Vi begärde ut vår data – möttes av GDPR-haveri

Du kanske aldrig har tänkt på hur lätt och snabbt det går att registrera sig som kund hos ett bolag förrän det är dags att gå ur. Kontrasterna kan inte vara större.

Vi bestämde oss för att testa att a) få ut den data som bolagen samlat in om oss och b) få den raderad. Detta efter att GDPR trädde i kraft den 25:e maj.

Vi kontaktade 40 bolag som vi var kunder hos för att testa hur väl de följer GDPR. Resultatet? Vi möttes av kaos.

Det här upptäckte vi:

- Majoriteten har inga processer för hur de lämnar ut data. I de flesta fall får vi prata med kundtjänstpersonal.
- Företagen gör det svårt för oss att få ut datan och det tar lång tid. Det krävs ID-handlingar, snigelpost, rekommenderad post och en jäkla massa tjat för att få ta del av uppgifterna som vi själva har lämnat ifrån oss.
- I vissa fall har vi ännu inte fått svar från företagen. En del struntar i att lämnar ut datan trots att vi efterfrågat detta och de har bekräftat att de återkommer. Vi har påmint när tiden börjat rinna ut och företagen har då bett om ursäkt.
- Alla har gjort fel med registerutdraget. Om personuppgifter behandlas ska registerutdraget, enligt Datainspektionen, innehålla bland annat vilka personuppgifter som behandlas om den sökande, varifrån uppgifterna kommer, vad som är ändamålet med behandlingen och till vilka mottagare uppgifterna lämnas ut. Det är inte information som har gått ut i registerutdragen idag.
- Vi har frågat aktörerna specifikt om de har några tredjepartsaktörer som de samarbetar med. Ingen har lämnat ut vilka av våra datauppgifter de har delat med tredjepartslösningar.

Så gick testet till:
Fem dagar efter att GDPR trädde i kraft satte vi igång med att kontakta bolagen.

Det var lättare än vi trott att hitta kontaktuppgifter. Vissa av bolagen, som exempelvis Glitter, har upprättat egna e-postadresser för dataskydd. Andra, som Schibsted, har automatiserat processen genom knappar i inloggat läge. På merparten av de testade bolagens sajter finns egna flikar där de informerar om datahantering, samarbetspartners och hur man ska gå tillväga för att få ta del av sina uppgifter.

LÄS MER: Alla misslyckas i Resumé Insikts GDPR-test – experterna reder ut

Det här kommer gå enkelt, tänkte vi. Men det visade sig vara lättare sagt än gjort. Utmaningen startade redan andra dagen, när vi fick våra första svar.

Mejl eller snigelpost?
Coop vill, trots kontakten via mejl, att vi ska skicka en skriftlig begäran via vanlig post.

Men de återkommer aldrig. Efter 29 dagar kontaktar vi Coop, berättar att vi i egenskap av reportrar genomfört ett test och frågar hur det kommer sig att de inte återkopplat. De svarar då att de inte har fått någon begäran – att PostNord måste ha tappat bort brevet.

Även Bagaren och Kocken vill ha en skriftlig begäran, men då i kombination med ID-handling.

Nordicfeel tillhör ett av de bolag som svarar snabbast på vår begäran – efter bara 21 minuter. Däremot lämnar de inte ut våra uppgifter digitalt. När vi skickat in vår ID-handling digitalt får vi efter 12 dagar ett rekommenderat brev till postombudet. Brevet kostar 67 kronor att skicka. Vi är spända på vad det innehåller – men det är inte direkt någon dataskattkista. Här ses de uppgifter vi precis har lämnat till dem i ett mejl för att styrka identiteten. Dessutom finns det att läsa: "vi har information om ditt köpbeteende".

Men... var finns den informationen? Ska vi få ännu ett rekommenderat brev?

När vi någon vecka senare frågar Nordicfeel skriver dem:

Frågan är om en "vanlig" konsument hade tänkt på att ge Nordicfeel en så specifik begäran som möjligt. De har alltså uppgifter om vårt köpbeteende, som de nu har raderat då vi inte begärde ut dem i första mejlet.

Tidsram
Enligt GDPR ska data lämnas ut och raderas skyndsamt om konsumenten kräver det. Detta ska ske inom 30 dagar från första kontakt.

Tavelhandlaren Desenio får vi påminna, på den 28:e dagen. Då får vi följande besked:

Apotea tycks ha kommit på en egen regel när de ska lämna ut personuppgifterna. När vi frågar om vi får våra uppgifter via mejl svarar de med att hänvisa till en skrivelse på den egna sajten.

