TioårmedPuL –vemägerminauppgifter?

Spaning01/2009

InnehållInledning sid3

EmmaHellström:”Företagenverkarväldigtgodtrogna” sid4

FredrikNilsson:”Detärfåföretagsomföljerlagen” sid4

AgnethaFrick:”VarförvillICAvetaminnationalitet?” sid5

SaraSimonsson:”Jagvillharätttillminauppgifter” sid5

Sammanfattning sid6

Umeå Live följer och granskar hur IT förändrar människors vardagsliv. Hemmet, skolan, jobbet och fritiden blir annorlunda när nya IT-produkter och -tjänster kommer in i vardagen. Därför vi vill vara med och påverka denna utveckling. Umeå Live är ett samarbetsprojekt mellan Umeå universitet, Umeå kommun, Vinnova, Länsstyrelsen i Västerbotten och ett antal näringslivspartners. www.umealive.se

2

Det har gått tio år sedan PuL, personuppgiftslagen, infördes 24 oktober 1998 i Sverige efter ett EG-direktiv. Syftet med lagen är att skydda människor mot att den personliga integriteten kränks genom behandling av personuppgifter.

I dag handlar samhällsdebatten ofta om hur den personliga integriteten på nätet kränks och att företag använder konsumenters uppgifter till bland annat inköps-baserad reklam, Ica:s kampanj Mina varor är ett exempel.

Vi lämnar efter oss elektroniska fotspår överallt och företag har rätt att lagra våra personuppgifter om vi ger vårt samtycke. Enligt PuL får inte känsliga uppgifter som rör hälsa, sexualliv och religiös övertygelse lagras.

Att PuL även ger medborgare rätt att en gång per år få ut alla sina personup-ger medborgare rätt att en gång per år få ut alla sina personup-pgifter kostnadsfritt är det få som känner till. Därför har Umeå Lives studentpool testat enligt PuL 26 § att få ut registerutdrag hos 34 företag som de själva är kunder hos.

Så här lyder lagen:”26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om.

a) vilka uppgifter om den sökande som behandlas,b) varifrån dessa uppgifter har hämtats,c) ändamålen med behandlingen, ochd) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.”

Ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara under-tecknad av den sökande själv. Information ska lämnas inom en månad från det att ansökan gjordes.

För att få ett registerutdrag skall den behandlade skicka en egenhändigt under-skriven begäran till den personuppgiftsansvarige. Att mejla in en förfrågan räcker normalt inte. Läs mer om studentpoolens resultat i den här spaningen.

Rättentillminauppgifter

3

Antaltestadeföretag:11Testmetod:Skrivit,mejlatochringtAntalsvarenligtPuL:3

UmeåLivetestarPuL

Antalföretag:10Testmetod:skrivitochringt.AntalsvarenligtPuL:2

Vad har förvånat dig i undersökningen?Två gånger har jag fått mitt lösenord skickat till en hotmail-adress. Jag testade även att få mina uppgifter till en annan adress än där jag är skriven och då byttes mina adressuppgifter i kundregistret. Det känns väldigt osäkert hur mina uppgifter behand-las av företagen.

Vilka av dina testföretag har följt lagen bäst och sämst?Nordea var bäst. De hade bra information på hemsidan om hur de hanterar per-sonuppgifter. Jag fick dessutom ett utförligt svar på samliga punkter enligt PuL 26§. De har även en särskild PuL-ansvarig. De skickade tre brev för att tala om att min förfrågan var under behandling, vilka uppgifter de har om mig samt en förklaring till hur de använder dessa.

De sämsta företagen för mig var Adlibris och Telia. Båda har ganska bra informa-tion om lagen på sin hemsida men de tycks inte veta hur de ska hantera förfrågning-arna. Telia, som jag har varit kund hos länge, borde ha lämnat ut mer. Men jag fick bara ut mina kontaktuppgifter och delar av personuppgifterna.

