Telias försäljning av kundinformation. Datainspektionens rapport Januari 1998

Transkript

1 Telias försäljning av kundinformation Datainspektionens rapport Januari 1998

2 Innehållsförteckning Inledning 3 Telias organisation 4 Vilka integritetsskyddsregler är tillämpliga? 5 Datalagen 5 Generella föreskrifter 6 Telias register 6 Telias produkter 7 Upplysningstjänster 7 TeleAdress - nettomatchning 7 TeleAdress aktuella hushåll 8 TeleAdress adressmatchning 8 TeleAdress nummermatchning 8 TeleAdress slumpvist urval 9 TeleAdress bransch 9 TeleAdress geografiskt område 9 Telias rutiner 10 Spärrlista 11 Datainspektionens synpunkter 12 Kataloginformation på Internet 12 TeleAdress nettomatchning 12 Talsvarsdatorer 12 Avslutning 13 2

3 Inledning Televerket hade under lång tid monopol på telefonitjänster i Sverige och myndighetens kundregister blev efter hand mycket omfattande. Televerket bolagiserades 1993 och blev Telia AB som ägs av staten. Även om Telia AB numera bedriver en konkurrensutsatt verksamhet, har bolaget fortfarande en särställning vad avser antal kunder - åtminstone beträffande fasta abonnemang - vilket naturligtvis till stor del beror på den tidigare monopolställningen. De allra flesta svenska hushåll och företagare är kunder hos Teliakoncernen och Telias abonnemangsregister är ett av de största kundregistren i Sverige. Datainspektionen har under åren fått åtskilliga frågor och klagomål från allmänheten angående Telias försäljning av kundinformation. Mest irritation väcker s.k. telemarketing mot privatpersoner, dvs. när hushåll blir kontaktade per telefon ofta på kvällstid av personer som försöker sälja varor och tjänster eller ber om bidrag till organisationer. Datainspektionen har därför dels under vintern 96/97, dels under hösten 1997, tittat närmare på Telia-koncernens försäljning av personuppgifter. Syftet har varit att få en klar bild av vilka produkter Telia tillhandahåller där det finns information om personer och om Telias rutiner när uppgifterna lämnas ut, är godtagbara från integritetsskyddssynpunkt. 3

4 Telias organisation Telia-koncernens organisation är uppbyggd på så sätt att olika typer av användare blir kunder i olika företag. Exempelvis blir privatpersoner kunder i Telia Nära, små och medelstora företag (inklusive enskilda näringsidkare) blir kunder i Telia Företag, kunder inom den offentliga sektorn är hänvisade till Telia PubliCom och de allra största företagskunderna skall vända sig till Telia MegaCom. Detta gäller numera oavsett om det rör sig om fasta abonnemang, Internet-abonnemang eller mobiltelefonabonnemang. Ett särskilt företag hanterar kabeltvabonnemangen. Försäljningen av information handhas dock inte av dessa företag. Uppgifterna från respektive abonnemangsregister lämnas till ett affärsområde inom Telia som kallas Telia InfoMedia Services och som i sin tur består av en mängd företag. Av intresse i detta sammanhang är framförallt Telia InfoMedia Respons och Telia InfoMedia Reklam. Telia InfoMedia Respons (Respons) är det företag inom koncernen som ansvarar för tryckning av telefonkataloger och andra former av upplysningstjänster. På uppdrag av Respons säljer Telia InfoMedia Reklam (Reklam) informationen till externa beställare, exempelvis för marknadsföringsändamål och för uppdatering av telefonnummer i befintliga kundregister. 4