Vi har tydligen rätt att, en gång per år få ut vår data och få den raderad om vi skickar in en skriftlig begäran via snigelpost.

Flera av de företag vi har kontaktat har vi fått påminna. H&M svarar fyra dagar efter förfrågan att en sammanställning ska skickas så snart som möjligt. Efter tre veckor utan svar kontaktar vi dem igen. Svaret kommer efter 29 dagar: "du har begärt en kopia av dina personuppgifter sparade hos H&M". På dag 30 kommer en lösenordsskyddad zip-fil med vår köphistorik.

LÄS MER: Bolagen som är bäst och sämst på GDPR

Bookatable svarar när tiden håller på att rinna ut.

– Jag har kontaktat våra webbutvecklare och bett dem återkomma med denna information så snart som möjligt. Tack för ditt tålamod medan vi väntar på svar från dem.

Några filer kommer aldrig.

ID-kontroll
Rituals är först ut med att begära ID-handling. De vill att vi ska skicka över en bild på vårt körkort, och maskera uppgifter som de inte behöver. De visar att dem tänker på säkerheten – men vilken vanlig konsument har tillgång till bildbehandlingsprogram?

Digitalt eller analogt formulär?
Vissa företag kräver att vi fyller i formulär om databehandling. För Stureplansgruppen tar det 19 dagar att svara på ett mejl och länka till ett formulär. Det vi ska fylla i är väldigt specifikt:

För att få ut våra uppgifter vill Feetfirst ha svar på ett gäng frågor. Förutom de "vanliga" personuppgifterna vill de också veta om vi har handlat i någon av deras butiker, om vi handlat online och om vi någon gång sökt jobb på Nilson Group. Formuläret vill de ha inskannat och skickat till en mejladress... Vilken "vanlig" konsument har tillgång till en skanner?

Vad lämnar de ut egentligen?
Vi ber företagen att skicka datan de samlat in om oss. Men flera av aktörerna struntar i att lämna ut hela dataset, utan skriver istället vilka uppgifter de har samlat in. Som KalmarFF:

Samma sak händer när vi kontaktar Tasteline.

Indiska berättar att de har vårt namn, telefonnummer, personnummer, mejladress och "liknande uppgifter". När vi ber dem att vara mer specifika och de facto lämna ut dessa uppgifter förklarar de att de redan har raderat uppgifterna och således inte kan lämna ut dem. Liknande sker hos Ztory som säger vilka uppgifter de har, utan att lämna ut dem i sin helhet, och raderar direkt.

Rituals ignorerar att vi vill begära ut uppgifterna, utan raderar dem direkt. Vi får aldrig några uppgifter.

När Jewelrybox lämnar ut uppgifter ser det först ut som att de bara har sparat vår e-postadress. Eftersom vi varit kund hos dem och således handlat där för inte så länge sedan fattar vi misstankar om att detta inte är all data de har lagrad. Så vi frågar igen om detta verkligen är allt som finns. Efter 12 dagar får vi svar.

Det visar sig att de har betydligt mycket mer data än bara mejladressen. De har telefonnummer, adress, vad vi köpt, när vi köpte det, för hur mycket pengar, från vilken IP-adress vi handlade och till och med vilken webbläsare som användes vid inköpet.

Tredjepartslösningar
Påfallande många verkar inte samarbeta med några tredjepartsleverantörer, enligt egen utsago. Om de gör det säger de att tredjepartslösningarna ansvarar för datan. Nelly svarar:

"Vissa tredjepartsleverantörer har valt att ta på dig ansvaret själva, så som t ex DIBS, och då behöver du kontakta dom för att få ut den informationen som dom har."

Skönhetssajten Cocopanda har ett 15-tal samarbetspartners som de redovisar på sin sajt. Trots detta hävdar de först att de inte delar våra uppgifter med tredjepart. I ett senare svar säger de dock att "tredjeparter samlar in uppgifter från oss". Vad är det som gäller?

Bild 1/5  

Footway är snabbast av alla företag på att svara – efter nio minuter – och ger oss information om köphistorik och tar bort informationen. Enligt kundtjänstmedarbetaren samarbetar de dock inte med tredjepartslösningar. Men policyn säger något annat.

Medierna
Vi testade även mediebolagen Schibsted, Expressen och TV4, som är de enda i vårt test som har en automatisk process. Schibsted framför allt är kända för hur de kopplar ihop deras tjänster för att hitta synergier. De förklarar även vad det är vi kommer få ut. Resumé Insikt är reggade hos bland andra Omni, Aftonbladet och Blocket.

