Frågor

Svaren kan ingå i dataombudsmannens ställningstaganden eller beslut.
Svaret kan också vara en hänvisning att bekanta sig med en broschyr eller blankett som har utarbetats av dataombudsmannen.

FRÅGORNAS TEMAN:

e-postmeddelande / förbudsrätt vid direktmarknadsföring / Internet / kameraövervakning / lokalisering av mobiltelefon / personbeteckning / registerbeskrivning / rättelse av en uppgift / rätten till insyn / upplysning

• På vilket sätt skall åt kunder, elever, arbetstagare eller andra registrerade berättas on hur deras personuppgifter behandlas
  
• Vad är en registerbeskrivning, vilka uppgifter framgår av den och var kan jag bekanta mig med den
  
• Får jag kontrollera mina personuppgifter, och hur kan jag kräva att felaktiga uppgifter rättas
  
• I hurudana sammanhang skall personbeteckningen uppges
  
• Reklam till hemmet och arbetsplatsen per brev, per telefon och elektroniskt. Är jag bara tvungen att stå ut med all reklam som kommer på mitt namn eller annars riktas till mig.
  
• Lokalisering av mobiltelefonen - vad och varför?
  
• Får den registeransvarige lägga ut på nätet personuppgifter som ingå i personregister som han upprätthåller. Får arbetsgivaren publicera arbetstagarnas namn, fotografier, tjänstebenämningar och kontaktuppgifter till arbetet på sina Internet-sidor utan arbetstagarens samtycke.
  
• Får arbetsgivaren läsa e-postmeddelanden som jag får
  
• Innebär kameraövervakning behandling av personuppgifter
  

1. PÅ VILKET SÄTT SKALL ÅT KUNDER, ELEVER, ARBETSTAGARE ELLER ANDRA REGISTRERADE BERÄTTAS OM HUR DERAS PERSONUPPGIFTER BEHANDLAS

Om den registeransvariges informationsskyldighet stadgas i personuppgiftslagens 24 §. Ett företag, en sammanslutning, en myndighet eller annan verksamhetsidkare skall vid insamling av personuppgifter informera (t.ex. kunden) om vem som är den för behandlingen av personuppgifterna ansvarige registerföraren, för vilket ändamål uppgifterna behandlas, vart personuppgifter regelmässigt lämnas ut och hur den registrerade kan utöva sina rättigheter. De rättigheter som i personuppgiftslagen fastställs för den registrerade är rätten till insyn, rätten att kräva rättelse av en uppgift och förbudsrätten.

Det sätt på vilket informationen verkställs kan avgöras av verksamhetsidkaren (den registeransvarige). Ifall i verksamheten används blanketter (t.ex. ansökningsblanketter eller blanketter för ansökan om medlemskap) för insamlande av uppgifterna, borde av blanketten framgå de uppgifter som informationen avser. Alternativt kan i blanketten klart meddelas, varifrån informationen om behandlingen av personuppgifter kan fås. Ifall uppgifterna insamlas via datanätet, skall informationen ges i samband med användningen av nätet.

I informationen kan som hjälp utnyttjas en dataskyddsbeskrivning. I en sådan har till registerbeskrivningen enligt 10 § i personuppgiftslagen fogats den information som den registeransvarige är skyldig att ge de registrerade om utövandet av de i personuppgiftslagen nämnda rättigheterna. Se ??ifge?? (Finns tills vidare bara på finska. Bilaga till broschyren Dataombudsmannens modell 1/2000).

2. VAD ÄR EN REGISTERBESKRIVNING, VILKA UPPGIFTER FRAMGÅR AV DEN OCH VAR KAN JAG BEKANTA MIG MED DEN

En registerbeskrivning görs upp över alla personregister. Av den framgår vem som är den registeransvarige som svarar för behandlingen av personuppgifterna. Av beskrivningen framgår också vilka personuppgifter som ingår i registret, för vilket ändamål de används och vart uppgifter regelmässigt lämnas ut, samt principerna för skydd av uppgifterna.

Som hörande till samma personregister räknas alla de uppgifter som används för samma ändamål. Till samma register kan höra uppgifter som behandlas med hjälp av adb samt t.ex. på pappersblanketter förekommande uppgifter, om alla dessa uppgifter används för samma ändamål hos den registeransvarige.

Registerbeskrivningen skall hållas tillgänglig för alla på den registeransvariges verksamhetsställe. Ifall den registeransvarige har flera verksamhetsställen, skall beskrivningen finnas tillgänglig på alla verksamhetsställen. Ifall tjänsten används på datanätet, skall registerbeskrivningen fogas till tjänsten på nätet.

