Telias försäljning av kundinformation

Telias försäljning av
kundinformation
Datainspektionens rapport
Januari 1998
Innehållsförteckning
Inledning
3
Telias organisation
4
Vilka integritetsskyddsregler är tillämpliga?
Datalagen
Generella föreskrifter
Telias register
5
5
6
6
Telias produkter
Upplysningstjänster
TeleAdress - nettomatchning
TeleAdress – aktuella hushåll
TeleAdress – adressmatchning
TeleAdress – nummermatchning
TeleAdress – slumpvist urval
TeleAdress – bransch
TeleAdress – geografiskt område
7
7
7
8
8
8
9
9
9
Telias rutiner
10
Spärrlista
11
Datainspektionens synpunkter
Kataloginformation på Internet
TeleAdress – nettomatchning
Talsvarsdatorer
12
12
12
12
Avslutning
13
2
Inledning
Televerket hade under lång tid monopol på telefonitjänster i Sverige och myndighetens
kundregister blev efter hand mycket omfattande. Televerket bolagiserades 1993 och blev
Telia AB som ägs av staten. Även om Telia AB numera bedriver en konkurrensutsatt
verksamhet, har bolaget fortfarande en särställning vad avser antal kunder - åtminstone
beträffande fasta abonnemang - vilket naturligtvis till stor del beror på den tidigare
monopolställningen. De allra flesta svenska hushåll och företagare är kunder hos Teliakoncernen och Telias abonnemangsregister är ett av de största kundregistren i Sverige.
Datainspektionen har under åren fått åtskilliga frågor och klagomål från allmänheten
angående Telias försäljning av kundinformation. Mest irritation väcker s.k. telemarketing
mot privatpersoner, dvs. när hushåll blir kontaktade per telefon – ofta på kvällstid – av
personer som försöker sälja varor och tjänster eller ber om bidrag till organisationer.
Datainspektionen har därför dels under vintern 96/97, dels under hösten 1997, tittat
närmare på Telia-koncernens försäljning av personuppgifter. Syftet har varit att få en klar
bild av vilka produkter Telia tillhandahåller där det finns information om personer och
om Telias rutiner när uppgifterna lämnas ut, är godtagbara från
integritetsskyddssynpunkt.
3
Telias organisation
Telia-koncernens organisation är uppbyggd på så sätt att olika typer av användare blir
kunder i olika företag. Exempelvis blir privatpersoner kunder i Telia Nära, små och
medelstora företag (inklusive enskilda näringsidkare) blir kunder i Telia Företag, kunder
inom den offentliga sektorn är hänvisade till Telia PubliCom och de allra största
företagskunderna skall vända sig till Telia MegaCom. Detta gäller numera oavsett om det
rör sig om fasta abonnemang, Internet-abonnemang eller mobiltelefonabonnemang. Ett
särskilt företag hanterar kabelTVabonnemangen.
Försäljningen av information handhas dock inte av dessa företag. Uppgifterna från
respektive abonnemangsregister lämnas till ett affärsområde inom Telia som kallas Telia
InfoMedia Services och som i sin tur består av en mängd företag. Av intresse i detta
sammanhang är framförallt Telia InfoMedia Respons och Telia InfoMedia Reklam.
Telia InfoMedia Respons (Respons) är det företag inom koncernen som ansvarar för
tryckning av telefonkataloger och andra former av upplysningstjänster. På uppdrag av
Respons säljer Telia InfoMedia Reklam (Reklam) informationen till externa beställare,
exempelvis för marknadsföringsändamål och för uppdatering av telefonnummer i
befintliga kundregister.
4
Vilka integritetsskyddsregler är tillämpliga?
Datalagen
Den nuvarande svenska datalagen infördes i början av 1970-talet bl.a. som en reaktion på
många människors farhågor om hur uppgifter om dem skulle komma att behandlas,
sammanställas, fördjupas, selekteras och användas i kommersiella syften, såväl av staten
som av näringslivet. På 1970-talet var det framförallt staten som samlade in stora
mängder uppgifter om oss medborgare, t.ex. Statistiska Centralbyrån som med
datateknikens hjälp kunde göra sammanställningar och använda urvalskriterier som inte
tidigare varit möjliga. Framförallt under 1990-talet har information blivit en handelsvara
som köps och säljs och de stora statliga personregistren har blivit en kommersiell tillgång.