5 Vilka integritetsskyddsregler är tillämpliga? Datalagen Den nuvarande svenska datalagen infördes i början av 1970-talet bl.a. som en reaktion på många människors farhågor om hur uppgifter om dem skulle komma att behandlas, sammanställas, fördjupas, selekteras och användas i kommersiella syften, såväl av staten som av näringslivet. På 1970-talet var det framförallt staten som samlade in stora mängder uppgifter om oss medborgare, t.ex. Statistiska Centralbyrån som med datateknikens hjälp kunde göra sammanställningar och använda urvalskriterier som inte tidigare varit möjliga. Framförallt under 1990-talet har information blivit en handelsvara som köps och säljs och de stora statliga personregistren har blivit en kommersiell tillgång. Även många privata intressenter har inrättat stora informationsdatabaser, t.ex. kreditupplysningsföretag, postorderföretag och det finns företag som har specialiserat sig på just handel med information. Datalagen är till för att skydda den enskildes personliga integritet i informationssamhället. Datalagen är tillämplig på register, förteckningar och andra anteckningar som lagras på ADB och som innehåller uppgifter som kan kopplas till en person. I detta sammanhang räknas inte bara uppgifter om privatpersoner som personuppgifter, utan även uppgifter om enskilda näringsidkare och om befattningshavare och kontaktpersoner vars namn återfinns i ett register över företag. I datalagen finns regler bl.a. om licensplikt för alla som för personregister på ADB (med undantag för register som förs för personligt bruk). Om ett register skall innehålla känsliga uppgifter (kriminalitet, socialtjänst, hälsa, omdömen, värderande upplysningar, religionstillhörighet m.m.), uppgifter om personer som den registeransvarige saknar en naturlig anknytning till (som naturlig anknytning räknas ett anställnings-, medlems- eller kundförhållande), eller uppgifter som har hämtats från ett annat personregister (s.k. samkörning) krävs dessutom att Datainspektionen lämnar sitt tillstånd innan registret får inrättas. Tillståndsplikten för samkörning kan undvikas för det fall att samtliga registrerade lämnar sitt samtycke till att uppgifter om dem inhämtas från ett annat register. När Datainspektionen lämnar tillstånd till ett register, meddelas föreskrifter om hur den registeransvarige får använda uppgifterna - exempelvis om ändamålet med bearbetningarna, vad registret får innehålla, om de registrerade skall informeras och när uppgifterna skall tas bort. Enligt 11 datalagen får personuppgifter som ingår i ett personregister inte lämnas ut om det finns anledning att anta att uppgifterna kommer att användas för automatisk databehandling i strid med datalagen. Den som lämnar ut personuppgifter på ADBmedium - eller i så stora mängder att det skulle vara omöjligt att bearbeta informationen manuellt får alltså inte hysa något tvivel om att mottagaren dels anmält sig för licens hos Datainspektionen, dels fått tillstånd att inrätta registret om så krävs. Något krav på att 5

6 det alltid måste kontrolleras aktivt, finns dock inte. Skall uppgifterna lämnas ut för att användas för automatisk databearbetning i utlandet krävs alltid Datainspektionens medgivande, med undantag för om den mottagande staten anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databearbetning av personuppgifter. Utlämnande av uppgifter över den öppna delen av Internet anses vara ett utlämnande till utlandet, eftersom informationen kan läsas över hela världen. Det står dock inte helt klart att uppgifterna i dessa fall alltid kommer att användas för automatisk databearbetning i utlandet, enbart genom det faktum att de läggs ut på exempelvis en hemsida. Generella föreskrifter Sedan 1995 har Datainspektionen möjlighet att meddela s.k. generella föreskrifter för register som ofta förekommer inom en bransch eller sektor. Kan dessa föreskrifter efterlevas behöver den registeransvarige inte ansöka om tillstånd från Datainspektionen. Dock kvarstår licensplikten. Sådana föreskrifter finns bl.a. för vissa direktreklamregister (DIFS 1995:6). Två av de viktigaste bestämmelserna i författningen reglerar varifrån uppgifterna får hämtas samt hur länge de får bevaras. I detta sammanhang bör nämnas att namn och adress får hämtas från kundregister (exempelvis Telias) men inte hemtelefonnummer. Uppgifterna skall tas bort efter maximalt tre månader. Telias register Kundregistren hos Telia Nära m.fl. företag är inte tillståndsreglerade av Datainspektionen. Det är alltså datalagens rambestämmelser och inspektionens generella föreskrifter och praxis som framförallt styr vad Telia får eller inte får göra med den information som man genom åren samlat in om sina kunder och lagrat på ADB. Beträffande personuppgifter som säljs av Telia InfoMedia - dvs. uppgifter om privatpersoner, enskilda näringsidkare och kontaktpersoner hos företagskunder - har Respons ett tillstånd ( DN-Sök ) från Datainspektionen att föra ett personregister vars ändamål har fastställts till att vara registrering av teleabonnenter för tillhandahållande av nummerupplysningstjänster. Det är också meddelat föreskrifter om vilket slag av personuppgifter som registret får innehålla och om vilka bearbetningar av informationen som Respons får göra. Slutligen skall man också ha i minnet att tryckfrihetsförordningens bestämmelser kan bli tillämpliga på bl.a. katalogregister i olika former. 6

