Datum Diarienr 2010-01-11 1288-2009 reco.se c/o Wiky Ventures AB Industrigatan 2 a 112 46 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet Datainspektionens beslut Datainspektionen konstaterar att Wiky Ventures AB, 556733-0971, (Wiky) är personuppgiftsansvarig för behandlingen av personuppgifter som förekommer i tjänsten reco.se. Personuppgiftsansvaret omfattar såväl behandling av de personuppgifter som Wiky själva lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Datainspektionen konstaterar vidare att det i tjänsten har förekommit behandling av personuppgifter i strid med personuppgiftslagen. Wiky har som personuppgiftsansvarig för behandlingen haft att ta bort sådana uppgifter när de blivit medvetna om att de fanns i tjänsten reco.se. Som personuppgiftsansvarig har Wiky i förekommande fall också haft att på begäran av den registrerade vidta rättelse i enlighet med 28 personuppgiftslagen. De aktuella personuppgifterna har dock numera tagits bort från tjänsten och Datainspektionen ser därför ingen anledning att vidta några åtgärder mot Wiky i detta avseende. Ärendet avslutas. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Sammanfattning Tjänsten reco.se som tillhandahålls av företaget Wiky är ett omodererat diskussionsforum för betygsättning av företag. Användarna kan lägga in meddelanden (omdömen) utan granskning eller godkännande i förväg av Wiky. Tjänsten är baserad på en databas med uppgifter om ett stort antal näringsidkare, däribland privatpersoner med enskild firma. Användare kan komplettera databasen med uppgifter om ytterligare näringsidkare och lägga in omdömen om de näringsidkare som förekommer i databasen. Det förekommer att dessa omdömen innehåller personuppgifter om företrädare för näringsidkare. Wiky har genom att tillhandahålla tjänsten och genom att bestämma inriktning, utformning och uppbyggnad av tjänsten samt genom att inneha den faktiska möjligheten att ta bort, redigera, blockera uppgifter som finns i tjänsten ett personuppgiftsansvar för den personuppgiftsbehandling som förekommer i tjänsten. Wikys personuppgiftsansvar omfattar såväl behandling av de uppgifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Tjänsten är strukturerad på ett sådant sätt att missbruksregeln i 5a personuppgiftslagen inte är tillämplig. Datainspektionen bedömer att nödvändig behandling av personuppgifter som följer av normal användning av tjänsten, dvs. för ändamålet konsumentvägledning, i princip kan anses tillåten med stöd av en intresseavvägning enligt 10 punkten f. Wiky s personuppgiftsansvar innebär att de har en skyldighet att se till att det inte förekommer behandling av personuppgifter i tjänsten reco.se som står i strid med bestämmelserna i personuppgiftslagen. Det medför bl.a. att - Wiky har en skyldighet att vidta åtgärder för att se till att behandlingen av personuppgifter i tjänsten är förenlig med de grundläggande kraven i personuppgiftslagen (9 ), t.ex. genom att i användarvillkoren införa bestämmelser som motsvarar dessa krav, - Wiky har en skyldighet att vidta åtgärder för att förhindra att användarna lägger in känsliga uppgifter och uppgifter om lagöverträdelser i tjänsten, t.ex. genom att i användarvillkoren införa motsvarande bestämmelser, - Wiky har en skyldighet att ta bort personuppgifter som behandlas i strid med personuppgiftslagen, då de blir medvetna om att dessa uppgifter finns i tjänsten, Sida 2 av 10
- Wiky har en skyldighet att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen (28 ), - Wikys har en skyldighet enligt 24 personuppgiftslagen att informera de registrerade om behandlingen, vilket kan uppfyllas genom att information lämnas bl.a. på webbplatsen, Med anledning av det aktuella klagomålet anser Datainspektionen vid en intresseavvägning enligt 10 punkten f personuppgiftslagen att innehållet i de uppgifter som har behandlats är sådant att den registrerades intresse av skydd mot kränkning av den personliga integriteten väger tyngre än Wikys intresse av att publicera uppgifterna. Behandlingen är således inte tillåten enligt personuppgiftslagen. Wiky var därför skyldig att ta bort