I agree - men till vad? Rapport om integriteten på nätet Juni 2014 Innehållsförteckning Innehållsförteckning .................................................................................................. 2 1. Sammanfattning ..................................................................................................... 3 2. Bakgrund ................................................................................................................ 4 3. Resultat ................................................................................................................... 6 3a. Fem fel ........................................................................................................................... 6 3b. Användarkonto för att kunna handla ......................................................................... 7 3c. Onödiga personuppgifter ............................................................................................. 7 3d. Automatiskt samtycke .................................................................................................. 7 4. De tolv kartlagda hemsidorna ............................................................................... 9 4a. CDON ............................................................................................................................. 9 4b. Ellos ................................................................................................................................ 9 4c. Ticnet .............................................................................................................................. 9 4d. Adlibris ......................................................................................................................... 10 4e. IKEA .............................................................................................................................. 10 4f. Bauhaus ........................................................................................................................ 10 4g. Nelly ............................................................................................................................. 11 4h. Booking.com ............................................................................................................... 11 4i. Jollyroom ...................................................................................................................... 12 4j. Brandos ......................................................................................................................... 12 4k. Zalando ........................................................................................................................ 12 4l. Blocket .......................................................................................................................... 13 5. Sveriges Konsumenters slutsatser ........................................................................ 14 6. Bilaga Personuppgiftslagen ................................................................................. 15 2 1. Sammanfattning Sveriges Konsumenter har under maj 2014 gått igenom personuppgiftspolicyn på tolv hemsidor. De är av olika typer och riktar sig till olika målgrupper. Resultatet visar på stora skillnader, bland annat gäller det möjligheten att handla utan att vara inloggad eller att ha ett konto, samt vilka uppgifter man kräver att du som konsument lämnar ifrån dig. Skillnaderna gäller också om du aktivt måste tacka ja till deras personuppgiftspolicy eller om du automatiskt anses ha tackat ja till den bara genom att använda sidan. Vissa företag är tydliga med att tala om att de vidareförmedlar personuppgifter till tredje part både inom EES och till tredje land utanför EES medan andra talar om att de inte säljer personuppgifter vidare. Ytterligare andra berättar inte alls hur de gör med uppgifterna. Vissa företag talar om vilka deras samarbetspartners är medan andra inte gör det. En del talar om att uppgifterna kan sparas i upp till fem år efter avslutad kontakt medan andra inte säger något alls om hur länge de sparar dina uppgifter. En konsekvens av detta är att du som konsument kan bli uppringd av telefonförsäljare, får sms-reklam, spam eller på annat sätt blir uppsökt i marknadsföringssyfte från företag du aldrig varit i kontakt med. Detta just för att du samtyckt till att ett företag dels sparar och använder dina personuppgifter långt efter det att du avslutat er kontakt och dels säljer dina personuppgifter vidare både för marknadsförings- och