MYNDIGHETSDATA TILL SALU

Transkript

1 FRÅN DATAINSPEKTIONEN #3/2000 Så kartläggs dina köpvanor WEB-ANNONSEN SER DIG! IDAG KAN ANNONSERINGEN PÅ INTERNET SKRÄDDARSYS EFTER DIN PROFIL. SAMTIDIGT SOM DU TITTAR PÅ EN BANNER KAN DET HÄNDA ATT DEN TITTAR PÅ DIG. SID 4 MYNDIGHETSDATA TILL SALU MED HJÄLP AV DEN SVENSKA OFFENTLIG- HETSPRINCIPEN UTNYTTJAR INFORMATIONS- INDUSTRIN MYNDIGHETSDATA FÖR KOMMER- SIELLA ÄNDAMÅL. SID 6 NORDEN EU-ANPASSAT NU HAR DANMARK, NORGE OCH ISLAND ANTAGIT PERSONUPPGIFTSLAGAR SOM ÄR ANPASSADE MAGAZIN TILL DIREKT EU:S DATASKYDDS- #1/ DIREKTIV. SID 8

2 TEMA Direktreklam Så kartläggs dina köpvanor Dagens direktreklam har många ansikten. Metoderna förfinas snabbt och marknadsförarna slits mellan sin önskan att ta reda på så mycket som möjligt om sina kunder och risken att de ska känna sig övervakade och skrämmas bort. DATABASER OCH IT har förändrat direktreklamen. De oadresserade massutskicken från mat- och TV-butikerna lever och frodas som de alltid har gjort, men när det gäller den adresserade reklamen förfinas metoderna snabbt. Honnörsordet är one-toone marketing. Med kundklubbar, bonuskort, lojalitetsprogram och telemarketing försöker man knyta kunderna fastare till sig. Men kunden har börjat inse sitt värde. För att lämna från sig de nödvändiga uppgifterna vill han ha belöningar. Den adresserade direktreklamen handlar för det mesta inte om att värva nya kunder de flesta verksamheter har redan tillräckligt många. Den traditionella metoden att köpa adresser och skicka reklambrev till t.ex. alla villaägare på orten är dyrbar och ger mycket liten utdelning, man brukar räkna med två procent. Det kan vara nödvändigt att köpa adresser när man bygger upp en ny verksamhet, men när kunden väl har kommit, gäller det att skapa ett fast förhållande. Kunden och särskilt då den lönsamma kunden ska knytas upp med förmåner och erbjudanden. Direktreklam kostar mycket pengar. Det räcker inte att hitta och behålla en kund. Det gäller att odla de lönsamma kunderna, säger Eva-Marie Åkesson, vd för DM Konsult, som har specialiserat sig på s.k. relationsmarknadsföring. Kundklubbar och bonuskort är vanliga sätt att knyta kunden till sig, det räcker inte att veta att någon handlar, man behöver veta vem som handlar. Det är inte särskilt meningsfullt att skicka erbjudanden på blöjor till någon som inte har barn! FÖR ATT UNDERHÅLLA EN RELATION behöver man veta ganska mycket om kunden. Det är då databaserna kommer in på allvar, och det är då som integritetsfrågorna blir aktuella. Det är enkelt att få en kund att teckna sig för ett bonuskort och därmed acceptera att vissa uppgifter registreras. Men det är inte tillräckligt för att bygga upp ett bra och varaktigt förhållande. Det gäller att hitta jämviktspunkten där kontakten uppfattas som nyttig och inte som ett integritetsintrång. För även om uppgifterna registreras med kundens samtycke helt enligt lagar och regler, så finns det en gräns för hur personlig en klädbutik eller en bilfabrikant kan vara. Man måste fråga dig om du vill ha informationen. Helst ska du ha begärt att få den. Om en videobutik skriver ett brev: Vi kan se att du brukar hyra action-filmer. Nu har vi fått in några rullar som vi tror att du är intresserad av, så känner du dig övervakad och tycker det är obehagligt. Men om du själv har kryssat i ett formulär att du är intresserad av information om nya action-filmer, så känner du dig ompysslad när du får brevet. MÅLET ÄR JU INTE ATT KARTLÄGGA kunden utan att förverkliga den gamla drömmen om one-to-one marketing. Man vill återskapa den förtroendefulla stämningen i den gammaldags fisk- eller charkuteriaffären, men nu är handlarn ersatt av en dator! Den utvecklingen har vi bara sett början på. Många företag har investerat i databasutrustning, men det gäller också att hämta in rätt information och inte minst att formulera budskapet man vill ut med. Många företag tycker att det är jobbigt att skriva kanske tio-femton olika brev med snarlika budskap som är anpassade till olika sorters kunder. Men det är nödvändigt. Standardbrev där bara namnet byts ut Hej, Sture Emanuel Persson! duger inte. Att bara skicka en kundtidning är inte heller tillräckligt. Den måste åtföljas av ett personligt brev: Hej Sture! Du har berättat för oss att du är intresserad av vegetarisk matlagning och på sidan 12 finns några recept som vi tror intresserar dig. NU ÄR DET INTE HANDLARN SJÄLV som sitter och trycker på knappen när det är dags att skicka brev. Det sker helt automatiskt Ica har t.ex. sin kunddatabas med uppgifter om 3,1 miljoner kunder centralt placerad i Borås. För att åstadkomma det personliga brevet, behövs triggers i databasen som ser till att datorn skickar rätt brev till rätt kund vid rätt tillfälle. Vi ser på tre faktorer som vi kallar RFM: Recency, Frequency, Money, säger Eva-Marie Åkesson. Recency, dvs. hur långt det har gått sedan senaste köptillfället, är viktigast. En kund som inte har handlat på en tid kan få ett Vi saknar dig-brev. En kund som återkommer efter att inte ha handlat på sommaren, kan få ett Välkommen tillbaka från semestern-brev. Att identifiera stor- 2 MAGAZIN DIREKT #3/2000