Även många privata intressenter har inrättat stora informationsdatabaser, t.ex.
kreditupplysningsföretag, postorderföretag och det finns företag som har specialiserat sig
på just handel med information. Datalagen är till för att skydda den enskildes personliga
integritet i informationssamhället.
Datalagen är tillämplig på register, förteckningar och andra anteckningar som lagras på
ADB och som innehåller uppgifter som kan kopplas till en person. I detta sammanhang
räknas inte bara uppgifter om privatpersoner som personuppgifter, utan även uppgifter
om enskilda näringsidkare och om befattningshavare och kontaktpersoner vars namn
återfinns i ett register över företag. I datalagen finns regler bl.a. om licensplikt för alla
som för personregister på ADB (med undantag för register som förs för personligt bruk).
Om ett register skall innehålla
•
•
•
känsliga uppgifter (kriminalitet, socialtjänst, hälsa, omdömen, värderande
upplysningar, religionstillhörighet m.m.),
uppgifter om personer som den registeransvarige saknar en naturlig anknytning till
(som naturlig anknytning räknas ett anställnings-, medlems- eller kundförhållande),
eller
uppgifter som har hämtats från ett annat personregister (s.k. samkörning)
krävs dessutom att Datainspektionen lämnar sitt tillstånd innan registret får inrättas. Tillståndsplikten för samkörning kan undvikas för det fall att samtliga registrerade lämnar sitt
samtycke till att uppgifter om dem inhämtas från ett annat register. När Datainspektionen
lämnar tillstånd till ett register, meddelas föreskrifter om hur den registeransvarige får
använda uppgifterna - exempelvis om ändamålet med bearbetningarna, vad registret får
innehålla, om de registrerade skall informeras och när uppgifterna skall tas bort.
Enligt 11 § datalagen får personuppgifter som ingår i ett personregister inte lämnas ut om
det finns anledning att anta att uppgifterna kommer att användas för automatisk
databehandling i strid med datalagen. Den som lämnar ut personuppgifter på ADBmedium - eller i så stora mängder att det skulle vara omöjligt att bearbeta informationen
manuellt – får alltså inte hysa något tvivel om att mottagaren dels anmält sig för licens
hos Datainspektionen, dels fått tillstånd att inrätta registret om så krävs. Något krav på att
5
det alltid måste kontrolleras aktivt, finns dock inte. Skall uppgifterna lämnas ut för att
användas för automatisk databearbetning i utlandet krävs alltid Datainspektionens
medgivande, med undantag för om den mottagande staten anslutit sig till Europarådets
konvention om skydd för enskilda vid automatisk databearbetning av personuppgifter.
Utlämnande av uppgifter över den öppna delen av Internet anses vara ett utlämnande till
utlandet, eftersom informationen kan läsas över hela världen. Det står dock inte helt klart
att uppgifterna i dessa fall alltid kommer att användas för automatisk databearbetning i
utlandet, enbart genom det faktum att de läggs ut på exempelvis en hemsida.
Generella föreskrifter
Sedan 1995 har Datainspektionen möjlighet att meddela s.k. generella föreskrifter för
register som ofta förekommer inom en bransch eller sektor. Kan dessa föreskrifter efterlevas behöver den registeransvarige inte ansöka om tillstånd från Datainspektionen. Dock
kvarstår licensplikten. Sådana föreskrifter finns bl.a. för vissa direktreklamregister (DIFS
1995:6). Två av de viktigaste bestämmelserna i författningen reglerar varifrån uppgifterna
får hämtas samt hur länge de får bevaras. I detta sammanhang bör nämnas att namn och
adress får hämtas från kundregister (exempelvis Telias) men inte hemtelefonnummer.
Uppgifterna skall tas bort efter maximalt tre månader.
Telias register
Kundregistren hos Telia Nära m.fl. företag är inte tillståndsreglerade av Datainspektionen. Det är alltså datalagens rambestämmelser och inspektionens generella föreskrifter
och praxis som framförallt styr vad Telia får eller inte får göra med den information som
man genom åren samlat in om sina kunder och lagrat på ADB.
