Företagen tvingas ändra rutinerna efter granskningen: "Vi ser allvarligt på detta"

Flera av de 40 bolag som Resumé Insikt har testat brister i sina GDPR-rutiner. Majoriteten har inga processer för hur de lämnar ut data och man gör det svårt för oss att plocka ut den. Dessutom är det flera som ännu inte skickat ut vårt registerutdrag, trots att det gått 30 dagar vilket är tidsramen för lagen.

Coop är en av dem. När vi kontaktar presschefen Tobias Rydergren den 29:e dagen och förklarar att vi i egenskap av reportrar genomfört ett test för att se hur väl bolagen följer GDPR svarar han att de inte fått någon skriftlig begäran från mig – att den måste kommit bort i posten.

– Kunder som vill ha registerutdrag kan antingen skicka dem per post eller e-post. Även om både metoderna är tillförlitliga är det inte 100 procent säkert att begäran kommer fram. Vill man som kund vara säker på att begäran når oss är det bäst att skicka med rekommenderad post, eller att i en e-post ange att vi ska bekräfta att vi mottagit begäran, skriver han i ett mejl och fortsätter:

– Du undrar hur vi kan säkerställa din identitet och det gör vi med att den som begär ut sina uppgifter ska uppge sitt personnummer. Det hade du inte gjort i detta fall och då hade vi kontaktat dig för att komplettera med denna uppgift. Utdraget skickas sedan till den folkbokföringsadress som är kopplad till personnumret antingen på papper eller som pdf på en USB-sticka.

Detta framgår dock inte när vi är i kontakt med kundtjänst. Då svarar en medarbetare:

Alltså inget om ID, inget att det går att skicka in via mejl och inget om någon blankett. De länkar visserligen till två skrivelser där detta står, men det som svar på frågan hur vi kan få vår data raderad.

När vi frågar hur det kommer sig att kundtjänst inte informerar om detta svarar Tobias Rydergren att borde läst på länkarna.

Det är ju troligt att även en "vanlig" konsument skulle agerat på samma sätt som jag – det vill säga inte läst länkarna förrän jag fått ta del av datan. Finns det anledning för er att omformulera era svar till konsumenter framöver så det är glasklart hur man går tillväga här?
– Vår ambition är att det ska vara enkelt och tydligt hur du som kund begär ut eller ber får din data raderad. Samtidigt är det också viktigt att uppgifterna som begärs ut hamnar hos rätt person, därav ett lite omständligt tillvägagångssätt. Vi tar samtidigt till oss att du upplever det som otydligt och då behöver vi vara tydligare i våra instruktioner. Tack för din feedback.

Klädkedjan Indiska bryter i ett första mejl mot reglerna när de meddelar oss att de har vårt namn, telefonnummer, personnummer, mejladress och “liknande uppgifter”. När vi ber dem att vara mer specifika och de facto lämna ut dessa uppgifter förklarar de att de redan har raderat uppgifterna och således inte kan lämna ut dem.

Detta strider mot GDPR - det räcker inte att skriva vad ni har på oss. Vad tänker ni kring det?
– Vi ser självklart allvarligt på att våra rutiner inte har följts i detta ärende och kommer förtydliga ännu mer för vår kundservice vikten av detta, skriver vd Karin Lindahl i ett mejl.

Kommer ni förbättra detta så att det inte sker några missförstånd igen?
– Ja vi kommer förtydliga vikten av detta ännu mer internt, i ledningsgrupp, till regionchefer samt för vår kundservice. Så sent som i måndags spenderade vi en hel dag tillsammans med vår externa kundservice för att just säkra våra rutiner.

Vad har ni annars för rutiner kring GDPR?
– Vi informerar alla nya medlemmar om våra medlemsvillkor och vad som gäller vid lagring av personuppgifter. Informationen ges i butik via en GDPR-folder samt ett digitalt medlemsblad. Det är i första hand vår kundtjänst som besvarar frågor från kunder. Dom har en FAQ för GDPR för att korrekt kunna svara på frågor som kommer upp i samband med personuppgifter. Ansvarig person på HK har löpande dialog med kundtjänst för rapportering och frågor dyker upp.