7 Telias produkter Telia har till Datainspektionen uppgett att man i dagsläget tillhandahåller följande produkter som innefattar personuppgifter i datalagens mening. Upplysningstjänster Information om abonnenternas namn, adress och telefonnummer lämnas ut i olika kataloger som distribueras i pappersform, på CD-ROM och över Internet (Gula och Rosa Sidorna). Man kan också ringa till Nummerupplysningen och få denna information. Det går att få information inte enbart om abonnemangsinnehavaren utan också om de personer som anmält att de vill stå med i telefonkatalogen som partner. Telia säljer också denna kataloginformation till externa intressenter som vill trycka egna telefonkataloger. Register vars ändamål är att framställa tryckta skrifter faller normalt inom tryckfrihetsförordningens regler och därmed har Datainspektionen ingen tillsyn över användandet. Utlämnande av kataloginformation över Internet diskuteras vidare nedan under rubriken Datainspektionens synpunkter. TeleAdress - nettomatchning Produkten innebär att Telia jämför beställarens kundregister med sina abonnemangsregister över hushåll och/eller företag inom ett eller flera geografiska områden. Meningen är att beställaren skall få fram en förteckning över hushåll/företag som inte redan är kund i företaget och som det därmed kan vara lönt att rikta marknadsföringsinsatser mot. Förteckningen består av namn och adress till hushåll och namn, adress och telefonnummer till företag. Som matchningsnyckel används telefonnummer. Beställarens kundregister lämnas till Telia för bortmatchning på band, diskett eller genom filöverföring via modem. Detta innebär att det blir fråga om en samkörning i datalagens mening och beställaren måste således ha ett tillstånd från Datainspektionen för att bearbetningen skall få ske, eftersom samkörningen sker på beställarens registeransvar. Telia kontrollerar att beställaren har ett sådant tillstånd. Förteckningen kan sedan lämnas ut på band, diskett, lista, etiketter eller genom filöverföring via modem. Om förteckningen lämnas ut i annan form än på papper, kommer beställaren att inrätta ett register över presumtiva kunder för vilket datalagens regler är tillämpliga. Detta register kräver Datainspektionens tillstånd. Efter ansökan kan det regleras samtidigt som tillstånd till samkörning meddelas. Eftersom telefonnummer används som matchningsnyckel och samkörningen görs på beställarens registeransvar, kommer telefonnummer till privatpersoner i teorin att lämnas ut till beställaren. Någon egentlig tillgång till telefonnumret får beställaren dock aldrig. Frågan diskuteras vidare nedan under rubriken Datainspektionens synpunkter. Om det enbart rör sig om uppgifter om juridiska personer är datalagens regler inte tillämpliga och något tillstånd behövs således inte, vilket gäller genomgående för alla produkter. Används inte några hem- 7