Beträffande personuppgifter som säljs av Telia InfoMedia - dvs. uppgifter om privatpersoner, enskilda näringsidkare och kontaktpersoner hos företagskunder - har Respons
ett tillstånd (”DN-Sök”) från Datainspektionen att föra ett personregister vars ändamål har
fastställts till att vara registrering av teleabonnenter för tillhandahållande av nummerupplysningstjänster. Det är också meddelat föreskrifter om vilket slag av personuppgifter
som registret får innehålla och om vilka bearbetningar av informationen som Respons får
göra.
Slutligen skall man också ha i minnet att tryckfrihetsförordningens bestämmelser kan bli
tillämpliga på bl.a. katalogregister i olika former.
6
Telias produkter
Telia har till Datainspektionen uppgett att man i dagsläget tillhandahåller följande
produkter som innefattar personuppgifter i datalagens mening.
Upplysningstjänster
Information om abonnenternas namn, adress och telefonnummer lämnas ut i olika kataloger som distribueras i pappersform, på CD-ROM och över Internet (Gula och Rosa
Sidorna). Man kan också ringa till Nummerupplysningen och få denna information. Det
går att få information inte enbart om abonnemangsinnehavaren utan också om de
personer som anmält att de vill stå med i telefonkatalogen som ”partner”. Telia säljer
också denna kataloginformation till externa intressenter som vill trycka egna telefonkataloger. Register vars ändamål är att framställa tryckta skrifter faller normalt
inom tryckfrihetsförordningens regler och därmed har Datainspektionen ingen
tillsyn över användandet.
Utlämnande av kataloginformation över Internet diskuteras vidare nedan under rubriken
”Datainspektionens synpunkter”.
TeleAdress - nettomatchning
Produkten innebär att Telia jämför beställarens kundregister med sina abonnemangsregister över hushåll och/eller företag inom ett eller flera geografiska områden. Meningen
är att beställaren skall få fram en förteckning över hushåll/företag som inte redan är kund
i företaget och som det därmed kan vara lönt att rikta marknadsföringsinsatser mot. Förteckningen består av namn och adress till hushåll och namn, adress och telefonnummer
till företag. Som matchningsnyckel används telefonnummer. Beställarens kundregister
lämnas till Telia för bortmatchning på band, diskett eller genom filöverföring via modem.
Detta innebär att det blir fråga om en samkörning i datalagens mening och
beställaren måste således ha ett tillstånd från Datainspektionen för att bearbetningen skall få ske, eftersom samkörningen sker på beställarens registeransvar.
Telia kontrollerar att beställaren har ett sådant tillstånd. Förteckningen kan sedan lämnas
ut på band, diskett, lista, etiketter eller genom filöverföring via modem. Om
förteckningen lämnas ut i annan form än på papper, kommer beställaren att inrätta ett
register över presumtiva kunder för vilket datalagens regler är tillämpliga. Detta register
kräver Datainspektionens tillstånd. Efter ansökan kan det regleras samtidigt som
tillstånd till samkörning meddelas. Eftersom telefonnummer används som
matchningsnyckel och samkörningen görs på beställarens registeransvar, kommer
telefonnummer till privatpersoner i teorin att lämnas ut till beställaren. Någon egentlig
tillgång till telefonnumret får beställaren dock aldrig. Frågan diskuteras vidare nedan
under rubriken ”Datainspektionens synpunkter”. Om det enbart rör sig om uppgifter om
juridiska personer är datalagens regler inte tillämpliga och något tillstånd behövs
således inte, vilket gäller genomgående för alla produkter. Används inte några hem-
7
telefonnummer i samkörningen, kan de generella föreskrifterna för vissa
direktreklamregister normalt följas. I de fallen är det tillräckligt att beställaren har
anmält sig för licens och något tillstånd behövs alltså inte.
TeleAdress – aktuella hushåll
Med denna produkt kan Telia tillhandahålla företagen uppgifter om nyinflyttade hushåll
inom ett givet geografiskt område. Beställaren kan prenumerera på tjänsten vecko-,
månads- eller årsvis. Utdatamedia är lista och/eller etikett alternativt e-post. När det gäller
utdata på e-post måste beställaren förbinda sig att omedelbart skriva ut informationen på
papper och radera postmeddelandet. På så vis blir inte datalagens regler tillämpliga.