3 kunder (Money) är också viktigt. Det är ju ingen god affär att bjuda in en kund som handlar för 250 kronor om året till en modevisning där biljetten kostar 150 kronor. På sistone har man sett många svarta rubriker i pressen: Ögon på nätet ser vad du gör, Storebror på nätet, Du är iakttagen, Ditt surfande registreras, som ger en helt annan bild. Det verkar som om åtminstone näthandeln snarare sysslar med smygregistrering än att försöka skapa en förtroendefull relation? De svenska etablerade DMföretagen är mycket noga med att hålla sig till lagar och regler, t.ex. informera och inhämta samtycke enligt PuL, säger Eva-Marie Åkesson. Branschen har också egna etiska regler. Att samla surfinformation är nog främst ett amerikanskt fenomen, men visst kan man tänka sig att det också i Sverige finns unga e-handelsföretag som inte så noga känner Det räcker inte att hitta och behålla en kund. Det gäller att odla de lönsamma kunderna, säger Eva- Marie Åkesson, vd för DM Konsult. till vilka regler som gäller. Hur som helst är metoden att samla surfinformation oekonomisk på sikt. Man måste ha kundens aktiva medverkan och medgivande för att kunna bygga upp en relation. FAKTA KUNDREGISTER I ett kundregister noterar ett företag uppgifter om sina kunder för att hålla reda på beställningar, leveranser, betalningar, osv. Registret kan användas för marknadsföring. Kund blir den som köper eller beställer en vara eller en tjänst från ett företag eller som uttryckligen begär fortlöpande information. Den som enbart ringer och ställer frågor eller besöker företagets webbplats är inte kund. Kundregister som har inrättats före 24 oktober 1998 regleras av datalagen. Information om detta hittar du på Nyinrättade kundregister regleras av PuL. Utan kundens samtycke får uppgifter behandlas som är nödvändiga för att ett avtal med den registrerade ska kunna fullgöras (10 a ). Med kundens samtycke får man behandla de uppgifter som samtycket omfattar. MAGAZIN DIREKT #3/2000 3

4 TEMA Direktreklam Webb-annonsen ser dig! Om du tittar på en banner, en sån där liten flaggformad annons på webben, kan det hända att annonsen samtidigt tittar på dig. BANNERN KAN VARA UTPLACERAD av en webb-annonsbyrå som identifierar din dators identitetsnummer (IP-numret) när du tittar på deras annonser. Därefter kan man följa dina sökningar och notera vad mer du tittar på. Alla uppgifter lagras i annonsbyråns server. När du besöker någon annan av webbplatserna i annonsbyråns nät identifieras din dator på nytt, och mer information om dig samlas in. Så småningom har annonsbyrån många uppgifter om dig; din profil eller snarare din dators profil finns lagrad. När du då går in på någon av byråns webbplatser kan du styras till annonser om sådant du förväntas vara intresserad av. Det kan t.o.m. finnas flera varianter av samma annons och då visas den som passar dig bäst, t.ex. en som är anpassad till din ålder. När du lämnar webbplatsen läggs en cookie i din dator. Vid nästa besök kollas cookien, så att du inte ska träffas av samma annons gång på gång. DEN STÖRSTA BANNER-BYRÅN heter Doubleclick, ett New Yorkbaserat företag som sedan 1997 också är etablerat i Sverige. Byrån har banner-anonser på ca webbplatser och man lär ha 100 miljoner profiler på Internet-besökare lagrade i sin server. När en person besöker en webbplats i Doubleclicks nätverk kollas besökarens IP-nummer av mot servern i USA, som ger besked till en server i Sverige vilken annons som skall visas för besökaren. Annonsörerna kan när som helst koppla upp sig mot systemet och få statistik bl.a. över hur många som tittat på annonsen och från vilka domäner. Efter klagomål har Datainspektionen inspekterat svenska Doubleclick för att få närmare information om bolagets verksamhet. Vad som framkom i inspektionsärendet föranledde inte någon åtgärd från Datainspektionens sida (dnr ). Än så länge baseras banner-annonseringen på datorns identitetsnummer, IP-numret, men nu söker annonsörerna efter möjligheter att koppla IP-numret till en fysisk person. Man kan t.ex. utlysa tävlingar eller ge förmånserbjudanden där surfaren måste lämna sitt namn och adress eller sin e-postadress. Då kan IP-adressen kopplas till person. Det sägs också finnas möjligheter att direkt snappa upp e-postadressen. HUR KAN MAN DÅ SLIPPA att bli kartlagd på det här viset? Man kan ställa in sin dator så att den inte accepterar att någon planterar cookies i den. Det kan dock föra med sig att surfandet blir besvärligare du kan t.ex. vägras tillträde till vissa webbplatser eller delar av webbplatser. Ett annat sätt är att vända sig till ett företag som erbjuder anonym surfning antingen genom program som raderar loggfiler eller så kan företaget fungera som mellanhand i ditt surfande (se DIrekt 1/00). Detaljerade regler för marknadsundersökningar Sedan början av året finns, som ett komplement till PuL, en