Alla misslyckas i Resumé Insikts GDPR-test – experterna reder ut

GDPR har lagt sig som en tvångströja över svenska företag. Resumé Insikts test av 40 företag visar att lagen tolkas väldigt olika. När vi ville testa att få ut datan och sedan få oss själva raderade möttes vi av kaos – och en resa som innehöll brevskrivande, id-kontroller, påminnelser och missförstånd.

En standardiserad GDPR-hantering är alltså långt borta.

Vad stämmer och vad stämmer inte i GDPR-frågan? Varför känns det som att företagen gör det svårt för oss att få ut datan? Är ID-kontroll nödvändigt?

Juristerna uppger att följande ska ingå i ett registerutdrag:

- Bekräftelse på om personuppgifter behandlas och få tillgång till dessa.
- Information om ändamålet med behandlingen
- Kategorier av personuppgifter som behandlingen gäller
- Mottagare/kategorier av mottagare
- Lagringstid (eller de kriterier som används för att fastställa lagringstiden)
- Rätten att begära rättelse/radering/begränsning/invända
- Rätten att inge klagomål till Datainspektionen
- Uppgift om varifrån informationen kommer
- Förekomsten av automatiserat beslutsfattande inbegripet profilering
- Information om skyddsåtgärder om uppgifterna förs över till tredje land.

På den här punkten har alla företagen i Resumé Insikts test misslyckats. Ingen har exempelvis angivit vad uppgifterna används till och till vilka mottagare de lämnar dem vidare i registerutdraget. Ingen har heller uppgivit om eventuell profilering förekommer. Lagen verkar här ha tolkats olika, men enligt Datainspektionen är det detta som gäller. Dessutom har många i ett första skede struntat i att skicka datan, utan istället endast vilka uppgifter de har registrerade. Till exempel: “vi har ditt förnamn, efternamn, telefonnummer och e-post”.

Finns då risken för böter för samtliga företag eftersom de inte uppfyllt punkterna ovan? Svaret är ja.

– Om man inte får med allt man har rätt till bör man vända sig till den personuppgiftsansvarige, eller dataskyddsombudet om sådant finns och påtala det. Når man inte framgång kan man inkomma med klagomål till Datainspektionen. Datainspektionen har ett antal korrigerande befogenheter, bland annat att utfärda varningar eller reprimander eller att förelägga den personuppgiftsansvarige att tillmötesgå den registrerades begäran. Datainspektionen kan även, efter bedömning utifrån en rad faktorer, påföra sanktionsavgift, säger Camilla Sparr, jurist vid Datainspektionen.

Många har lämnat ut information om vad de har för uppgifter om oss (“namn”, “personnummer” etc) men inte våra faktiska uppgifter. Får man göra så?
– Man har rätt att få tillgång till de personuppgifter som behandlas, inte bara de kategorier av personuppgifter som behandlas. Att svara så som ni beskriver uppfyller alltså inte kraven i artikel 15 i GDPR.

Fyra aktörer kräver ID – en tidskrävande åtgärd – men det visar bara att de har förstått GDPR rätt.

– På något sätt måste de verifiera identiteten, eftersom det nuförtiden är väldigt lätt att spoofa er mejladress. Annars blir det enkelt för någon med onda avsikter att få ut er data. Bank-ID är ett bra sätt att identifiera konsumenter på, men det är kostsamt, säger Anders Willstedt, medgrundare och teknikchef på Conzentio, och även en del av IAB:s GDPR-implementationsgrupp i Bryssel.

Samtidigt är det flera i Resumé Insikts test som fortfarande inte har svarat, trots att det gått 30 dagar. Enligt GDPR måste man agera skyndsamt när konsumenter begär ut sin data. Ett luddigt begrepp, men det går också att vara mer specifik.

– Den som begär ett registerutdrag ska få information om åtgärder som vidtagits, inbegripet registerutdraget, inom 30 dagar. Den här perioden får förlängas med ytterligare två månader beroende på hur komplicerad den registrerades begäran är, säger Alexander Jute, advokat och partner på advokatfirman MarLaw.

Camilla Sparr lämnar samma besked, men tillägger:

– Tar det över en månad ska den registrerade informeras om det och ange orsakerna till förseningen. Inom en månad ska man alltså få återkoppling, om man inte får registerutdraget.

I vårt test innebär det att, nu när det gått 30 dagar, Newport, Upplevelse.com, Stureplansgruppen, Bookatable har misslyckats. De har nämligen varken lämnat ut registerutdrag eller återkopplat någon orsak bakom förseningen. Flera var på gränsen och återkom först när vi påmint dem.

Apotea.se är den enda aktören i testet som har en begränsning på hur ofta de lämnar ut data. Enligt egna skrivelser på sajten får kunder hos dem bara ansöka om detta en gång per år.

