Tystnadsplikt och hantering av abonnentuppgifter

Transkript

1 DATUM RAPPORTNUMMER 6 februari 2006 PTS-ER- ISSN DIARIENR Tystnadsplikt och hantering av abonnentuppgifter Rapport

2

3 Innehåll Sammanfattning Inledning Syfte Avgränsing Rapportens disposition Bestämmelser på området Närmare beskrivning av bestämmelserna Sekretess och tystnadsplikt enligt lag Skyddade uppgifter i folkbokföringen Skydd med stöd av sekretessförordningen Hemligt nummer hos operatör Tystnadsplikt Eftergivande av tystandsplikt Betalt för tjänsten hemligt nummer? Utlämning av hemligt nummer till abonnentupplysningsföretag Abeonnentupplysningsföretag allmänt Krav på information och samtycke Genomgång av enkäterna Frågor i enkäten ställda till operatörerna Utlämnande av abonnentuppgifter (3-13) Utlämnande av abonnentuppgifter Uppgifter som der råder tystnadsplikt för (8,13) Hemliga nummer m.m. (14-23) Frågor i enkäten ställda till abonnentupplysningsföretagen Varifrån köps uppgifterna (1-2) Information om ändamålet med förteckningen (3-4) Abonnentförteckning på Internet (5-10) Information om sökfunktioner (6) Inhämtande av samtycke (7) Kontroll, rättelse och borttagning (8-10) Hemligt nummer m.m. (11-13) Kvalieten (15-17) Analys av bestämmelserna och svaren i enkäterna Sekretess och tystnadsplikt enligt lag Utlämning av hemligt nummer till abonnentupplysningsföretag SOS Alarm...18 Post- och telestyrelsen 3

4 5.3 "Samtycke" i avtal mellan operatörer och abonnenter Krav på information och samtycke hos abonnentupplysningsföretag Samtycke Information Fortsatt arbete Post- och telestyrelsen

5 Sammanfattning Det har kommit till Post- och telestyrelsens (PTS) kännedom att abonnenter med hemliga telefonnummer funnit sina telefonnummer, namn och adresser på Internet via vissa abonnentupplysningsföretags söktjänster. Det har också kommit in klagomål till PTS angående operatörers och abonnentupplysningsföretags sätt att hantera tystnadsplikt och abonnentuppgifter. Klagomålen till PTS och misstanke om bristande rutiner hos operatörerna samt att det råder oklarhet hos såväl operatörer som abonnentupplysningsföretag om hur hantering ska ske, ledde fram till att PTS fann det lämpligt att vidta en tillsynsåtgärd. Tillsynen har genomförts under våren 2005 genom en enkät som skickades till 56 operatörer och en enkät som skickades till 9 abonnentupplysningsföretag. Denna rapport innehåller en redogörelse för vilka bestämmelser i lagen (2003:389) om elektronisk kommunikation (EkomL) som behandlar tystnadsplikt och hanteringen av abonnentuppgifter, främst lagens 6:e kapitel. Den ger också en bild av vad som framkommit i enkätsvaren från operatörerna och abonnentupplysningsföretagen. Slutligen innehåller rapporten PTS bedömning av operatörernas och abonnentupplysningsföretagens hantering. Vid analys av enkätsvaren och av lagens bestämmelser har det framkommit att många av operatörerna lämnar ut hemliga nummer till abonnentupplysningsföretag och att operatörernas uppfattning är att det i princip är deras skyldighet eftersom det möjliggör för SOS Alarm AB (SOS Alarm) att få tillgång till fullständig information om abonnenter. Det är PTS uppfattning att hemliga nummer inte får lämnas till abonnentupplysningsföretag. För att en operatör ska få lämna ut abonnentuppgifter krävs det att abonnenten eftergivit tystnadsplikten. Detta sker vanligtvis via en avtalsklausul i avtalet mellan abonnenten och operatören. Vid en närmare undersökning av operatörernas avtalsklausuler kan märkas en varierande nivå på innehåll och tydlighet. Dessa iakttagelser har lett till förslag till fortsatt arbete från PTS, exempelvis informationsinsatser. Det främsta syftet med förslagen är att skapa bästa möjliga förutsättningar för såväl operatörer som abonnentupplysningsföretag att uppfylla EkomL:s krav på korrekt hantering av abonnenternas personuppgifter. Post- och telestyrelsen 5