Om du önskar kan du till den registeransvariges företrädare framställa begäran att få se de registerbeskrivningar som har gjorts upp av den registeransvarige. Om du inte får beskrivningen till påseende, kan du vända dig till dataombudsmannen.

3. FÅR JAG KONTROLLERA MINA PERSONUPPGIFTER, OCH HUR KAN JAG KRÄVA ATT FELAKTIGA UPPGIFTER RÄTTAS

Personuppgifter är alla sådana uppgifter som kan förknippas med någon viss person. Personuppgifter som samlas in för skötseln av samma åliggande hör till samma personregister, även om en del av dem hade lagrats i ett med hjälp av adb upprätthållet register, och en del finns t.ex. på någon blankett.

Du har som regel rätt att kontrollera dina i registret lagrade uppgifter samt att be den registeransvarige att rätta felaktiga uppgifter om dig. Ta i ditt ärende först kontakt med den registeransvarige. Om de rättigheter som personregisterlagen uppställer för de registrerade, och om hur rättigheterna utövas, berättas närmare i avsnittet om den registrerades rättigheter. Därifrån når du med länkar också dataombudsmannens information i frågan.

En del av polisens personregister omfattas inte av rätten till insyn. Ytterligare information : Se polisens hemsida

Dataombudsmannen kan på den registrerades begäran kontrollera uppgifter som lagrats i Skyddspolisens register.

4. I HURUDANA SAMMANHANG SKALL PERSONBETECKNINGEN UPPGES

När den registeransvarige samlar in de registrerades personuppgifter för skötande av något visst ärende (t.ex. ett kundförhållande), skall enligt personuppgiftslagen de uppgifter som insamlas vara behövliga och felfria för detta användningsändamål, dvs. för skötande av detta ärende. För behandling av personbeteckning måste dessutom finnas någon i 13 § i personuppgiftslagen nämnd grund. Grunderna framgår närmare av en ??ifge??, i vilken också ges praktiska exempel.

5. FÖRBUDSRÄTT VID DIREKTMARKNADSFÖRING

5.1 Varför måste jag i en del situationer förbjuda marknadsföringen och varför begärs i en del situationer mitt tillstånd/samtycke till marknadsföringen?

Det är fråga om två grundläggande regler som gäller tillåten marknadsföring.

• Direktmarknadsföring är tillåten, ifall mottagaren inte har förbjudit det. Största delen av marknadsföringen baserar sig på förbudsrätten (opt-out -principen). T.ex. kunduppgifter får användas för direktmarknadsföring om kunden inte har förbjudit det. Av kommunikationsmedlen omfattar förbudsrätten postförsäljning och -marknadsföring samt telefonmarknadsföring. Mera om utövande av förbudsrätten.
• För direktmarknadsföring måste fås mottagarens tillstånd/samtycke. Marknadsföring bl.a. med hjälp av e-post eller textmeddelanden förutsätter samtycke (opt-in -principen).

5.2 Vad är ett adresserat och ett oadresserat reklambrev?

Vid adresserad marknadsföring används ofta personuppgifter vid distribuering och inriktning av marknadsföringen. Sådan marknadsföring kan begränsas med registerspecifika förbud, se ovan nämnda länk. Av denna anledning bör i marknadsföringen anges adresskällan.

Oadresserad reklamdistribution delas ut på ett visst område och inte till en viss mottagare. Sådan kan begränsas med ett meddelande "Ej reklam" på postlådan eller -luckan.

5.3 Vad är skräppost?

Med skräppost avses all oönskad elektronisk, till en viss mottagare sänd marknadsföring. Skräpposten skiljer sig från elektronisk direktmarknadsföring så, att skräpposten inte ens har för avsikt att respektera mottagarens rättigheter som konsument. Som exempel kan betraktas massdistribution av e-post till adresser, som har gallrats ut bland olika användningssamband i datanätet.

Vid professionell direktmarknadsföring går man in för att inrikta kommunikationen och sålunda begränsa sådana skadeverkningar av kommunikationen.

5.4 Hur kan telefonmarknadsföring begränsas?

??ifge?? kan ges åt den registeransvarige, se länken. Vid behov bör telefonmarknadsföraren uppge adresskällan. Kom ihåg att fråga av telefonmarknadsföraren varifrån han har fått dina uppgifter.

5.5 När behövs samtycke till elektronisk direktmarknadsföring?

Se "Dataskyddet vid direktmarknadsföring", sidorna 4-5.