personuppgifterna då de blev medvetna om att dessa fanns i tjänsten reco.se. De aktuella personuppgifterna har dock numera tagits bort från tjänsten och Datainspektionen ser därför ingen anledning att vidta några åtgärder mot Wiky i detta avseende. Redogörelse för tillsynsärendet Datainspektionen har mottagit ett klagomål från en person som har blivit omnämnd i negativa ordalag på tjänsten reco.se. Med anledning av detta klagomål inledde Datainspektionen tillsyn mot Wiky som tillhandahåller tjänsten reco.se. Wiky (reco.se) har inkommit med ett yttrande av vilket följande framgår. Reco.se är ett omodererat elektroniskt diskussionsforum för betygsättning av företag på Internet, vilket innebär att användarna kan lägga in meddelanden (omdömen) på sajten utan att företrädare för reco.se på förhand granskar eller godkänner dessa. Reco.se anser därför att de inte har någon faktisk kontroll över de uppgifter som användarna publicerar på sajten och att de inte heller bestämmer ändamålen eller medlen för dessa omdömen. Mot denna bakgrund anser reco.se att de inte ska anses vara personuppgiftsansvariga för den behandling av personuppgifter som ev. sker på sajtens forum eller för de publicerade uppgifter som klagomålet avser. Då innehållet i inläggen endast kan kontrolleras av användarna själva ska, om personuppgiftslagen över huvudtaget är tillämplig, användarna (dvs. de som lägger in inläggen) själva vara att anses som personuppgiftsansvariga. Företaget tillägger att en användare kan själv ändra, komplettera eller radera sitt eget inlägg på forumet. I övrigt kan ingen annan än representanter för reco.se ändra, komplettera eller radera uppgifter som användare har lagt in på webbplatsen. Alla användare av webbplatsen kan däremot rapportera stötande eller kränkande inlägg till reco.se så Sida 3 av 10
att reco.se bereds tillfälle att bedöma innehållet och eventuellt vidta nödvändiga åtgärder. Företaget har bilagt de användarvillkor som gäller från och med den 8 oktober 2009. I användarvillkoren anges bl.a. att överträdelser av villkoren kan innebära att företaget kan varna medlem och/eller radera rekommendationer/medlemskonton. Vidare uppmanas användaren att undvika att skriva nedvärderande omdömen om enskilda individer, direkt eller indirekt. Under rubriken Användaruppgifter anges bl.a. att även om du som användare givit oss samtycke till att vår hantering av dina personuppgifter prioriterar vi alltid skyddet av den information du anförtror oss och följer de lagar och regler som finns t.ex. personuppgiftslagen för att skydda din integritet. Användarna informeras också om deras rätt enligt personuppgiftslagen att kostnadsfritt få information om hur reco.se behandlar användarens personuppgifter, samt om rätten till rättelse. Skäl för beslutet Tjänsten reco.se som tillhandahålls av företaget Wiky baseras på, en databas med uppgifter om ett stort antal företag i Sverige (1,3 miljoner, uppdateras dagligen, enligt uppgift på webbplatsen). Förutom juridiska personer förekommer även näringsidkare med enskild firma. Användarna har också möjlighet att lägga till uppgifter om ytterligare näringsidkare i databasen. Syftet med tjänsten är att användare som registrerar sig på tjänsten ska kunna publicera omdömen om näringsidkare. De omdömen som användaren registrerar genom att använda ett webbformulär publiceras utan föregående granskning eller annan åtgärd av Wiky. Datainspektionen gör följande bedömningar av personuppgiftslagens tilllämpning på den behandling av personuppgifter som förekommer i tjänsten. Behandling av personuppgifter Ärendet gäller frågan om Wikys personuppgiftsansvar dels för de personuppgifter som Wiky själva lägger in i tjänsten (databasen med näringsidkare) och dels för de personuppgifter som användare lägger in i tjänsten (omdömen och kompletteringar av databasen). De personuppgifter som förekommer gäller vanligtvis uppgifter om andra än användare av tjänsten, exempelvis företrädare för de företag som finns i tjänstens databas och personer som driver näringsverksamhet med enskild firma. Sida 4 av 10
