Teleoperatörers kundregister. Datainspektionens rapport December 1998



Relevanta dokument
Telias försäljning av kundinformation. Datainspektionens rapport Januari 1998

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

SAS registrering av Eurobonus- och taxfree medlemmars inköp. Datainspektionens rapport December 1998

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Kundregister hos banker. Datainspektionens rapport December 1998

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

PERSONUPPGIFTSLAGEN (PUL)

Föreläggandet gäller omedelbart enligt 64 telelagen. ---

Telia överlämnar frågan till PTS prövning.

Svensk författningssamling

Integritetspoliy 0700 Sverige AB

Policy för personuppgiftsbehandling enligt dataskyddsförordningen

Klicka här för att ändra

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Datainspektionens beslut

Datum Vår referens Sida Dnr: (8)

Personuppgiftslagen konsekvenser för mitt företag

Post- och telestyrelsens författningssamling

Resebranschens register. Datainspektionens rapport December 1998

FÖRETAGSKUNDER Romelebydens Kabel-TV INTEGRITETSPOLICY

FUNDERAR DU PÅ SÄKERHET OCH INTEGRITET KRING DINA PERSONUPPGIFTER? PERSONUPPGIFTER OCH HUR VI BEHANDLAR DEM

BESLUT. Ändring av den svenska nummerplanen för telefoni (E.164) avseende flytt av massanropstjänsten från NDC till NDC 963.

Hantering av personuppgifter, integritet och marknadsföring

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

3. PTS beslutar att undantas från tilldelning. 4. PTS beslutar att reserveras för framtida bruk.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

INTEGRITETSPOLICY FÖRETAGSKUNDER

TELIAS INTEGRITETSPOLICY FÖR OPERATÖRSFÖRSÄLJNING M.M.

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

Lagen om dataskydd vid elektronisk kommunikation

Integritetspolicy Informationstext avseende personuppgiftsbehandling. Integritetspolicy

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Post- och telestyrelsens författningssamling

Telia AB föreläggs vid vite av tio miljoner ( ) kronor. PTS föreläggande gäller omedelbart enligt 64 telelagen (1993:597).

Lathund Personuppgiftslagen (PuL)

Integritetspolicy. AriVislanda AB

Integritetspolicy för Kvarnbackens Bil & Båt AB GDPR

INTEGRITET OCH SÄKERHET. Brunskoggruppen AB, Org. Nr

Dataskyddspolicy för Rotsunda Utbildning AB

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

INTEGRITETSPOLICY FÖR REVISIONSTJÄNST FALKENBERG AB

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Integritetspolicy. Vilken typ av data vi samlar in Vi samlar in två typer av data om dig kunddata och trafikdata.

FÖRSÄLJNINGSVILLKOR 1.1 ORDERBEKRÄFTELSE - KONTAKT VIA MESSENGER

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Så behandlar vi dina personuppgifter

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

Dnr: (9)

INTEGRITETSPOLICY FÖR SKANOVA NÄTCENTER OCH APPEN SKANOVA SKADEANMÄLAN. Gäller från 25 maj 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svensk författningssamling

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Advokatfirma Linse&Wirgin, på uppdrag av Teledigit Scandinavia AB och

SÄRSKILDA VILLKOR FÖR SAUNALAHTIS MOBILA TELETJÄNSTER

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Policy avseende integritet och marknadsföring

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

Som nämnts i kapitel 2 finns ett antal konsumentpolitiska instanser som konsumenter kan vända sig till om de har problem.

1. Vilken trafik ska omfattas av samtrafikavtalet mellan parterna?

Integritetspolicy för Tryckakuten Sverige AB, nedan kallat Tryckakuten.

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Policy avseende integritet och marknadsföring

Riktlinjer för webbpublicering enligt PuL

Beslut om ändring av telefoninummerplanen

Yttrande avseende Datainspektionens begäran om upplysningar, diarienummer

POLICY AVSEENDE INTEGRITET OCH MARKNADSFÖRING

Apotekens registrering av kunduppgifter DATAINSPEKTIONENS RAPPORT 1999:1

PERSONUPPGIFTSANSVARIG OCH DATASKYDDSOMBUD

På webbplatsen finns mer information om dina rättigheter samt behandling av information inom ramen för kreditupplysningsverksamheten.

Prosmart och dataskyddsreformen

Personuppgiftspolicy

Tillsyn enligt personuppgiftslagen

Integritetspolicy. Om du har frågor om hur vi använder dina personuppgifter är du välkommen att kontakta oss på.

Integritetspolicy för Kemihuset Sverige AB, nedan kallat Kemihuset.