Både namn, adress och telefonnummer lämnas ut och uppgifterna kan således användas
bl.a. för telemarketing mot privatpersoner i deras hem.
TeleAdress – adressmatchning
Beställaren har en talsvarsdator där kunderna kan ringa in och beställa varor eller
information. För identifikation ombeds kunden att knappa in sitt telefonnummer, vilket
sedan matchas mot Telias abonnentregister . Namn och adress skickas till beställaren
genom filöverföring via modem. Alla former av samkörning kräver normalt antingen
Datainspektionens tillstånd eller att den registrerade lämnar sitt samtycke till bearbetningen. Om ”datorrösten” upplyser om att det inknappade telefonnumret kommer
att samköras mot Telias abonnentregister för att få fram namn och adress och
kunden därefter knappar in sitt telefonnummer, behövs inget särskilt samkörningstillstånd från Datainspektionen eftersom man då anses ha lämnat sitt medgivande
till samkörningen. En ytterligare fråga i sammanhanget är hur datalagen skall tillämpas
om någon knappar in en annan persons telefonnummer. Den som använder sig av
TeleAdress – adressmatchning skulle på så vis kunna skapa ett tillståndspliktigt
personregister utan att det var det egentliga syftet med registreringen. Företaget kan ju
inte känna till vem som faktiskt knappade in numret. Samma sak kan hända om ett
företag tar emot beställningar genom svarskuponger eller genom att prata med en person.
Frågan diskuteras vidare nedan under rubriken ”Datainspektionens synpunkter”.
TeleAdress – nummermatchning
Med hjälp av denna produkt kan beställaren dels telefonnummersätta sitt kundregister
(alltså tillföra telefonnummer då kunden inte själv har lämnat det), dels uppdatera redan
befintliga telefonnummer i kundregistret. Det gäller såväl privatpersoner som företag.
Beställaren lämnar sitt kundregister på band, diskett eller genom filöverföring via
modem. Matchningsnyckel är namn och adress och utdatamedia är band, diskett, lista,
etikett eller filöverföring via modem. Detta innebär att det sker en samkörning som
normalt är tillståndspliktig enligt datalagen, om inte varje kund samtyckt till att
hans telefonnummer uppdateras efter hand eller att hans telefonnummer tillförs
8
kundregistret. Telia kontrollerar att beställaren har ett tillstånd från
Datainspektionen eller att samtliga aktuella kunder lämnat sitt samtycke till
samkörningen.
TeleAdress – slumpvist urval
Denna produkt används framförallt för marknadsundersökningar. Telia tillhandahåller
beställaren ett antal slumpvist utvalda namn, adresser och/eller telefonnummer till privatpersoner och/eller företag inom ett givet geografiskt område. Beställaren kan få informationen på lista, etikett, band, diskett eller genom filöverföring via modem. För det fall att
personuppgifter lämnas ut på ADB-media och skall användas för marknadsundersökningar, krävs Datainspektionens tillstånd eftersom beställaren inte har
någon naturlig anknytning till de registrerade. Telia kontrollerar att Datainspektionen meddelat tillstånd för registret. De generella föreskrifterna för vissa
direkreklamregister kan dock vara tillämplig om beställaren skall använda
uppgifterna för marknadsföringsändamål. I de fallen är det tillräckligt att
beställaren har anmält sig för licens. Några hemtelefonnummer får då inte ingå i
registret.
TeleAdress – bransch
Beställaren anger vilken eller vilka branscher han är intresserad av och får sedan namn,
adress och/eller telefonnummer till dessa företag inom ett givet geografiskt område.
Uppgifterna hämtas från Gula Sidorna och levereras på lista, etikett eller diskett.
Datalagen blir tillämplig eftersom uppgifter om enskilda näringsidkare räknas som
personuppgifter. Normalt kan de generella föreskrifterna för vissa direktreklamregister följas. I de fallen är det tillräckligt att beställaren har anmält sig för licens.
TeleAdress – geografiskt område
Denna produkt ger beställaren namn, adress och/eller telefonnummer till privatpersoner
och/eller företag inom ett givet geografiskt område. Informationen levereras på lista,
etikett, band eller diskett. Normalt kan de generella föreskrifterna för vissa
direktreklamregister följas. I de fallen är det tillräckligt att beställaren har anmält
sig för licens. Några hemtelefonnummer får då inte ingå i registret.
9
Telias rutiner
Datainspektionen avslutade i februari 1997 ett tillsynsärende mot Telia, där inspektionen
framförde synpunkter på hur datalagens regler följdes vid utlämnande av
personinformation till externa beställare. Telia har nu uppgett att man sedan dess vidtagit
en rad åtgärder för att förbättra sina rutiner. Rutinerna ser nu ut så som följer.
•
•
•
•
•
•
•
•
Säljarna utbildas i datalagens regler och alla har en pärm där reglerna – inklusive
licens- och tillståndsplikt och de generella föreskrifter för vissa direktreklamregister –
finns beskrivna.
Säljarna informerar beställarna om vilka regler som gäller enligt datalagen vad avser
den aktuella produkten.
På de särskilda informationsblad som beskriver produkter innehållande
personuppgifter finns ett avsnitt angående tillståndsplikt enligt datalagen om
tillståndsplikt kan bli aktuell.
Innan uppgifter lämnas ut på ADB-media från Respons ber man att få en kopia av
Datainspektionens beslut för det aktuella registret, om de generella föreskrifterna för
vissa direktreklamregister inte är tillämpliga.
Ingen samkörning görs förrän Respons har förvissat sig om att tillstånd meddelats när
så krävs.
Även kopior av ”gamla” beslut hämtas in, eftersom det hänt att beställarna blandat
ihop tillstånd med licens eller av annan anledning felaktigt trott sig ha tillstånd för
registret.
Produkter vilka Datainspektionen troligen inte skulle godkänna, exempelvis
telemarketing mot privatpersoner, tillhandahålls inte på ADB-media.
Inga hemliga telefonnummer lämnas ut, inte heller i produkten TeleAdress –
slumpvist urval. Undantag görs dock när SOSAB behöver namn och adress i en
larmsituation.
Telia säljer en hel del information genom återförsäljare. Det är då återförsäljaren som
informerar om datalagens regler och kontrollerar beställarnas tillstånd. Telias företrädare
är dock medvetna om att 11 § datalagen riktar sig till den som lämnar ut uppgifter från
sitt personregister och att Telia således inte kan avsäga sig ansvaret för att kontrollen görs
på ett korrekt sätt. Telia har uppgett att man normalt förutsätter att beställaren har anmält
sig för licens hos Datainspektionen om de vill ta emot uppgifterna på ADB-medium,
eftersom det är ett krav som alla skall känna till. Kontroll görs dock om det finns
anledning att tro att licensanmälan inte har gjorts.
10
Spärrlista
De personer som inte vill bli föremål för direktreklaminsatser, kan anmäla sig till en
spärrlista hos Telia. Spärren kan i nuläget inte differentieras, vilket innebär att
telefonnumret till den som har en direktreklamspärr inte heller lämnas ut för t.ex.
uppdatering av kundregister eller till talsvarsdatorer. Telia går inte ut med någon direkt
information om att spärrlistan finns, men då och då skrivs artiklar i dagspressen där
allmänheten får denna information.
11
Datainspektionens synpunkter
Telia har sedan Datainspektionens tidigare tillsyn vintern 96/97 skärpt sina rutiner för
utlämnande av personinformation på ett påtagligt sätt. Inspektionen har i nuläget ingen
kritik att framföra mot förfaringssättet. Några frågor återstår dock att diskutera.
Kataloginformation på Internet
Telia har ansökt om Datainspektionens medgivande att lämna ut Gula, Rosa och Vita
Sidorna över den öppna delen av Internet. Frågan kommer därför inte att tas upp till
vidare diskussion i denna rapport.
TeleAdress – nettomatchning
Som Datainspektionen uppfattar det har denna produkt egentligen aldrig tillståndsprövats
av inspektionen. (Telia har hänvisat till ett beslut gällande Sydsvenska Dagbladet (dnr
1511-97), men det ärendet rör enligt Datainspektionens mening snarare produkten
TeleAdress – nummermatchning, d.v.s. en uppdatering av telefonnummer i ett befintligt
kundregister.) Huruvida Datainspektionen skulle godkänna att telefonnummer till
privatpersoner används av beställaren för bortmatchning av befintliga kunder och därmed
i teorin utlämnas från Telia, återstår att pröva när en sådan tillståndsansökan kommer in.
Talsvarsdatorer
Som ovan har redovisats kan kundregister av olika anledningar innehålla information om
personer som rent faktiskt inte har anmält sitt intresse för kontakt med företaget. Ett
exempel är när ett företag använder tjänsten TeleAdress – adressmatchning och någon
knappar in ett telefonnummer som inte tillhör honom. Den riktiga abonnenten blir då mot
sin vilja registrerad som kund hos företaget. Datainspektionen anser dock inte att
TeleAdress – adressmatchning är en produkt som i sig är integritetskränkande eller
behöver tillståndsregleras av integritetsskyddsskäl och kommer därför att fundera vidare
på hur datalagen bör tillämpas i dessa undantagsfall. Eventuellt kan generella föreskrifter
införas som reglerar dessa situationer i stort.
Datainspektionen vill också erinra om att uppgifter om enskilda näringsidkare faller under
datalagens regler, vilket inte alltid framgår klart av Telias produktinformation.
12
Avslutning
Datainspektionens uppgift är framförallt att hitta en balans mellan den enskildes rätt till
integritet och samhällets behov av effektivitet. Kommersialiseringen av personuppgifter
som den enskilde måste lämna ifrån sig för att kunna utnyttja de tjänster som samhället
erbjuder, t.ex. telefonabonnemang, innebär en spridning av uppgifterna som i de flesta
fall går utöver det ursprungliga syftet med insamlingen. Datainspektionens grundsyn är
att integritetsskyddet försämras genom denna spridning eftersom den enskilde i realiteten
inte längre har kontroll över var och hur uppgifter om honom används.
Direktreklammarknaden har en stor del i denna spridning.
Datainspektionens erfarenhet är att det stora irritationsmomentet vad gäller reklaminsatser
är telemarketing mot privatpersoner. Telia bidrar till marknaden genom sin tjänst
TeleAdress – aktuella hushåll. Den information beställaren erhåller faller i dagsläget inte
inom Datainspektionens tillsynsområde. Saken kommer eventuellt att te sig annorlunda
när den nya personuppgiftslagen träder i kraft den 24 oktober 1998, eftersom även
bearbetningen av viss manuell information då kommer att regleras. Datainspektionens
primära inställning är dock att direktreklammarknaden inte bör regleras genom förbud att
samla in information utan genom etiska regler för ex. vem som kontaktas, på vilka tider
säljarna bör och inte bör ringa och genom att det finns fungerande spärrlistor. Detta torde
enligt Datainspektionens mening vara ett effektivare och lämpligare sätt att komma till
rätta med det missnöje som kommit fram i klagomålen.
För de personer som vill undvika direktreklaminsatser i olika former kan följande
information lämnas.
Telia har en spärrlista som man kan anmäla sig till. Kom ihåg att ditt telefonnummer då
inte heller kommer att lämnas ut för uppdatering av kundregister, telefonnummersättning
eller till talsvarsdatorer. Ring 08-634 70 46 eller 08-634 70 47.
SWEDMA (branschföreningen för direktreklamföretag) har en spärrlista som kallas NIXlistan. Företag som är medlemmar i SWEDMA skall rensa sina register från personer som
anmält sig till listan innan man genomför direktreklaminsatser. Detta gäller ännu endast
postbefordrad reklam men SWEDMA avser enligt uppgift att inrätta även NIX-telefon,
NIX-fax och NIX-e-post. Ring eller skriv till: NIX – Reklamtjänst, Box 600, 833 24
Strömsund. 020-55 70 00.
Från SPAR (Statens person- och adressregister) hämtas stora mängder adresser för direktreklamändamål. I SPAR finns dock inga telefonnummer, matchningsnyckeln är istället
oftast personnummer. Vill du undvika en hel del postbefordrad direktreklam kan du
skriva till: SPAR-nämnden, Box 2280, 103 17 Stockholm. Du måste förutom namn och
adress uppge även personnummer.
13
Besöksadress: Fleminggatan 14, plan 9
Postadress: Box 8114, 104 20 Stockholm
Beställningar: 657 61 42 (telefonsvarare)
E-post: [email protected]
Fax: 08-652 85 52
Tel: 08-657 61 00