Glitter är en annan av aktörerna som hävdar att de inte fått vår förfrågan, detta trots att vi skickat till deras särskilda e-postadress datahanteringsärenden, dataskydd@glitter.se. Vi skickar en påminnelse – inget händer.

När vi i egenskap av reportrar ringer till Glitter tar det ungefär en timme innan vi har vår data och är raderade från bolaget. Glitter har ännu inte återkommit för att kommentera vår granskning.

Apotea är en annan aktör som sticker ut i testet. De menar att vi bara har rätt att begära ut och radera vår data en gång per år – något juristerna ställer sig frågande till. Efter att vi har kontaktat Apotea och påpekat detta ändrar de sina regler.

– Det är en kvarleva från tidigare regler som gällde under Dataskyddslagen. Vi har tittat närmare på GDPR och kommit fram till att vi kommer att ändra på det här nu. Jag vill också poängtera att ingen person har blivit lidande av detta, det har alltså hittills inte påverkat någon, säger Pär Svärdson, vd på Apotea.

Ytterligare andra bolag struntar i att lämna ut uppgifter, trots att vi har begärt att få ut dem raderar de helt sonika uppgifterna innan vi får ta del av dem. Desenio är ett sådant exempel. Ett misstag, menar vd Fredrik Palm.

Vad har gått fel?
– Att det i detta fall blev så att datan raderades först och försök till utdrag gjordes efteråt är ett kommunikationsmisstag mellan två personer. Det är inte den tänkta processen. Först görs utdrag, om den registrerade begärt detta, sedan skickas utdraget och datan raderas eller anonymiseras. Även mejl med utdrag och dialogen om radering raderas. Vi har uppdaterat rutinerna för att minimera riskerna för kommunikationsmissar i samband med detta, svarar han via mejl.

Desenio raderade våra uppgifter den 4:e juni. Fredrik Palm anser således att de hållit sig inom tidsramen. Trots detta tog det fram till den 27:e juni innan vi fick veta detta.

– Om tidsramen som åsyftas är att den registrerade ska tillhandahållas information om åtgärder enligt artikel 12 så har vi inte passerat en månad från att begäran inkom. Med det inte sagt att vi tycker att det ska ta så lång tid. Utan onödigt dröjsmål innebär för oss att vi ska tillgodose begäran så snart som möjligt. Vår uppfattning är att vi för alla andra som begärt radering har utfört det inom max fem dagar, helger inkluderat. I det här specifika fallet raderades datan den 4 juni vilket är den första hela arbetsdagen efter att begäran inkom. Sedan har det dragit ut på tiden med svar eftersom personen har insett misstaget och försökt hitta sätt att få till ett utdrag efter radering. Men är datan raderad så går det inte att återskapa vilket ju enligt oss är helt i linje med hur det måste vara.

Hur går ni vidare med detta?
– Vi har samlat de som är involverade i den här processen för att diskutera vad som hänt och hur vi kan hindra det från att hända igen.

Har det här hänt för alla som har begärt ut datan?
– Ni är alltså de första som begärt utdrag av data.

Något som är gemensamt för bolagen i vårt test är att ingen skickar ut tredjepartsdata. Cocopanda är en av de aktörer som vi har haft diskussioner med i mejltrådarna. Cocopanda samarbetar med ett 15-tal bolag som sysslar med digital marknadsföring eller har andra uppdrag åt deras räkning, som Fiko, Critero och Trustpilot. Cocopanda hävdar först att de inte delar våra uppgifter med tredjepart. I ett senare svar säger de dock att “tredjeparter samlar in uppgifter från oss.

Enligt Cocopanda har de inte möjlighet att skicka uppgifterna från de olika aktörerna. Detta trots att det ju är Cocopanda själv som delat vår data vidare.