Uppgifter om juridiska personer som förekommer i databasen och som ingår i tjänsten är inte i sig personuppgifter, även om den juridiska personen skulle råka ägas av en eller ett fåtal personer eller ha en benämning (firma) som innefattar ett personnamn. Däremot anses uppgift om en enskild firma som personuppgift, eftersom innehavaren av en sådan firma alltid är en enda fysisk person (SOU 1997:39, s. 341). Är Wiky personuppgiftsansvarig? Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter är personuppgiftsansvarig enligt 3 personuppgiftslagen. Wiky har genom att tillhandahålla tjänsten och genom att bestämma inriktning, utformning och uppbyggnad av tjänsten samt genom att inneha den faktiska möjligheten att ta bort, redigera, blockera uppgifter som finns i tjänsten ett personuppgiftsansvar för den personuppgiftsbehandling som förekommer i tjänsten. Wikys behandling av personuppgifter sker inte enligt instruktioner från användarna och kan därför inte anses utföras för någon annans räkning. Wikys personuppgiftsansvar omfattar såväl behandling av de uppgifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten. Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseende besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella personuppgifterna (se nedan). Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av personuppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför. Omfattas tjänsten reco.se av missbruksregeln i 5a? Enligt den s.k. missbruksregeln i 5a personuppgiftslagen ska de s.k. hanteringsreglerna i personuppgiftslagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Avsikten med bestämmelsen har varit att från de s.k. hanteringsreglerna undanta sådan ostrukturerad vardaglig behandling av personuppgifter som typiskt sett är helt harmlös ur ett integri- Sida 5 av 10
tetsskyddsperspektiv. I det undantagna området ingår t.ex. löpande text i ordbehandlingsprogram, löpande text på Internet eller e-postkorrespondens under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur. Den tjänst Wiky tillhandahåller är baserad på en databas som innehåller uppgifter som näringsidkare, vilket inkluderar uppgifter om fysiska personer som bedriver enskild firma, och de uppgifter och omdömen om sådana som tillförs genom användare. Tjänsten är uppbyggd så att man lätt ska kunna återfinna uppgifter och omdömen om den näringsidkare som man vill söka information om. Den innehåller därvid sökfunktioner som möjliggör sökning på företag och namn på privatpersoner som har enskild firma. Mot den bakgrunden anser Datainspektionen att tjänsten har en sådan utformning som medför att undantaget i 5a personuppgiftslagen inte är tillämpligt. Vad innebär Wikys personuppgiftsansvar? Som personuppgiftsansvarig är det Wikys skyldighet att se till att det inte förekommer behandling av personuppgifter i tjänsten som sker i strid mot personuppgiftslagen. Personuppgiftsansvaret innebär en skyldighet att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat (48 personuppgiftslagen). Personuppgiftsansvaret är i vissa delar även straffsanktionerat(49 personuppgiftslagen). För att behandlingen av personuppgifter i tjänsten reco.se ska vara förenlig med personuppgiftslagen krävs att behandlingen har stöd i någon av de tillåtelsegrunder som anges i 10. Datainspektionen bedömer att nödvändig behandling av personuppgifter som följer av normal användning av tjänsten, dvs. för ändamålet konsumentvägledning, i princip kan anses tillåten med stöd av en intresseavvägning enligt 10 punkten f. Uppgifterna som får behandlas med stöd av sådan intresseavvägning måste uppfylla de grundläggande kraven, bl.a. att uppgifterna ska vara adekvata och relevanta i förhållande till ändamålet. Vad gäller frågan om personuppgiftsansvaret för de omdömen som läggs in av användarna av tjänsten utan föregående granskning eller annan åtgärd, begränsas vissa av Wikys skyldigheter enligt personuppgiftslagen utifrån företagets faktiska och rättsliga möjligheter att påverka behandlingen. Grundläggande krav på behandling av personuppgifter: Bestämmelsen i 9 personuppgiftslagen om de grundläggande krav, som den personuppgiftsansvarige har skyldighet att iakttaga vid behandling av personuppgifter, innebär Sida 6 av 10