branschöverenskommelse med detaljerade regler för hur personuppgifter ska hanteras i samband med marknadsundersökningar. Det är Föreningen Svenska Marknadsinformationsföretag, SMIF, som står bakom de nya reglerna som ska säkerställa att andemeningen i PuL styr medlemsföretagens arbete. De nya reglerna innebär bl.a. att när du blir uppringd av ett marknadsundersökningsföretag ska du bli informerad om varför du blir uppringd, hur du valts ut, vad syftet med undersökningen är och vem som samlar in uppgifterna. Det ska tydligt framgå att det är frivilligt att delta och att du, om du väljer att delta, samtycker till att uppgifter om dig registreras. Du ska dessutom få reda på vem som är personuppgiftsansvarig så att du kan kontakta denne om några uppgifter skulle behöva rättas. Sälj din egen kundprofil Adresspooler är en ny företeelse i direktreklamvärlden. På poolens webbplats lämnar du uppgifter om dig (och ibland om din familj) och godkänner att poolens annonsörer skickar e-postreklam till dig. Du kan också ingå i en panel där du ibland besvarar enkäter. I gengäld får du ett antal förmånserbjudanden. Kreativiteten blomstrar. Så här lyder ett: Varje gång du läser våra erbjudanden ger vi pengar till en idrottsklubb eller ideell förening som du själv har valt. 4 MAGAZIN DIREKT #3/2000

5 TEMA Direktreklam Så slipper du reklam per telefon och post Trött på telefonförsäljare som ringer mitt i maten? Nu kan du spärra din telefon mot telefonförsäljning. DU RINGER NIX-TELEFON, och knappar in ditt telefonnummer. Efter några dagar får du ett brev med ett annat 020- nummer och en kod. Ring numret och knappa in koden, så spärras din telefon mot marknadsföringssamtal. (Brevet skickas till den som står som abonnent för ditt telefonnummer). Spärren, som är gratis, gäller samtal för försäljning, marknadsföring och insamling. Den gäller inte företag där du redan är kund eller om du själv har lämnat ut ditt telefonnummer. Sådana samtal kan du avböja direkt hos företaget. Spärren gäller inte heller samtal för enkäter, marknadsundersökningar, samhällsinformation eller politisk information. NIX-Telefon drivs av Föreningen för konsumentskydd, som har nio branschföreningar och ca 60 enskilda företag som medlemmar. Från den 1 december är det obligatoriskt för företagen att kontrollera om telefonen är spärrad innan man ringer marknadsföringssamtal. Bakgrunden är ett EG-direktiv om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet. Spärren gäller enbart nummer i det fasta telenätet. Senare ska även mobilnummer kunna spärras. Hemliga nummer kan inte spärras. Mer information finns på OM DU VILL SLIPPA DIREKTREKLAM PER POST, kan du skriva så här till SPAR-nämnden, Box 2280, Stockholm: Jag vill inte att de uppgifter som finns om mig i SPAR lämnas ut för direktreklam. Ange namn, adress och personnummer och underteckna brevet. Då spärras ditt namn i Statens Person- och adressregister, som är den främsta adresskällan för direktreklamutskick. Du kan dock få reklam från avsändare som har fått din adress på andra vägar. Dessa måste du skriva till separat och avsäga dig reklam. Du kan också lägga in en spärr i NIX-Reklam, , branschens eget spärregister för reklam per post. Snart ska du också kunna tacka nej till reklam per e-post. Konsumentverket har regeringens uppdrag att till den 1 oktober utreda ett nationellt spärregister mot ovälkommen e-postreklam. Men än så länge är s.k. spamming tillåten, alltså e-postreklam som skickas slumpvis till listor med e-postadresser ju fler adresser desto bättre. Spamming är inte särskilt vanligt i Sverige, men i USA är det ett problem. Att skicka ut ett spam till tiotusentals adresser kostar inte avsändaren mer än att skicka några enstaka vanliga brev, och alltid får man några napp. Däremot kostar det konsumenten uppkopplingstid och tid att sortera bort skräpet. Och internetoperatörerna kan behöva skaffa större servrar när trafiken växer. EN ANNAN NYMODIGHET som många säkert vill tacka nej till är reklam via SMS, alltså meddelanden till din mobiltelefon. SMSreklam finns redan idag, och snart finns också teknik att styra reklamen efter var telefonen befinner sig. Om du går på gatan kan man alltså tänka sig att din mobil ringer: Du har fått ett SMS-meddelande att modebutiken runt hörnet har rea. MAGAZIN DIREKT #3/2000 5

