Uppgifter om avstängda telekunder

Kunder

Fråga:
Som personuppgiftsombud för telefonbolaget har jag av bolagets jurist blivit tillfrågad om rätten att behandla personuppgifter avseende sådana tidigare kunder, som p.g.a. missbruk av Internettjänsterna blivit avstängda från sin Internetaccess.

Frågan handlar om att telefonbolaget har ett behov av att kunna förhindra personer, som innehar Internetkonto med tillhörande e-postkonton hos telefonbolaget, från att använda detta till att skicka spam-meddelanden eller på annat sätt utföra störande åtgärder för andra Internetanvändare. I enlighet med de villkor dessa tjänster upplåts på har telefonbolaget rätt att stänga tjänsten för kunder som missbrukar denna. För att därefter även kunna förhindra att vederbörande beställer och erhåller nytt konto, har telefonbolaget behov av att ha ett register över sådana tidigare kunder.

Eftersom personuppgiftslagen ger rätt att behandla personuppgifter då kundförhållande föreligger utan särskilt samtycke från den registrerade, uppstår då frågan om rätten att behandla sådana uppgifter då kundförhållandet upphört. I just detta fall är det uppenbart att det föreligger problem med att hämta in ett samtycke för att få lov att behandla uppgifterna. Telefonbolagets behov av denna behandling sträcker si till tre år efter det att avstängningen skett. (Bestämmelserna om rätten att behandla uppgifter åtminstone till dess att faktura har betalats är inte tillämpliga i detta fall, då vederbörande i allmänhet sköter sina betalningar.)

Telefonbolaget önskar Datainspektionens syn på ovanstående problem.

Kompletterande skrivelse inkom:
Telefonbolaget har i tidigare begäran om samråd angett önskemål om behandling av uppgifter om kunder som avstängts p.g.a. missbruk av Internettjänsten föreligger under tre år från avstängningen.

Motivet för denna behandling är att förhindra att vederbörande inom en rimlig tid efter avstängningen får möjlighet att öppna nytt Internetkonto, som kommer att användas på ett otillbörligt sätt. Avsikten är således att skydda andra Internetkunder från att bli utsatta för spam-meddelanden eller andra störningar liksom att telefonbolagets interna nät för Internettrafik drabbas av överbelastning p.g.a. missbruk.

Med hänvisning till vad som stadgas i BrB 35 kap § 1.1 om bortfallande av påföljd efter två år reviderar telefonbolaget här sin önskan till att omfatta behandling av personuppgifter i dessa fall till en tid om två år.

Svar:
Med anledning av din begäran om samråd får inspektionen meddela följande.

Inledningsvis vill Datainspektionen upplysa om att det är den personuppgiftsansvariges uppgift att självständigt och på eget ansvar se till att behandlingen av personuppgifter följer personuppgiftslagen (PuL). Datainspektionen kan dock lämna följande synpunkter. Svaret tar inte upp alla de bestämmelser i personuppgiftslagen som kan vara tillämpliga på behandlingen i det enskilda fallet.

Av handlingarna framgår bl.a. följande. Telefonbolaget har slutit avtal med kunder om tillhandahållande av Internet- och e-postkonton. Kunder som missbrukar tjänsterna stängs av. För att förhindra att de avstängda kunderna inom en rimlig tid efter avstängningen får möjlighet att öppna ett nytt Internetkonto, som kan komma att användas på ett otillbörligt sätt, vill telefonbolaget ha ett register över de avstängda kunderna. Avsikten är att skydda andra Internetkunder från att bli utsatta för spam-meddelanden och andra störningar liksom att telefonbolagets nät för Internettrafik drabbas av överbelastning p.g.a. missbruk. Telefonbolaget vill behandla uppgifterna i två år med hänvisning till vad som stadgas i 35 kap 1 § första punkten Brottsbalken om bortfallande av påföljd efter två år.

Personuppgifter får enligt 9 § personuppgiftslagen bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. När personuppgifterna har samlats in får de inte behandlas för något ändamål som är oförenligt med det ursprungliga ändamålet. Den tänkta behandlingen av uppgifter om avstängda kunder får anses ske för ett nytt ändamål. Att telefonbolaget under en viss tid vill spara uppgifter om avstängda kunder för att förhindra den från att åter bli kund torde få anses vara förenligt med det ursprungliga ändamålet. Det innebär att de registrerade inte behöver samtycka till behandlingen för de nya ändamålen. Personuppgifterna får dock inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det kan vara berättigat för telefonbolaget att bevara uppgifter om de avstängda kunderna under en viss tid så att kunderna inte i nära anslutning till att de blev avstängda har möjlighet att komma åt telefonbolagets tjänster. Frågan är hur länge det kan anses nödvändigt att bevara uppgifterna. Datainspektionen har idag inga närmare synpunkter att lämna på att uppgifterna avses att sparas i två år. Bestämmelsen i 35 kap 1 § första punkten Brottsbalken om bortfallande av påföljd efter två år har enligt Datainspektionens mening ingenting att göra med det ändamål som telefonbolaget har angett med behandlingen. Det finns vidare inget hinder mot att telefonbolaget redan vid avtalets ingående informerar kunderna om att deras uppgifter sparas vid ev. avstängning, hur länge de sparas och vad ändamålet med detta är.

Ändamålet med att behandla uppgifter om avstängda kunder sker för telefonbolagets ändamål och telefonbolaget får inte lämna ut dessa uppgifter till någon, förutom till den registrerade själv om denne begär information enligt 26 § personuppgiftslagen.

(December 2002)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.