marknadsundersökningssyfte. Företag du inte har någon affärskontakt med kan alltså ringa upp dig, trots att du nixat dig, eftersom du utan att förstå det godkänt att ett för dig okänt företag kan ha fått dina personuppgifter från det företag du handlat av. Antingen kan du ha accepterat detta då du klickat i att du godkänner villkoren (”I agree” eller ”Jag godkänner”) att de förmedlar dina personuppgifter eller bara accepterat detta ”in blanco” då du handlat från en hemsida. De flesta företag är tydliga med att tala om att de följer Personuppgiftslagen (PUL) och att du har rätt att få ut och ändra de personuppgifter de lagrat om dig. Men för de företag som inte kräver ett individuellt och otvetydigt samtycke och som sparar mer än nödvändiga uppgifter för längre tid än vad som behövs för att fullfölja ett avtal kan vi konstatera att detta inte överensstämmer med reglerna i PUL. Sveriges Konsumenter har fyra krav för att värna konsumenterna: 1. Slut på långa och obegripliga avtal till konsument för nättjänster. 2. Öka transparensen kring hur personuppgifter används och säljs. 3. Öka möjligheten för konsumenten att vara anonym vid handlande och surfande på nätet. 4. Se till att konsumenterna alltid kan radera och ta med sig sina personuppgifter. 3 2. Bakgrund Det blir allt svårare för en konsument att få kontroll över sina personuppgifter på nätet, eftersom du är tvungen att lämna ifrån dig en mängd uppgifter för att kunna utnyttja olika tjänster samtidigt som de avtal som vi godkänner ofta är långa och obegripliga för de flesta utan juridisk utbildning. Varken kunskaperna eller tiden räcker helt enkelt till. Det har lett till ett beteende där vi mer eller mindre tvingas lämna ifrån oss personuppgifter utan att kunna vara säkra på hur de används. Vi godkänner visserligen med ett kryss i rutan ”Jag godkänner villkoren” eller ”I agree”. Men vad godkänner vi? Till vad klickar vi ”I agree”? Utvecklingen befinner sig på ett sluttande plan och integritet på internet håller på att bli en stor konsumentfråga. Skydd av personuppgifter och större transparens tillhör de krav som såväl den svenska som den europeiska och den internationella konsumentrörelsen driver allt hårdare. Sveriges Konsumenters vision för 2020 är bland annat att uppnå följande: Konsumenter som är trygga, kompetenta och handlingskraftiga, som har en stark röst med makt över sin konsumtion och där de hållbara valen är enkla och möjliga för alla. En fungerande marknad där det råder balans i styrka mellan näringsliv och konsumenter med varor och tjänster som är säkra, tillgängliga, prisvärda och hållbara. Ett perspektiv och synsätt som utgår från alla konsumenters behov och de åtta grundläggande konsumenträttigheterna samt från målet om en långsiktigt hållbar utveckling, såväl socialt, ekologiskt som ekonomiskt. Ett samhälle som är stöttande, fritt och rättvist med ett starkt konsumentskydd på en hög nivå där regler, tillsyn och sanktioner bidrar till ett samhälle där den som har rätt också får rätt. Ett av de prioriterade områdena för 2014 är digitala rättigheter. Flera av kraven i valplattformen ”100 krav för en starkare konsumentpolitik” siktar också in sig på att stärka konsumentens integritetsskydd. Hur ser det då ut på nätet? För att få en bättre bild har Sveriges Konsumenter under maj 2014 gått igenom personuppgiftspolicyn på tolv hemsidor som vänder sig till konsumenter i Sverige. Vid analysen har vi utgått från Personuppgiftslagen (PUL). I denna lag finns regler för hur personuppgifter får behandlas. Lagen bygger i hög grad på samtycke med och information till de registrerade. Vilka regler i personuppgiftslagen som gäller beror på hur personuppgifterna som publiceras är strukturerade. Om personuppgifterna lagras i en databas eller annan typ av register anses uppgifterna vara strukturerade. Enligt den branschöverenskommelse som finns för marknadsföring ska uppgifter om personer förstöras snarast efter det att de använts för den avsedda direktmarknadsföringen. Överenskommelsen säger också att med hänsyn till att 4 adressuppgifter ofta ändras och därför inte kan betraktas som aktuella under någon längre period bör personuppgifter som behandlas för direktreklam inte bevaras längre än tre månader räknat från det datum då de samlades in. Datainspektionen anser att uppgifter om kundens personnummer och folkbokföringsadress är adekvata och relevanta för att administrera det kundförhållande som uppstår i samband med att en beställning genomförs. Däremot är det svårt att se varför det skulle vara nödvändigt för kunden att lämna ut folkbokföringsuppgifter på bolagets hemsida i samband med en beställning som inte rör en vara som skickas hem. Detta särskilt som utlämnandet sker redan innan en beställning fullbordats. Det här förhållandet ökar risken för bedrägerier, genom att vem som helst som har tillgång till ett personnummer kan mata in personnumret i fråga och på så sätt, utan lösenord, göra beställningar i en annan persons namn. Bedragaren kan sedan hämta ut varan i postlådan som finns på folkbokföringsadressen och den som har personnumret får fakturan. 