5.6 Behövs också i kundförhållanden uttryckligt samtycke till att elektroniska kommunikationsmedel används?

Inte alltid. Se "Dataskyddet vid direktmarknadsföring", sidorna 4-5.

5.7 Vad är b to b -marknadsföring?

Business to business (b to b) -marknadsföring är marknadsföring mellan företag eller sammanslutningar, där utsändning med hjälp av elektroniska kommunikationsmedel inte förutsätter samtycke på förhand. Företaget eller sammanslutningen bör emellertid beredas möjlighet att lätt och utan särskild avgift förbjuda direktmarknadsföringen i samband med varje sådant meddelande.

Ytterligare information:

• Dataskyddet vid direktmarknadsföring (broschyr)
• Begäran om åtgärd gällande oönskad elektronisk direktmarknadsföring (blankett)

6. LOKALISERING AV MOBILTELEFONEN - VAD OCH VARFÖR?

6.1 Varför behandlar mobiltelefonoperatörerna lokaliseringsuppgifter?

Med hjälp av mobil kommunikation kan användaren nås oberoende av var han befinner sig. För att förbindelsen skall kunna upprättas mellan den uppringande och mottagaren måste i det mobila telefonnätet ständigt upprätthållas uppgifter om mobiltelefonens respektive läge med en basstations noggrannhet. Den mobila kommunikationen som sådan förutsätter lokalisering.

6.2 Vad avses med lokaliseringstjänst?

Lokaliseringstjänst avser att en lokaliseringsuppgift som fås med hjälp av det mobila telefonnätet används för annat än förmedling av meddelanden.

Här avses inte med andra tekniker genomförd lokalisering (såsom satellitlokalisering, t.ex. GPS).

Lokaliseringstjänsterna kan vara typiskt på lägesuppgifter baserade innehållstjänster (t.ex. var finns närmaste apotek?) eller lokalisering av användaren eller ett föremål (t.ex. var finns kamraterna eller var är transportbilarna?).

6.3 När kan jag lokaliseras?

Behandling av lokaliseringsuppgifter för att producera på dem baserade tjänster förutsätter att den som lokaliseras har gett sitt samtycke. Utan samtycke kan lokalisering göras endast i nödfall på order av polis eller räddningsmyndighet.

6.4 Vem inhämtar samtycket och hur?

Samtycket inhämtas av lokaliseringstjänstens leverantör. Enligt lagen får tjänsteleverantören inte dölja sig, dvs. tjänsteleverantörens namn och kontaktuppgifter skall vara lätt tillgängliga. Dessutom måste tjänsteleverantören meddela på förhand om lokaliseringsuppgiftens noggrannhet, för vilket ändamål den används, hur länge lokaliseringen varar och huruvida lokaliseringsuppgifterna kan lämnas ut till tredje part.

Samtycket behöver inte vara skriftligt. Det väsentliga är, att användaren när han godkänner tjänsten förstår den lokalisering som ingår i den. När lokaliseringstjänstens ändamål är att följa med en persons rörelser, måste förekomsten av samtycket hela tiden kunna fastställas.

6.5 Varför kan behandlingen av lokaliseringsuppgifter särskilt förbjudas om det behövs samtycke till att behandla dem?

Samtycket gällande den enskilda tjänsten ges av den som skall lokaliseras.

Utöver detta kan anslutningens abonnent förbjuda operatören att behandla lokaliseringsuppgifter för detta ändamål. Detta innebär, att lokaliseringstjänster inte kan produceras för anslutningen förrän förbudet har hävts, även om samtycke för en enskild tjänst hade getts.

6.6 Vad är anonym behandling av lokaliseringsuppgifter?

Ifall ingen kan identifieras med hjälp av lokaliseringsuppgifterna, eller ändamålet med behandlingen av lokaliseringsuppgifter inte är att identifiera en person, är det fråga om anonym behandling av lokaliseringsuppgifter. Som sådan kan betraktas på basis av lokaliseringsuppgifter utförd uppföljning av trafikströmmen t.ex. för att klargöra medelhastigheten på ett vägavsnitt.

6.7 När kan nödsamtal lokaliseras?

Nödsamtal kan lokaliseras även om den som lokaliseras inte har gett sitt samtycke till detta eller har förbjudit behandling av lokaliseringsuppgifter. Föremål för lokaliseringen kan vara den anslutning från vilken nödsamtalet har kommit eller även en annan anslutning, ifall användaren enligt nödmyndigheternas grundade uppfattning befinner sig i nöd eller omedelbar fara.

6.8 Finns det skäl till oro?

Enligt bestämmelserna förutsätter identifierande behandling av lokaliseringsuppgifter samtycke av den som lokaliseras. Avsikten är att säkerställa, att var och en själv kan bestämma hur lokaliseringsuppgifterna behandlas.

Inte heller minderåriga utgör ett undantag från detta. I fråga om barn under 15 år är det emellertid barnens vårdnadshavare som utövar bestämmanderätten.

7. FÅR DEN REGISTERANSVARIGE LÄGGA UT PÅ NÄTET PERSONUPPFIGTER SOM INGÅ I PERSONREGISTER SOM HAN UPPRÄTTHÅLLER. FÅR ARBETSGIVAREN PUBLICERA ARBETSTAGARNAS NAMN, FOTOGRAFIER, TJÄNSTEBENÄMNINGAR OCH KONTAKTUPPGIFTER TILL ARBETET PÅ SINA INGERNET-SIDOR UTAN ARBETSTAGARENS SAMTYCKE.

Att på Internet lägga ut personuppgifter som lagrats i ett personregister innebär elektroniskt utlämnande av personuppgifter. Ifall exempelvis en förening offentliggör sitt medlemsregister på nätet, kan föreningen inte vara säker på, vad den som samlar in uppgifter från nätet kommer att använda dem till. Personuppgifter på Internet kan användas t.ex. som adresskälla för skräppost. I personregister lagrade personuppgifter kan läggas ut på Internet endast med den registrerades samtycke.

De allmänt tillgängliga uppgifter som beskriver en persons ställning, åligganden och deras skötsel i ett offentligrättsligt samfund eller i näringslivet är enligt 8 § 1 momentet 8 punkten i personuppgiftslagen i särställning. Sådana uppgifter är exempelvis arbetstagarnas namn, fotografier samt uppgifter om arbetssamfundet.

De kan publiceras på arbetsgivarens hemsidor utan arbetstagarens samtycke, ifall publiceringen är ändamålsenligt motiverad och behövlig med tanke på arbetsgivarens verksamhet. Att publicera uppgifterna kan vara möjligt t.ex. när det hör till arbetstagarens skyldigheter att vara identifierbar och anträffbar med stöd av uppgifter om tjänstebenämning, kontaktinformation till arbetet samt fotografi.

Arbetsgivaren bör noggrant överväga, huruvida det är av nöden att publicera en del arbetstagares uppgifter och fotografier på Internet-sidor. Utan motivering skall uppgifter inte läggas ut på Internet. Arbetsgivaren bör vid behov motivera både för arbetstagarna och för dataombudsmannen, varför det har varit nödvändigt att publicera ovan nämnda uppgifter på Internet. Även om samtycke till publiceringen inte skulle behövas, har arbetstagarna rätt att få veta, för vilket ändamål uppgifter om dem finns på Internet.

8. FÅR ARBETSGIVAREN LÄSA E-POSTMEDDELANDEN SOM JAG FÅR

Frågan om e-postkommunikationens konfidentialitet hör inte till dataombudsmannens behörighet. I lagen om dataskydd vid elektronisk kommunikation sägs, att kommunikation per e-post är konfidentiell. Om förutsättningarna för att söka fram och öppna e-postmeddelanden som hör till arbetsgivaren träder närmare bestämmelser i kraft 1.10.2004. Se lagen om integritetsskydd i arbetslivet, 6 kapitlet.

9. INNEBÄR KAMERAÖVERVAKNING BEHANDLING AV PERSONUPPGISTER

Den som använder sig av registrerande kameraövervakning har att i sin verksamhet beakta de krav som ställs i personuppgiftslagen. De lagrade bilderna och ljudet är i personuppgiftslagen avsedda personuppgifter, ifall en fysisk person kan identifieras med dem. Den som använder registrerande kameraövervakning behandlar personuppgifter med hjälp av kamerasystemet och är en i personuppgiftslagen avsedd registeransvarig. Det, hur länge inspelningarna bevaras inverkar inte på huruvida personuppgiftslagen skall tillämpas. Den som använder sig av registrerande kameraövervakning är en i personuppgiftslagen avsedd registeransvarig, även om inspelningarna skulle bevaras endast en timme innan en ny inspelning görs på den tidigare.

Ett i personuppgiftslagen avsett personregister utgörs av uppgifter som lagrats på något underlag. Ifall systemet med kameraövervakning inte är registrerande, och personuppgifter inte heller på annat sätt samlas in med hjälp av systemet, tillämpas personuppgiftslagen inte. Se ??ifge??.