6

7 1 Inledning Det har kommit in klagomål till PTS angående operatörers och abonnentupplysningsföretags sätt att hantera tystnadsplikt och abonnentuppgifter. PTS har därför genomfört tillsyn på området med syfte att kontrollera hur bestämmelserna om tystnadsplikt och hantering av abonnentuppgifter efterlevs. Tillsynen skedde i enkätform och riktade sig till operatörer för fast telefoni, mobiltelefoni, IP-baserad telefoni samt abonnentupplysningsföretag, hädanefter i rapporten benämnda operatörer respektive abonnentupplysningsföretag. 1.1 Syfte Syftet med denna rapport är att kartlägga och peka på de problem som finns på områdena tystnadsplikt och hantering av abonnentuppgifter samt att klargöra hur PTS ser på problemen. 1.2 Avgränsning Enkäterna som ligger till grund för rapporten innehåller 35 respektive 17 frågor om tystnadsplikt och hantering av abonnentuppgifter. Av de 56 operatörer som fick enkäten skickad till sig så hade 4 enbart företagskunder och ytterligare 8 behövde inte svara då de inte erbjöd telefoni till privatpersoner eller inte hade sitt säte i Sverige. Totalt svarade 44 operatörer på enkäten. En enkät skickades också till 9 abonnentupplysningsföretag, 2 av dessa behövde inte svara eftersom de inte hade någon självständig abonnentupplysningsverksamhet. Rapporten kommer främst att fokusera på utlämning av abonnentuppgifter, eftergivande av tystnadsplikt, samtycke och tystnadsplikt. 1.3 Rapportens disposition Rapporten inleds med en beskrivning av de bestämmelser i EkomL som rör tystnadsplikt och hantering av abonnentuppgifter (kap. 2). Därefter följer en närmare beskrivning av bestämmelsernas innehåll och betydelse (kap. 3). I rapporten följer sedan en genomgång av enkäten i de delar som är centrala för tystnadsplikt och hantering av abonnentuppgifter (kap. 4). Beskrivningen av de relevanta bestämmelserna och enkätgenomgången kombineras och analyseras sedan (kap. 5) för att slutligen leda fram till åtgärder (kap. 6). Post- och telestyrelsen 7

8 2 Bestämmelser på området I EkomL finns bestämmelser som reglerar vad som gäller avseende tystnadsplikt och hantering av abonnentuppgifter. I 5 kap. 7 punkten 3 ska den som tillhandahåller en allmänt tillgänglig telefonitjänst på villkor som är rättvisa, kostnadsorienterade och ickediskriminerande tillgodose varje rimlig begäran om att lämna ut abonnentuppgifter som inte omfattas av sekretess eller tystnadsplikt enligt lag till den som bedriver eller avser att bedriva abonnentupplysning. Bestämmelser om tystnadsplikt finns i 6 kap. 20. Den som i samband med tillhandahållande av ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst har fått del av eller tillgång till uppgift om abonnemang, innehållet i ett elektroniskt meddelande, eller annan uppgift som angår ett särskilt elektroniskt meddelande, får inte obehörigen föra vidare eller utnyttja det han fått del av eller tillgång till. Tystnadsplikten gäller inte i förhållande till den som deltagit i utväxlingen av meddelande eller innehavaren av abonnemanget som använts för det elektroniska meddelandet Enligt 6 kap. 22 ska den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därvid har fått del av eller tillgång till uppgift som avses i 20 första stycket, på begäran lämna uppgift om abonnemang och annan uppgift som angår särskilt meddelande till regional alarmeringscentral samt till ett antal uppräknande myndigheter för särskilda ändamål. Bestämmelsen utgör ett undantag till bestämmelsen i 6 kap. 20. Bestämmelser om brott mot tystnadsplikten finns i brottsbalken. (7 kap. 15 EkomL samt 20 kap. 3 brottsbalken). För brott mot tystnadsplikt stadgas böter eller fängelse. Det finns också särskilda bestämmelser om abonnentförteckningar. Enligt 6 kap. 15 ska en abonnent som är en fysisk person kostnadsfritt få information om ändamålen med en allmänt tillgänglig abonnentförteckning eller en förteckning ur vilken uppgifter kan erhållas genom abonnentupplysning, innan personuppgifter om abonnenten tas in i den. Om förteckningen ska finnas i elektronisk form, ska abonnenten informeras om de sökfunktioner som en sådan tjänst möjliggör. I 6 kap. 16 stadgas att för att behandla personuppgifter om en abonnent som är en fysisk person i en förteckning som avses i 15 fordras samtycke från denne. Abonnenten ska ha möjlighet att utan kostnad kontrollera uppgifterna och få felaktiga uppgifter rättade samt få uppgifter borttagna ur förteckningen så snart det är möjligt. Enligt 6 kap. 1 ska begreppen behandling och samtycke ha samma betydelse i kapitel 6 EkomL som de har i personuppgiftslagen (1998:204) (PuL). I 6 kap. 2 stadgas att i fråga om behandling av personuppgifter vid tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster samt vid abonnentupplysning gäller PuL, om inte annat 8 Post- och telestyrelsen

9 följer av EkomL. Bestämmelserna i PuL om rättelse och skadestånd gäller även vid behandling av personuppgifter enligt EkomL. PTS har i föreskrift PTSFS 2005:3 närmare föreskrivit om skyldigheter att lämna ut abonnentuppgifter enligt 5 kap. 7 punkten 3. I bilagan till föreskriften anges att när en abonnent har hemligt nummer får endast uppgift om nummer och markering för hemligt nummer lämnas ut i syfte att radera ut befintliga uppgifter om abonnenten. Post- och telestyrelsen 9