5 3. Resultat 3a. Fem fel Vid genomgången av de tolv hemsidorna har Sveriges Konsumenter identifierat fem typer av problem för dig som konsument när det gäller hur företagen använder dina personuppgifter: 1. Inget aktivt samtycke. I de flesta fall måste du inte aktivt kryssa i att du accepterar företagens personuppgiftspolicy utan det räcker att du är inne på sidan, handlar eller öppnar ett konto, för att du automatiskt anses ha accepterat deras personuppgiftspolicy, hur de samlar in, sparar och vidareförmedlar dina uppgifter. Enligt Personuppgiftslagen får ett företag inte upprätta ett register utan att inhämta ditt otvetydiga och aktiva samtycke. 2. Viktiga villkor drunknar i mängden. Eftersom företagen vet att de flesta inte läser igenom avtalstexter och framförallt inte förstår all information i dessa ofta komplicerat skrivna texter, ser det ut som om företagen i många fall passar på att baka in flera villkor som du aldrig skulle samtyckt till om du hade läst och/eller förstått vad det faktiskt är du samtycker till. I många fall kan du dessutom inte använda sidan om du inte samtycker eller är inloggad. 3. Uppgifter vidareförmedlas. Även om du aktivt samtycker till att ett företag samlar in dina personuppgifter och använder sig av dem så borde detta inte med automatik innebära att företaget kan vidareförmedla dina uppgifter och ditt samtycke till andra företag som sedan kan ”bombardera” dig med reklam, marknadsundersökningar och marknadsföring. Man får inte utan ett individuellt och otvetydigt samtycke lämna ut eller sälja sitt kundregister till andra företag som inte har liknade verksamheter och varken lämna ut eller sälja medlemsregister, kartlägga en persons inköpsvanor, ta fram kundprofiler eller liknade, vilket flera av företagen gör. 4. Oskäligt lång tid för avregistrering. Att handla, med eller utan inloggning, går oftast bra att göra direkt utan dröjsmål. Att däremot avregistrera sig och slippa bli attackerad med reklam och marknadsföring kan i värsta fall ta upp till fem år. 5. Onödiga uppgifter avkrävs. Att behöva lämna ifrån sig information om personnummer, bostadsadress mm är i de fall där det inte handlar om att du beställer hem en vara fullständigt onödigt. Uppgifter om kön, intressen och andra personliga uppgifter är också helt onödigt om du inte själv är intresserad av en väldigt personlig och skräddarsydd reklam både från företaget i fråga och alla deras partners. 6 3b. Användarkonto för att kunna handla I många fall går det inte ett handla eller använda tjänsten utan att ha ett användarkonto. Här måste man ställa sig frågan om det verkligen ska behövas, när det ofta rör sig om ett engångsköp. T ex behöver du skapa ett användarkonto för att överhuvudtaget kunna köpa en vara eller en tjänst på fem av de tolv hemsidor som vi har tittat på. Detta gäller Ellos, Ticnet, Brandos och Zalando. På alla andra hemsidor, där man utan att uppge mer än nödvändiga uppgifter kan gå direkt till en snabbkassa och handla, blir du påmind om att en registrering av ett konto eller ett medlemskap innebär att du får del av fantastiska erbjudanden, som många har svårt att låta bli. 3c. Onödiga personuppgifter Nio av tolv, alltså de flesta av Sveriges Konsumenters undersökta hemsidor, kräver mer än nödvändiga uppgifter för att beställa en vara eller en tjänst. CDON, Ellos och Jollyroom kräver t ex att du anger ditt personnummer. Ellos, Ticnet, Adlibris, IKEA, Brandos och Zalando kräver att du lämnar ut din e-postadress. Ditt telefonnummer måste du lämna till Brandos och Zalando. Vilket kön du har vill både Ticnet och Brandos veta, men vilket språk du talar behöver du bara uppge till Ticnet. Något annat kön än man eller kvinna kan du inte välja. Din bostadsadress kan vara nödvändig information för att företaget ska kunna skicka beställda varor, men att även Booking.com behöver veta var du bor är inte nödvändigt. 