Tjeders Dataskyddspolicy

IT Systems policy avseende behandling av personuppgifter

Regeringens proposition 1998/99:92

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

Vid behandlingen av personuppgifter iakttar vi EU:s lagstiftning och bestämmelser och anvisningar som myndigheter gett.

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Så behandlar Överförmyndarnämnden dina personuppgifter

Temporents Integritetspolicy. Komprimerad information

Integritetspolicy - För dig som nyttjar tjänsten Sjukanmälan

IP-telefoni Regulatoriska frågor

Bilaga 5 avsnitt 5.2 i beslutsutkastet för respektive operatör Avsnitt 5.2 beskrivningen av respektive företag Hi3G...

INTEGRITETSPOLICY Vi värnar om din personliga integritet

Internet möjliggörare och utmanare

Frågeformulär till. Svensk telemarknad första halvåret 2001

Transkript:

Teleoperatörers kundregister Datainspektionens rapport December 1998

Innehållsförteckning Bakgrund till inspektionen 3 Inledning 3 Målet för inspektionen 3 Förteckning över inspekterade teleoperatörer 3 Register som inspekterades 4 Observationer 6 Generellt 6 Efterlevnaden av datalagen 6 År 2000-problemet 7 Avlyssning 7 Känsliga uppgifter/ elektroniska spår 7 Anonymitet 8 Personuppgiftslagen 9 Slutsatser 10 2

Bakgrund till inspektionen Datainspektionen har undersökt hur teleoperatörer uppfyller datalagens krav om skydd för den personliga integriteten. En inspektion av femton utvalda teleoperatörer har genomförts. Inledning Utvecklingen inom telefoni- och datatjänster har på kort tid skapat nya möjligheter till kommunikation men även till arbetstillfällen, elektronisk handel och distansarbete. Det är en positiv utveckling som i likhet med alla stora förändringar i samhället skapar nya frågeställningar hos dem som berörs. Dit hör frågor om hur de nya möjligheterna påverkar den personliga integriteten. I Sverige har många internationella teleoperatörer etablerat sig, och konkurrensen om kunderna är hård. Nya tjänster introduceras, samarbetsformer mellan teleoperatörer utformas och nya tekniker utprövas. Även mindre företag har nu möjlighet att tillhandahålla tjänster inom ett allmänt tillgängligt telenät med stöd av den svenska telelagens reglering av samtrafik mellan olika operatörers nät. Målet för inspektionen Datainspektionen hade som syfte att informera sig om teleoperatörernas registrering av personuppgifter, gallring av uppgifterna, eventuell utlämning av uppgifter samt IT-säkerhet kring de berörda registren enligt datalagen informera teleoperatörer om datalagens bestämmelser undersöka operatörernas beredskap inför år 2000 problematiken. Dessutom ville inspektionsgruppen undersöka om teleoperatörernas registrering av personuppgifter ger upphov till elektroniska spår. Operatörerna tillfrågades också om kundens möjligheter att vara anonym. Rutiner kring och möjligheter till avlyssning av kundens kommunikation undersöktes. En utgångspunkt för undersökningen var att teletjänster kan ge effekter som skulle kunna kränka den personliga integriteten om uppgifterna användes för annat ändamål än att tillhandahålla tjänsten. Förteckning över inspekterade teleoperatörer Ett generellt krav på anmälningsplikt för följande typer av teletjänster finns i telelagen som trädde i kraft den 1 juli 1997: telefonitjänst till fast nätanslutningspunkt mobil teletjänst annan teletjänst som kräver nummertilldelning ur nummerplan nätkapacitet 3

Tillståndsplikt enligt telelagen föreligger då televerksamhet bedrivs i en betydande omfattning med tanke på utbredningsområde, antalet användare eller annat jämförbart förhållande. Valet av inspektionsobjekt har skett utifrån den förteckning som Post- och Telestyrelsen har upprättat över företag som har tillstånd att bedriva teletjänster enligt telelagen, eller som har anmält sig enligt anmälningsplikten i samma lag. Nedan följer en förteckning över de inspekterade operatörerna. Av dessa operatörer hade Telia Nära AB, Nordiska Tele 8 AB och Europolitan inspekterats vid tidigare inspektionstillfällen. De övriga inspekterades under december månad 1997. Operatör Har tillstånd för telefoniverksamhet Har tillstånd för mobila teletjänster Telia AB Tele2 AB Global One Services AB MFS Communications AB RSLCOM Sweden AB Nordiska Tele8 AB Tele 1 Europe AB Telecom Finland AB TeleiTel AB NETnet International S.A. Europolitan AB Comviq GSM AB Enator Networks AB PI.SE AB Transaction Network Services AB Är anmäld enligt 4 telelagen Register som inspekterades Inspektionsobjekten uppmanades i ett inledande brev att vid inspektionstillfället presentera en förteckning enligt 7 a i datalagen. En sådan förteckning ska innehålla uppgift vilka personregister som förs samt för vart och ett av dem information om: registrets benämning och ändamål uppgift om lokalen där den automatiska databehandlingen utförs licensnumret hos Datainspektionen 4