6 TEMA Direktreklam Myndigheter, Internet och integritet LÄSTIPS I rapporten Myndigheter, Internet och integritet från Styrelsen för psykologiskt försvar presenterar Michael Nydén resultatet från en enkätundersökning där 101 myndigheter under en treårsperiod har besvarat frågor om hur de använder Internet och e-post. Rapporten visar på en närmast explosionsartad utveckling de senaste åren. E-postanvändningen ökar och Internet blir en allt viktigare kommunikationskanal för myndigheterna. Michael Nydén menar att myndigheterna är vilsna när det gäller att hantera elektronisk information. De tekniska lösningarna går före principiella frågor om integritet och lika behandling. Ett av de problem han tycker sig se är att man tänjer på gränserna för vad offentlighetsprincipen ställer för villkor. Informationsmängden på Internet växer men materialet blir samtidigt allt mer oöverskådligt. Många myndigheter kräver idag att den som söker efter information själv ska hitta den. Förr var det myndighetens ansvar att ta fram informationen även om den som sökte inte kände till diarienummer eller vem handläggaren var. Ett annat problem är att rätten att anonymt kunna begära ut information från myndigheter inte existerar på Internet. Information om besökare på myndigheternas webbplatser registreras för att utvärdera och förbättra webbplatsernas service men besöksuppgifter kan också bli en begärlig handelsvara och i vissa fall har svenska myndigheter sålt denna information till företag. Michael Nydén skriver i rapporten att de nya internettjänsterna har placerat myndigheterna i en gråzon mellan företagande och myndighetsutövning. Rapporten kan hämtas gratis som pdf-fil på eller beställas för 150 kronor på e-postadress info@psycdef.se eller på telefon Myndighe De flesta vana Internet-användare har för länge sedan lärt sig att skydda sig mot alltför närgången reklam genom att inte berätta så mycket om sig själv eller helt enkelt ljuga. Men när det är myndigheter som vill ha information finns det väl ingen anledning att vara hemlighetsfull? ALLA SVENSKAR HAR NÅGON GÅNG lämnat information om sig själva till någon myndighet. Det kan ha varit i samband med att ta körkort, köpa hus, ansöka om bygglov, ansöka till universitet eller högskola, ta studielån, ansöka om bidrag, med mera. Ibland är det den enskilde som själv tar initiativ till kontakten med myndigheten, kanske för att komma i åtnjutande av någon samhällstjänst. Men det kan lika ofta handla om att medborgarna är skyldiga att i vissa sammanhang informera myndigheter om sina förehavanden deklarationen som varje år lämnas till skattemyndigheten är det mest uppenbara exemplet på detta. DEN SVENSKA OFFENTLIGHETSPRINCIPEN innebär att alla har rätt att läsa allmänna handlingar hos en myndighet om inte en särskild bestämmelse om sekretess hindrar det. Handlingen behöver inte finnas på papper, utan myndigheten är som regel skyldig att föra över datoriserade uppgifter till papper. Om myndigheten går utöver sina skyldigheter enligt offentlighetsprincipen och mot ersättning tillgodoser särskilda önskemål från utomstående intressenter genom att t.ex. göra sammanställningar eller ta fram adressetiketter som man normalt inte har, räknas det som försäljning. Den information som myndigheterna förfogar över utgör en värdefull resurs. Informationen är nödvändig för att myndigheterna själva ska kunna fullgöra sina åtaganden och för att de ska kunna utveckla sin service till medborgarna. Det finns även ett intresse av att utnyttja denna information för kommersiella ändamål och den har kommit att uppfattas som ett betydelsefullt råmaterial för den växande informationsindustrin. I RAPPORTEN Försäljning av myndighetsinformation (har presenterats i DIrekt #1/99 och #3/99) kunde Datainspektionen konstatera att den försäljning av uppgifter som ger upphov till flest klagomål från enskilda är den som sker för direktreklamändamål. En trolig anledning är att den enskilde uppmärksammas på försäljningen när reklamen kommer i brevlådan. Det är inte lika påtagligt för den enskilde att information faktiskt 6 MAGAZIN DIREKT #3/2000

7 ers databaser råmaterial för informationsindustrin också säljs för andra ändamål, till t.ex. banker, forskare och kommunala myndigheter. Datainspektionen antog i sin rapport att fler skulle framföra klagomål på myndigheternas försäljningsverksamhet om detta var mer allmänt känt. Erfarenheterna av Folk- och Bostadsräkningen år 1990 gav stöd för antagandet. Där märktes en avsevärd minskning av svarsfrekvensen och många lämnade felaktiga uppgifter, t.ex. undertecknades vissa svar med Kalle Anka. Slutsatsen var att detta berodde på människors oro för personregistrering och risker för integritetsintrång. När ett register inrättas hos en myndighet måste utgångspunkten vara myndighetens eget behov av information. Uppgifter som enbart är intressanta ur ett kommersiellt perspektiv får alltså inte registreras hos en myndighet. Ibland kan dock intressena sammanfalla. Lantmäteriverket är det tydligaste exemplet. De förfogar över information som det är lätt att hitta intresserade köpare till. Genom de regionala inskrivningsmyndigheterna samlar man t.ex. in grundläggande information om fastigheter i Sverige, deras ägare, adresser, värden och inteckningar. Nu registrerar inte Lantmäteriverket särskilt känsliga personuppgifter och dessutom ingår det i deras uppgift att sprida denna typ av samhällsnyttig information. Men det kanske blir skillnad om den nyligen föreslagna FoB-lagen träder i kraft. Då skulle detaljerad information om boende i hela Sverige samlas in till offentliga databaser hos bland andra Lantmäteriverket. (Se notis om FoB-lagen på sidan 10). IDAG REGLERAS DE FLESTA myndighetsregister av datalagens regler. Men efter den 1 oktober 2001 kommer de flesta myndighetsregister istället att regleras av PuL. Bland de nyheter i PuL som är mest märkbara är de som gäller informationsskyldigheten (23 27 ). För myndigheternas del innebär detta i princip att när du lämnar information direkt till myndigheten har du rätt att få veta för vilka olika ändamål uppgifterna kommer att användas. De nya reglerna kommer att öka allmänhetens kännedom om hur myndigheternas information används. Och förhoppningsvis bidrar de till att man inte ska behöva bli misstänksam mot myndigheternas avsikter. För det vore ju lite besvärligt om någon som kallar sig Kalle Anka skulle söka bygglov! MAGAZIN DIREKT #3/2000 7

8 Nordiska datachefsmötet: Nu är hela Norden EU-anpassad Nu har också Danmark, Norge och Island antagit personuppgiftslagar som är anpassade till EU:s dataskyddsdirektiv. Därmed är hela Nordens dataskyddslagstiftning EU-anpassad. Det var den stora nyheten när nordens dataskyddschefer möttes i norska Ålesund i början av juni. SOM BEKANT VAR SVERIGE ett av de första EU-länderna som gjorde lag (PuL) av dataskyddsdirektivet. Detta trots att PuL trädde i kraft den 24 oktober 1998, som enligt direktivet var sista dagen för införlivandet. Den gamla svenska datalagen gäller dock övergångsvis i ytterligare tre år för register som var i drift när PuL trädde i kraft. Nu, ett och ett halvt år senare, är hela Norden EU-anpassad. (Däremot återstår fortfarande fyra EU-länder som inte har implementerat direktivet: Tyskland, Frankrike, Irland och Luxemburg. EU-kommissionen har anmält dessa länder till EG-domstolen för att de inte skyddar medborgarnas personuppgifter i enlighet med direktivet.) När de nordiska dataskyddscheferna i juni höll sitt årliga möte i år möttes man i norska Ålesund var huvudämnet likheter, olikheter och erfarenheter av de nya lagarna. En annan viktig punkt på agendan var lagar om registrering av DNA-profiler. I FINLAND trädde den nya personuppgiftslagen i kraft den 1 juni På samma sätt som i Sverige gäller den tidigare personregisterlagen övergångsvis till den 24 oktober 2001 för register som var i drift när personuppgiftslagen trädde i kraft. Lagtexten (på svenska) kan hämtas på Precis som i vår svenska personuppgiftsförordning finns bestämmelser om branschöverenskommelser, som den finska Dataombudsmannen har satsat mycket på. Fem överenskommelser är klara och ytterligare tio är på gång. Exempel på branscher är försäkringsbolag, banker, idrottsföreningar och försäljare av begagnade bilar. DANMARK har haft problem med att införa en ny lag. I ett och ett halvt år har olika förslag blockerats i Folketinget. Den nya lagen, persondataloven, antogs först den 26 maj 2000 och trädde nästan omedelbart den 1 juli 2000 i kraft med begränsade övergångsbestämmelser. Samtidigt bytte den danska dataskyddsmyndigheten namn från Registertilsynet till Datatilsynet. Lagen kan hämtas på I persondatalovens 2 finns ett viktigt undantag, som inte finns i PuL: Lagen är inte tillämplig om den strider mot informations- och yttrandefriheten enligt artikel 10 i Europakonventionen om mänskliga rättigheter. Det innebär att den danska lagen inte reglerar Internet på samma strikta sätt som svenska PuL. Hos den danska Rigspolitichefen har inrättats ett register med DNA-profiler för personer som är dömda eller har varit misstänkta för vissa grova brott. Att man sparar uppgifter om personer som har varit misstänkta men senare har frikänts, motiveras med att man har gjort mätningar som visar att risken för senare kriminalitet hos misstänkta men frikända personer är 44 gånger större än hos personer som inte har varit misstänkta för de aktuella brotten. NORGE står ju utanför EU och har inget krav på sig att anpassa sin lagstiftning. Men för att inte Norge ska ställas utanför EU:s dataflöden antog Stortinget den 14 april 2000 ett förslag till lag som 8 MAGAZIN DIREKT #3/2000

9 i allt väsentligt ansluter till EU:s direktiv. Lagen kallas personopplysningsloven, PoL, och kan hämtas på Datum för ikraftträdande är den 1 januari ÄVEN ISLAND har antagit den 10 maj 2000 en EU-anpassad lag som träder i kraft den 1 januari I lagen föreskrivs att det ska finnas register där man kan tacka nej till reklam både per post, e-post och telefon. En motsvarighet till våra svenska NIX-register alltså, men de svenska registren är inte reglerade i lag branschen har frivilligt inrättat dem. Isländska Datatilsynet (Tölfurnefnd) ska garantera säkerheten i det omtalade registret med genetiska data om större delen av Islands befolkning, som företaget Decode genom en speciallag har fått tillstånd att föra. Myndighetens personal ska därför ökas från två till åtta personer. Vid årsskiftet får Island också en lag om biobanker. Enligt den lagen ska det inte vara tillåtet att särbehandla en person på grund av information från ett biologiskt prov. I Sverige finns ett motsvarande lagförslag som ska remissbehandlas under hösten. TILLSYN Nya föreskrifter för SJ:s