3d. Automatiskt samtycke Ibland måste du klicka i att du accepterar användarvillkoren och företagets personuppgiftspolicy och att de använder sig av cookies, men i de flesta fall står det i villkoren att bara genom att registrera dig eller genom att göra en beställning så samtycker du automatiskt till deras personuppgiftspolicy. Detta gäller t ex hos Ticnet där deras avtalsvillkor kan läsas på sex tätskrivna sidor. Även om företaget informerar om detta, vet företagen att de flesta inte läser igenom vad det är du faktiskt accepterar. Om du hade läst vad du tackat ja till, är det inte säkert du hade accepterat att företagen sparar uppgifter i upp till fem år efter det att du använt sidan eller handlat något, eller att kontaktuppgifter lämnas ut till tredje part både inom och utanför EES, både för marknadsundersökningar och marknadsföring. Ibland har du inte ens möjlighet att läsa igenom och acceptera personuppgiftspolicyn eftersom du förutsätts acceptera den bara genom att besöka sidan, även om du inte handlar något eller är inloggad. I många fall är det även förkryssat att du vill ha nyhetsbrev eller annan marknadsföring. En ärlig uppmaning har Blocket som skriver att de kan dela information med samarbetspartners och att de kräver ditt samtycke för att skicka anpassad information och erbjudanden om Blocketrelaterade tjänster. När du lägger in en annons eller på 7 annat sätt använder deras tjänster så accepterar du automatiskt att Blocket får använda och spara informationen och att de kan lämna ut dina personuppgifter till andra. Om du inte kan acceptera detta så får du avstå från att använda tjänsten. Klart och tydligt besked. 8 4. De tolv kartlagda hemsidorna 4a. CDON För att använda sig av CDON:s tjänster måste du vara inloggad eller beställa med hjälp av ditt personnummer. När du registrerar ett konto med personnummer, namn och adress är det förkryssat att du tackar ja till deras nyhetsbrev. I och med registreringen samtycker du till att CDON och dess närstående bolag lagrar och använder både personuppgifter och uppgifter om inköp. Vill man inte detta så går det att avanmäla. För att vara inloggad måste du acceptera cookies. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. Det står inget i deras villkor om marknadsföring eller vidareförmedling av uppgifter till tredje land. 4b. Ellos Även här måste du skapa ett användarkonto för att kunna handla. Du måste registrera dig med en e-postadress och genom en registrering samtycker du till deras behandling av personuppgifter. Något som kan återkallas skriftligen. Det är förkryssat att du accepterar erbjudanden och nyheter via e-post. Personuppgifter kan lämnas ut till Ellos group och deras samarbetspartners inom och utom Europa. De analyserar dina köp och aktiviteter genom sina sidor och sociala medier för marknadsföringssyften. Dina uppgifter kan de spara i upp till 3 år efter det att kundförhållandet har upphört. (Det betyder hela garantitiden för den vara du köpt plus ytterligare 3 år.) Det är frivilligt att lämna ut mer personuppgifter, men om du inte samtycker till deras personuppgiftspolicy så går det inte att handla. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4c. Ticnet Hos Ticnet måste du ha ett konto för att kunna handla. De kräver info om namn, kön, epostadress, land, telefonnummer och språk. Genom att skapa kontot godkänner du att de kontaktar dig med erbjudanden och marknadsföring även från evenemangspartners och 3:e part. För att gå vidare på sidan måste du acceptera detta. Företaget använder sig även av spårningsverktyg såsom cookies, beacons, gpspositionering, info om vilken enhet du använder och hur ofta och var du laddar ner en app. De scannar ditt musikbibliotek, om du accepterar detta. De analyserar ditt beteende för att kunna erbjuda tjänster, reklam, produkter, marknadsundersökningar och skräddarsyr reklam i samarbete med andra. Med ditt medgivande kan du bli kontaktad av tredje part t ex välgörenhetsorganisationer och detaljhandelsbolag. Om du inte samtycker får du inte del av erbjudanden. Om du väljer att skriva ”stop” på ett sms-reklammeddelande så tar det 10 dagar innan det får effekt och de slutar skicka 9 sms-reklam. Din information överförs även till andra länder. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4d. Adlibris Hos Adlibris kan du handla i snabbkassan utan att behöva vara inloggad. Väljer du att skaffa ett konto så ska du ange namn, adress, e-post och telefonnummer. Då måste du också acceptera att de lagrar och använder dina personuppgifter, leveransbetalnings- och inköpsuppgifter om dina produkter och att de gör områdesbaserade statistiskt beräknade profiler med utgångspunkt i din adress, utbildning, civilstånd, ålder, boendeform, ortens läge, inkomstnivå, antal barn, resvanor och livsstil. Dessa uppgifter samlas in i samband med dina inköp eller via andra källor t ex olika offentliga register och databaser. Dessa uppgifter används dels inom hela Bonnierkoncernen, dels av samarbetspartners utanför koncernen, för statistik och marknadsföring. Uppgifterna sparas en tid efter medlemskapet men du får inte veta hur länge. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4e. IKEA När du beställer en katalog, en vara eller blir medlem hos IKEA sparas din e-postadress mm för service och marknadsföring inom och utanför koncernen, även utanför EES. Företaget samkör dina uppgifter med andra register. T ex uppdateras dina uppgifter via SPAR. Företaget använder sig av olika cookies, vilka du kan radera, men då får du inte tillgång till alla områden och funktioner. Företaget informerar om att dina uppgifter raderas inom 5 år av inaktivitet samtidigt som man skriver följande: ”Skickar man något till IKEA ger man IKEA fullständiga och oåterkalleliga rättigheter att använda, reproducera, modifiera, överföra och distribuera materialet och informationen samt att IKEA äger rätt att använda idéer, koncept och annat i valfritt syfte.” Så även om du kan handla i snabbkassan utan att vara inloggad så är det inget du kan göra på sidan utan att acceptera deras personuppgiftspolicy. 4f. Bauhaus Hos Bauhaus kan du handla utan att vara inloggad. Ditt personnummer behöver du bara lämna om du vill handla mot faktura. Men oavsett inloggad eller ej godkänner du i och med en beställning att dina personuppgifter lagras. De poängterar dock att det bara är deras anställda med kundkontakter och säkerhetsanställda som får tillgång till dina uppgifter. De använder cookies som registrerar vad du gör, vilka inlägg du skriver samt vad du lägger i varukorgen. De lämnar inte ut dina uppgifter till tredje part såvida det inte gäller till polisen vid pågående utredning och de medverkar inte till spam eller säljer kunduppgifter. Du får bara e-post rörande kundrelationer samt olika erbjudanden men aldrig från tredje part. 10 Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4g. Nelly Hos Nelly behöver du inte vara inloggad för att handla. Du behöver uppge namn och uppgifter för fakturering. Genom att registrera dig eller handla samtycker du till att Nelly och närstående bolag lagrar uppgifter om dina inköp och dina kontaktuppgifter för att information och marknadsföring. Man gör detta via mail och sms om du inte direkt motsatt sig detta. Det är bara Nelly och närstående bolag som får del av uppgifterna. Man vidareförmedlar inte dina uppgifter utan ditt samtycke, vilket kan återkallas. De använder cookies som du kan ta bort, men då kan du inte vara inloggad. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4h. Booking.com Visserligen kan du boka utan att öppna ett konto men med konto förenklas hanteringen. När du gör en bokning ombeds du att uppge namn, adress, telefonnummer, mailadress, betalningsinformation, namn på de gäster du reser med samt bokningspreferenser. Booking.com samlar information om språkinställning och latitud/longitud oavsett om man bokar något eller ej. Man samlar också in information om dig via sociala medier. Man delar uppgifterna internationellt med kundtjänstpersonal över hela världen. Med hjälp av dina personliga inställningar kan du skapa och dela listor, dela bilder, se boenden som du sökt på tidigare och annan information som du uppgett om olika boenden och resmål. Det ger också möjlighet att se alla recensioner du har skickat in. Om du vill kan du dela viss information på ditt användarkonto genom att skapa en officiell profil som är knuten till antingen ditt eget förnamn eller ett alias som du väljer. Den typ av information du kan dela omfattar foto, namnen på platser du besökt, listor, framtida resplaner, recensioner och annan information om boenden och resmål. Informationen används också i marknadsundersökningar och för marknadsföringssyft. Du kan avsluta nyhetsbrev och reklamutskick. Booking.com skräddarsyr erbjudanden i appar, sociala medier eller på tredje parts webbplats eller som sms i telefon. Genom sociala medier marknadsför de även partners boende. Personuppgifter delas med tredje part inom företagsgruppen och moderbolaget samt dess grupp. Företaget erbjuder tredje partstjänster och samarbetar med sina partners i marknadsföringssyfte. ”Gratisappar” samlar in och processar personuppgifter, har lokaliseringstjänster samt om du accepterat det, visas inskickade recensioner på webbplatsen, i appar och sociala medier. För att t ex komma ihåg dina val används cookies. Även från tredje part. Företaget har onlinemarknadsföring och reklam men bara från medlemmar i NAI (Network Advertising Initiative) och IAB (Interactive advertising Bureau) vilka ska borga för att de följer god affärssed. 