10 3 Närmare beskrivning av bestämmelserna 3.1 Sekretess och tystnadsplikt enligt lag Det finns olika sätt att skydda enskilda personers integritet och personuppgifter, hit hör bland annat bestämmelser i sekretesslagen eller sekretessförordningen samt PuL:s och EkomL:s bestämmelser om integritet, bland annat bestämmelsen om operatörers tystnadsplikt. Nedan beskrivs några olika former av sekretess och tystnadsplikt som kan råda enligt lag Skyddade uppgifter i folkbokföringen I vissa fall kan en persons personuppgifter skyddas genom att en markering för särskild sekretessprövning (sekretessmarkering) förs in i folkbokföringsdatabasen. Sekretessmarkering innebär att en noggrann prövning sker innan uppgifter lämnas ut. Om det finns särskilda skäl kan man enligt 16 folkbokföringslagen vid flyttning även få bli kvarskriven på den gamla orten. Som adress i registret anges i sådana fall skattekontorets adress. Vid särskilt allvarliga hot kan en person medges att använda en helt ny identitet, utan koppling till den gamla, så kallade fingerade personuppgifter Skydd med stöd av sekretessförordningen I regel är de personaladministrativa uppgifter som en offentlig arbetsgivare har om sina anställda offentliga. Vissa yrkesgrupper i offentlig anställning har dock, enligt sekretessförordningen (1980:657) 1a, ett särskilt skydd för de uppgifter som arbetsgivaren har om dem avseende bland annat bostadsadress, personnummer och uppgift om närstående. De yrkesgrupper sekretessen gäller för är bland annat personal inom domstolar, polis, åklagare, kriminalvård, kronofogdemyndighet och socialtjänsten Hemligt nummer hos operatör Det finns ingen reglering om hemligt nummer i EkomL. Man kan säga att ha ett hemligt nummer hos en operatör innebär att man avtalar om en tilläggstjänst. Ett sätt att motsätta sig att en operatör lämnar ut abonnentuppgifter till exempelvis abonnentupplysningsföretag är att begära att få hemligt nummer hos operatören. För detta krävs inga särskilda skäl som vid skyddade uppgifter i folkbokföringen. Tjänsten brukar innebära att numret inte lämnas ut till abonnentupplysningsföretag eller någon annan. Numret visas inte heller i nummerpresentation. Hemligt nummer måste i regel begäras för varje abonnemang, det går alltså att ha hemligt nummer som bara gäller för till exempel mobiltelefoni men inte för fast telefoni. 10 Post- och telestyrelsen

11 3.1.4 Tystnadsplikt Med tystnadsplikt avses i denna rapport i första hand tystnadsplikten i 6 kap. 20 EkomL. Den gäller uppgift om abonnemang, innehållet i ett elektroniskt meddelande eller annan uppgift som angår ett särskilt meddelande. Det innebär i princip att en operatör har tystnadsplikt för alla uppgifter om abonnemang eller enskilda elektroniska meddelanden som denne får tillgång till i sin verksamhet. Tystnadsplikten innebär att operatören inte obehörigen får föra uppgifterna vidare. Om en abonnent i sitt avtal med operatören har eftergivit tystnadsplikten är utlämnandet till ett abonnentupplysningsföretag dock inte obehörigt. Om däremot abonnenten och operatören avtalat om hemligt nummer, det vill säga abonnenten har inte gått med på att operatören lämnar ut uppgifterna, så skulle alltså ett utlämnande vara obehörigt och bryta mot tystnadsplikten. Däremot är den som tillhandahåller ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst och därigenom fått tillgång till abonnentuppgifter skyldig att på begäran lämna ut sådan uppgift till exempel till regional alarmeringscentral eller ett antal uppräknade myndigheter för särskilda ändamål (bland annat polis och åklagare) Eftergivande av tystnadsplikt För att en operatör ska få lämna ut abonnentuppgifter till abonnentupplysningsföretag och på så sätt fullgöra sin skyldighet att förse abonnentupplysningsföretag med uppgifter, krävs att abonnenten på något sätt efterger den tystnadsplikt som råder för dennes uppgifter hos operatören. De flesta avtalen mellan operatören och abonnenten innehåller en avtalsklausul som går ut på att abonnenten går med på att hans eller hennes uppgifter lämnas ut till någon annan Betalt för tjänsten hemligt nummer? Om abonnenten inte har eftergivit tystnadsplikten så råder det tystnadsplikt för uppgift om abonnemang och annan uppgift som angår ett särskilt elektroniskt meddelande. Abonnenten ska inte behöva betala för att operatören ska upprätthålla tystnadsplikten. Det betyder att om tjänsten hemligt nummer är det sätt som abonnenten hänvisas till när denne inte vill få sina uppgifter utlämnade får operatören inte ta betalt för den tjänsten Utlämning av hemligt nummer till abonnentupplysningsföretag Utgångspunkten är alltså att operatörer är skyldiga att lämna ut abonnentuppgifter som inte omfattas av sekretess eller tystnadsplikt till ett abonnentupplysningsföretag. 1 I förarbetena till EkomL (prop 2002/03:110 s. 265) står att det ska vara kostnadsfritt att inte förtecknas i allmänna abonnentförteckningar. Regeringen har inte ansett att det behöver anges i lagtexten eftersom det följer av kravet på samtycke. Post- och telestyrelsen 11

