Tillsyn över behandling av uppgifter och inhämtade av samtycke

Relevanta dokument
Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn över behandling av uppgifter

Tillsyn över dokumentation av informationsbehandlingstillgångar

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Tillsyn om ersättning vid utlämnande av lagrade uppgifter för brottsbekämpande ändamål

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn över dokumentation av tillgångar och förbindelser

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Tillsyn efter inträffad integritetsincident i fakturasystem

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Överlämnande av nummer vid byte av tjänsteleverantör

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn över säkerhetsarbete hos underleverantör

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Avbrott i bredbandstelefonitjänst

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Underrättelse om misstanke om behandling av uppgifter i strid med lag

Föreläggande att inkomma med uppgifter

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Beslut om ändring av telefoninummerplanen

AllTele Företag Sverige AB (AllTele Företag) Att: Mats Larsson Hammarsten, Niklas Norberg och Peter Bellgran Box SKÖVDE

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Förslag till beslut om ändring av telefoninummerplanen

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Föreläggande att på begäran lämna ut uppgifter om abonnemang

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Underrättelse om misstanke om att Canal Digital Sverige AB tillämpar en längre inledande bindningstid än 24 månader

Exponerade fakturor på internet

Ändring av telefoninummerplanen

Underrättelse om misstanke om att SwedfoneNet AB handlar i strid med gällande regelverk vid överlämnande av nummer

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Underrättelse om misstanke om att Viasat AB tillämpar en längre inledande bindningstid än 24 månader

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

PERSONUPPGIFTSBITRÄDESAVTAL

DOM Meddelad i Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Integritetspolicy Våra Gårdar

ÄRENDEANSVARIG, AVDELNING/ENHET, TELEFON, E-POST ERT DATUM ER REFERENS

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Anmälan enligt kap 2 1 lagen (2003:389) om elektronisk kommunikation (LEK)

Personuppgiftsbehandling i forskning

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Tvistlösning enligt 7 kap. 10 lagen (2003:389) om elektronisk kommunikation (LEK)

Underrättelse om misstanke att Bahnhof AB (publ) inte följer skyldigheten att lämna uppgifter enligt 8 kap. 1 LEK

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Tillsynsrapport: Informationskrav vid ändring av avtal

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Dataskyddsförordningen GDPR

Vår referens Dnr:

Tillsyn om störningar och avbrott i elektroniska kommunikationsnät och - tjänster

Beslut om ändring av telefoninummerplanen

Riktlinjer för hantering av personuppgifter

Beslut om avskrivning

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

(5)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

UNDERRÄTTELSE 1(8) Tele2 Sverige AB Att: Gustav Ehrner Box Kista

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Bilaga Personuppgiftsbiträdesavtal

Workshop 10. Datalagringsdirektivet det här gäller! Andreas Dahlqvist Nätsäkerhetsavdelningen - PTS. Post- och telestyrelsen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

PERSONUPPGIFTSBITRÄDESAVTAL

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Saken. PTS underrättelse

UNDERRÄTTELSE 1(4) Vår referens Dnr:

Beslut om avslag av begäran om omedelbara tillsynsåtgärder mot TeliaSonera Network Sales AB

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Tillsyn med anledning av störningar och avbrott i elektroniska kommunikationsnät och kommunikationstjänster

BILAGA Personuppgiftsbiträdesavtal

Vägledning om skyldigheten att rapportera integritetsincidenter

Styrdokument RIKTLINJER FÖR KAMERAÖVERVAKNING. 1. Inledning 1.1 Ändamål 1.2 Säkerhet kontra personlig integritet

Transkript:

AVSKRIVNINGSBESLUT 1(7) Datum Vår referens 2015-10-15 Dnr: 13-12363 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn över behandling av uppgifter och inhämtade av samtycke Saken Tillsyn över behandling av uppgifter och inhämtande av samtycke. Post- och telestyrelsens avgörande Post- och telestyrelsen (PTS) avskriver ärendet från vidare handläggning. Bakgrund Den 19 december 2013 inledde PTS tillsyn över Gävle Energi AB (Gavlenet) i syfte att granska hur Gavlenet behandlar uppgifter om abonnenter och användare för vissa angivna ändamål, samt om och hur bolaget inhämtar samtycke för sådana behandlingarna. Tillsynen har främst berört Gavlenets behandling av uppgifter för marknadsföring, abonnentupplysning och trafikhantering. Huvudsyftet med tillsynen har varit att granska huruvida Gavlenet efterlever lagens krav vad gäller formerna för inhämtande av samtycke, samt innehållet i informationen som ska delges abonnenten inför behandlingen. PTS har inom ramen för detta tillsynsärende inte granskat huruvida de upplysningar som Gavlenet har lämnat, avseende den behandling av uppgifter som utförs, överensstämmer med den faktiska behandling som företaget utför. PTS har inte heller efterfrågat någon fullständig redogörelse för all behandling av uppgifter som Gavlenet vidtar i samband med tillhandahållandet av elektroniska kommunikationstjänster. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(7) På begäran av PTS har Gavlenet inledningsvis redovisat hur företaget informerar abonnenter om behandling av uppgifter och inhämtar samtycke genom allmänna villkor. PTS har därefter hållit telefonmöte med Gavlenet varvid synpunkter och frågor inom ramen för tillsynen har diskuterats. Gavlenet har i svar till PTS uppgivit att bolaget endast behandlar abonnentuppgifter vid bolagets marknadsföring. Gavlenet har vidare uppgivit att bolaget varken behandlar uppgifter för egen abonnentupplysningsverksamhet, eller att man lämnar ut uppgifter till utomstående abonnentupplysningsföretag. När det gäller trafikhanteringsändamål har Gavlenet dock uppgivit att bolaget behandlar abonnenters och användares uppgifter, t.ex. vid mätning av kvaliteten och kapaciteten i tjänsterna. När det gäller formerna för inhämtning av samtycke har Gavlenet angivit att detta i huvudsak sker genom att abonnenten godkänner skrivningar om samtycke till behandlingar av uppgifter i allmänna villkor vid avtalets ingående. Dessutom har Gavlenet haft viss information om behandlingar direkt på sin webbplats. PTS har härefter, med utgångspunkt i Gavlenets beskrivning av vilka uppgifter som behandlas och för vilka ändamål behandlingen sker, konstaterat att vissa av dessa behandlingar endast får utföras efter samtycke från abonnenten. PTS har vidare granskat huruvida Gavlenet inhämtar korrekt samtycke för dessa behandlingar. PTS har underhand meddelat Gavlenet de brister som noterats vid denna granskning. Gavlenet har härefter inkommit med förslag till förändringar, huvudsakligen gällande skrivningar i företagets allmänna villkor. Förslagen har granskats av PTS varpå Gavlenet har informerats om de kvarstående brister som myndigheten noterat. Förfarandet har upprepats till dess att endast ett fåtal brister kvarstod. Den 5 februari 2015 bekräftade Gavlenet att samtliga de kvarstående brister som PTS påpekat skulle omhändertas genom justeringar i de allmänna villkoren. Skäl Tillämpliga bestämmelser Enligt 6 kap. 1 lagen (2003:389) om elektronisk kommunikation (LEK) ska begreppen behandling, personuppgiftsansvarig och samtycke tolkas i enlighet med personuppgiftslagen (1998:204) (PUL). Ett samtycke definieras i 3 PUL Post- och telestyrelsen 2

3(7) som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information godtar behandling av personuppgifter som rör honom eller henne. Med behandling avses enligt samma paragraf varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Enligt 6 kap. 1 LEK definieras trafikuppgift som uppgift som behandlas i syfte att befordra ett elektronisk meddelande via ett elektroniskt kommunikationsnät eller för att fakturera detta meddelande. Av 6 kap. 5 LEK framgår att tillhandahållaren som huvudregel ska utplåna eller avidentifiera behandlade trafikuppgifter för fysiska personer eller abonnenter så fort de inte längre behövs för att överföra ett elektroniskt meddelande. I 6 kap. 6 första stycket LEK anges att trafikuppgifter som behövs för fakturering eller betalning av avgifter för samtrafik får behandlas till dess att fordran är betald eller vid preskription. I andra stycket framgår att trafikuppgifterna även får behandlas för att marknadsföra elektroniska kommunikationstjänster eller för att tillhandahålla andra tjänster där uppgifterna behövs ( mervärdestjänster ) i den utsträckning och under den tid som är nödvändig för marknadsföringen eller tjänsten. Behandlingar för dessa ändamål kräver dock, enligt tredje stycket, samtycke från den som uppgifterna rör. Innan samtycke inhämtas ska tillhandahållaren informera om vilka trafikuppgifter som behandlas och hur länge uppgifterna behandlas för dessa ändamål. Enligt 6 kap. 7 LEK får behandling av trafikuppgifter enligt 5 och 6 utföras endast av den som fått i uppdrag av den som bedriver verksamhet som är anmälningspliktig att sköta fakturering, trafikstyrning, kundförfrågningar, marknadsföring av elektroniska kommunikationstjänster eller tillhandahållande av andra tjänster där uppgifterna behövs. Behandlingen skall begränsas till vad som är nödvändigt för verksamheten. Enligt 6 kap. 17 LEK får, utöver vad som framgår av 5-7 och 20, inte någon annan än berörda användare tal del av eller på andra sätt behandla uppgifter i ett elektroniskt meddelande som överförs i ett allmänt kommunikationsnät eller med en allmänt tillgänglig elektronisk kommunikationstjänst, eller trafikuppgifter som hör till detta meddelande, om Post- och telestyrelsen 3

4(7) inte en av användarna har samtyckt till behandlingen. I andra stycket finns tre undantag till detta: 1. Lagring som är automatisk, mellanliggande och tillfällig, om den är nödvändig för överföringen eller driften (s.k. buffring), 2. Tillgång till innehållet i ett elektroniskt meddelande, om innehållet ändå är allmänt tillgängligt, om det sker för att effektivisera överföringen (s.k. cachning), eller 3. Avlyssning av eller tillgång till ett radiobefordrat elektroniskt meddelande via radiomottagare. PTS bedömning Gavlenet har inom ramen för tillsynen uppgivit att bolaget bland annat vidtar trafikhanteringsåtgärder och att man behandlar trafikuppgifter och innehåll i meddelanden för att t.ex. filtrera bort spam och virus. När Gavlenet behandlar trafikuppgifter i syfte att t.ex. mäta kvaliteten i sina kommunikationstjänster aktualiseras reglerna i 6 kap. 6-7 LEK. Omfattar behandlingen även innehållet i meddelanden aktualiseras bestämmelsen i 6 kap. 17 LEK. Även sådan automatiserad hantering av trafiken som sker i syfte att t.ex. att filtrera eller blockera visst innehåll utgör behandling som aktualiserar dessa bestämmelser. Gavlenet har uppgett att företaget vidtar åtgärder som enligt PTS bedömning utgör sådan behandling av uppgifter som, enligt bestämmelserna i LEK, kräver samtycke från berörd abonnent. Former för inhämtande av samtycke När det gäller formerna för inhämtande av samtycke har Gavlenet uppgivit att samtyckesinhämtning sker genom att kunden godtar allmänna villkor som innehåller information om behandlingar, t.ex. genom att kryssa i en ruta vid avtalsingående via webbplatsen. PTS kunde dock konstatera att det inte i de allmänna villkoren, eller på Gavlenets webbplats i övrigt, ingick någon samtyckesinhämtning, utan att det endast fanns information om behandlingar. Även om samtyckesinhämtningen oftast sker i samband med avtalsingående får inhämtningen av samtycke inte framstå som ett avtalsvillkor. Ett avtal utgör en överenskommelse mellan flera parter medan ett samtycke utgörs av en ensidig viljeyttring från den som lämnar det. När samtycke inhämtas i samband med avtalets ingående ska operatören, enligt PTS bedömning, särskilt uppmärksamma abonnenten på detta, t.ex. genom att vid godkännandet av avtalsvillkoren även hänvisa till de samtycken som beskrivs i de allmänna villkoren. Post- och telestyrelsen 4