8 telefonnummer i samkörningen, kan de generella föreskrifterna för vissa direktreklamregister normalt följas. I de fallen är det tillräckligt att beställaren har anmält sig för licens och något tillstånd behövs alltså inte. TeleAdress aktuella hushåll Med denna produkt kan Telia tillhandahålla företagen uppgifter om nyinflyttade hushåll inom ett givet geografiskt område. Beställaren kan prenumerera på tjänsten vecko-, månads- eller årsvis. Utdatamedia är lista och/eller etikett alternativt e-post. När det gäller utdata på e-post måste beställaren förbinda sig att omedelbart skriva ut informationen på papper och radera postmeddelandet. På så vis blir inte datalagens regler tillämpliga. Både namn, adress och telefonnummer lämnas ut och uppgifterna kan således användas bl.a. för telemarketing mot privatpersoner i deras hem. TeleAdress adressmatchning Beställaren har en talsvarsdator där kunderna kan ringa in och beställa varor eller information. För identifikation ombeds kunden att knappa in sitt telefonnummer, vilket sedan matchas mot Telias abonnentregister. Namn och adress skickas till beställaren genom filöverföring via modem. Alla former av samkörning kräver normalt antingen Datainspektionens tillstånd eller att den registrerade lämnar sitt samtycke till bearbetningen. Om datorrösten upplyser om att det inknappade telefonnumret kommer att samköras mot Telias abonnentregister för att få fram namn och adress och kunden därefter knappar in sitt telefonnummer, behövs inget särskilt samkörningstillstånd från Datainspektionen eftersom man då anses ha lämnat sitt medgivande till samkörningen. En ytterligare fråga i sammanhanget är hur datalagen skall tillämpas om någon knappar in en annan persons telefonnummer. Den som använder sig av TeleAdress adressmatchning skulle på så vis kunna skapa ett tillståndspliktigt personregister utan att det var det egentliga syftet med registreringen. Företaget kan ju inte känna till vem som faktiskt knappade in numret. Samma sak kan hända om ett företag tar emot beställningar genom svarskuponger eller genom att prata med en person. Frågan diskuteras vidare nedan under rubriken Datainspektionens synpunkter. TeleAdress nummermatchning Med hjälp av denna produkt kan beställaren dels telefonnummersätta sitt kundregister (alltså tillföra telefonnummer då kunden inte själv har lämnat det), dels uppdatera redan befintliga telefonnummer i kundregistret. Det gäller såväl privatpersoner som företag. Beställaren lämnar sitt kundregister på band, diskett eller genom filöverföring via modem. Matchningsnyckel är namn och adress och utdatamedia är band, diskett, lista, etikett eller filöverföring via modem. Detta innebär att det sker en samkörning som normalt är tillståndspliktig enligt datalagen, om inte varje kund samtyckt till att hans telefonnummer uppdateras efter hand eller att hans telefonnummer tillförs 8

9 kundregistret. Telia kontrollerar att beställaren har ett tillstånd från Datainspektionen eller att samtliga aktuella kunder lämnat sitt samtycke till samkörningen. TeleAdress slumpvist urval Denna produkt används framförallt för marknadsundersökningar. Telia tillhandahåller beställaren ett antal slumpvist utvalda namn, adresser och/eller telefonnummer till privatpersoner och/eller företag inom ett givet geografiskt område. Beställaren kan få informationen på lista, etikett, band, diskett eller genom filöverföring via modem. För det fall att personuppgifter lämnas ut på ADB-media och skall användas för marknadsundersökningar, krävs Datainspektionens tillstånd eftersom beställaren inte har någon naturlig anknytning till de registrerade. Telia kontrollerar att Datainspektionen meddelat tillstånd för registret. De generella föreskrifterna för vissa direkreklamregister kan dock vara tillämplig om beställaren skall använda uppgifterna för marknadsföringsändamål. I de fallen är det tillräckligt att beställaren har anmält sig för licens. Några hemtelefonnummer får då inte ingå i registret. TeleAdress bransch Beställaren anger vilken eller vilka branscher han är intresserad av och får sedan namn, adress och/eller telefonnummer till dessa företag inom ett givet geografiskt område. Uppgifterna hämtas från Gula Sidorna och levereras på lista, etikett eller diskett. Datalagen blir tillämplig eftersom uppgifter om enskilda näringsidkare räknas som personuppgifter. Normalt kan de generella föreskrifterna för vissa direktreklamregister följas. I de fallen är det tillräckligt att beställaren har anmält sig för licens. TeleAdress geografiskt område Denna produkt ger beställaren namn, adress och/eller telefonnummer till privatpersoner och/eller företag inom ett givet geografiskt område. Informationen levereras på lista, etikett, band eller diskett. Normalt kan de generella föreskrifterna för vissa direktreklamregister följas. I de fallen är det tillräckligt att beställaren har anmält sig för licens. Några hemtelefonnummer får då inte ingå i registret. 9