kundregister SJ får inte längre registrera uppgifter om sjukdom eller hälsotillstånd utan ett samtycke från resenärerna. Det framgår av Datainspektionens beslut den 27 juni. Fram till helt nyligen har SJ, utan kundernas kännedom, registrerat känsliga uppgifter vid telefonbokning. Massmedia uppmärksammade detta och Datainspektionen öppnade ett tillsynsärende (dnr ). Vid inspektionen visade det sig att det till varje beställning fanns möjlighet att registrera uppgifter i ett fritextfält. Uppgifter som registrerades på individnivå var t.ex. behov av ledsagning och om rullstol eller ledarhund skulle tas med på tåget. Uppgifterna i fritextfältet gallrades 24 timmar efter resans slut. Datainspektionen har efter avslutad inspektion meddelat en kompletterande föreskrift som innebär att uppgifter om sjukdom och hälsa inte får registreras utan den registrerades samtycke (dnr ). Journalist fick rätt mot Sjöfartsverket KAMMARRÄTTSDOMAR En journalist som arbetade med ett projekt för tidningen Aftonbladet kontaktade Sjöfartsverket och begärde att få ut allmänna handlingar ur sjömansregistret. De uppgifter som begärdes ut var bland annat namn på ca befälhavare på svenska fartyg, deras personnummer och på vilket fartyg de är mönstrade. Syftet var att upprätta en databas över olika yrkeskategorier, t.ex. fartygsbefälhavare och flygkaptener, som Aftonbladet planerar att använda som underlag för enkätundersökningar, tidningsartiklar och liknande. Sjöfartsverket gjorde bedömningen att sekretess hindrade att uppgifterna kunde lämnas ut. Enligt 7:16 sekretesslagen gäller sekretess för personuppgifter om man kan anta att utlämnandet skulle medföra att uppgifterna behandlas i strid med PuL. Journalisten överklagade Sjöfartsverkets beslut med motiveringen att PuL inte får tillämpas om det skulle strida mot bestämmelser i tryckfrihetsförordningen (TF), yttrandefrihetsgrundlagen (YGL) eller om personuppgifter annars behandlas uteslutande för journalistiska ändamål. I ett yttrande gjorde Datainspektionen en utredning av normkonflikten mellan PuL och TF, dvs. frågan om när ett förstadium till en tryckt skrift är en grundlagsskyddad framställning som inte omfattas av PuL. Bl.a. hänvisades till Mediekommittén som i betänkandet Grundlagsskydd för nya medier (SOU 1997:49) skriver att varje påstående att ett ADB-lagrat material ska bli en tryckt skrift ska godtas, så länge påståendet inte framstår som uppenbart osannolikt. Inspektionens uppfattning var att det var mycket som talade för att det aktuella utlämnandet skulle omfattas av grundlagsskyddet i TF och att PuL alltså inte skulle tillämpas. Kammarrätten i Jönköping ansåg i sin dom (Mål nr ) att insamlandet av uppgifter till tidningens databas omfattas av grundlagsskyddet i TF. Någon sekretess gäller då inte för de begärda uppgifterna utan Sjöfartsverket måste lämna ut dem. Fritt fram att länka Du ansvarar bara för innehållet på din egen webbplats. Det är alltså tillåtet att länka till andra webbplatser även sådana som innehåller känsliga personuppgifter. Om själva länken innehåller personuppgifter är du dock skyldig att se till att uppgifterna behandlas enligt PuL (eller datalagen). Bakgrunden är ett klagoärende, där personuppgifter hade lagts på en utländsk server med länkar till svenska webbplatser. I sitt svar (dnr ) skriver Datainspektionen: Finns det en länk på en webbplats till en annan webbplats med personuppgifter så anses personuppgifterna på den senare webbplatsen inte göras tillgängliga på den första webbplatsen enbart genom länken. Lagligheten av behandlingen av personuppgifterna bedöms således endast på den senare webbplatsen. Innehåller länken i sig personuppgifter torde dock en behandling ske av dessa uppgifter på den första webbplatsen. Frigivna fångar på kommunal webbplats Strax före midsommar uppmärksammades Datainspektionen på att Nacka kommun på sin webbplats informerade om Nacka-bor som skulle friges från fängelser. Som en del i kommunens brottsförebyggande arbete ville man på Internet varna allmänheten för att dömda personer som avtjänat sina straff snart skulle släppas från fängelset. Informationen var utformad så att man berättade att en person hemmahörande i ett område i kommunen, dömd för ett visst brott, snart skulle släppas. Det fanns inga namn eller direkta adressuppgifter i notiserna. Datainspektionen som inledde tillsyn (dnr ) mot kommunen kom efter utredning fram till att det inte rörde sig om personuppgifter och att PuL därför inte kunde tillämpas. I beslutet ifrågasätts ändå lämpligheten av att publicera detta slags beskrivningar på Internet. Datainspektionen konstaterar också att en förändring av eller tillägg till innehållet kan innebära att det faktiskt blir frågan om personuppgifter i den mening som avses i PuL. MAGAZIN DIREKT #3/2000 9