i vilken mån personuppgifter lämnas ut för automatisk databehandling i utlandet i vilken mån personnummer registreras Vidare önskades information om vilka tjänster bolaget erbjuder enskilda personer (inklusive enskilda företagare) beskrivning av de system i vilka det förekommer personuppgifter kopia av registerbilder och besked om vilken lagring som sker samt beskrivning av databasen debiteringsunderlag som överlämnas till den som transporterar samtal vidare i sitt nät, dvs. om bolaget utnyttjar annans nät för att sända sina kunders/abonnenters samtalstrafik. Operatörernas kund- och faktureringsregister inspekterades. Dessutom inspekterades ett antal tekniska register. I operatörernas tekniska utrustning lagras information om samtalstrafik (dvs. från vilket och till vilket telefonnummer ett samtal har kopplats, och hur lång tid samtalet har varat). Informationen är nödvändig för operatörernas debitering av samtal, och den används även för statistik och feluppföljning. Denna information kan struktureras och sedan analyseras. Analysen kan ge information om abonnentens telefonvanor. 5

Observationer Generellt Det framkom av inspektionen att flertalet av operatörerna inte hade några privatpersoner som kunder. Detta är ett förhållande som håller på att förändras, och som har sin förklaring i att Sverige har under en lång tid tillämpat monopol på området. Telia äger i princip accessnätet (dvs. telefonkablaget till hushållen), och nykomlingarna har haft svårt att få lönsamhet i verksamhet som riktas mot hushållen. Nya lösningar är på väg, och så småningom kan det bli lönsamt att nå kunder med hjälp av annat sätt än via Telias accessnät. Trådlös kommunikation är på framfart, likaså testar man kommunikation via andra kabelnät som redan är draget till hushållen, t.e. elnätet och nätet för kabel-tv. Dessutom har villkoren förbättrats för de nya operatörerna när det gäller samtrafik, dvs. utnyttjande av de redan etablerade operatörernas kablage. Många av Sveriges teleoperatörer ägs av olika sammanslutningar av internationella teleoperatörer. De företag som verkar i Sverige har moderbolag i Tyskland, Frankrike, England, Danmark, Norge, Finland, Singapore och USA. Att sluta sig samman med andra operatörer ger aktörerna fördelar i form av billig samtrafik, ökad tjänsteutbud, nedsatta kostnader för administration osv. Efterlevnaden av datalagen Av femton operatörer saknade tre licens. I två fall konstaterades att operatörerna förde tillståndspliktiga register utan att ha erhållit tillstånd enligt datalagen. Flertalet inspekterade kunde inte presentera den registerförteckning som inledningsvis hade begärts av Datainspektionen. Att på begäran kunna ge registerutdrag till registrerade enligt datalagen hade endast varit aktuellt för en operatör. Därför saknades rutiner för detta hos de flesta. Flera operatörer skickar tekniskt/ekonomiskt underlag till sina utländska moderbolag. Flertalet har inte varit medvetna om kravet enligt 11 datalagen på medgivande från Datainspektionen innan uppgifter i personregister får lämnas för ADB-behandling i utlandet. Gallring av uppgifter har normalt inte skett. Många av operatörerna var så nya på marknaden att någon gallring inte har varit aktuell ännu. De flesta hänvisade till bokföringslagens bestämmelser beträffande gallring av trafikinformation, som används som underlag för fakturering. Av de inspekterade operatörerna registrerade endast ett fåtal känsliga personuppgifter. ITsäkerheten uppfylldes utan anmärkningar. 6