11 Tar du bort cookies får du inte tillgång till alla funktioner. Du kan radera ditt användarkonto men din info sparas i 5 år efter sista besöket. Företaget meddelar att du har rätt att begära ut dina personuppgifter. 4i. Jollyroom Du kan handla på Jollyroom utan att vara inloggad, men måste lämna namn, adress, epostadress och telefonnummer. I och med att du beställer eller registrerar dig så accepterar du deras personuppgiftspolicy. De lämnar inte ut personuppgifter till tredje part. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4j. Brandos På Brandos måste du skapa ett konto för att beställa. Du måste uppge både epostadress, mobilnummer och om du är man eller kvinna. Det är förkryssat att du vill ha nyhetsbrev. Genom att godkänna köpvillkoren samtycker du till deras personuppgiftspolicy. Personuppgifterna används för att lämna erbjudanden från Brandos och närstående bolag, men vilka dessa är får du ingen information om. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4k. Zalando Hos Zalando måste du vara inloggad för att få handla. Zalando lagrar dina uppgifter så länge som föreskrivs i lag eller krävs för att utföra tjänsterna. Du måste lämna både namn, adress, e-postadress och telefonnummer. Genom att skicka dina uppgifter samtycker du till deras personuppgiftspolicy. Du måste dock aktivt klicka i om du vill ha nyhetsbrev. Företaget lagrar uppgifter såsom titel, namn, kön, mailadress, postadress, telefonnummer och kreditkortsuppgifter. Företaget granskar nedladdningar från deras webbsida, skräddarsyr och identifierar sina användare för undersökningar kring demografiska uppgifter och skickar sedan information om produkter och tjänster om du inte motsatt dig detta. Företaget överför även kontaktuppgifter till affärspartners och tredje part. Dock delar de inte dina uppgifter till tredje land utanför EES. Uppgifterna kan användas för marknadsundersökningar vilket du kan avanmäla. För att kunna delta i tävlingar måste du ha lämnat ifrån dig din e-postadress. Om du avregistrerar dig tar det sju dagar innan det registreras. Företaget har sociala plugins t ex på Facebook, en direktkoppling till Facebooks servrar. Är du inloggad kan information läggas på ditt Facebook-konto och publiceras på Facebook. Detta går dock att blockera. Om du inte accepterar cookies kan du inte använda kundkorgen eller beställa något. Företaget använder sig också av webtrekk som samlar in data för marknadsundersökningar och optimeringssyfte. Detta måste du godkänna för att de ska kunna identifiera besökare. De använder Googles servrar i USA. De utvärderar hur du använder sidan, sammanställer rapporter kring aktiviteter på webbsidan och ordnar med service rörande webbaktiviteter och internetanvändande. Detta kan också 12 överföras till tredje part. Så fort du använder sidan samtycker du till att uppgifter om dig kan processas av Google. Utan ditt uttryckliga samtycke kommer inte din användarprofil att lagras ihop med data avseende en pseudonym. Företaget meddelar att du har rätt att begära ut personuppgifter 1 ggr/år samt göra ändringar. 4l. Blocket Blocket kan du använda utan att ha ett konto. Blocket kan dela din information med sina samarbetspartners. Det krävs dock ditt samtycke för att de ska skicka anpassad information och erbjudanden om Blocketrelaterade tjänster. Du kan tacka nej. Men när du lägger ut en annons eller använder Blockets tjänster medger du att Blocket använder, sparar och kan lämna ut dina personuppgifter till andra. Om du inte kan acceptera detta måste du avstå från att använda sidan. 13 5. Sveriges Konsumenters slutsatser Internet är numera närmast en nödvändighet för att kunna fungera som samhällsmedborgare och konsument. Då är det mycket viktigt att villkoren för konsumenterna är rimliga och inte utgår från människor som har utbildning, tid och tålamod att utforska vad villkoren egentligen innebär. Vår undersökning av tolv hemsidor visar att situationen är djupt oroande och att företagen utnyttjar konsumenters underläge för att få personuppgifter som sedan säljs vidare till olika parter helt utanför konsumentens kontroll. Kraven på konsumenterna idag är orimliga. För att kunna använda många tjänster – även av mycket enkel karaktär - tvingas vi godkänna långa avtal som knappt är fullt begripliga ens för utbildade jurister. Här faller ansvaret tungt såväl