Är det okej att neka någon att ange någon annans personnummer, vilket anges i syfte att samla bonuspoäng?

2019-06-30 i PUL/GDPR
FRÅGA
Hej!Min dotter hade nämnt att hon behövde två kvastar/borstar till stallet. Då jag idag var in till stan kom jag på detta och åkte därför in till Granngården för att handla till dottern. Hon är medlem - jag är det inte. Har – för egen del - inte har behov av Granngårdens sortiment.Då jag kom till kassan och skulle betala, bad jag dem registrera varorna på dotterns personnummer så att hon kunde dra fördel av köpet. Fick veta att detta var olagligt! Jag fick inte uppge dotterns personnummer, eftersom det "kommit en ny lag" som förbjöd dem att registrerade varorna på henne. Detta trots att jag betalade med eget kontokort. Jag erbjöds istället att själv bli medlem något som – av ovan nämnda skäl - inte är aktuellt. Gjorde de verkligen rätt – eller var det för att de skulle slippa ge henne förmånliga poäng? Så sent som för två dagar sedan gick det alldeles utmärkt att handla för hennes räkning på Hööks. Varorna jag handlade registrerades på henne utan problem. Varför gäller en lag på ett ställe och inte på ett annat? Tack på förhand för svar!
SVAR

Hej och tack för din fråga!

Dataskyddsförordningen eller General Data Protection Regulation (GDPR) är en förordning som har sitt ursprung i EU-rätten. Förordningen gäller som lag i Sverige och har till syfte att skydda personers intresse av personlig integritet. Lagen präglas av intresseavvägningar mellan rätten till personlig integritet och de sätt på vilket personuppgifter behandlas.

GDPR reglerar behandling av personuppgifter. Personuppgifter är varje upplysning som kan knytas till en levande, identifierbar fysisk person. Personnummer är en sådan personuppgift enligt GDPR (artikel 4 p.1 GDPR).

Den som behandlar personuppgifter kallas personuppgiftsbiträde, och att ta emot personnummer för registrering av bonus är en sådan behandling. Ett biträde är skyldig att se till att hanteringen av uppgifterna sker på ett sätt som inte bryter mot GDPR. Det ska ske lagligt och korrekt (artikel 5 GDPR), samt bygga på rättslig grund (artikel 6 GDPR). En rättslig grund för behandling kan vara det samtycke till behandling som lämnas när du är beredd att lämna ut uppgifterna för bonusregistrering.

I förordningen finns ingen regel som säger att man inte får säga personnummer högt. Däremot har personuppgiftsbiträdet skyldighet att vidta lämpliga tekniska och organisatoriska åtgärder för att kunna visa att personuppgiftsbehandlingen sker enligt förordningen (Se art. 28 GDPR). Eftersom det kan ses som en säkerhetsrisk att säga sitt personnummer högt skulle en lämplig åtgärd kunna vara att begära legitimation. På så sätt exponeras inte personnumret för omgivningen.

Skyldigheter och rättigheter återspeglar vanligtvis varandra. Biträdets skyldighet att vidta åtgärder så att GDPR följs motsvaras av en rättighet för dig som konsument att bli informerad om hur dina personuppgifter behandlas. Detta har i ditt fall skett genom att du nekas att säga ditt personnummer muntligt i vissa fall. Detta har skett för att biträdet vill vara säker på att kunna visa att GDPR följs, även om det kanske inte varit tydligt för dig. Vissa butiker har infört ett krav på legitimation för att vara säkra på att uppfylla kraven. Att neka dig att lämna uppgifter muntligt kan verka som en långtgående åtgärd när du själv gått med på att lämna uppgiften muntligt, men det handlar främst om att biträdet vill vara säker på att uppfylla sina skyldigheter.

I Sverige har vi dessutom antagit ett längre gående skydd för person uppgifter än vad EU kräver (art. 87 GDPR). Regleringen innebär att en intresseavvägning ska göras mellan uppgiftsbehandlingen och de integritetsrisker den innebär. Behandlingen ska vara restriktiv- och därför ska den som behandlar personuppgifter se till att uppgifterna exponeras så lite som möjligt. Att begära legitimation kan vara ett lämpligt sätt att uppfylla kraven.

Vad gäller utlämnande av annans personnummer?

Vad gäller utlämnande av annans personnummer, i detta fall din dotters, krävs fortfarande rättslig grund. Biträdet måste vara säker på att en sådan finns. Som nämnts ovan är samtycke en sådan grund. Det är svårt för biträdet att veta om samtycke finns, då det inte får råda någon tvekan om att sådant är fallet. Den som ska samtycka måste först få information om vad den samtycker till. Det bör alltså finnas rättslig grund att neka utlämnande av annans personnummer, i syfte att kunna visa att GDPR följs.

Hoppas du har fått svar på din fråga!

Med vänliga hälsningar

Elin Lindgren
Fick du svar på din fråga?
Kommentera
Relaterat innehåll
Senaste besvarade frågorna inom PUL/GDPR (155)
2019-09-22 Ser ni IP-adressen till den som skickar in en fråga till er?
2019-09-19 Är det tillåtet att filma en annan elev i ett klassrum?
2019-09-07 Kan jag begära skadestånd för att min operatör haft dataintrång?
2019-09-07 Kan jag få kompensation för läckta personuppgifter hos min teleoperatör?

Alla besvarade frågor (72979)