bl.a. att personuppgifter får behandlas bara om det är lagligt, att personuppgifter alltid ska behandlas på ett korrekt sätt och i enlighet med god sed, att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen, att alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen, att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Även om Wiky saknar faktisk möjlighet att påverka användarnas behandling av personuppgifter före den tidpunkt de blir medvetna om att behandlingen förekommer, har Wiky en både faktisk och rättslig möjlighet att vidta andra åtgärder i förebyggande syfte för att se till att behandling i strid med de grundläggande kraven inte förekommer, t.ex. genom att ta in motsvarande bestämmelser i användningsvillkoren för tjänsten och införa en möjlighet för användarna att anmäla behandling som kan vara i strid mot personuppgiftslagen. Efter den tidpunkt då Wiky har blivit medveten om att det förekommer omdömen i tjänsten som innebär en behandling av personuppgifter i strid mot de grundläggande kraven, gäller dessa krav för den fortsatta behandling som ett bevarande av uppgifterna innebär. I användarvillkoren för tjänsten reco.se anges bl.a. att användarna ska undvika att skriva nedvärderande uttalanden om enskilda individer, direkt eller indirekt. Vidare görs användarna uppmärksamma på att rekommendationer (omdömen) som innehåller personliga påhopp kan leda till ansvar enligt reglerna om förtal i brottsbalken. I tjänsten, i anslutning till omdömena, finns också en s.k. abuse-funktion, dvs. ett enkelt förfarande för användarna att anmäla stötande innehåll. Användarvillkoren innehåller i detta avseende bestämmelser om användarnas behandling av personuppgifter som endast delvis motsvarar de grundläggande kraven i 9 personuppgiftslagen. Bestämmelser om behandling av känsliga uppgifter m.m. (13-21 ); Enligt personuppgiftslagen är det förbjudet att behandla känsliga personuppgifter, dvs. uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter om hälsa och sexualliv. De undantag från förbudet som görs i lagen ger inget utrymme för intresseavvägning motsvarande den i 10 punkten f (se ovan). Enligt 21 personuppgiftslagen gäller ett förbud för andra än myndigheter att behandla lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande. Datainspektionen har utfärdat föreskrifter med vissa undantag från detta förbud (se DIFS 1998:3). Dessa undantag gäller endast behandling av uppgifter i vissa uppräknade situationer. Enligt Datainspektionens bedömning saknas stöd för att behandla Sida 7 av 10
känsliga uppgifter eller uppgifter om lagöverträdelser i tjänsten reco.se. Enligt Datainspektionen innebär Wikys personuppgiftsansvar i detta avseende dels att företaget ska vidta lämpliga förebyggande åtgärder, t.ex. att ange i användarvillkoren ett motsvarande förbud för användarna att behandla sådana uppgifter i tjänsten, dels att företaget ska vidta alla nödvändiga åtgärder för att ta bort sådana uppgifter om det kommer till deras kännedom att uppgifterna förekommer i tjänsten. Wikys användarvillkor saknar bestämmelser i detta avseende. Informationsskyldighet (23-27 ); Om personuppgifter, som i detta fall, samlas in från någon annan än den som uppgifterna gäller, ska den personuppgiftsansvarige självmant lämna information om behandlingen till den som uppgifterna gäller (24 ). Informationen ska innehålla uppgift om personuppgiftsansvarig och ändamålet med behandlingen m.m. (se 25 ). Undantag från informationsskyldigheten görs i de fall då det har visat sig vara omöjligt eller det skulle innebära en oproportionerligt stor arbetsinsats. I bedömningen av arbetsinsatsen kan beaktas bl.a. antalet registrerade och s.k. kompensatoriska åtgärder som kan vidtas. I detta fall kan ett utskick till samtliga registrerade medföra en omfattande arbetsinsats. Med hänsyn till att ändamålet med tjänsten inte är att hantera känsliga uppgifter och att detta också kommer till uttryck i användarvillkoren kan det vara tillräckligt att information till de registrerade lämnas på webbplatsen