12 Ett hemligt nummer innebär i EkomL:s bemärkelse att tystnadsplikten gäller. Ett avtal om hemligt nummer, om det är utformat som en brist på samtycke att lämna ut uppgifter till abonnentupplysningsföretag, innebär dock inte att operatören kan avtala bort den skyldighet denne har att i vissa fall utlämna uppgifter till bland annat polisiära myndigheter och regional alarmeringscentral. Tystnadsplikten gäller för tillhandahållare av elektroniska kommunikationstjänster och kommunikationsnät. Det innebär att aktörer som inte tillhandahåller dessa tjänster inte omfattas av bestämmelsen. Till exempel omfattas inte abonnentupplysningsföretag av tystnadsplikten. När operatören lämnat uppgifterna till ett abonnentupplysningsföretag finns däremot bestämmelser i 6 kap som säger att det krävs samtycke från abonnenten för att dennas personuppgifter ska få behandlas i en allmän tillgänglig abonnentförteckning. 3.3 Abonnentupplysningsföretag allmänt Krav på information och samtycke Av EkomL följer att abonnentupplysningsföretag får behandla personuppgifter om en abonnent i en abonnentförteckning om abonnenten har samtyckt till sådan behandling. Begreppen behandling och samtycke ska ha samma betydelse i EkomL som de har i PuL. Samtycke i PuL:s mening är mycket tätt sammankopplat med ändamålet för behandlingen. Ett samtycke kan endast hänföras till det ändamål för behandlingen som den som samtyckt har informerats om och därmed haft möjlighet att samtycka till. För att ett samtycke ska gälla tredje part krävs att abonnenten eller användaren har informerats om exakt den behandling som sker hos tredje part innan samtycket lämnas. Ett samtycke ska också enligt PuL vara individuellt, frivilligt, särskilt, otvetydigt och informerat. Abonnenten ska informeras om ändamålet med abonnentförteckningen innan denne tas med i förteckningen. Om förteckningen finns i elektronisk form måste också abonnenten informeras om de sökfunktioner som tjänsten har. 12 Post- och telestyrelsen

13 4 Genomgång av enkäterna 4.1 Frågor i enkäten ställda till operatörerna Enkäten skickades till 56 operatörer, 4 av dessa hade enbart företagskunder och 8 behövde av andra anledningar inte svara. Totalt svarade 44 operatörer på enkäten Utlämnande av abonnentuppgifter (3-13) Utlämning, eftergivande av tystnadsplikt och ändamål (3-7,9) På frågan om abonnentuppgifter lämnas ut svarar 31 operatörer ja och 13 nej. På frågan till vem/vilka uppgifter lämnas ut svarar (flera svarsalternativ fick väljas) 29 operatörer att de lämnar uppgifter till abonnentupplysningsföretag, 22 till abonnenten/kunden, 16 till myndighet och 6 till annan. Av de operatörer som lämnar ut abonnentuppgifter, svarar 23 att de inhämtar samtycke från abonnenten innan dennes uppgifter lämnas ut och 4 svarar att de inte gör det. Det vanligaste sättet som abonnenten efterger tystnadsplikten på är genom en klausul i avtalet mellan abonnenten och operatören. Detta förfaringssätt tillämpar 21 operatörer medan 5 gör på annat sätt. Det är också abonnentupplysningsändamål som är den vanligaste anledningen till utlämning, vilket 32 operatörer svarar medan 13 svarar att uppgifterna lämnas ut för andra ändamål (i vissa fall har operatören kryssat för båda svarsalternativen). På frågan om operatörerna lämnar ut abonnentuppgifter till alla abonnentupplysningsföretag som begär det svarar 11 ja, 19 nej, bara till vissa och 14 nej, inte till något Uppgifter som det råder tystnadsplikt för (8,13) Rutiner för att säkerställa att sekretesskyddade uppgifter inte lämnas ut skiljer sig åt mellan operatörerna. En stor del av operatörerna anger att de använder sig av olika typer av kundhanteringssystem där sekretesskyddade uppgifter är markerade. I vissa fall hanteras dessa då enbart av där för behörig personal, i vissa fall betyder markeringen att uppgifterna inte lämnas vidare och i vissa fall att uppgifterna enbart lämnas till abonnentupplysningsföretag för vidarebefordran till SOS Alarm. Andra operatörer svarar att de endast lämnar uppgifterna till myndigheter eller den berörda abonnenten vid skriftlig begäran därom. Ytterligare andra svarar att de inte lämnar ut sådana uppgifter (i vissa fall att kundhanteringssystemet gör det möjligt att utesluta de abonnenter som har hemliga nummer). 2 Alla har inte svarat på alla frågor och på många frågor har det varit möjligt att lämna flera svarsalternativ, vissa jämförelser är därför svåra eller omöjliga att göra. Post- och telestyrelsen 13

