Intressant uttalande från Datainspektionen om hur länge uppgifter om betalningsförsummelser får sparas
Datainspektionen har granskat hur fyra företag som tillhandahåller tjänster för elektroniska betallösningar hanterar sina användares personuppgifter.
Av besluten framkommer bland annat ett intressant klargörande från Datainspektionen angående hur länge uppgifter om betalningsförsummelser får sparas. Enligt 9 § första stycket, punkten e PUL måste behandlade personuppgifter vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Enligt tidigare riktlinjer gäller att uppgifter som hämtats från kreditupplysningsföretag ska gallras efter tre månader. När det gäller ett företags egna upplysningar om sina kunders betalningsförsummelser har det dock saknats tydliga regler. För kreditupplysningsföretagen gäller enligt 8 § andra stycket kreditupplysningslagen att uppgifter om betalningsförsummelser ska gallras senast tre år efter att förhållandet som uppgiften avser har upphört.
Av Datainspektionens beslut framgår nu att tidsgränsen i kreditupplysningslagen ska ligga till grund för en bedömning av när uppgifter inte längre kan anses uppfylla kravet på relevans enligt 9 § PUL. Kravet på att radera uppgifter om betalningsförsummelser efter tre år tillämpas således indirekt även på företag som inte är kreditupplysningsföretag, när de sparat egna upplysningar om kunders betalningsförsummelser.
Datainspektionen framhåller också att kravet på att gallra uppgifter som inte längre behövs gäller även sådana uppgifter som sparas som ett led i efterlevnaden avBokföringslagen (1999:1078) och Lag (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism. Även om lagringsplikten enligt dessa lagar har företräde framför PUL, krävs en genomgång av vilka uppgifter som måste sparas enligt dessa lagar och hur länge de måste sparas.
Datainspektionens granskning berörde även en funktion för så kallad automatisk hämtning av/”förifyllda” namn och folkbokföringsadresser, från statens personadressregister (SPAR) och ett kreditupplysningsföretag, som visas när användaren fyller i ett personnummer i formuläret och exempelvis klickar på ”hämta uppgifter”. Datainspektionen har tidigare ansett att sådana funktioner är problematiska om de används utan samtycke från individen men i det här fallet ansågs kraven i PUL uppfyllda fallet eftersom funktionen kan väljas bort av användaren och dessutom har en inbyggd säkerhetsåtgärd i det att adressen endast visas om användaren först fyller i ett ”matchande” postnummer.