– Vi har samarbetspartners som de flesta andra, för att kunna utföra vissa tjänster som exempelvis transport. Databehandlare är listade i vår sekretesspolicy på vår sajt där det fremkommer vilka personuppgifter som samlas in och behandlas, säger Espen Wetrhus, kundservicechef på Cocopanda.

Är det verkligen rimligt att man som konsument ska höra av sig själv till alla era samarbetspartners för att få ut sin data? Det är ju ändå ni som delat den till dem?
– Vår uppfattning är inte att kravet enligt GDPR är att att detta ska tillgängliggöras i ett maskinuppläsningsbart dokument. Detta får kunden tillgång till via "min sida" på vår sajt. Varifrån datan kommer och hur vi behandlar den skriver vi om i vår sekretesspolicy, säger Espen Wetrhus.

Om jag vill få mina uppgifter raderade hos er, raderas de då även hos tredjepart?
– Ja.

Enligt Datainspektionen ska saker som eventuell profilering och var personuppgifterna kommer ifrån anges i registerutdraget. Ni anger inte detta i samma dokument som ni lämnar ut personuppgifterna i. Hur kommer det sig?
– Kravet enligt GDPR är att allt detta ska tillgängliggöras i lättbegriplig form i ett maskinuppläsningsbart dokument. Det uppfyller vi genom vår personuppgiftspolicy på sajten. Vi länkar till det dokumentet, och det får man också se och läsa innan man köper något hos oss, säger Espen Wetrhus.

Nordicfeel skickar hem information med vår data (namn, mejl, telefonnummer) via rekommenderad post. Men brevet är en besvikelse.

Här finns även att läsa “Övrigt: vi har information om din köphistorik och ditt köpbeteende”. Denna information bör vara med även i första brevet, men vi tvingas alltså begära ut den efter att vi öppnat det rekommenderade brevet – för att inse att det är för sent. Nordicfeel meddelar att de “redan har raderat all vår data”. Företaget svarar via mejl.

Varför måste vi fråga om köphistorik och köpbeteende i ytterligare ett mejl? Ni gör ju det väldigt jobbigt för konsumenten?
– När de registrerade begär information om den behandling vi gör säger art. 15 i GDPR att den registrerade har rätt att få information om den behandling som sker av personuppgifter avseende den registrerade. Informationen ska då innehålla kategorier av personuppgifter som är under behandling. Köphistorik är då en kategori av personuppgifter som vi behandlar och som vi informerar om. Vi informerar då även om att personen har rätt att få mer information och kopia på alla personuppgifter som är under behandling. I detta ingår exempelvis rätt att få ut kopia på köphistoriken som behandla, skriver Björn Carling, CTO på Nordicfeel.

Ni är de enda som valt att skicka ut registerutdrag via rekommenderat brev. Varför då?
– För att säkerställa att vi skickar registerutdrag till rätt person har vi valt att skicka detta till bokföringsadressen via rekommenderat brev. På detta sätt kan vi säkerställa att informationen bara kan hämtas ut av den som efterfrågat den.

Denna hantering kan säkert upplevas som osmidig av konsumenterna?
– Om du syftar på varför vi skickar ut information via rekommenderat brev så förstår vi att det kan upplevas som lite omständligt men vi värnar i första hand om våra kunders integritet och vi har därför valt denna rutin.

Det som Nordicfeel lämnar ut i registerutdraget stämmer inte med hur Datainspektionen utformar kravet, liksom för många andra. Bland annat ska det framgå varifrån dessa uppgifter kommer, vad som är ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut.

– Detta finns specificerat i vår integritetspolicy, skriver Björn Carling och länkar dit.

Om jag vill få mina uppgifter raderade hos er, raderas de även hos tredjepart då?
– Ja.

Hur många förfrågningar har ni fått från personer som vill se sin data eller få den raderad?
Det har inte varit många förfrågningar.

På frågan “men om ni vill göra det smidigt för konsumenten som begär ut datan, varför skickar ni inte ut data om köpbeteende direkt? Det tar väl både resurser från er och för konsumenterna att göra på det sättet?” har Björn Carling inte återkommit.