10 Telias rutiner Datainspektionen avslutade i februari 1997 ett tillsynsärende mot Telia, där inspektionen framförde synpunkter på hur datalagens regler följdes vid utlämnande av personinformation till externa beställare. Telia har nu uppgett att man sedan dess vidtagit en rad åtgärder för att förbättra sina rutiner. Rutinerna ser nu ut så som följer. Säljarna utbildas i datalagens regler och alla har en pärm där reglerna inklusive licens- och tillståndsplikt och de generella föreskrifter för vissa direktreklamregister finns beskrivna. Säljarna informerar beställarna om vilka regler som gäller enligt datalagen vad avser den aktuella produkten. På de särskilda informationsblad som beskriver produkter innehållande personuppgifter finns ett avsnitt angående tillståndsplikt enligt datalagen om tillståndsplikt kan bli aktuell. Innan uppgifter lämnas ut på ADB-media från Respons ber man att få en kopia av Datainspektionens beslut för det aktuella registret, om de generella föreskrifterna för vissa direktreklamregister inte är tillämpliga. Ingen samkörning görs förrän Respons har förvissat sig om att tillstånd meddelats när så krävs. Även kopior av gamla beslut hämtas in, eftersom det hänt att beställarna blandat ihop tillstånd med licens eller av annan anledning felaktigt trott sig ha tillstånd för registret. Produkter vilka Datainspektionen troligen inte skulle godkänna, exempelvis telemarketing mot privatpersoner, tillhandahålls inte på ADB-media. Inga hemliga telefonnummer lämnas ut, inte heller i produkten TeleAdress slumpvist urval. Undantag görs dock när SOSAB behöver namn och adress i en larmsituation. Telia säljer en hel del information genom återförsäljare. Det är då återförsäljaren som informerar om datalagens regler och kontrollerar beställarnas tillstånd. Telias företrädare är dock medvetna om att 11 datalagen riktar sig till den som lämnar ut uppgifter från sitt personregister och att Telia således inte kan avsäga sig ansvaret för att kontrollen görs på ett korrekt sätt. Telia har uppgett att man normalt förutsätter att beställaren har anmält sig för licens hos Datainspektionen om de vill ta emot uppgifterna på ADB-medium, eftersom det är ett krav som alla skall känna till. Kontroll görs dock om det finns anledning att tro att licensanmälan inte har gjorts. 10

11 Spärrlista De personer som inte vill bli föremål för direktreklaminsatser, kan anmäla sig till en spärrlista hos Telia. Spärren kan i nuläget inte differentieras, vilket innebär att telefonnumret till den som har en direktreklamspärr inte heller lämnas ut för t.ex. uppdatering av kundregister eller till talsvarsdatorer. Telia går inte ut med någon direkt information om att spärrlistan finns, men då och då skrivs artiklar i dagspressen där allmänheten får denna information. 11

