni, som kommunen avser att införa inom och mellan de kommunala förvaltningarna. IP-telefoni är digital överföring av röstsamtal via datanät baserade på Internetprotokollet (IP). Datainspektionen lämnar följande vägledning.

Om det i en annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, ska de bestämmelserna gälla. I lagen (2003:389) om elektronisk kommunikation (EkomL) finns bestämmelser som berör hur kommunikationstrafiken hanteras under den tid den transporteras över kommunikationsnäten. När det gäller loggning och lagring av rent intern trafik blir aldrig EkomL tillämplig utan personuppgiftslagen gäller för all behandling. Om den föreslagna behandlingen innebär att trafiken transporteras över kommunikationsnäten kan således EkomL:s bestämmelser ta över i dessa delar. I övriga delar omfattas behandlingen av personuppgifter, både i realtid och vid inspelade samtal, av personuppgiftslagen. I de delar personuppgiftslagen gäller kan följande tilläggas.

Med IP-telefoni följer vissa säkerhetsmässiga nackdelar. Det blir exempelvis lättare att avlyssna och spara telefonsamtal som ljudfiler. Systemet blir också känsligt för virusattacker. För att motverka risker för avlyssning och obehörig åtkomst bör därför säkerhetsaspekterna särskilt beaktas. Enligt 31 § personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Datainspektionen har tagit fram allmänna råd som preciserar säkerhetskraven, Säkerhet för personuppgifter (PDF-fil 233 kb).

Den personuppgiftsansvarige har en omfattande skyldighet att självmant informera de registrerade om hur deras personuppgifter kommer att behandlas (23-25 §§ personuppgiftslagen). När de anställda informeras om införandet av IP-telefoni bör även personuppgiftslagens informationsbestämmelser uppmärksammas.

(November 2005)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.