14 Rutiner för hantering av hemliga nummer vid utlämnande till SOS Alarm skiljer sig också åt mellan operatörerna. De flesta som har rutiner för hanteringen uppger att de lämnar uppgifterna till ett par abonnentupplysningsföretag för vidarebefordran till SOS Alarm. Detta kombineras ofta med en markering om hemligt nummer. Vissa operatörer saknar helt rutiner för utlämnande eller skickar vidare sitt kundregister utan markering. Andra lämnar ut uppgifter enbart på direkt begäran från SOS Alarm i enlighet med 6 kap. 22 punkten 8 EkomL eller i enlighet med vad PTS föreskriver i PTSFS 2005: Hemliga nummer m.m. (14-23) Termen hemligt nummer återfinns inte i EkomL utan får, som ovan angivits, anses vara en tjänst som operatörerna tillhandahåller de kunder som inte vill efterge tystnadsplikten, det vill säga godkänna att deras uppgifter lämnas ut eller visas vid nummerpresentation. Det är 37 operatörer som anger att de erbjuder sina kunder tjänsten hemligt nummer och 6 anger att de inte gör det. Ett avtal om hemligt nummer måste i regel begäras för varje typ av abonnemang (fast, mobil osv.) som önskas hos 33 av operatörerna och inte hos 4 (32 upplyser om detta och 1 gör det inte). På frågan om det finns något annat sätt än att begära hemligt nummer om en kund inte vill efterge tystnadsplikten svarar 13 operatörer ja. Av operatörerna uppger 6 stycken att de tar betalt för tjänsten hemligt nummer och 30 operatörer inte tar betalt. Av operatörerna svarar 14 stycken ja på frågan om de lämnar ut hemliga/skyddade uppgifter till abonnentupplysningsföretag (och 26 nej). När det gäller frågan om rutiner för hur det säkerställs att markering om hemligt nummer/skyddade uppgifter följer med vid utlämnandet till abonnentupplysningsföretag har följande framkommit. I den mån det finns rutiner bygger de på att vissa filer markeras innehålla hemliga nummer och att dessa företrädesvis lämnas ut till abonnentupplysningsföretag för vidarebefordran till SOS Alarm. 4.2 Frågor i enkäten ställda till abonnentupplysningsföretagen Enkäten skickades till 9 abonnentupplysningsföretag, 2 av dessa behövde inte svara eftersom de inte hade någon självständig abonnentupplysningsverksamhet. Totalt svarade 7 abonnentupplysningsföretag på enkäten Varifrån köps uppgifterna (1-2) Av abonnentupplysningsföretagen uppger 2 att de köper uppgifter från alla operatörer som kan tillhandahålla uppgifter enligt PTS föreskrift (PTSFS 2005:3). 14 Post- och telestyrelsen

15 Det är 5 företag som köper uppgifter direkt av vissa operatörer men också via mellanhänder Information om ändamålet med förteckningen (3-4) Av företagen svarar 2 ja på frågan om de informerar enskilda personer om ändamålet med förteckningen innan de tar in personuppgifter rörande dessa personer i förteckningen. Det är 2 företag som svarar nej, 2 som inte svarat och 1 företag som svarar att de informerar om ändamålen med behandlingen på sina webbplatser och vid insamling av uppgifter inhämtas samtycke via obligatoriska villkor, som ska godkännas skriftligen eller muntligen Abonnentförteckning på Internet (5-10) Det är 4 av abonnentupplysningsföretagen som har sin abonnentförteckning tillgänglig för allmänheten i elektronisk form Information om sökfunktioner (6) Det är 4 av företagen som anger att informationen om tjänstens sökfunktioner finns på deras webbplats och/eller i allmänna villkor Inhämtande av samtycke (7) Av företagen svarar 3 ja på frågan om de inhämtar samtycke innan behandling av personuppgifter. Samtycke inhämtas via telefon eller Internet när uppgifter samlas in. 3 Ytterligare samtycken direkt från abonnenten inhämtas inte. Det är 1 företag som uppger att de inte begär in samtycke och 2 företag hänvisar till sin tillhandahållare av abonnentuppgifter (annat abonnentupplysningsföretag) Kontroll, rättelse och borttagning (8-10) Alla 7 företag uppger att det finns möjlighet för en person som förekommer i förteckningen att kontrollera uppgifternas riktighet. Rättelse av uppgifter sker företrädesvis via kontakt med abonnentupplysningsföretaget eller med operatören, ibland med hänvisning till operatören. Hos 6 av företagen finns också möjligheten att få uppgifter borttagna ur förteckningen medan 1 företag svarar nej på den frågan Hemligt nummer m.m. (11-13) Det är 3 av företagen som uppger att de i normalfallet inte får hemliga uppgiften från operatören eller inte kan se dessa. Ett företag anger att hemligt numer innebär att personens telefonnummer inte är synligt i något sammanhang. Det är 2 företag som uppger att hemligt nummer innebär att uppgifterna inte får lämnas ut (till annan än SOS Alarm). Det är 3 av företagen som hanterar 3 I de fall uppgifter inhämtas från operatörer är det PTS tolkning att det är företagens uppfattning att dessa uppgifter omfattas av ett samtycke från abonnenten till operatören. Post- och telestyrelsen 15

16 abonnentuppgifter för vilka det inte finns samtycke till utlämnande, 2 gör det inte och två 2 uppger att de hanteras via annan. I 3 fall tillåts abonnenten välja i vilken form hans eller hennes uppgifter ska publiceras och i 2 fall saknas den möjligheten. Det är 1 av företagen som uppger att de bara tillhandahåller en kanal Kvaliteten (15-17) Uppgifterna uppdateras dagligen hos företagen via operatörerna. Uppgifterna hämtas också från SPAR, Posten, NIX, abonnenten själv m.m. eller från annat abonnentupplysningsföretag. Det är 5 av företagen som uppger att de regelbundet genomför kvalitetskontroller, manuella mätningar och stickprov eller manuella korrigeringar och undersökningar av hur nöjda kunderna är. 16 Post- och telestyrelsen

17 5 Analys av bestämmelserna och svaren i enkäterna 5.1 Sekretess och tystnadsplikt enligt lag Tystnadsplikt råder hos operatören för uppgift om abonnemang Vanligtvis efterger abonnenten tystnadsplikten Om inte, begär abonnenten ofta hemligt nummer Som huvudregel råder tystnadsplikt hos operatörerna för uppgift om abonnemang till exempel namn, adress och telefonnummer. Abonnenten efterger i regel tystnadsplikten och godkänner att hans eller hennes uppgifter lämnas ut genom att skriva på operatörens standardavtal. Om abonnenten inte vill få sina uppgifter utlämnade hänvisas denne oftast till tjänsten hemligt nummer. Enkätsvaren har visat att majoriteten av operatörerna erbjuder sina kunder tjänsten hemligt nummer. Det är PTS uppfattning att de däremot inte i lika stor utsträckning känner till hur de ska hantera uppgifter om abonnenter med hemligt nummer. Det är en allmän uppfattning hos operatörerna att uppgifterna är extra skyddsvärda och inte bör föras vidare utan noggranna markeringar eller dylikt. Att det är ett direkt brott mot tystnadsplikten att föra uppgifterna vidare verkar det delvis råda okunskap om. I vissa fall kan detta förhållande tolkas som om det råder förvirring om vad som åläggs operatörerna i PTS föreskrift PTSFS 2005:3 när det gäller skyldigheten att lämna ut abonnentuppgifter och vad som träffas av bestämmelser i EkomL om tystnadsplikt. Abonnenten ges sällan eller aldrig tillfälle att välja vad hans eller hennes eftergivande ska omfatta. Om klausulen i avtalet är vid kan många abonnenter lockas att begära hemligt nummer för att slippa överraskningar. Hemligt nummer innebär i sådana fall att många abonnenter blir hemligare än de egentligen önskar. Eftersom tystnadsplikt är huvudregel kan det inte vara tillåtet för operatören att ta betalt av de abonnenter som inte efterger tystnadsplikten. Enkäten visar att det finns operatörer som tar betalt för tjänsten hemligt nummer trots att detta är det enda sättet för abonnenten att slippa få sina uppgifter utlämnade. 5.2 Utlämning av hemligt nummer till abonnentupplysningsföretag Operatörerna får inte lämna ut hemliga abonnentuppgifter till abonnentupplysningsföretagen De regionala alarmeringscentralerna måste själva begära att få hemliga abonnentuppgifter från operatörerna Enkätsvaren visar att det finns operatörer som lämnar ut hemliga nummer till abonnentupplysningsföretag. Enligt PTS mening är detta anmärkningsvärt Post- och telestyrelsen 17

18 eftersom det råder tystnadsplikt för dessa uppgifter. Skälet till att uppgiften lämnas ut uppges ofta vara för att tillförsäkra SOS Alarm tillgång till uppgifterna. Det har framkommit att ett par abonnentupplysningsföretag har tillgång till ett stort antal hemliga nummer. Det har visat sig att det råder oklarhet bland operatörerna om deras skyldigheter avseende utlämning av abonnentuppgifter. Denna oklarhet kan antagligen förklaras med EkomL:s olika bestämmelser som operatörerna har att iaktta vid hantering av abonnentuppgifter. EkomL innehåller en bestämmelse som ålägger operatörerna tystnadsplikt för uppgifter om abonnemang. En annan bestämmelse innehåller krav på att operatörerna ska lämna ut abonnentuppgifter till den som driver abonnentupplysning. Ytterligare andra bestämmelser ålägger dem skyldighet att på begäran förse regional alarmeringscentral med uppgifter. På frågan om operatörerna lämnar ut abonnentuppgifter till alla abonnentupplysningsföretag som begär det svarar 11 ja, 19 nej, bara till vissa och 14 nej, inte till något. I ljuset av det ska bestämmelsen om operatörernas skyldighet att lämna vidare abonnentuppgifter som inte omfattas av tystnadsplikt till abonnentupplysningsföretag ses. Här kan befaras att många abonnenter inte finns med i någon abonnentupplysning, trots att de önskar det SOS Alarm Idag får SOS Alarm tillgång till abonnentuppgifter via abonnentupplysningsföretag, följaktligen inte direkt via de olika operatörerna med stöd av undantagsbestämmelsen i EkomL. Att SOS Alarm kan få tillgång till uppgifter om abonnenter med hemligt nummer via abonnentupplysningsföretagen förutsätter att operatörerna bryter mot tystnadsplikten för att förse abonnentupplysningsföretagen med alla sina uppgifter. De operatörer som inte lämnar hemligt nummer till SOS Alarm följer förvisso lagen men ur synvinkeln att abonnentupplysningsföretagen är SOS Alarms källa till uppgifter är det mindre bra, sett ur ett allmänt säkerhetsperspektiv. Operatörer ska enligt 6 kap. 22 punkten 8 EkomL lämna uppgifter till regional alarmeringscentral. Det finns inget motsvarande undantag från tystnadsplikten för utlämning till abonnentupplysningsföretag för vidare befordran till SOS Alarm. Det ligger i sakens natur att SOS Alarm måste ha tillgång till en fullständig abonnentförteckning, som även innehåller uppgifter om abonnenter med hemligt nummer. Det är också anledningen till att det finns undantag om utlämnande av uppgifter direkt från operatörer till SOS Alarm. Det framgår av enkätsvaren, både beträffande operatörers och abonnentupplysningsföretags hantering, att en majoritet av uppgifterna finns tillgängliga för SOS Alarm via abonnentupplysningsföretag, men att det finns operatörer som med stöd av tystnadsplikten inte lämnar ut uppgifter om hemligt nummer. Det leder till att SOS Alarm inte har fullständig tillgång till abonnentuppgifter så länge dagens förhållande råder. Det är varken en bra lösning att hemliga nummer lämnas ut eller att SOS Alarm saknar tillgång till uppgifter. Förfarandet idag är inte konsekvent och tydligt. Det är oklart i vilken utsträckning uppgifter om abonnenter med hemligt nummer finns tillgängliga för SOS Alarm och troligtvis är inte alla abonnenter med hemligt nummer medvetna om att deras uppgifter kan 18 Post- och telestyrelsen