12 Datainspektionens synpunkter Telia har sedan Datainspektionens tidigare tillsyn vintern 96/97 skärpt sina rutiner för utlämnande av personinformation på ett påtagligt sätt. Inspektionen har i nuläget ingen kritik att framföra mot förfaringssättet. Några frågor återstår dock att diskutera. Kataloginformation på Internet Telia har ansökt om Datainspektionens medgivande att lämna ut Gula, Rosa och Vita Sidorna över den öppna delen av Internet. Frågan kommer därför inte att tas upp till vidare diskussion i denna rapport. TeleAdress nettomatchning Som Datainspektionen uppfattar det har denna produkt egentligen aldrig tillståndsprövats av inspektionen. (Telia har hänvisat till ett beslut gällande Sydsvenska Dagbladet (dnr ), men det ärendet rör enligt Datainspektionens mening snarare produkten TeleAdress nummermatchning, d.v.s. en uppdatering av telefonnummer i ett befintligt kundregister.) Huruvida Datainspektionen skulle godkänna att telefonnummer till privatpersoner används av beställaren för bortmatchning av befintliga kunder och därmed i teorin utlämnas från Telia, återstår att pröva när en sådan tillståndsansökan kommer in. Talsvarsdatorer Som ovan har redovisats kan kundregister av olika anledningar innehålla information om personer som rent faktiskt inte har anmält sitt intresse för kontakt med företaget. Ett exempel är när ett företag använder tjänsten TeleAdress adressmatchning och någon knappar in ett telefonnummer som inte tillhör honom. Den riktiga abonnenten blir då mot sin vilja registrerad som kund hos företaget. Datainspektionen anser dock inte att TeleAdress adressmatchning är en produkt som i sig är integritetskränkande eller behöver tillståndsregleras av integritetsskyddsskäl och kommer därför att fundera vidare på hur datalagen bör tillämpas i dessa undantagsfall. Eventuellt kan generella föreskrifter införas som reglerar dessa situationer i stort. Datainspektionen vill också erinra om att uppgifter om enskilda näringsidkare faller under datalagens regler, vilket inte alltid framgår klart av Telias produktinformation. 12

13 Avslutning Datainspektionens uppgift är framförallt att hitta en balans mellan den enskildes rätt till integritet och samhällets behov av effektivitet. Kommersialiseringen av personuppgifter som den enskilde måste lämna ifrån sig för att kunna utnyttja de tjänster som samhället erbjuder, t.ex. telefonabonnemang, innebär en spridning av uppgifterna som i de flesta fall går utöver det ursprungliga syftet med insamlingen. Datainspektionens grundsyn är att integritetsskyddet försämras genom denna spridning eftersom den enskilde i realiteten inte längre har kontroll över var och hur uppgifter om honom används. Direktreklammarknaden har en stor del i denna spridning. Datainspektionens erfarenhet är att det stora irritationsmomentet vad gäller reklaminsatser är telemarketing mot privatpersoner. Telia bidrar till marknaden genom sin tjänst TeleAdress aktuella hushåll. Den information beställaren erhåller faller i dagsläget inte inom Datainspektionens tillsynsområde. Saken kommer eventuellt att te sig annorlunda när den nya personuppgiftslagen träder i kraft den 24 oktober 1998, eftersom även bearbetningen av viss manuell information då kommer att regleras. Datainspektionens primära inställning är dock att direktreklammarknaden inte bör regleras genom förbud att samla in information utan genom etiska regler för ex. vem som kontaktas, på vilka tider säljarna bör och inte bör ringa och genom att det finns fungerande spärrlistor. Detta torde enligt Datainspektionens mening vara ett effektivare och lämpligare sätt att komma till rätta med det missnöje som kommit fram i klagomålen. För de personer som vill undvika direktreklaminsatser i olika former kan följande information lämnas. Telia har en spärrlista som man kan anmäla sig till. Kom ihåg att ditt telefonnummer då inte heller kommer att lämnas ut för uppdatering av kundregister, telefonnummersättning eller till talsvarsdatorer. Ring eller SWEDMA (branschföreningen för direktreklamföretag) har en spärrlista som kallas NIXlistan. Företag som är medlemmar i SWEDMA skall rensa sina register från personer som anmält sig till listan innan man genomför direktreklaminsatser. Detta gäller ännu endast postbefordrad reklam men SWEDMA avser enligt uppgift att inrätta även NIX-telefon, NIX-fax och NIX-e-post. Ring eller skriv till: NIX Reklamtjänst, Box 600, Strömsund Från SPAR (Statens person- och adressregister) hämtas stora mängder adresser för direktreklamändamål. I SPAR finns dock inga telefonnummer, matchningsnyckeln är istället oftast personnummer. Vill du undvika en hel del postbefordrad direktreklam kan du skriva till: SPAR-nämnden, Box 2280, Stockholm. Du måste förutom namn och adress uppge även personnummer. 13

14 Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, Stockholm Beställningar: (telefonsvarare) E-post: datainspektionen@din.se Fax: Tel: