Registrering av lokaltrafikkort

Kommuner och landsting

Fråga:

Vårt trafikbolag avser att ta fram ett nytt lokaltrafikkort. Kortet skall finnas i olika skepnader — som månadskort, kort som kan laddas på med "pengar", skolkort etc. Till kortet skall vi koppla en ny service som innebär att om kunden gör sitt kort personligt (registrerar sitt namn och sin adress), kan kortet spärras om kunden tappar bort det. Bortsätt från skolkorten, som alltid är kopplade till en person, är denna service frivillig; kunden kan även ha kortet som "löst kort", utan att det är kopplat till en person. Då kan det dock inte spärras.

De registrerade uppgifterna kommer att användas för normal kundadministration, d v s för reklam- och informationssyften.

Registrering av kunder i kortsystemet kommer att ske enligt följande tre sätt:

  • Webben — Kunden registrerar sina personliga uppgifter (inkl personnummer) på sin egen portalsida (åtkomst till informationen styrs sedan genom lösenord och användarnamn om kund vill ändra/uppdatera).
  • OCR-blankett — Kunden registrerar sina personliga uppgifter (inkl personnummer) på en OCR-blankett som skickas för skanning till kortservicecentret. I samband med att välkomstbrev skickas erhåller kunden användarnamn och lösenord till den personliga portalsidan där kund efter inloggning kan ändra och uppdatera sin personliga information.
  • Manuell registrering — Om kund saknar Internet eller inte klarar att fylla i OCR-blanketten finns möjlighet för kundservice och/eller kortservicecentret att registrera kundens personliga uppgifter (inkl personnummer) direkt i kortsystemet. För trafikbolagets kontor är förmodligen inte den manuella registreringen något problem. Däremot kan det vara aktuellt att upprätta särskilt avtal om personuppgiftslagen med övriga försäljningsställen och med kortservicecentret eftersom de kommer att registrera och ta del av information från våra kunder.

Våra frågor lyder som följer:

Hur ser Datainspektionen på kortservicecentrets och de övriga försäljningsställenas hantering av våra kunders personliga information?

Hur ska texten på kundinformationen vara utformad?

Är lokaltrafikkortet att betrakta som ett register, som vi för uppå blanketten Behandling av personuppgifter, Uppgifter till förteckning enligt 39 § Per-sonuppgiftslagen, eller är det flera?

Svar:

Du har ställt frågor som avser hanteringen av personuppgifter i anslutning till lokaltrafikkortet. Inledningsvis vill Datainspektionen upplysa om att det är den personuppgiftsansvariges uppgift att självständigt och på eget ansvar se till att behandlingen av personuppgifter följer personuppgiftslagen (PuL). Datainspektionen kan dock lämna följande vägledning.

Med lokaltrafikkortet erbjuder trafikbolaget en ny service till kunden. Den nya servicen innebär att om kunden gör sitt kort personligt genom att registrera namn och adress, kan kortet bl.a. spärras om kunden tappar bort det. Bortsett från skolkorten, som alltid är kopplade till person, är denna service frivillig. De registrerade uppgifterna används även för reklam- och informationsändamål. Datainspektionen utgår nedan från att den aktuella behandlingen av personuppgifter utgör ett enda kundregister.

Enligt personuppgiftslagen får ett kundregister innehålla namn och adress samt övriga uppgifter som är relevanta för kundförhållandet. Man får behandla personuppgifter utan den registrerades samtycke om det är nödvändigt för att kunna fullgöra ett avtal med den registrerade eller för att kunna utföra något som personen har begärt. Någon information om hur personuppgifter kommer att behandlas behövs inte så länge uppgifter enbart används för normal kundadministration som kunden kan förvänta sig. I detta ingår till exempel att skicka reklam och relevant information till kunder som företaget har ett etablerat kundförhållande med. Kunden kan dock alltid begära hos företaget att hans eller hennes personuppgifter inte används för direktreklamändamål.

Ska personuppgifterna användas för andra ändamål än kunden antas känna till, till exempel att registrera vilka resor kunden företar, har den som är personuppgiftsansvarig en omfattande skyldighet att självmant informera den registrerade om hur hans eller hennes personuppgifter kommer att behandlas. Detta gäller oavsett om behandlingen får utföras utan samtycke eller inte. Bestämmelserna om information finns i 23-25 §§ personuppgiftslagen och utvecklas närmare i Datainspektionens allmänna råd Information till registrerade enligt personuppgiftslagen.

Läs Information till registrerade enligt personuppgiftslagen i pdf-format

Om det blir aktuellt att låta kunder registrera personuppgifter via en webbaserad funktion, bör IT-säkerheten särskilt beaktas. Enligt 31 § personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Datainspektionen har tagit fram allmänna råd som preciserar säkerhetskraven, Säkerhet för personuppgifter.

Läs Säkerhet för personuppgifter i pdf-format

När trafikbolaget lägger ut försäljningen av lokaltrafikkortet på entreprenad och ger entreprenören i uppgift att hantera trafikbolagets kundregister, agerar entreprenören sannolikt i egenskap av personuppgiftsbiträde. Ett personuppgiftsbiträde enligt personuppgiftslagen är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen och kan vara antingen en fysisk eller en juridisk person. Ett skriftligt avtal måste upprättas mellan den personuppgiftsansvarige och biträdet. I avtalet ska det särskilt föreskrivas att biträdet får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna.

(Januari, 2006)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.