19 saknas hos SOS Alarm. Det är också oklart om SOS Alarm har tillgång till uppgifter om abonnenter hos de operatörer som inte alls lämnar ut några uppgifter till abonnentupplysningsföretag. 5.3 Samtycke i avtal mellan operatör och abonnenter Tydlig information krävs i avtal om eftergivande av tystnadsplikt De flesta avtal mellan operatören och abonnenten innehåller en klausul som går ut på att abonnenten går med på att hans eller hennes uppgifter lämnas ut till någon annan. I denna rapport har det beskrivits som eftergivande av tystnadsplikten. Det är med stöd av en sådan klausul som operatörerna säljer abonnentuppgifter till abonnentupplysningsföretagen. Klausulen fungerar alltså i många fall som en länk mellan abonnent och abonnentupplysningsföretag. Enkätsvaren har visat på varierande kvalitet på avtalsklausuler med samtycke till utlämnande av uppgifter för abonnentupplysning som ändamål. Abonnenten måste få tydlig information så att han eller hon kan ta ställning till om uppgifterna ska få behandlas för det ändamål som angetts och på det sätt som planerats. Det betyder att mycket höga krav måste ställas på hur avtalet mellan operatör och abonnent är utformat. 5.4 Krav på information och samtycke hos abonnentupplysningsföretag Samtycke Det samtycke som abonnenten lämnat operatören gäller även hos abonnentupplysningsföretagen Operatören ansvarar för att abonnenten kan återkalla sitt samtycke och få sina uppgifter rättade Abonnentupplysningsföretaget ansvarar för att abonnenten kan återkalla sitt samtycke och få sina uppgifter rättade hos dem företaget lämnat uppgifterna vidare till Av enkätsvaren som abonnentupplysningsföretagen lämnat framkommer uppfattningen att abonnenten samtycker till abonnentupplysningsföretagens behandling genom att abonnenten efterger tystnadsplikten vid avtalstillfället med operatören. Frågan är om detta samtycke kan sägas omfatta även abonnentupplysningsföretagens behandling av personuppgifter i abonnentförteckningar, beaktat hur kravet på samtycke är formulerat i 6 kap. 16 Post- och telestyrelsen 19

20 EkomL. Det ligger nära till hands att anta att det är de företag som bedriver abonnentupplysning som måste ansvara för att det finns ett samtycke från samtliga abonnenter som ingår i företagets abonnentförteckning, oavsett på vilket sätt detta samtycke inhämtas. Det finns emellertid också anledning att överväga en lagtolkning som ligger närmare det EG-direktiv 4 som EkomL bygger på. Enligt direktivet ska abonnenterna ges möjlighet att avgöra om deras personuppgifter ska finnas med i en sådan förteckning, vilka personuppgifter och i den utsträckning uppgifterna är relevanta för ändamålet med förteckningen. Begreppet samtycke återfinns inte i direktivet. 5 kap 7 EkomL och föreskrift PTSFS 2005:3 om skyldigheter att lämna ut abonnentuppgifter bygger på att operatörer enligt EkomL är skyldiga att lämna ut uppgifter efter att de inhämtat samtycke till de som avser att bedriva abonnentupplysning. Vidare bygger bestämmelserna på att det förväntas att fullständiga förteckningar kommer att finnas i Sverige genom konkurrens på en fri marknad. Det kan befaras att det då skulle bli betungande för abonnentupplysningsföretagen om det skulle uppställas krav på dem att även inhämta samtycke från abonnenterna. Det kan då antas att intresset för att hålla en fullständig abonnentförteckning avsevärt skulle minska. Det är dessutom rimligt att anta att de abonnenter som efterger tystnadsplikten i avtalet med operatören och alltså inte väljer att ha hemligt nummer, är av den uppfattningen att de vill vara sökbara på sitt telefonnummer och att de därför vill finnas med i olika typer av förteckningar oavsett vilket företag som ansvarar för förteckningen. Vid en avvägning finns det därför skäl som talar för att samtycket kan ärvas. Det ställer dock höga krav på tydligheten i avtalet samt även att abonnenterna blir införstådda med att de kan vända sig till operatören för att få reda på till vilka företag som operatören har lämnat uppgifter. Det samtycke operatören har inhämtat från abonnenterna kan emellertid bara omfatta abonnentupplysningsföretagens användning av uppgifterna om denna redan var känd när samtycket hämtandes in av operatören. Operatörerna måste därför uttryckligen inhämta abonnenternas samtycke för utlämnande för abonnentupplysningsändamål för att detta samtycke även ska kunna användas för abonnentupplysningsföretagens behandling av uppgifterna. Av 5 i föreskrift PTSFS 2005:3 om skyldighet att lämna ut abonnentuppgifter framgår också att abonnentupplysningsföretagen enbart får använda abonnentuppgifterna för ändamålet abonnentupplysning. Här kan påpekas att det samtycke som abonnentupplysningsföretaget kan anses erhålla via en noggrant formulerad avtalsklausul mellan operatör och abonnent, avseende abonnentupplysning, endast avser ändamålet abonnentupplysning och inte exempelvis marknadsföring. Ett samtycke ska när som helst kunna återkallas. Ur integritetssynpunkt är det därför olyckligt om abonnenten själv på måfå ska tvingas leta efter de register hans personuppgifter finns införda i. En sådan ordning skulle i praktiken göra det omöjligt att återkalla ett samtycke eller att få felaktiga uppgifter rättade. Enligt PTS uppfattning ska abonnenten kunna vända sig till sin operatör för att få 4 Artikel 12 Direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation 20 Post- och telestyrelsen