på företagen själva som på tillsynsmyndigheter – i första hand Datainspektionen – som på lagstiftare såväl på EU- som på nationell nivå. Sveriges Konsumenters valplattformar inför EU-valet och riksdagsvalet innehåller många viktiga krav på politiken för att värna integriteten och andra rättigheter i den digitala världen. För att möta de problem som tas upp i denna rapport har Sveriges Konsumenter fyra krav för att värna konsumenterna: 1. Slut på långa och obegripliga avtal för nättjänster. Det är inte acceptabelt med 60-sidiga avtal som i praktiken enbart utgör friskrivningar till företagets fördel. Begripligheten måste anpassas efter vad konsumenter kan förväntas förstå. Avtal ska gärna förses med sammanfattningar. 2. Öka transparensen kring hur personuppgifter används och säljs. Undersökningen visar stora brister i transparensen, gärna med standardsformuleringar på väl synlig plats av typen ”Vi förmedlar dina personuppgifter vidare till andra företag…”. 3. Öka möjligheten för konsumenten att vara anonym vid handlande och surfande på nätet. Det är orimligt att konsumentens ak behöva lämna ifrån sig rader av uppgifter bara för att köpa en konsertbiljett eller en bok. 4. Se till att konsumenterna alltid kan radera och ta med sig sina personuppgifter. Detta är ett av kraven i EU:s förslag på dataskyddsförordning, men vägen till ikraftträdande är lång och mycket kan göras på frivillig väg. 14 6. Bilaga Personuppgiftslagen Grundläggande krav på behandlingen av personuppgifter 9 § Den personuppgiftsansvarige skall se till att a) personuppgifter behandlas bara om det är lagligt, b) personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, c) personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål, d) personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in, e) de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, f) inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen, g) de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella, h) alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och i) personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. I fråga om första stycket d gäller dock att en behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte skall anses som oförenlig med de ändamål för vilka uppgifterna samlades in. Personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål. Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. RH 2004:51 Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om... RH 2008:87 Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet... RÅ 2006 ref. 86 Fråga om rättelse av uppgift i utsöknings- och indrivningsdatabasen när det beslut som legat till... När behandling av personuppgifter är tillåten 10 § Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att a) ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet, c) vitala intressen för den registrerade skall kunna skyddas, d) en arbetsuppgift av allmänt intresse skall kunna utföras, e) den personuppgiftsansvarige eller en tredje man till vilken personuppgifter lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. AD 2010 nr 87 En arbetsgivare är enligt transportavtalet skyldig att till den lokala fackliga organisationen... RH 2004:51 Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om... RH 2008:87 Fråga om innebörden av begreppet personuppgift i personuppgiftslagen samt skadeståndsskyldighet... RÅ 2001 ref. 35 Fråga om manuell behandling av personuppgifter i betygshandlingar som är sorterade i... RÅ 2001 ref. 68 Jordbruksverkets adressregister över mjölkproducenter har ansetts kunna lämnas ut för kommersiellt... RÅ 2002 ref. 54 Utdrag ur Centrala studiestödsnämndens register över mottagare av studiemedel har ansetts kunna... RÅ 2008 ref. 83 Behandling av biometriska data i form av fingeravläsning i samband med skolmåltider har ansetts... RÅ 2010 ref. 19 Publicering av konkursbouppteckning på Internet har inte ansetts tillåten enligt personuppgiftslagen. Direkt marknadsföring 11 § Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. 