Framsida » Avgöranden » Behandling av personuppgifter då företagsservice söks ur bolags söktjänster

Behandling av personuppgifter då företagsservice söks ur bolags söktjänster

Dnr 66/44/2009

Ärendet:

X Ab svarade på dataombudsmannens begäran om utredning, angående söktjänster för företagsservice som bolaget erbjöd.

Enligt X Ab:s svar använde de sig av ett dataregister för tre olika servicetjänster. I företagens dataregister fanns personuppgifter, vilka kunde delas upp i företag av två grupper: 1) i företag vilka bolaget X hade avtalat med, om att kontaktuppgifterna skulle publiceras och 2 ) företag vilka inte ingått avtal med bolaget utan vilka bolaget fått uppgifter om direkt ur Patent- och registerstyrelsen. För behandlingen av uppgifterna av den första gruppen meddelade bolaget som grund för behandling, kundförhållandet i Personuppgiftslagens 8.1.5.§ och för den senare gruppen personuppgiftslagens 8.1.8. §.

Dataombudsmannens svar:

Kraven enligt Personuppgiftslagens 6 § och 9 §

För att en registeransvarig skall kunna behandla personuppgifter bör det finnas en rättighetsgivande grund till detta. Personuppgiftslagens 6 § förutsätter vidare att behandlingen alltid skall vara välgrundad för att behandlingen skall kunna fortgå. Saklig behandling är t.ex. inte sådan som strider mot andra lagar eller några andra rättigheter som personen har (t.ex. rätten i samband med yttrandefrihet att inte behöva ta emot budskap).

Till den del som den tredelade servicen som X Ab erbjuder baserar sig på kundförhållande enligt personuppgiftslagens 8.1.5 §, skall man vid behandlingen försäkra sig om att kundförhållandet har uppkommit/uppkommer på ett lagligt sätt. Om det inte finns en laglig grund för kundförhållandet så kan uppgifterna inte behandlas enligt personuppgiftslagens 8.1.5. §.

Personuppgiftslagens 8.1.8 § ger registerförare som får allmänt tillgänglig information angående en persons ställning, uppgifter och skötsel av dessa inom det offentliga samfundet eller inom näringslivet, rätt att behandla uppgifterna för att trygga en utomståendes rättigheter och intressen.

X Ab:s rätt att behandla allmänt tillgänglig information enligt personuppgiftslagens 8.1.8. § begränsas ändå ifall den registrerade inte vill att dennas uppgifter finns tillgängliga i bolagets tre service system. Eftersom en person har rätt att påverka den information som riktas till denna, ansåg dataombudsmannen att X Ab i enlighet med personuppgiftslagens 6 § inte har rätt att fortsätta behandlingen av personuppgifter på basis av 8.1.8. § i de fall att dessa kan användas för att ta kontakt med personen ifråga, och denna ber om att dessa uppgifter skall tas bort från den ifrågavarande servicetjänsten. I praktiken kan sådan information vara post och besöksadresser, e-post samt telefon och fax nummer.

X Ab:s rätt att behandla personuppgifterna i enlighet med 8.1.8. § begränsas alltså till 1) personens allmänt tillgängliga uppgifter angående dennas ställning, uppgifter och dessas skötsel i offentliga sammanhang eller i näringslivet, 2) som behandlas för registerförarens eller en utomståendes rättigheter eller fördel och 3) inte är kontaktuppgifter, vilket skulle leda till kränkande av den registrerades rättigheter enligt personuppgiftslagens 1 §.

I enlighet med Personuppgiftslagens 9 § skall X Ab sörja för att personuppgifterna som den behandlar som registerförare inte är felaktiga, ofullständiga eller gamla. Personuppgiftslagens 29.1 § förpliktar bolaget att utan dröjsmål självmant eller på den registrerades begäran rätta, radera eller komplettera information som finns i registret vilken är felaktig, onödig, bristfällig eller föråldrad. Den registeransvariga skall även förhindra att sådan information sprids, ifall sådan information kan skada den registrerades privatliv eller dennas rättigheter. Ifall att den registeransvariga inte godtar den registrerades uppmaning att radera eller rätta informationen, skall den registeransvariga enligt personuppgiftslagens 29.2 § ge ett skriftligt bevis till den registrerade. I beviset skall det framgå de orsaker som står som grund för det nekande beslutet.

Personregistren som bildas i verksamheten

Enligt Personuppgiftslagens 3 § bildas ett personregister av personuppgifter som samlats in för samma bruksändamål.

Dataombudsmannen ansåg att X Ab:s verksamhet bildar två olika register för företagsförteckning, nummertjänst och mobiltjänst. Det första registret bildas av personuppgifter, vilka bolaget behandlar för att tillhanda ha servicetjänsten för informationssökning av företag. Till detta register kommer att höra t.ex. personuppgifter som X Ab behandlar på basis av personuppgiftslagen 8.1.8 § men även sådana som baserar sig på den registrerades samtycke (8.1.1. §), eftersom bolaget håller uppgifterna tillgängliga efter att ett kundförhållande har uppkommit (8.1.5. §).

Utöver personuppgifterna som kommer av service tjänsten så bildar även X Ab:s kunduppgifter ett särskilt register, vilket används i skötseln av kundförhållande (detta har ett annat brukssyfte än det register som används för service produktionen). Personuppgifter som används för att sköta kundförhållandena kan t.ex. vara uppgifter om avtalets innehåll, fakturerings uppgifter och potentiella ljudupptagningar av telefonsamtal.

Dataombudsmannen ansåg även att X Ab, för de båda registren skall göra egna registerförteckningar i enlighet med personuppgiftslagen 10 §. Alternativt kan X Ab av de båda personregistren göra en gemensam sk. dataskyddsförteckning, vilket består av en registerförteckning och informeringsdokument.

Enligt personuppgiftslagens 26.1.§ har var och en utan hinder av sekretessbestämmelserna rätt att få veta vilka uppgifter om honom som har registrerats i ett personregister eller att registret inte innehåller uppgifter om honom. Den registeransvarige skall samtidigt ge den registrerade information om vilka källor som i regel används för registret samt för vilket ändamål registeruppgifterna används och i regel lämnas ut. Angående inskränkningar i rätten till insyn stiftas i 27 §. Huvudregeln är alltså att de båda registren som X Ab bildar, skall vara tillgängliga för insyn för den registrerade.

 
Publicerad 2.12.2013