Kan ett företag hitta på egna regler kring hur ofta de ska lämna ut data, till exempel en regel om att de bara lämnar ut och raderar data en gång om året per konsument?
– Nej, GDPR innehåller ingen begränsning i hur ofta man får begära och få del av ett registerutdrag. Däremot finns en begränsning om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av deras repetitiva art, då får den personuppgiftsansvarige ta ut en rimlig avgift eller vägra att lämna ut registerutdraget, säger Camilla Sparr.

En annan sak som blev tydlig i testet är hur olika aktörer hanterar samarbetspartners. Det är ju inte helt orimligt att en privatperson kan vara registrerad på 50 olika sajter. Aktörerna kan i sin tur anlita 40 olika samarbetspartners, till exempel programmaticbolag eller fakturatjänster. Flera av de företag vi har pratat med har överlåtit ansvaret på en sådan aktör som då blir biträde.

Om en samarbetspartner är personuppgiftsbiträde och inte personuppgiftsansvarig behöver företagen inte namnge dessa. Allt regleras i avtalet mellan parterna. För konsumenten är det dock inte transparent vad det är som gäller – vem som är ansvarig och vem som är biträde.

– Det är helt orealistiskt att behöva begära ut data från 50 stycken olika tredjepartsbolag. Ingen kan begära att man ringer runt till alla de här bolagen, säger Anders Willstedt och fortsätter:

– Den våta drömmen för många bolag är att fortsätta som förut. Därför ser många till att underleverantörer är biträden – då behöver de inte berätta om dem för konsument.

Men annonsörerna och tredjepartsleverantörerna har olika intressen, vilket kan exemplifieras med Googles strid mot mediebolagen.

– Google gör sannolikt helt rätt när de menar att de måste vara personuppgiftsansvariga. Mediebolagen vill inte det, eftersom det handlar om personuppgifter om deras kunder. De vill att tredjepart som sysslar med programmatisk annonsering ska vara biträden. Men det är svårt att få det att fungera, eftersom teknikaktörer såsom google själva måste ta en mängd beslut om hur och var annonser ska presenteras för användare om man ska syssla med retargeting. Och egna beslut om personuppgiftsbehandlingen får inte tas av ett biträde, för att kunna göra det måste man vara personuppgiftsansvarig.

Vad är det då som gäller? Eftersom transparensen kring vem som är ansvarig och vem som är biträde inte finns är det svårt att veta vem man ska vända sig till.

– Det är den personuppgiftsansvarige som ska tillgodose de registrerades rättigheter. Om det finns samarbetspartners som tagit emot information och som är personuppgiftsansvariga för det är det till dem man bör vända sig med begäran om tillgång, rättelse, radering med mera, säger Camilla Sparr.

I flera fall har Resumé Insikt fått fylla i formulär eller skicka brev om borttagande av våra uppgifter. Att konsumenten får använda sig av analog kommunikation istället för digital när första kontakten är via mejl är problematiskt enligt Alexander Jute.

– Registerutdraget ska komma i en lättillgänglig, skriftlig form med enkelt och tydligt språk. Och om begäran görs elektroniskt ska information – om det är möjligt – fås digitalt, om inte konsumenten begär något annat. Det är möjligt att be registrerade att fylla i vissa formulär. Det innebär dock inte att de kan neka en begäran om formuläret inte används, säger Alexander Jute.

Formulären som ska fyllas i är ibland väldigt långa. Varför behövs mer av min data för att få ta del av den redan existerande?
– Den personuppgiftsansvarige behöver veta vem det är som begär ett registerutdrag och var någonstans det ska skickas. Men här bör man dock ha principen om uppgiftsminimering i åtanke.

Sammanfattningsvis visade Resumé Insikts GDPR-test på att bolagen hanterar lagen väldigt olika, vilket gör det hela både krångligt och förvirrande. Det går inte att komma ifrån känslan av att bolagen krånglar till det med flit för att de vill behålla datan.

Anders Willstedt tror att de flesta vill följa den nya lagen. För ett enskilt bolag kan det dock vara förödande om en stor massa begär att få sin data raderad samtidigt, eftersom man då slår sönder underlaget för digital annonsering. Men det finns metoder för att komma runt den risken.

– Det finns de som använder smarta metoder för att behålla publikens data. Är du ett media kan du till exempel låta läsarna betala 299 kronor för att få tillgång till artiklarna om de inte vill lämna ifrån sig data. För de som vill lämna data är det gratis. Medier i Tyskland har fått okej på det.

Överlag visar Resumé Insikts test på att bolagen själva ännu inte fått till en bra strategi för att lämna ut konsumentdata. En bild som Anders Willstedt delar.

– Den viktigaste delen av GDPR är att myndigheterna nu kan sätta press på företagen, som har alldeles för dåliga rutiner kring datahantering. Nu svettas företagen, de måste få ordning på sin data, säger han.

– Framöver kommer det säkert dyka upp tjänster som gör det enklare för både bolag och konsumenter att hämta ut data.