Umeå Live Spaning 01/09

Page 1

Tio år med PuL – vem äger mina uppgifter?

Spaning 01/ 2009


Innehåll Inledning

sid 3

Emma Hellström: ”Företagen verkar väldigt godtrogna”

sid 4

Fredrik Nilsson: ”Det är få företag som följer lagen”

sid 4

Agnetha Frick: ”Varför vill ICA veta min nationalitet?”

sid 5

Sara Simonsson: ”Jag vill ha rätt till mina uppgifter”

sid 5

Sammanfattning

sid 6

Umeå Live följer och granskar hur IT förändrar människors vardagsliv. Hemmet, skolan, jobbet och fritiden blir annorlunda när nya IT-produkter och -tjänster kommer in i vardagen. Därför vi vill vara med och påverka denna utveckling. Umeå Live är ett samarbetsprojekt mellan Umeå universitet, Umeå kommun, Vinnova, Länsstyrelsen i Västerbotten och ett antal näringslivspartners. www.umealive.se

2


Rätten till mina uppgifter

Det har gått tio år sedan PuL, personuppgiftslagen, infördes 24 oktober 1998 i Sverige efter ett EG-direktiv. Syftet med lagen är att skydda människor mot att den personliga integriteten kränks genom behandling av personuppgifter. I dag handlar samhällsdebatten ofta om hur den personliga integriteten på nätet kränks och att företag använder konsumenters uppgifter till bland annat inköpsbaserad reklam, Ica:s kampanj Mina varor är ett exempel. Vi lämnar efter oss elektroniska fotspår överallt och företag har rätt att lagra våra personuppgifter om vi ger vårt samtycke. Enligt PuL får inte känsliga uppgifter som rör hälsa, sexualliv och religiös övertygelse lagras. Att PuL även ger ���������������������������������������������������������������� medborgare rätt att en gång per år få ut alla sina personuppgifter kostnadsfritt är det få som känner till. Därför har Umeå Lives studentpool testat enligt PuL 26 § att få ut registerutdrag hos 34 företag som de själva är kunder hos. Så här lyder lagen:

” 26 § Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår gratis lämna besked om personuppgifter som rör den sökande behandlas eller inte. Behandlas sådana uppgifter skall skriftlig information lämnas också om. a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut.” Ansökan ska göras skriftligen hos den personuppgiftsansvarige och vara undertecknad av den sökande själv. Information ska lämnas inom en månad från det att ansökan gjordes. För att få ett registerutdrag skall den behandlade skicka en egenhändigt underskriven begäran till den personuppgiftsansvarige. Att mejla in en förfrågan räcker normalt inte. Läs mer om studentpoolens resultat i den här spaningen.

3


Umeå Live testar PuL A EMM

RÖM T S L HEL

”Företagen verkar väldigt godtrogna” Vad har förvånat dig i undersökningen?

Två gånger har jag fått mitt lösenord skickat till en hotmail-adress. Jag testade även att få mina uppgifter till en annan adress än där jag är skriven och då byttes mina adressuppgifter i kundregistret. Det känns väldigt osäkert hur mina uppgifter behandlas av företagen. Vilka av dina testföretag har följt lagen bäst och sämst?

Nordea var bäst. De hade bra information på hemsidan om hur de hanterar personuppgifter. Jag fick dessutom ett utförligt svar på samliga punkter enligt PuL 26§. De har även en särskild PuL-ansvarig. De skickade tre brev för att tala om att min förfrågan var under behandling, vilka uppgifter de har om mig samt en förklaring till hur de använder dessa. De sämsta företagen för mig var Adlibris och Telia. Båda har ganska bra information om lagen på sin hemsida men de tycks inte veta hur de ska hantera förfrågningarna. Telia, som jag har varit kund hos länge, borde ha lämnat ut mer. Men jag fick bara ut mina kontaktuppgifter och delar av personuppgifterna. Vad tycker du om att det finns så mycket information om dig?

