Personnummer som nyckel i telefonsystem

Kommuner och landsting

Fråga:

Södertälje kommun avser att använda personnummer som unik nyckel för att identifiera telefonnummer och telefoner i telefonisystemet. Är det tillåtet enligt personuppgiftslagen?

Svar:

Uppgift om personnummer får enligt 22 § personuppgiftslagen behandlas med samtycke eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller av något annat beaktansvärt skäl. En arbetsgivare får till exempel registrera personnummer för att administrera sina anställda – det vill säga i system för löneberäkning, registrering av sjukfrånvaro, in- och utpasseringssystem, flextidsystem, behörighetskontrollsystem, eller företagshälsovård – eller för att fullgöra uppgiftsskyldighet till olika myndigheter och försäkringsbolag (jfr 10 § punkten a personuppgiftslagen).

Det är viktigt att komma ihåg att ett personnummer inte säkerställer en identitet. Det kan i och för sig användas för att koppla en elektronisk identitet till en fysisk person, men styrkan i denna koppling ökar inte bara för att samma beteckning används för den elektroniska och den fysiska personen. Det är bara en teknisk lösning och beteckningen för den elektroniska identiteten skulle kunna vara vilken som helst. Det kan dock som sagt vara ett sätt att åstadkomma en koppling och eftersom personnumren inte kommer att utsättas för en exponering utåt, har Datainspektionen inga invändningar mot tillvägagångssättet.

När man väljer att använda sig av IP-telefoni, bör man även tänka på följande. I lagen om elektronisk kommunikation (EkomL) finns bestämmelser som berör hur kommunikationstrafiken hanteras under den tid den transporteras över kommunikationsnäten. I övriga delar omfattas behandlingen av personuppgifter, både i realtid och vid inspelade samtal, av personuppgiftslagen. Med IP-telefoni följer vissa säkerhetsmässiga nackdelar. Det blir exempelvis lättare att avlyssna och spara telefonsamtal som ljudfiler. Systemet blir också känsligt för virusattacker. För att motverka risker för avlyssning och obehörig åtkomst bör därför säkerhetsaspekterna särskilt beaktas. Enligt 31 § personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Datainspektionen har tagit fram allmänna råd som preciserar säkerhetskraven,

Läs Datainspektionens allmänna råd Säkerhet för personuppgifter

Den personuppgiftsansvarige har en omfattande skyldighet att självmant informera de registrerade om hur deras personuppgifter kommer att behandlas (23-25 §§ personuppgiftslagen). När de anställda informeras om införandet av IP-telefoni bör även informationsbestämmelserna i personuppgiftslagen uppmärksammas.

(Juli 2007)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.