Att uppge personnummer i kassan

Tack för att du vänder dig till Lawline med din fråga!

Frågan handlar om behandling av personuppgifter som regleras i Dataskyddsförordningen (GDPR).

Med personuppgifter avses varje upplysning som avser en identifierad eller identifierbar fysisk person. Avgörande är att uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person. Typiska personuppgifter är personnummer, namn och adress (artikel 4 p.1 GDPR). Ditt personnummer utgör alltså en personuppgift som skyddas av GDPR.

Alla former av åtgärder med personuppgifter är personuppgiftsbehandling, till exempel insamling, registrering, organisering, ändring, spridning eller tillhandahållande på annat sätt, begränsning, radering eller förstöring. De som jobbar i butiken behandlar dina personuppgifter och de måste följa bestämmelserna i GDPR.

De som behandlar dina personuppgifter kallas för personuppgiftsansvariga eller personuppgiftsbiträden. I det här fallet utgör butikens företrädare personuppgiftsbiträden som har skyldighet att se till att hanteringen av dina personuppgifter sker i enlighet med bestämmelserna i GDPR. De måste exempelvis behandla dina personuppgifter på ett lagligt, korrekt sätt (artikel 5 GDPR). Dessutom måste personuppgiftsbiträden ha en rättslig grund för behandlingen, t.ex. ditt samtycke (artikel 6). Det faktum att du vill ange ditt personnummer visar att du har sagt "ja" till hanteringen av dina personuppgifter.

Det bör beaktas att du i din egenskap av registrerad (se art.4 p.1 GDPR) har ett antal rättigheter enligt GDPR. Dessa rättigheter innebär i korthet att du ska få information om hur dina personuppgifter behandlas. I det här fallet har du blivit informerat om att du inte får säga högt ditt personnummer eftersom detta strider mot GDPR. Det finns ingen regel i GDPR som säger att man kan bli nekad att namnge sitt personnummer. Det framgår dock indirekt av bestämmelserna i GDPR att personuppgiftsansvariga och personuppgiftsbiträden har särskilda skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med GDPR (se t.ex. art.28 GDPR). Att säga högt ditt personnummer utgör en säkerhetsrisk och hot mot din personliga integritet och de som behandlar dina personuppgifter måste vidta åtgärder för att minimera risken och hantera den på bästa sätt. Därför kan anses som lämplig åtgärd för personuppgiftsbiträden att neka kunden att uppge sitt personnummer muntligen och istället att kräva legitimation för att exempelvis samla bonuspoäng.

Det bör tilläggas att Sverige har valt att ha ett särskilt skydd för personnummer (art. 87 GDPR). Därför bör man exponera personnummer så lite som möjligt. Behandlingen av personnummer bör vara restriktiv och man måste göra en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär. Då ska personuppgiftsbiträden särskilt tänka på om syftet med behandlingen kan uppnås på ett annat sätt. I detta fall genom krav på uppvisande av legitimation.

Telefonnummer kan vara personuppgift enligt artikel 4 GDPR om det pekar ut eller används ihop med uppgifter om en identifierad eller identifierbar fysisk person. Telefonnumret kan alltså skyddas av GDPR om det kan användas för att identifiera en person. I det här fallet kan butikens företrädare neka till att ta emot mobilnummer om det kan knytas till personen i fråga. Det bör dock framhållas att personnumret är en extra skyddsvärd personuppgift och dess behandling bör vara mer restriktiv i jämförelse med behandlingen av mobilnummer.

Jag hoppas att svaret var till hjälp!

Behöver du vidare hjälp är du välkommen att kontakta oss på tfn 08-533 300 04 (måndag till fredag 10:00–16:00) eller maila oss på info@lawline.se.

Med vänliga hälsningar,