10 KORTFATTAT Ändring i PuL föreslås Datainspektionen har skrivit till regeringen och förklarat att det behövs ytterligare undantag från personuppgiftslagens förbud mot att behandla känsliga personuppgifter. Det har nämligen visat sig att flera myndigheters handläggning av t.ex. tillsynsärenden kan bli olaglig i oktober 2001 då PuL träder i kraft fullt ut. När myndigheter handlägger ärenden kan det vara nödvändig att behandla känsliga uppgifter om andra personer än uppgiftslämnaren. Idag faller dessa behandlingar utanför datalagens tillämpning eftersom de sker i löpande text. När PuL ersätter datalagen kommer sådana behandlingar att omfattas av PuL:s bestämmelser och ett samtycke kommer då ofta att krävas från de personer som de känsliga uppgifterna gäller. Reglerna i PuL skiljer nämligen inte på register och löpande text på samma sätt som datalagen; PuL omfattar all behandling av personuppgifter som är helt eller delvis automatiserad. Det finns idag inget undantag från förbudet i 13 PuL som gör det möjligt för myndigheterna att fortsätta att bedriva handläggning på samma sätt som idag, dvs. att med hjälp av ordbehandlare skriva tjänsteanteckningar och beslutsunderlag som innehåller känsliga personuppgifter. Datainspektionen föreslår i sin skrivelse (dnr ) ett generellt undantag för myndigheter från förbudet i 13 PuL. Det bör ta sikte på just myndigheters behandling av känsliga personuppgifter i löpande text när de behövs för handläggning av ett ärende. Nu ska våra lägenheter numreras Ännu ett steg mot en registerbaserad FoB som riksdagen beslutade om redan 1995 är promemorian Ds 2000:17 från Statistikregelgruppen. Gruppen har på regeringens uppdrag utarbetat förslag till lagar om registerbaserad FoB, lägenhetsregister och folkbokföring på lägenheter. I sitt remissyttrande pekar Datainspektionen på att lagförslagen saknar flera väsentliga bestämmelser för integritetsskyddet. Det är tveksamt om lagförslagen uppfyller de krav på skyddsåtgärder för personuppgifter som finns i EU:s dataskyddsdirektiv och Europarådets rekommendationer. När det gäller förslaget till ny FoB-lag konstaterar Datainspektionen att inspektionen i enskilda fall ska få besluta om säkerhetsåtgärder, men att verksamheten i övrigt tycks bli undantagen inspektionens tillsyn och befogenheter. Lagförslaget om ett nytt lägenhetsregister innebär att Lantmäteriverket kommer att ansvara för ett centralt lägenhetsregister med uppgifter om bl.a. lägenhetsnummer, antal rum, kökstyp, bostadsarea, våningsplan, värmesystem, byggnadens ålder och ägare samt om lägenheten är anpassad för äldre/funktionshindrade. Datainspektionen ifrågasätter om det verkligen är nödvändigt att registret innehåller så många detaljerade uppgifter och avstyrker bestämt att uppgifter som utpekar enskildas hälsotillstånd/funktionshinder ska samlas in och göras tillgängliga i offentliga register. Utredningens förslag måste analyseras närmare och övervägas dels genom ytterligare avvägningar kring integritetsskyddet, dels utifrån konsekvenser i övrigt, skriver generaldirektör Ulf Widebäck i yttrandet (dnr ). Nytt fastighetsregister Den 1 juli i år trädde en ny lag om fastighetsregister i kraft (SFS 2000:224). Den nya lagen innebär att de nuvarande inskrivnings- och fastighetsregistren i fortsättningen kommer att ingå som skilda delar i ett nytt fastighetsregister. Det nya registret kommer dessutom att innehålla en adressdel, en byggnadsdel och en del med taxeringsuppgifter. Fastighetsregistrets primära syfte är enligt lagen att ge offentlighet åt den information som ingår i registret. Eftersom registret innehåller personuppgifter får informationen bara användas för de ändamål som anges i lagen, dvs. för omsättning av fastigheter, kreditgivning, försäkringsgivning, fastighetsförvaltning och byggande, uppdatering av fastighetsanknuten information som finns i kund- eller medlemsregister samt för direktreklam. Lantmäteriet är personuppgiftsansvarig för fastighetsregistret och fattar beslut om/ hur fastighetsinformation kan lämnas ut, med hänsyn till hur den sökande har tänkt använda informationen. Vill du se vilken typ av information registret innehåller kan du besöka Lantmäteriets webbplats och pröva demo-versionen av näthandelstjänsten FastighetSök. Bostadsrättsregister planeras Statistiska centralbyrån (SCB) förbereder ett nytt register med uppgifter om bostadsrätter. Det är ett första steg för att möjliggöra en ny beskattning av bostadsrätterna. Utredningen om fastighetsbeskattning (SOU 2000:10) har föreslagit att bostadsrätter ska taxeras utifrån de enskilda lägenheternas värde och inte som idag utifrån fastighetens värde. SCB har redan skrivit till regeringen och begärt att få starta ett bostadsrättsregister De uppgifter som registret ska innehålla är bl.a. lägenhetsyta, antal rum, månadsavgift och överlåtelsepris. För att få in uppgifterna vill SCB att uppgiftsskyldigheten ska lagregleras. Försäkringsbranschen startar gemensamt skaderegister I höst startar försäkringsbranschen ett gemensamt skadeanmälningsregister, GSR. Syftet är enligt Försäkringsförbundet, som är huvudman för registret, att minska antalet försäkringsbedrägerier. Redan 1997 hade försäkringsbranschen planer på ett gemensamt register men reglerna i datalagen satte stopp för projektet (se notiser i DIrekt 1/97, 2/98, 1/99 och 4/99). Det nya registret kommer att regleras av PuL och under våren har förbundet fört diskussioner med Datainspektionen om registrets utformning och användning. Till att börja med kommer registret att omfatta sakförsäkringar, men planer finns på att utvidga registret till att även omfatta personförsäkringar. Folksam, Länsförsäkringar, Skandia och Trygg-Hansa kommer att vara med från början, men alla försäkringsbolag som är verksamma i Sverige ska kunna ansluta sig. Uppgifterna i registret blir tillgängliga för försäkringsbolagen först när en skadeanmälan ska göras. Registret kommer att innehålla uppgifter om typ av försäkring, skadeort, försäkringstagare, skadedatum och försäkringsbolag. Registret ska alltså inte kunna användas för att kontrollera kunder innan nya försäkringar tecknas. 10 MAGAZIN DIREKT #3/2000

11 Kurser och konferenser Höstens kurs- och konferensprogram vänder sig i första hand till personuppgiftsombuden. Program och anmälningsblanketter hittar Du på eller beställer på tel oktober Seminarium i Göteborg för personuppgiftsombud i kommuner 18 oktober Öppet hus för personuppgiftsombud i Göteborg 23 oktober Konferens i Stockholm: Personuppgiftsombud en introduktion och uppdatering 7 november Seminarium i Malmö för personuppgiftsombud i kommuner 8 november Öppet hus för personuppgiftsombud i Malmö 21 november Seminarium i Stockholm för personuppgiftsombud i vården Hur vill du ha i fortsättningen? På Under rubriken Nyheter lägger vi fortlöpande in nyhetsnotiser. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen samlas i pdf-format under rubriken Kunskapsbanken. e-post med länk Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Skriv tydligt! Vi har haft problem med att tyda en del adresser, och vartenda tecken måste ju vara rätt om e-posten ska komma fram! Du kan också e- posta uppgifterna. Med post Vi kan också sända magazin DIrekt på papper. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. magazin DIrekt produceras av Datainspektionen, Box 8114, Stockholm. Tel: (växel), (beställningar). Fax: E-post: datainspektionen@datainspektionen.se. Webbplats: Grafisk form: Neo Media. Foto och illustration: Anthony Redpath/Scanpix Sverige AB s. 1, Angelica Engström s. 3, Thomas Fröhling s. 4 och 7, Henrik Svanberg/Lucky Look s. 5 och Lars Gejl/IBL Bildbyrå s. 8. Ansvarig utgivare: Ulf Widebäck. ISSN JA! JAG VILL HA DIREKT till e-postadress... med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... DATAINSPEKTIONEN BOX STOCKHOLM Postadress... Jag medger att uppgifterna dataregistreras. MAGAZIN DIREKT #3/

12 B PORTO BETALT One-to-none marketing Datainspektionen Box Stockholm FREDAG I FISKAFFÄREN: Jag hade tänkt mig några havskräftor idag. Du ska inte ha havskräftor! Marianne bakom disken är mycket bestämd. Idag ska du ha hummer! Som vanligt har hon rätt. Hummern är nykokt och fullmatad. Havskräftorna ser vid närmare påseende lite trötta ut. För mig är det är det här och ingenting annat som är one-toone marketing. En människa, som med sakkunskapens pondus och den goda säljarens psykologiska blick vet precis hur hon ska ta varje enskild kund. Resultat: förtjusta kunder som kommer tillbaka. Hur man skulle kunna åstadkomma samma sak med aldrig så sofistikerade maskiner, det är mer än jag kan begripa. MEN MAN FÖRSÖKER. Miljarder investeras i avancerade datasystem som analyserar surfbeteende och inköp via nätet eller med bonuskort. Allt med det enda målet att vid exakt rätt tidpunkt komma med det exakt rätta, oemotståndliga erbjudandet: Idag ska du ha hummer! Visst, direktreklamen har blivit bättre. Det är nu länge sen jag fick ett av dessa säljbrev som börjar: Hej, Leif Wilhelm Stenström! Men trots att jag som alla andra har en bunt bonuskort med allt vad det medför av säljbrev och kundtidningar, kan jag inte påminna mig att jag någonsin har nappat på ett automatiskt utskickat erbjudande. VARFÖR? Instrumenten är trubbiga, erbjudandets profil passar inte mig, jag har kanske ändrat mig och vill ha något helt annat idag. Med lockande introduktionserbjudanden och kundens samtycke kan man visserligen numera helt lagligt samla på sig ganska detaljerad information. Men om den används, riskerar man ändå att kunden skräms bort: Dom vet för mycket om mig! Integritetsskyddet blir självreglerande. KANSKE DATA-KIDSEN KAN VÄNJAS vid att ha personliga relationer med maskiner. Men inte jag. För mig kommer alla försök till maskinell one-to-one marketing att förbli one-to-none. Jag föredrar verkliga kontakter med verkliga människor. Off-line upplevelser som det heter på modern svenska. Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF Glöm inte att anmäla dig till höstens kurser och konferenser! NÄSTA NUMMER KOMMER I DECEMBER OCH DÅ KAN DU LÄSA OM: PÅ VÄG MOT PASSFRIHET VAD HÄNDER MED SCHENGENSAMARBETET? SAFE HARBOR DUGER 12 MAGAZIN DIREKT #3/2000 DATASKYDDET I USA? NYA LAGAR REGLERAR POLISENS REGISTER