5(7) Efter att PTS framfört denna synpunkt har Gavlenet infört samtyckesinhämtning i de allmänna villkoren och bekräftat att man inför en hänvisning till samtyckesinhämtningen redan vid avtalsgodkännandet. Innehåll i informationen När det gäller innehållet i den information som Gavlenet ska lämna inför samtyckesinhämtningen har PTS konstaterat att det förelegat vissa brister. Informationen ska innehålla beskrivning av vilka uppgifter som avses att behandlas, för vilka ändamål uppgifterna ska behandlas, vilken sorts behandling som ska göras och, om behandlingen omfattar trafikuppgifter enligt 6 kap. 6 tredje stycket LEK, angivelse av hur länge uppgifterna ska behandlas. Innehållet i informationen bör anpassas efter en genomsnittlig abonnents behov och kunskaper. Generella uppgifts- och ändamålsbeskrivningar Vissa av skrivningarna varigenom Gavlenet inhämtade samtycke innehöll alltför generella eller otillräckliga beskrivningar av uppgifter. T.ex. angav Gavlenet att man behandlade Personuppgifter som ni samlar in. Det var oklart för PTS om dessa uppgifter var sådana som kunden självmant lämnade ifrån sig eller om det även var uppgifter som t.ex. genererades vid användning av tjänsterna. Uppgiftsbeskrivningen var enligt PTS bedömning inte tydlig för den genomsnittlige abonnenten, och om abonnenten inte har fått tillräckligt konkret information om vad denne samtycker till har heller inget godtagbart samtycke inhämtats. Även vissa av ändamålsbeskrivningarna i de allmänna villkoren var alltför generellt utformade och upprepades på flera ställen. T.ex. angavs att uppgifter behandlades för att tillhandahålla tjänsten. Generellt utformade ändamålsbeskrivningar, i kombination med vida uppgiftsbeskrivningar, innebär att ett mycket stort antal behandlingar kan komma att omfattas, även sådana som sedermera inte utförs. Eftersom ett samtycke måste vara särskilt, dvs. avse behandling för ett eller flera preciserade ändamål, är det som regel inte möjligt att inhämta samtycke för så omfattande behandlingar. Det är av denna anledning inte heller lämpligt att inhämta samtycke för behandlingar som inte utförs eller avses att utföras. Efter att PTS påpekat detta har Gavlenet, t.ex. genom att lämna flera exempel, tydliggjort såväl vilka uppgifter som ska behandlas som ändamålsbeskrivningarna, och på så sätt avgränsat samtyckesinhämtningen till att avse särskilt angivna behandlingar som faktiskt utförs. Vidare inhämtade Gavlenet samtycke för ändamål som inte kräver samtycke, t.ex. behandlingar som följer av lag. Det är, enligt PTS bedömning, olämpligt Post- och telestyrelsen 5

6(7) och vilseledande för en abonnent att inhämta samtycke för behandlingar som inte kräver det, bland annat eftersom att ett återkallat samtycke skulle vara utan verkan. Efter detta påpekande från PTS har Gavlenet justerat i sina villkor så att det tydligare framgår vilka behandlingar som görs med stöd av samtycke och vilka behandlingar som görs utan att samtycke krävs. Återkallelse Gavlenet hade ursprungligen en skrivning om att abonnenten när som helst kan återkalla ett samtycke som rör direkt marknadsföring. Eftersom det ligger i samtyckets natur att det alltid kan återkallas är det, enligt PTS bedömning, vilseledande för abonnenten att ange att ett visst samtycke kan återkallas. Efter detta påpekande har Gavlenet tydliggjort att samtliga samtycken som lämnats också kan återkallas och vad olika återkallelser får för konsekvenser för tjänstens tillhandahållande. Slutsats Gavlenet har i dialog med PTS justerat sina allmänna villkor på så sätt som angivits ovan. När det gäller de behandlingar av uppgifter som granskats inom ramen för denna tillsyn gör PTS bedömningen att Gavlenet nu uppfyller kraven vad gäller formerna för inhämtande av samtycke. PTS kan komma att följa upp att Gavlenet även i framtiden följer kraven för inhämtande av samtycken enligt LEK. Mot bakgrund av detta föreligger inte skäl att fortsätta tillsynen varför ärendet avskrivs från vidare handläggning. Beslutet har fattats av enhetschefen Patrik Bystedt. I ärendets slutliga handläggning har även Karin Lodin (föredragande) och Staffan Lindmark deltagit. Post- och telestyrelsen 6

Post- och telestyrelsen 7 7(7)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss