Skandalen som skakade om Sverige
6 mars, 2019Hur man engagerar forskare i den digitala eran – Ett life science-event för marknadsförare, den 18 juni i Göteborg
29 april, 2019Dagens nyheter (DN) har den 23 april 2019 startat en serie av artiklar som granskar insamlingen av uppgifter via mobiltelefonappar. Den första artikeln koncentrerade sig på appar som samlar in geodata om mobilens position.
Först och främst måste jag säga att jag som dataskyddsjurist är imponerad över arbetet som Kristoffer Örstadius och Linus Larsson, journalisterna som ligger bakom artikelserien, har lagt ner i att hitta appar som läcker personuppgifter utan att användaren är medveten om det. Det är precis detta som var skälet till att vi fick GDPR och den kommande förordningen om integritet och kommunikation (e-PR).
Det första som de personer som samlar in information från appen kommer att säga är att man endast samlar in anonym data som inte går att spåra till en person. Om vi bara hade lämnat vår mobiltelefon på Sergels torg och den inte hade flyttats så hade detta stämt. Men så är ju inte fallet. Om du är som jag så ligger din mobiltelefon på ditt nattduksbord när du sover, då den får agera väckarklocka, och därefter så är det den första sak jag tar med mig när jag går upp. Sedan har jag har min mobil nära mig under resten av dagen. Skulle jag råka glömma den hemma så vänder jag hellre om och riskerar att bli sen, för att kunna hämta den. Kort sagt, den är med mig vart jag än går. Om man då spårar mig via geodata får man väldigt snabbt fram ett mönster:
- Där mobilen är på natten är mitt hem.
- Där mobilen befinner sig under arbetstid är min arbetsplats.
- När mobilen befinner sig i Täby Centrum så kan man ta reda på om jag handlar mat (ICA), alkohol (Systembolaget) eller om jag går i någon annan butik.
- När jag rör mig mellan dessa platser så kan man enkelt se om jag åker kollektivt eller går.
- När jag är på min plats för reflektion och återhämtning så kan man ta reda på vilken livsåskådning jag har.
- Etc.
Slår man samman all denna anonyma data så blir det alltså en personuppgift, oavsett hur många personer som är skrivna på hemadressen. För varje familjemedlem har ett unikt rörelsemönster och vi kan enkelt se om personen är vuxen eller ett barn.
Nu när vi har konstaterat att det rör sig om personuppgifter som samlas in måste vi se till informationen som ges till användaren av företagen som tillhandahåller mobilapparna. Kristoffer Örstadius och Linus Larsson har koncentrerat sig på appar som lanserats av mindre företag (dvs inte Google eller Facebook). För en närmare genomgång av detta kan ni se denna länk. Vid sin genomgång av användarvillkor och integritetspolicys har man konstaterat att de appar som de facto informerar om att de samlar in personuppgifter för att därefter sälja dem vidare, inte har informerat användarna tydligt om detta på ett enkelt och lättförståeligt sätt (något som krävs enligt artikel 12 GDPR). Finns det information så är den djupt begravd i integritetspolicyn. Sedan finns det även de som inte informerar överhuvudtaget.
De företag som inte nämner att de säljer vidare sina personuppgifter vidare gör detta i direkt strid med GDPR och borde kunna få en sanktionsavgift om 4% av dess omsättning av Datainspektionen. Övriga som säljer utan att förklarat tydligare om vad de säljer kommer att hamna i samma sits som Google är i, och kan få en något mindre sanktionsavgift då de inte varit tydliga nog i sin information till användaren. Google har fått en första sanktionsavgift om 50 miljoner euro av CNIL (franska datainspektionen). 50 miljoner kan verka var lite i sammanhanget, men då man anser att Google inte har ett europeiskt kontor som tar besluten rörande s.k. ”anonym tracking” så är det möjligt för varje dataskyddsmyndighet inom EU att genomföra sin egen utredning och själva utfärda liknande avgifter. Sju stycken, bl.a. den svenska Datainspektionen, har nu påbörjat en liknande undersökning, och de övriga lär följa.
Ser vi till kommande lagstiftning, e-PR, så kommer den att sätta ett ännu högre tryck på företagen som använder sig av online-funktioner som samlar in personuppgifter. Detta då det troligen kommer att krävas ett samtycke i enlighet med GDPR (frivilligt, uttryckligt, specifik och separat inhämtat) för att få använda sig av dessa uppgifter. Detta skulle innebära att företag som samlar in informationen via appen måste få ett separat samtycke där man beskriver exakt vilka företag/organisationer som man avser att dela med sig uppgifterna till och vad de kommer att användas till. Även denna lagstiftning har en straffsats med upp till 4% på global omsättning om man inte följer den. Då e-PR har försenats så vet vi inte när den kommer att träda i kraft. Men rent formellt så kan företaget få två sanktionsavgifter om upp till 4% av företagets globala omsättning utdelade till sig av relevanta tillsynsmyndigheter.
Vad kan vi då lära av artikeln? Det kan sammanfattas i följande:
- Även insamling av anonyma data kan leda till att du kan enkelt identifiera en individ, vilket gör att datan blir att anse som personuppgifter.
- En registrerad som är omedveten om att det sker och sedan medvetandegörs blir heligt förbannad.
- Datainspektionen kommer väldigt snart att titta närmare på användning och försäljning av personuppgifter som samlas in via appar.
Vad ska du då göra för att undvika att få heligt förbannade användare?
- Var TYDLIG med vad du avser att göra med uppgifterna. Ska du sälja dem vidare, informera den registrerade om detta vid registreringen av appen.
- Gör det enkelt för de registrerade att stoppa vidareförsäljning av deras information.
- Ha en väl fungerande kundtjänst som kan svara på registrerades frågor, vara kunniga, pålästa och tydliga med informationen utåt. Transparens = guld värt.