LÄS MER: Företagen tvingas ändra rutinerna efter Resumé Insikts granskning: "Vi ser allvarligt på detta"

Schibsted berättade redan för flera månader sedan att de planerade att införa en knapp för automatisk hämtning av datauppgifter, vilket ju är smidigt. Vi behöver alltså inte hålla på och formulera något mejl och leta upp rätt mejladress. Men detta kan ta så lång tid som 30 dagar. Frågan är om det är rimligt att det tar 30 dagar för ett företag att skicka data till oss som de redan har i sina system? Otur i testet är att det blir något fel i hämtningen av Schibsted-datan och kontot raderas innan vi får ut datan. Vi vet inte vad som har gått fel. Vi vill mejla Schibsted för att fråga, men hittar ingen mejladress på kundtjänstsidan.

Samma för Expressen. Expressen meddelar via mejl att registerutdraget är färdigt att hämta via länk i inloggat läge den 19 juni – 20 dagar efter vår begäran. Expressen sparar data bland annat om våra följa ämnen och krönikörer samt registrerade notiser.

När vi ska begära ut registerutdrag från TV4 hänvisar de oss till sajten "mydata.bonnierbroadcasting.com". Här loggar vi in med kontouppgifter till TV4 Play och begär ut ett registerutdrag. Uppifterna kan ta upp till 30 dagar att få. Genom ett knapptryck raderar vi sedan kontot. Raderingen sker omedelbart, varför begäran om data inte kan fullföljas. Vi var inte beredda på att det skulle ske direkt vilket får ses som ett misstag från vår sida.

De tre mediebolagen har tydliga och enkla tillvägagångsätt för att få ut uppgifter och bli raderad efter GDPR.

Vi har fortfarande inte fått vår data raderad från alla bolag i testet. Vissa har inte ens svarat på vår förfrågan, trots att det snart gått 30 dagar sedan vi tog kontakt.

***

Efter testet snurrar många frågor i våra huvuden. Om vi har så här stora problem att få ut våra uppgifter – hur jobbigt är det då inte för en "vanlig" konsument? Den som värnar om sin persondata vill troligtvis radera den från samtliga aktörer. Det är inte ovanligt att man är registrerad hos 50 företag. Det tar väldigt mycket tid.

Här är flera frågor vi ställer oss:

- Har aktörerna satt sina egna standarder för vad som ska skickas med och inte? Varför kräver till exempel vissa identifiering via ID och andra inte? De verkar ha tolkat GDPR på olika sätt.
- Vad kan bolagen få för påföljder om de inte följer lagen?
- Varför är det lättare att bli kund än att radera sig som kund? Borde de inte motsvara varandra?
- Varför måste vi gå till varje tredjepartslösning för att få ut vår data? Ett företag kan ha 40 olika samarbetspartners. Vem som helst förstår att det är orimligt. Varför tar inte företagen något ansvar för sina egna samarbetspartners? Det är ju de som lämnat ut datan.
- Vissa av bolagen ignorerar att vi vill få våra uppgifter utlämnade, de raderar helt sonika uppgifterna innan vi fått ta del av dem. Får man göra så?
- Varför tar det upp till 30 dagar eller mer att skicka ett registerutdrag? Är det rimligt?
- Kan ett företag hitta på egna regler kring hur ofta de ska lämna ut data, till exempel en regel om att de bara lämnar ut och raderar data en gång om året per konsument?
- Vi lever i en digital värld. Varför utnyttjar man inte digitala möjligheter utan tvingar konsumenterna att föra kontakten analogt?
- Formulären är ofta väldigt långa. Varför behövs mer av min data för att få ta del av den redan existerande?

De frågorna och flera andra låter vi experter, bolagen själva och jurister svara på i en serie artiklar publicerade på Resumé Insikt. Teckna en gratis provprenumeration här.

Här är alla artiklarna i Resumé Insikts granskning:

1. Vi begärde ut vår data – möttes av GDPR-haveri (upplåst)
2. Alla misslyckas i Resumé Insikts GDPR-test – experterna reder ut (låst)
3. Bolagen som är bäst och sämst på GDPR (låst)
4. Företagen tvingas ändra rutinerna efter granskningen: "Vi ser allvarligt på detta" (låst)

***

FAKTA // Så gick testet till
Vi kontaktade 40 företag, 20 vardera, som vi är eller har varit kunder hos privat. Dessa kontaktades via våra privata mejladresser som är registrerade för kampanjutskick alternativt via formulär på bolagens sajter. Sedan registrerade vi hur lång tid det tog att få första svaret, hur många mejl som krävdes, om data raderats och lämnats ut och i så fall hur lång tid det tog. I de fall vi inte fick det vi frågade efter på en gång ifrågasatte vi detta så långt möjligt.