21 information om till vilka operatören har lämnat ut uppgifter om abonnenten. Om abonnenten vill göra en ändring eller inte längre vill finnas med i en allmänt tillgänglig abonnentförteckning ska operatören ombesörja att sådan ändring sker gentemot de abonnentupplysningsföretag som operatören lämnat uppgifter till. Det är också PTS mening att operatören i sitt avtal med abonnentupplysningsföretagen måste säkerställa att abonnentupplysningsföretagen i sin tur kan ange till vilka andra aktörer de lämnar uppgifterna för abonnentupplysningsändamål. Detta för att abonnenten ska kunna få reda på var uppgifter om honom finns och få möjlighet att återkalla och rätta uppgifter. Eftersom det är ett allmänt intresse att det finns fullständiga abonnentförteckningar gör PTS, såsom lagen är formulerad idag, den tolkningen att det samtycke som abonnenten lämnat operatören även gäller hos abonnentupplysningsföretaget. PTS har dock för avsikt att överväga möjligheten att föreslå lagändring i syfte att bättre anpassa lagens ordalydelse till bakomliggande EG-direktiv Information Abonnentupplysningsföretagen måste också lämna abonnenten särskild information om vilka sökmöjligheter en förteckning i elektronisk form möjliggör. Informationen måste lämnas innan abonnentens uppgifter tas med i förteckningen. Enkätsvaren visar att alla abonnentupplysningsföretag som har en sådan förteckning på Internet informerar om tjänstens sökmöjligheter via sin hemsida. Det är tveksamt om detta är tillräckligt eftersom abonnenten saknar erforderlig information för att veta på vilka hemsidor han ska läsa om sökmöjligheterna, egentligen redan innan han tecknar avtal med operatören. En sådan ordning kan leda till att abonnenten själv är ovetande om på vilka platser och med vilka sökmöjligheter hans personuppgifter kan göras tillgängliga eller på andra sätt behandlas. Post- och telestyrelsen 21

22 6 Fortsatt arbete Enkätsvaren har visat att abonnentuppgifter i flera fall hanteras i strid med bestämmelserna i EkomL. Detta gäller särskilt operatörernas utlämnande av abonnentuppgifter som det råder tystnadsplikt för. PTS ser allvarligt på hanteringen och planerar att fortsätta arbetet, inledningsvis genom information, men också genom fortsatt tillsyn. PTS planerar en informationsinsats där operatörer på ett lättillgängligt sätt informeras om vad tystnadsplikten innebär och hur abonnentuppgifter ska behandlas. På PTS marknadsdag den 21 mars 2006 kommer ett pass att handla om abonnentuppgifter och tystnadsplikt. Till marknadsdagen inbjuds alla anmälda operatörer. För det fall PTS får indikationer på att ytterligare information krävs är PTS mycket positiva till att hålla vidare seminarier eller workshops. PTS kommer att ta direkt kontakt och träffa ett antal operatörer för uppföljning av tillsynen. Före utgången av juni 2006 kommer PTS också att kontakta samtliga operatörer som ingått i enkätundersökningen med ett uppföljningsbrev i syfte att kontrollera vilka åtgärder som vidtagits av operatörerna. Fortsatt tillsyn avseende vissa av operatörerna och abonnentupplysningsföretag kan därefter bli aktuell. PTS för en dialog med SOS Alarm om hur deras tillgång till abonnentuppgifter, framförallt hemliga nummer, i enlighet med EkomL, på bästa sätt ska gå till. Det är mycket viktigt att SOS Alarm har tillgång till fullständiga och korrekta abonnentuppgifter. Därför finns möjligheten i EkomL för SOS Alarm att själva begära ut uppgift direkt från samtliga operatörer oaktat operatörernas tystnadsplikt. PTS har vidare för avsikt att ta ett samlat grepp om hanteringen av personuppgifter hos abonnentupplysningsföretag. Såsom påpekats i rapporten har PTS att beakta vikten av att det finns korrekta och fullständiga abonnentförteckningar för allmänheten att tillgå. PTS har också att beakta att abonnenternas personliga integritet värnas och att operatörernas och abonnentupplysningsföretagens behandling av uppgifterna är korrekt. 22 Post- och telestyrelsen