Vad tycker du om att det finns så mycket information om dig?Det är svårt att undvika att vara registrerad. Det är skrämmande att företagen inte tycks veta vilka uppgifter som räknas som personuppgifter. För övrigt verkar företa-gen väldigt godtrogna. Det är lätt att få ut uppgifter via mejl bara man har ett person-

Vilka företag var bäst och sämst i test för dig?Länsförsäkringar och Handelsbanken var bäst. De lämnade ut allt om mig utan knussligheter. Sämst har de mindre företagen varit, det märks att små företag inte har samma möjligheter. Allra sämst var SAS för min del. Det är ett gigantiskt före-tag, jag borde åtminstone ha fått något svar.

Vad har du lärt dig av testet?Första intrycket är att det är få företag som uppfyller lagen. Det är lite irriterande. Det verkar finnas många med egna tolkningar av lagen. I förlängningen innebär det att PuL är en tandlös lag som behöver morderniseras. Den fyller inte någon funktion.

Jag tycker att jag borde få påverka själv vad som finns i registren om mina inköp med mera. Det är också ett oskick att företag säljer mina uppgifter vidare. Jag ingår ett avtal med ett företag, som konsument, men samtidigt har jag inte rätt till mina egna uppgifter. Att jag tvingas säga nej till företag, som jag inte själv aktivt har valt, känns också irriterande.

Hur skulle lagen kunna moderniseras?Lagen borde anpassas till det faktum att den mesta informationen är digital och det borde ge bättre möjligheter till att styra över ens uppgifter.

”Företagenverkarväldigtgodtrogna”EMMA HELLSTRÖM

FREDRIK NILSSON

”Detärfåföretagsomföljerlagen”

4

nummer till hands.

Antalföretag:19Testmetod:skrivit,me-jlatochringt.AntalsvarenligtPuL:3

Antalföretag:15Testmetod:skrivit,mejlat,besöktochringt.AntalsvarenligtPuL:3

Något som du har noterat som anmärkningsvärt?Det är att företagen verkar tro att personuppgifter är mitt namn och person-nummer. Det är uppgifter som jag redan vet. Det som finns lagrat om mig får

Har du fått någon oväntad information om dig själv?Ja, från försäkringsbolaget Folksam. De hade en notering i mina uppgifter om att jag verkade trovärdig. Sedan var det märkligt i personuppgifterna från Ica att de hade ett fält där de kunde fylla i min nationalitet. Det hade jag inte väntat mig, undrar varför de vill veta det?

Vilka företag har agerat bäst enligt PuL 26 §?Det var Ikano-banken, de skickade alla mina personuppgifter i ett rekommen-derat brev. De ska ha en eloge. Däremot så hade jag förväntat mig att få ut mer uppgifter.

När jag skickade ett följebrev, om att jag ville ha ut allt jag handlat med mitt Preemkort, som anlitar Ikanobanken, då ringde de upp mig. De förklarade att de inte hade mer uppgifter på mig, eftersom det var ett extrakort som var kop-plat till min mans kort. Likadant var det med Shell. Det var bra.

Hur upplever du informationen som finns om dig och dina vanor?Jag har inte tänkt så mycket på det innan. Men när jag läste informationen från TeamSportia om att alla mina inköp fanns specificerade samt vår familjs olika träningsvanor, så kändes det lite märkligt.

Jag upplever att större företag kan påverka och styra mina köpvanor, som Ica. De kan få mig att köpa vissa märken genom att ge mig fördelaktiga rabat-ter. Det känns skrämmande! Det har öppnat mina ögon för att jag måste bli en än mer medveten konsument.

”Företagenverkarväldigtgodtrogna” ”VarförvillIcavetaminnationalitet?”

”Jagvillharätttillminauppgifter!”

AGNETHA FRICK

SARA SIMONSSON

5

jag inte ut och det är det som är intressant.

Vad tycker du om informationen som finns om dig?Jag väljer ju själv om jag vill ha bonuskort eller inte. Det vill säga vara hemlig eller inte med mina inköp. Jag försöker att inte tänka på det så mycket, jag skulle nog bli lite knäpp annars.

Om du fick tillgång till alla uppgifter om dig, vad skulle du göra då?Jag skulle till exempel ta alla mina mobiltelefonräkningar och gå med dem till olika telefonbolag. I stil med att så här mycket ringer jag under ett år; vad för slags abonnemang skulle ni kunna erbjuda mig?

Hur tycker du företagen efterlever PuL 26§?Jag tycker att de efterlever den dåligt. Datainspektionen borde utforma en ge-mensam mall för företagen så att de vet vad som räknas som personuppgifter och vad de har skyldighet att lämna ut.

FåföretagkanPuL-lagen

6

Umeå Lives test visar att få företag kan hantera personuppgiftslagen. Det innebär att konsumenter har svårt att få veta vilka uppgifter som företa-gen lagrar om dem.

För drygt tio år sedan kom personupp-giftslagen PuL med syfte att skydda män-niskor mot att deras personliga integritet kränks när personuppgifter behandlas. En gång om året kan privatpersoner kostnads-fritt begära ett registerutdrag.

Under vårvintern 2009 testade vi, fyra studenter i Umeå Lives studentpool, hur lagen fungerar i praktiken och efterföljs. Syftet var att testa hur lätt det är att få ut sina uppgifter och hur företagen hanterar dem.

SAMMANLAGT BEGÄRDES det utdrag ur kundre-gister från 34 olika företag. Det totala anta-let förfrågningar blev 55 stycken, eftersom flera av oss var kund i samma företag.

De allra flesta företag har svarat på begäran inom den lagstadgade tiden - en månad. Mer än en handfull har inte besva-rats alls. Det är förvånande med tanke på att det är företag med stora marknadsan-delar och kundstockar.

Enbart sex företag har skickat kom-

pletta registerutdrag enligt PuL 26 § fyra punkter: • vilka uppgifter om den sökande som behandlas

skärmdumpar. De flesta har endast skickat en bild av ”första sidan”, vilket gjort att inte alla flikar synts och att inte all infor-mation blir tillgänglig för kunden.

Vår undersökning visar att banker och försäkringsbolag har tydliga rutiner vad gäller registerutdrag, i alla fall när skriftliga förfrågningar skickats in. Vid besök hos lokala bankkontor och telefonsamtal, till flera av de testade företagen, har rutinerna inte fungerat lika väl. Personuppgifter har lämnats ut ganska lättvindligt.

FÖRVÅNANDE ÄR också att stora företag med tydliga riktlinjer för registerutdrag på sina hemsidor har hanterat förfrågningarna olika för olika testpersoner.

Datainspektionen har ingen uppfatt-ning om hur många företag som bryter mot PuL i dagsläget och har heller ingen statistik över hur den efterföljs. Men delar av lagen är under översyn meddelar en jurist på Datainspektionen.

Hur företag hanterar personuppgifter är viktigt när både marknadskrafter och teknikutveckling vill hitta nya vägar till ökad försäljning, det har betydelse för hur konsumenternas integritet kommer att påverkas i förlängningen.

Emma HellströmAgnetha FrickFredrik Nilsson

• varifrån dessa uppgifter har hämtats• ändamålen med behandlingen• till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut

BÄST I TEST blev företag inom bank- och försäkringsbranschen. De gav omfattande och överskådliga registerutdrag vid för-frågan per brev, på det sätt som föreskrivs i lagen. De lämnade även tydliga svar på vilka uppgifter om den sökande som be-handlas, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare som uppgifterna lämnas ut.

I mellanskiktet finns det företag som lämnat ut ofullständiga uppgifter och olika svar till testpersonerna,svårtolkad informa-tion eller svarat med mindre bra metoder, exempelvis skickat personuppgifter, använ-darnamn och lösenord via mail.

Förvånansvärt många företag hänvisar också till sina respektive hemsidor, med inloggningsfunktion, där kunden själv kan se sina kontaktuppgifter. Sämst i testär de företag som har skickat utdrag, antingen via mail eller post, i form av så kallade

–svårtförkonsumenterattfåutregisterutdrag

Sara Simonsson

Elektroniska fot-spår. StudenternaEmmaHellström,SaraSimonsson,AgnethaFriskochFredrikNilssonhargranskatvilkapersonuppgifterharomdem.

Länsförsäkringar: PuL-rapporter skapas automatisktEtt av de bästa företagen i vårt test var Länsförsäkringar. De svarade skrift-ligen på samtliga punkter enligt PuL 26 §. Vi kontaktade personuppgiftsom-budet Lotta Gisselberg och frågade vilka rutiner de har.

När en registerbegäran kommer in, ungefär en gång i månaden, kontaktar Gisselberg den som är behörig att komma åt kundsystemet. I det finns en färdig funktion/knapp som heter skapa ”PuL-rapport”. Denna skapas alltså automatiskt.

Hon skickar rapporten till kunden, som begärt utdraget, tillsammans med information om hur uppgifterna används med mera. Banksekretessen är hö-gre, begär någon som både är bank- och försäkringskund sina uppgifter måste hon gå till två personer. Men de jobbar på att så få personer som möjligt ska

Telia var ett av våra sämsta testföretag. På sin hemsida har de tydlig informa-tion om hur deras kunder ska göra för att få ut sina personuppgifter. Men dessvärre är de mycket svåra att få ut i sin helhet. Vi skickade fyra skriftliga förfrågningar till Telia, ingen har fått ett fullständigt svar enligt PuL 26 § , en av oss fick inget svar alls.

När vi via samtal till kundtjänst och växeln försöker få reda på hur vi ska gå till väga för att få ett registerutdrag blir vi kopplad runt flera varv, då in-gen vet hur ett sådant ärende går till. Vi kontaktade personuppgiftsansvarige Jan Wellergård på Telia för att få en förklaring.

Han menar att de har rutiner för detta, att de får flera förfrågningar per vecka. Problemet UmeåLive stött på är att personalen i växel och kundtjänst inte är införstådda med dessa rutiner. Wellergård poängterar att svårigheten kan vara att veta exakt vilka handlingar som kunden vill ha ut, då begäran ofta är otydligt formulerad. Våra begäranden var dock identiska förutom

Telia: Kundstjänst kan inte rutinerna

Antal svar enligt PuL :

Rätt 17%

Fel 83 %

Rätt

Fel

7

Så svarar två av testföretagen:

Dessa 34 företag testades:

UmeåEnergiTeliaTreICACoopMedmerabankSJSASNorwegianTicketSTA-travelJCSistersEllosÅhlénsklubbTeamsportiaLänsförsäkringarFolksam

IFModernaförsäkringarSkandiaAkademikerförsäkringarMecenatSPARAdlibrisHemmakvällHandelsbankenSwedbankNordeaSynoptikApoteketExpertShellPreemSF-kort

namn och personnummer.

behöva bli inblandade i en enkel förfrågan.

Sara Simonsson

Umeå LiveföljerochgranskarhurITförändrarvårtvardagsliv.Hemmet,skolan,jobbetochfritidenbliran-norlundanärnyaIT-produkterochtjänsterkommerinivardagen.Därförvivillvaramedochpåverkadennautveckling.

UmeåLiveärettsamarbetsprojektmellanUmeåuniversitet,Umeåkommun,Vinnova,LänsstyrelseniVästerbottenochettantalnäringslivspartners.

Umeå Live erbjuder dig •Hjälpmedutvärderingsprojekt•Kunskapfrånolikaexperterochforskare•Kontaktmedallmänhet,företag,universitet,myndigheter•Möjlighetattutvecklaprodukterochtjänster•EnmöjlighetattnåutviaUmeåLiveHöravdig,omduharenidéduvilltesta.www.umealive.se