reco.se. Datainspektionen förutsätter att Wiky kommer att lämna sådan information i fortsättningen. Rättelse (28 ); I det fall det förekommer personuppgifter i ett omdöme som publiceras i tjänsten är den personuppgiftsansvarige skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats enligt med personuppgiftslagen, t.ex. uppgifter som inte kan anses vara relevanta utifrån ändamålet. När Wiky tar emot en begäran om att ta bort personuppgifter har Wiky således en skyldighet att behandla denna begäran enligt personuppgiftslagen och ta ställning till om uppgifterna ska rättas, blockeras eller utplånas. Ett sätt att underlätta en sådan begäran är att ge användarna en enkel möjlighet att anmälan kränkande uppgifter (s.k. abuse-funktion), vilket också Wiky har infört. Har Wiky överträtt personuppgiftslagen i det nu aktuella fallet? I det klagomål som har inkommit till Datainspektionen har en användare lagt in ett omdöme om en namngiven fysisk person. Den utpekade personen finns med i databasen som ingår i tjänsten reco.se troligen p.g.a. att han med enskild firma driver näringsverksamhet som hyresvärd. Omdömet lyder som följer. Sida 8 av 10
En man som använder andra för att köra utpressning mot andra! köper vänner och slår nedåt! En riktig fegis som alltid vänder kappan efter vinden!! passa er för denna man, han är supertrevlig så länge han har nytta av er och sen blir ni utnyttjade och utpressade Som personuppgiftsansvarig för tjänsten reco.se är det Wikys skyldighet att dels vidta åtgärder i förebyggande syfte för att se till att behandling av personuppgifter i strid med de grundläggande kraven i 9 personuppgiftslagen inte förekommer, dels när de har blivit medvetna om att sådan behandling förekommer vidtar alla nödvändiga åtgärder för att ta bort eller på annat sätt förhindra fortsatt publicering och därmed behandling av personuppgifterna. Påstående om att någon bedriver utpressning kan vara sådan uppgift om lagöverträdelse som enligt 21 personuppgiftslagen är förbjuden att behandla för andra än myndigheter. På det sättet som uppgiften ges i detta fall får man dock närmast uppfattningen att det inte handlar om sådan konkret lagöverträdelse som avses i personuppgiftslagen. För att behandlingen av personuppgifterna i tjänsten reco.se ska vara förenlig med personuppgiftslagen krävs att behandlingen sker med stöd i någon av de tillåtlighetsgrunder som anges 10. Datainspektionen har ovan bedömt att nödvändig behandling av personuppgifter som följer av normal användning av tjänsten, dvs. för ändamålet konsumentvägledning, i princip kan anses tillåten med stöd av en intresseavvägning enligt 10 punkten f. Såvitt avser behandlingen av personuppgifter i det nu aktuella fallet anser dock Datainspektionen att innehållet i de uppgifter som har behandlats är sådant att den registrerades intresse av skydd mot kränkning av den personliga integriteten väger tyngre än Wikys intresse av att publicera uppgifterna. Behandlingen är således inte tillåten enligt personuppgiftslagen. Eftersom behandlingen av personuppgifterna inte är tillåten enligt personuppgiftslagen har Wiky haft en skyldighet att ta bort personuppgifterna då de blev medvetna om att dessa fanns i tjänsten reco.se. Som personuppgiftsansvarig har Wiky i förekommande fall också haft att på begäran av den registrerade vidta rättelse i enlighet med 28 personuppgiftslagen. Enligt den klagande har uppgifterna inte tagits bort efter att han och hans ombud hade tagit kontakt med företrädare för tjänsten. Uppgifterna har dock numera tagits bort från tjänsten och Datainspektionen ser därför ingen anledning att vidta några åtgärder mot Wiky i detta avseende. Sida 9 av 10
Datainspektionen förutsätter att Wiky i fortsättningen vidtar lämpliga åtgärder då de blir uppmärksammade på att kränkande personuppgiftsbehandling förekommer i tjänsten. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Catharina Fernqvist, juristerna Jonas Agnevall och Martin Brinnen (föredragande). Göran Gräslund Martin Brinnen Kopia till: Advokatfirman Cederqvist KB, att. Charlotta Poehler och Amanda Spaner, Box 1670, 111 96 Stockholm Sida 10 av 10