15 Samtycke återkallas 12 § I de fall då behandling av personuppgifter bara är tillåten när den registrerade har lämnat sitt samtycke enligt 10, 15 eller 34 § har den registrerade rätt att när som helst återkalla ett lämnat samtycke. Ytterligare personuppgifter om den registrerade får därefter inte behandlas. En registrerad har utöver vad som följer av första stycket och 11 § inte rätt att motsätta sig sådan behandling av personuppgifter som är tillåten enligt denna lag. Förbud mot behandling av känsliga personuppgifter 13 § Det är förbjudet att behandla personuppgifter som avslöjar a) ras eller etniskt ursprung, b) politiska åsikter, c) religiös eller filosofisk övertygelse, eller d) medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Uppgifter av den art som anges i första och andra styckena betecknas i denna lag som känsliga personuppgifter. RH 2004:51 Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om... Undantag från förbudet mot behandling av känsliga personuppgifter 14 § Det är trots förbudet i 13 § tillåtet att behandla känsliga personuppgifter i de fall som anges i 15-19 §§. I 10 § finns det bestämmelser om i vilka fall behandling av personuppgifter över huvud taget är tillåten. Samtycke eller offentliggörande 15 § Känsliga personuppgifter får behandlas, om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. RH 2004:51 Hemsida på Internet med personuppgifter. Överträdelse av personuppgiftslagens bestämmelser om... Nödvändig behandling 16 § Känsliga personuppgifter får behandlas om behandlingen är nödvändig för att a) den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, b) den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke, eller c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras. Uppgifter som behandlas med stöd av första stycket a får lämnas ut till tredje man bara om det inom arbetsrätten finns en skyldighet för den personuppgiftsansvarige att göra det eller den registrerade uttryckligen har samtyckt till utlämnandet. Behandling av personnummer 22 § Uppgifter om personnummer eller samordningsnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) något annat beaktansvärt skäl. Lag (1999:1059). Information till den registrerade Information skall lämnas självmant 23 § Om uppgifter om en person samlas in från personen själv, skall den personuppgiftsansvarige i samband därmed självmant lämna den registrerade information om behandlingen av uppgifterna. 16 24 § Om personuppgifterna har samlats in från någon annan källa än den registrerade, skall den personuppgiftsansvarige självmant lämna den registrerade information om behandlingen av uppgifterna när de registreras. Är uppgifterna avsedda att lämnas ut till tredje man, behöver informationen dock inte ges förrän uppgifterna lämnas ut för första gången. Information enligt första stycket behöver inte lämnas, om det finns bestämmelser om registrerandet eller utlämnandet av personuppgifterna i en lag eller någon annan författning. Information behöver inte heller lämnas enligt första stycket, om detta visar sig vara omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Om uppgifterna används för att vidta åtgärder som rör den registrerade, skall dock information lämnas senast i samband med att så sker. Den information som skall lämnas självmant 25 § Information enligt 23 eller 24 § skall omfatta a) uppgift om den personuppgiftsansvariges identitet, b) uppgift om ändamålen med behandlingen, och c) all övrig information som behövs för att den registrerade skall kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Information behöver dock inte lämnas om sådant som den registrerade redan känner till. Överföring av personuppgifter till tredje land Förbud mot överföring av personuppgifter till tredje land 33 § Det är förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har en adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Frågan om en skyddsnivå är adekvat skall bedömas med hänsyn till samtliga omständigheter som har samband med överföringen. Särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet. Lag (1999:1210). Ändrad 1999-12-21 gm SFS 1999:1210 , ikraft 2000-01-01 RH 2002:71 En person som på Internet registrerat flera sexannonser och därvid hänfört sig till sin f.d. sambo... Undantag från förbudet mot överföring av personuppgifter till tredje land 34 § Det är trots förbudet i 33 § tillåtet att föra över personuppgifter till tredje land, om den registrerade har lämnat sitt samtycke till överföringen eller om överföringen är nödvändig för att a) ett avtal mellan den registrerade och den personuppgiftsansvarige skall kunna fullgöras eller åtgärder som den registrerade begärt skall kunna vidtas innan ett avtal träffas, b) ett sådant avtal mellan den personuppgiftsansvarige och tredje man som är i den registrerades intresse skall kunna ingås eller fullgöras, c) rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras, eller d) vitala intressen för den registrerade skall kunna skyddas. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets konvention om skydd för en-skilda vid automatisk databehandling av personuppgifter. 17