År 2000-problemet Samtliga inspektionsobjekt besvarade frågorna enligt Datainspektionens standardformulär om år 2000-beredskap. Alla de tillfrågade hade uppmärksammat problemet och vidtagit eller planerade att vidta åtgärder för att undvika störningar i datorsystemen. Post- och Telestyrelsen har till uppgift att bevaka år 2000-problemet hos teleoperatörer. Avlyssning Ett fåtal operatörer har teknisk utrustning för att verkställa ett beslut om telefonavlyssning och avlyssning av elektroniska meddelanden enligt de särskilda regler som finns på detta område. Däremot kan den tekniska personalen avlyssna enstaka meddelanden för kvalitetsuppföljning och felsökning. Känsliga uppgifter/ elektroniska spår Ytterst få operatörer registrerar känsliga uppgifter. I de fall sådana uppgifter registreras handlar det om kundens handikapp. Enligt telelagen måste hänsyn tas till handikappades behov av särskilda teletjänster. En av de inspekterade operatörerna ger rabatt på nummerupplysning för synskadade. Trafikdata som lagras varje gång någon skapar underlag för fakturering bildar s.k. elektroniska spår i systemet. Elektroniska spår är i det här fallet uppgifter om till vilket telefonnummer abonnenten har ringt, vilket datum och vilken tidpunkt detta skett samt hur länge samtalet varat. En sammanställning av uppgifterna kan ge en profil på individens användning av telefon. Den ger möjlighet till operatören att reagera på kundens beteende, t.e. erbjuda vissa rabatter. Kundanalyser förekommer hos ett fåtal av de inspekterade. Intresse finns för urval ur kundregistret för egna direktreklam. För att få fram uppgifter om vilka som har ringt till en viss abonnent måste man söka efter abonnentens telefonnummer bland andra abonnenters trafikdata. Samtalsstatistik analyseras hos vissa operatörer i syftet att kunna förebygga flaskhalsar och andra problem i det egna nätet. När det gäller mobiltelefoni kan operatörerna förutom uppgifter om trafikdata även få uppgifter om den geografiska positionen för varje påslagen mobiltelefon. Uppgifterna lagras en tid on-line hos operatörer varefter de kopieras till ett annat lagringsmedium (CD-ROM eller magnetband) där uppgifterna kan nås efter det att lagringsmediumet monterats upp. Stulna mobiltelefoner kan spåras även om man byter GSM-kortet. På Irland finns en databas där man kan kontrollera identiteten på en GSM-telefon mot en spärrlista. GSM-operatörer och polisen samarbetar om denna rutin. De moderna telefonvälarna innehåller funktioner för att förhindra nummerpresentation, dvs. att den uppringande personens telefonnummer visas hos den man ringer upp. Den 7

som ringer upp kan själv genom att knappa in en kod på telefonen ange om han vill att telefonnumret visas hos mottagaren. Telia är den enda operatör som ger ut en egen telefonkatalog. Flera operatörer erbjuder däremot att förmedla egna kunders telefonnummer till Telia InfoMedia som är ansvarig utgivare för Telias katalog. Då kan telefonnumret publiceras i Telias katalog. Anonymitet Ett fåtal teleoperatörer erbjuder kunden möjlighet att vara anonym. Tjänsterna levereras mot faktura, och anonymitet är svår att tillämpa. Det finns dock tjänster där telefonkort används. Då betalar kunden kontant och några personuppgifter behöver inte registreras. Ett s.k. hemligt telefonnummer innebär att uppgifter om kunden inte kan fås via någon upplysningstjänst t.e nummerupplysningstjänsten hos Telia eller Telias telefonkatalog. 8

Personuppgiftslagen Personuppgiftslagen trädde i kraft den 24 oktober 1998. Datalagen skall dock tillämpas till och med den 30 september 1998 för behandlingar som påbörjats före ikraftträdandet eller behandling som utförs för ett visst bestämt ändamål om behandlingen för ändamålet påbörjats före den 24 oktober 1998. Förutsättningarna att behandla personuppgifter är ungefär desamma enligt personuppgiftslagen som enligt datalagen. Kravet på aktiva informationsinsatser har dock ökat. Behandling av känsliga uppgifter kräver normalt samtycke från den registrerade. 9

Slutsatser Flera av operatörerna har nyligen etablerat sig i Sverige, och en del hade vid inspektionstillfället inte börjat någon verksamhet, trots att ett bolag hade registrerats hos Post- och Telestyrelsen. De flesta bolagen hade inte några privatkunder. Några känsliga personuppgifter registrerades som regel inte hos de inspekterade operatörerna. Det ligger i operatörernas egna intressen att skydda sina kundregister. Inga anmärkningar på IT-säkerheten var aktuella. Operatörerna lagrar information om samtalstrafik eftersom informationen behövs för debitering. Det blir enorma datamängder som många operatörer inte av tekniska skäl kan lagra on-line, dvs. så att uppgifterna ska vara direkt tillgängliga. Gamla uppgifter lagras på datamedia som vid behov monteras upp och blir tillgänglig för den som söker information, t.e. för att kontrollera en gammal faktura. Denna information kan - om den struktureras och analyseras - ge information om abonnentens telefonvanor. Hotbilden eisterar för tillfället men är inte alarmerande. Informationen erbjuder intressanta möjligheter till olika kundanalyser, och det finns anledning att bevaka detta område vidare. Teleoperatörer är bokstavligen spindlar i nätet när det gäller redan befintliga och framförallt framtida möjligheter till avancerade analyser av beteendemönstren hos abonnenter. 10

Besöksadress: Fleminggatan 14, plan 9 Postadress: Bo 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fa: 08-652 85 52 Tel: 08-657 61 00