Antal testade företag: 11 Testmetod: Skrivit, mejlat och ringt Antal svar enligt PuL: 3

Det är svårt att undvika att vara registrerad. Det är skrämmande att företagen inte tycks veta vilka uppgifter som räknas som personuppgifter. För övrigt verkar företagen väldigt godtrogna. Det är lätt att få ut uppgifter via mejl bara man har ett personnummer till hands.

”Det är få företag som följer lagen”

K FREDRI

N

NILSSO

Vilka företag var bäst och sämst i test för dig?

Länsförsäkringar och Handelsbanken var bäst. De lämnade ut allt om mig utan knussligheter. Sämst har de mindre företagen varit, det märks att små företag inte har samma möjligheter. Allra sämst var SAS för min del. Det är ett gigantiskt företag, jag borde åtminstone ha fått något svar. Vad har du lärt dig av testet?

Första intrycket är att det är få företag som uppfyller lagen. Det är lite irriterande. Det verkar finnas många med egna tolkningar av lagen. I förlängningen innebär det att PuL är en tandlös lag som behöver morderniseras. Den fyller inte någon funktion. Jag tycker att jag borde få påverka själv vad som finns i registren om mina inköp med mera. Det är också ett oskick att företag säljer mina uppgifter vidare. Jag ingår ett avtal med ett företag, som konsument, men samtidigt har jag inte rätt till mina egna uppgifter. Att jag tvingas säga nej till företag, som jag inte själv aktivt har valt, känns också irriterande. Hur skulle lagen kunna moderniseras?

Lagen borde anpassas till det faktum att den mesta informationen är digital och det borde ge bättre möjligheter till att styra över ens uppgifter.

4

Antal företag: 10 Testmetod: skrivit och ringt. Antal svar enligt PuL: 2


AGN E

”Varför vill Ica veta min nationalitet?”

THA

FRIC

K

Har du fått någon oväntad information om dig själv?

Ja, från försäkringsbolaget Folksam. De hade en notering i mina uppgifter om att jag verkade trovärdig. Sedan var det märkligt i personuppgifterna från Ica att de hade ett fält där de kunde fylla i min nationalitet. Det hade jag inte väntat mig, undrar varför de vill veta det? Vilka företag har agerat bäst enligt PuL 26 §?

Det var Ikano-banken, de skickade alla mina personuppgifter i ett rekommenderat brev. De ska ha en eloge. Däremot så hade jag förväntat mig att få ut mer uppgifter. När jag skickade ett följebrev, om att jag ville ha ut allt jag handlat med mitt Preemkort, som anlitar Ikanobanken, då ringde de upp mig. De förklarade att de inte hade mer uppgifter på mig, eftersom det var ett extrakort som var kopplat till min mans kort. Likadant var det med Shell. Det var bra. Hur upplever du informationen som finns om dig och dina vanor?

Jag har inte tänkt så mycket på det innan. Men när jag läste informationen från TeamSportia om att alla mina inköp fanns specificerade samt vår familjs olika träningsvanor, så kändes det lite märkligt. Jag upplever att större företag kan påverka och styra mina köpvanor, som Ica. De kan få mig att köpa vissa märken genom att ge mig fördelaktiga rabatter. Det känns skrämmande! Det har öppnat mina ögon för att jag måste bli en än mer medveten konsument.

SARA SIM ONSSON

Antal företag: 19 Testmetod: skrivit, mejlat och ringt. Antal svar enligt PuL: 3

”Jag vill ha rätt till mina uppgifter ! ” Något som du har noterat som anmärkningsvärt?

Det är att företagen verkar tro att personuppgifter är mitt namn och personnummer. Det är uppgifter som jag redan vet. Det som finns lagrat om mig får jag inte ut och det är det som är intressant. Vad tycker du om informationen som finns om dig?

Jag väljer ju själv om jag vill ha bonuskort eller inte. Det vill säga vara hemlig eller inte med mina inköp. Jag försöker att inte tänka på det så mycket, jag skulle nog bli lite knäpp annars. Om du fick tillgång till alla uppgifter om dig, vad skulle du göra då?

Jag skulle till exempel ta alla mina mobiltelefonräkningar och gå med dem till olika telefonbolag. I stil med att så här mycket ringer jag under ett år; vad för slags abonnemang skulle ni kunna erbjuda mig? Hur tycker du företagen efterlever PuL 26§?

Antal företag: 15 Testmetod: skrivit, mejlat, besökt och ringt. Antal svar enligt PuL: 3

Jag tycker att de efterlever den dåligt. Datainspektionen borde utforma en gemensam mall för företagen så att de vet vad som räknas som personuppgifter och vad de har skyldighet att lämna ut.

5


Elektroniska fotspår. Studenterna Emma Hellström, Sara Simonsson, Agnetha Frisk och Fredrik Nilsson har granskat vilka personuppgifter har om dem.

Få företag kan PuL-lagen

– svårt för konsumenter att få ut registerutdrag

Umeå Lives test visar att få företag kan hantera personuppgiftslagen. Det innebär att konsumenter har svårt att få veta vilka uppgifter som företagen lagrar om dem. För drygt tio år sedan kom personuppgiftslagen PuL med syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. En gång om året kan privatpersoner kostnadsfritt begära ett registerutdrag. Under vårvintern 2009 testade vi, fyra studenter i Umeå Lives studentpool, hur lagen fungerar i praktiken och efterföljs. Syftet var att testa hur lätt det är att få ut sina uppgifter och hur företagen hanterar dem. SAMMANLAGT BEGÄRDES det

utdrag ur kundregister från 34 olika företag. Det totala antalet förfrågningar blev 55 stycken, eftersom flera av oss var kund i samma företag. De allra flesta företag har svarat på begäran inom den lagstadgade tiden - en månad. Mer än en handfull har inte besvarats alls. Det är förvånande med tanke på att det är företag med stora marknadsandelar och kundstockar. Enbart sex företag har skickat kom-

6

pletta registerutdrag enligt PuL 26 § fyra punkter: • vilka uppgifter om den sökande som behandlas • varifrån dessa uppgifter har hämtats • ändamålen med behandlingen • till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut blev företag inom bank- och försäkringsbranschen. De gav omfattande och överskådliga registerutdrag vid förfrågan per brev, på det sätt som föreskrivs i lagen. De lämnade även tydliga svar på vilka uppgifter om den sökande som behandlas, varifrån uppgifterna har hämtats, ändamålen med behandlingen och till vilka mottagare som uppgifterna lämnas ut. I mellanskiktet finns det företag som lämnat ut ofullständiga uppgifter och olika svar till testpersonerna,svårtolkad information eller svarat med mindre bra metoder, exempelvis skickat personuppgifter, användarnamn och lösenord via mail. Förvånansvärt många företag hänvisar också till sina respektive hemsidor, med inloggningsfunktion, där kunden själv kan se sina kontaktuppgifter. Sämst i test är de företag som har skickat utdrag, antingen via mail eller post, i form av så kallade BÄST I TEST

skärmdumpar. De flesta har endast skickat en bild av ”första sidan”, vilket gjort att inte alla flikar synts och att inte all information blir tillgänglig för kunden. Vår undersökning visar att banker och försäkringsbolag har tydliga rutiner vad gäller registerutdrag, i alla fall när skriftliga förfrågningar skickats in. Vid besök hos lokala bankkontor och telefonsamtal, till flera av de testade företagen, har rutinerna inte fungerat lika väl. Personuppgifter har lämnats ut ganska lättvindligt. också att stora företag med tydliga riktlinjer för registerutdrag på sina hemsidor har hanterat förfrågningarna olika för olika testpersoner. Datainspektionen har ingen uppfattning om hur många företag som bryter mot PuL i dagsläget och har heller ingen statistik över hur den efterföljs. Men delar av lagen är under översyn meddelar en jurist på Datainspektionen. Hur företag hanterar personuppgifter är viktigt när både marknadskrafter och teknikutveckling vill hitta nya vägar till ökad försäljning, det har betydelse för hur konsumenternas integritet kommer att påverkas i förlängningen. FÖRVÅNANDE ÄR

Emma Hellström Agnetha Frick Fredrik Nilsson Sara Simonsson


Så svarar två av testföretagen: Antal svar enligt PuL :

Länsförsäkringar: PuL-rapporter skapas automatiskt Ett av de bästa företagen i vårt test var Länsförsäkringar. De svarade skriftligen på samtliga punkter enligt PuL 26 §. Vi kontaktade personuppgiftsombudet Lotta Gisselberg och frågade vilka rutiner de har. När en registerbegäran kommer in, ungefär en gång i månaden, kontaktar Gisselberg den som är behörig att komma åt kundsystemet. I det finns en färdig funktion/knapp som heter skapa ”PuL-rapport”. Denna skapas alltså automatiskt. Hon skickar rapporten till kunden, som begärt utdraget, tillsammans med information om hur uppgifterna används med mera. Banksekretessen är högre, begär någon som både är bank- och försäkringskund sina uppgifter måste hon gå till två personer. Men de jobbar på att så få personer som möjligt ska behöva bli inblandade i en enkel förfrågan.

Rätt 17%

Fel 83 %

Rätt Fel

Telia: Kundstjänst kan inte rutinerna Telia var ett av våra sämsta testföretag. På sin hemsida har de tydlig information om hur deras kunder ska göra för att få ut sina personuppgifter. Men dessvärre är de mycket svåra att få ut i sin helhet. Vi skickade fyra skriftliga förfrågningar till Telia, ingen har fått ett fullständigt svar enligt PuL 26 § , en av oss fick inget svar alls. När vi via samtal till kundtjänst och växeln försöker få reda på hur vi ska gå till väga för att få ett registerutdrag blir vi kopplad runt flera varv, då ingen vet hur ett sådant ärende går till. Vi kontaktade personuppgiftsansvarige Jan Wellergård på Telia för att få en förklaring. Han menar att de har rutiner för detta, att de får flera förfrågningar per vecka. Problemet UmeåLive stött på är att personalen i växel och kundtjänst inte är införstådda med dessa rutiner. Wellergård poängterar att svårigheten kan vara att veta exakt vilka handlingar som kunden vill ha ut, då begäran ofta är otydligt formulerad. Våra begäranden var dock identiska förutom namn och personnummer.

Dessa 34 företag testades: Umeå Energi Telia Tre ICA Coop Medmerabank SJ SAS Norwegian Ticket STA-travel JC Sisters Ellos Åhlénsklubb Teamsportia Länsförsäkringar Folksam

IF Moderna försäkringar Skandia Akademiker försäkringar Mecenat SPAR Adlibris Hemmakväll Handelsbanken Swedbank Nordea Synoptik Apoteket Expert Shell Preem SF-kort

7


Umeå Live följer och granskar hur IT förändrar vårt vardagsliv. Hemmet, skolan, jobbet och fritiden blir annorlunda när nya IT-produkter och tjänster kommer in i vardagen. Därför vi vill vara med och påverka denna utveckling. Umeå Live är ett samarbetsprojekt mellan Umeå universitet, Umeå kommun, Vinnova, Länsstyrelsen i Västerbotten och ett antal näringslivspartners. Umeå Live erbjuder dig • Hjälp med utvärderingsprojekt • Kunskap från olika experter och forskare • Kontakt med allmänhet, företag, universitet, myndigheter • Möjlighet att utveckla produkter och tjänster • En möjlighet att nå ut via Umeå Live Hör av dig , om du har en idé du vill testa. www.umealive.se


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.