OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Att begära PUL-utdrag: några exempel

Att begära PUL-utdrag: några exempel

För att testa några olika företags hantering av PUL-ansökningar och se vad för information de har om mig begärde jag ut information från Bredbandsbolaget, Com Hem, ICA Banken, Klarna, Tele2, Telenor och TeliaSonera.

26 § personuppgiftslagen (PUL) ger dig rätt att en gång per kalenderår gratis få veta vilka personuppgifter ett företag, en organisation eller en myndighet har om dig. Du har också rätt att få veta varifrån uppgifterna kommer, ändamålen med uppgifterna, och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut till.

Informationen ska lämnas inom en månad från det att ansökan gjordes, såvida inte "särskilda skäl" föreligger, i vilket fall informationen får lämnas senast fyra månader efter ansökan.

Bredbandsbolaget, min internetoperatör, svarade aldrig på min PUL-ansökan och inte heller på min påminnelse fyra månader senare.

Com Hem var snabbast och svarade nästan med vändande post. Jag fick ett följebrev som förklarade användningen av personuppgifter och en kopia på personuppgifter (namn, personnummer, kundnummer, adress, e-postadress), avtal jag haft, information om betalda fakturor 2011-2013 och information om stängning/öppning av kundutrustning/accesskonto 2007-2012. Det kan noteras att jag inte varit kund hos Com Hem sedan februari 2013. [följebrev]

ICA Banken (som även hanterar ICAs kunddatabas) – där jag har bankkonto och kort – svarade inom en månad med ett rekommenderat brev. Förutom de sedvanliga kunduppgifterna fick jag en lista över mina bankkonton och de bankkort jag har eller har haft. Det noteras i följebrevet att när något av ICAs kort används i ICA-butik så “samlas personuppgifter in i samband med köp, exempelvis kassakvittosinformation (d v s information om vilka varor som inhandlats, pris, tidpunkt etc.)” Dessa uppgifter fick jag dock inte, trots att jag i ansökan specificerat att jag ville ha samtliga uppgifter. Det bifogades också ett förseglat kuvert med registerutdrag från “Cura apoteket”. [följebrev]

Klarna svarade efter tio dagar med de vanliga personuppgifterna och ett brev som förklarade ändamålen. De specificerade också vilka företag de gett mina personuppgifter till (tre nätbutiker där jag handlat, och ett kreditupplysningsföretag). Fakturorna från de aktuella köpen bifogades. [följebrev]

Tele2 (som jag inte varit kund hos sedan 2011) svarade efter drygt en månad. Det enda de hade (eller åtminstone det enda jag fick) var ett utdrag med en notering om uppsägning och en notering då PUL-ansökan gjordes, samt ett följebrev som beskrev ändamålen med personuppgiftsbehandlingen. [följebrev]

Telenor svarade inom en vecka - men skrev “du behöver återkomma med mer specifik information gällande vilken period du önskar eller bekräfta om det gäller alla uppgifter vi har på dig som kund”. Jag svarade att jag ville ha alla uppgifter. Sedan hörde jag inget mer. Lite drygt fyra månader senare skickade jag en påminnelse, varpå jag snabbt fick en ursäkt och materialet skickat till mig. Detta innehöll min korta supporthistorik och två skärmdumpar från ett kundhanteringsprogram som innehöll namn, personnummer, kundnummer, adress, information om när jag tecknat och avslutat abonnemanget och vad jag betalat i snitt per månad under 2011-2014. Följebrevet sade inget om varifrån uppgifterna kom, vad ändamålet var eller till vilka andra som uppgifterna lämnas ut till. När PUL-utdraget gjordes var jag inte längre kund hos Telenor. [följebrev]

TeliaSonera svarade efter drygt en månad och konstaterade att de inte behandlade några personuppgifter om mig. Detta stämmer knappast. [följebrev]

Men trafikdatalagrad data då?

Något jag inte fick från tele- och internet-operatörerna ovan är sådana personuppgifter som tillkommit till följd av den trafikdatalagring som operatörerna måste göra enligt 6 kap. 16 a § lagen om elektronisk kommunikation (LEK). De är tvungna att i sex månader spara information om alla mina telefonsamtal, sms, epost, mobilpositioner och nätuppkopplingar. Givetvis är detta personuppgifter - dessutom oerhört känsliga sådana - som jag borde ha rätt att ta del av, och även om jag inte är kund hos till exempel TeliaSonera har de säkerligen personuppgifter om mig på grund av datalagringen.

Tyvärr är rättsläget oklart.

Jag frågade Datainspektionen. De svarade att PUL:s bestämmelse om rätt att få information inte gäller och hänvisade till 6 kap. 16 f § LEK.

Jag frågade Post- och telestyrelsen (PTS). De hänvisade istället till 6 kap 16 c § LEK men skrev att det fortfarande är oklart hur 26 § PUL förhåller sig till detta.

Oaktat vad PUL och LEK säger har vi artikel 8(2) i Europeiska unionens stadga om de grundläggande rättigheterna: "Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem." Stadgan utgör en del av primärrätten och står således normalt över all annan lagstiftning. Jag påpekade detta för Datainspektionen och PTS. Datainspektionen svarade att det förvisso stämmer - men:

Rättigheterna i stadgan kan dock begränsas. Enligt artikel 52 Europeiska Unionens stadga om de grundläggande rättigheterna får begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan föreskrivas i lag och de ska vara förenliga med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Man kan fråga sig om Datainspektionen verkligen anser att LEK föreskriver en begränsning av rättigheterna i artikel 8(2) genom att inte specifikt nämna att de är tillämpliga.

PTS svarade aldrig.

Om du är intresserad av att driva ett rättsfall för att få ut dina trafikdatalagrade uppgifter, kontakta oss.

För att själv skicka PUL-ansökningar kan du använda vårt enkla verktyg på stoppaspionerna.eu, eller följa Datainspektionens mall.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).