Så ska svenska storbolag hantera rätten att bli bortglömd

2018-05-17 06:00  
Ny Teknik har kollat med 13 svenska storbolag hur de ska efterleva GDPR. Foto: Fredrik Persson, Johan Nilsson / TT, Janerik Henriksson / TT, Magnus Hjalmarson Neideman / SvD / TT

Hur gör jag för att få min persondata raderad? Hur får jag reda på vilken data ett företag har om mig? Ny Teknik har kollat med 13 svenska storbolag hur de ska efterleva GDPR.

Har man rätt att få sin personliga data raderad? Ja, enligt nya dataskyddsförordningen GDPR har man det. Men rätten gäller inte alltid. Det är också något flera av de stora bolag Ny Teknik varit i kontakt med kan konstatera.

– Kunden kan kontakta telefonbanken eller ett kontor. Man ska dock komma ihåg att banken i vissa fall inte kan radera uppgifterna. Det beror på att uppgifterna kan behöva sparas på grund av avtalsförhållande eller lagstiftning, säger Laurence Westerlund på SEB.

– Kortfattat sparar Ikea information så lång tid som det är nödvändigt för att leva upp till lagar och regler och för att kunna fullfölja våra skyldigheter gentemot våra kunder. Som kund kan man därför endast få raderat de uppgifter som Ikea inte behöver för att fullfölja lag eller avtal. Informationen raderas så fort den inte behövs, säger Felix Östman, kommunikatör på Ikea.

När det gäller information om vilken data ett bolag har om en privatperson har den enskilde rätt att begära att sådan information lämnas ut. Flera av bolagen nedan nämner att det ska ske skriftligen. Det är mycket riktigt något som tillsynsmyndigheten Datainspektionen rekommenderar.

Läs mer: GDPR: så har internetjättarna ändrat sina villkor

Alla väljer dock inte samma lösning. Volvo, till exempel, vill att man använder något modernare metoder:

– Personen får gärna kontakta oss – helst direkt till vårt elektroniska formulär för förfrågningar kring personuppgiftsfrågor för snabbast hantering. Annars till vår kundtjänst som kommer att hjälpa personen med dennes frågor kring vår personuppgiftsbehandling, säger presschefen Annika Bjerstaf.

Ny Teknik hörde av sig till ett 20-tal stora svenska bolag med två frågor.

1. Hur ska en privatperson gå till väga för att av er få reda på all data som ni har om den privatpersonen, samt om privatpersonen vill veta vilka företag – och i vilket syfte – ni delar denna data med?

2. Hur ska en person gå till väga för att av er få hjälp med att bli ”bortglömd”, det vill säga att få den data ni lagrar om privatpersonen raderad hos er?

Så här svarade de (SJ, Bahnhof, Schibstedt, SAS och Spotify har inte återkommit med svar på våra frågor):

Ica

1. ”Icas kortkunder kommer att kunna logga in på ica.se och där se vilka personuppgifter som behandlas, samt beställa ett registerutdrag för att se vilka personuppgifter vi har om just den kunden. För mer information om hur Ica behandlar personuppgifter samt till vilka kategorier av företag som ICA lämnar ut uppgifter till kan man läsa mer på www.ica.se/dataskydd.”

2. ”Personer som vill begära att bli glömda kan kontakta kundservice för att få hjälp med detta. Ica behandlar kunders personuppgifter för att kunna lämna personliga erbjudanden och bonuspoäng på köp. Om en kund inte längre vill vara en del av lojalitetsprogrammet kan hon eller han begära ett utträde, personuppgifterna kommer då att tas bort ur systemen.”

Läs mer: GDPR-panik är vårens stora krämpa

Telia

1 & 2. ”Innan GDPR införs 25 maj måste det göras skriftligen via brev. Efter den 25 maj kommer man att kunna göra det via telia.se/mitttelia. När det gäller information om vilka företag vi delar information med och i vilket syfte – så redogör vi för syfte och vilka kategorier, (till exempel myndigheter, leverantörer, andra operatörer, tjänsteleverantörer) men inte med namn. Här hittar du information: https://www.telia.se/privat/om/integritetspolicy/data#pageSection_04 Inför den 25 maj kommer vi även att ha uppdaterat sidan telia.se/integritet samt Mitt Telia.”

SEB

1. ”Våra kunder kommer att kunna beställa ett registerutdrag via vår internetbank, telefonbanken eller via något av våra kontor.

2. ”Kunden kan kontakta telefonbanken eller ett kontor. Man ska dock komma ihåg att banken i vissa fall inte kan radera uppgifterna. Det beror på att uppgifterna kan behöva sparas på grund av avtalsförhållande eller lagstiftning.”

Ikea

1. ”Vår kundservice kan hjälpa till när någon undrar hur vi på Ikea hanterar personuppgifter. De kan naturligtvis också hjälpa till om man vill få reda på vilken data vi sparar.”

2. ”Även här kan vår kundservice hjälpa våra kunder med svar. Kortfattat sparar Ikea information så lång tid som det är nödvändigt för att leva upp till lagar och regler och för att kunna fullfölja våra skyldigheter gentemot våra kunder, till exempel inom ramen för Ikea family-medlemskap eller ett köpeavtal. Som kund kan man därför endast få raderat de uppgifter som Ikea inte behöver för att fullfölja lag eller avtal. Informationen raderas så fort den inte behövs.”

Bonnier

1. ”Kunder till Bonnierbolag kommer att kunna hitta information på bonnier.se där vi inom kort har en uppdaterad dataskyddspolicy på plats. Personen kan givetvis också direkt kontakta det Bonnierbolag som hen har en relation med. Om privatpersonen är anställd hos Bonnier hittar hen information på intranätet eller hos sin närmaste chef.”

2. ”Personen kan lättast och snabbast gå in på bonnier.se för att få information om vilka uppgifter som kan raderas och specificerar därefter, genom ett webbformulär som kommer att finnas där, vilka uppgifter, för vilket bolag och syfte hen vill ha uppgifter raderade. Det är naturligtvis också möjligt att framställa önskemål om att få uppgifter raderade genom andra kanaler.”

Volvo Cars

1. ”Detta är redan idag ett krav under personuppgiftslagen och Volvo Cars får och har fått denna typ av frågor tidigare. Personen får gärna kontakta oss – helst direkt via vårt elektroniska formulär för förfrågningar kring personuppgiftsfrågor, för snabbast hantering. Annars till vår kundtjänst som kommer att hjälpa personen med dennes frågor kring vår personuppgiftsbehandling. Vill man ha allmän information om hur Volvo Cars behandlar personuppgifter kan man bland annat besöka volvocars.com och den flik längst ned på sidan som heter ”sekretess” där vi informerar om hur vi behandlar personuppgifter.”

2. ”Det är samma process här – personen får gärna kontakta oss, antingen via vårt elektroniska formulär för snabbast hantering eller annars via vår kundtjänst. I tillägg till detta kan jag nämna att Volvo Cars haft ett personuppgiftsombud samt kommer nu också formellt att utse ett dataskyddsombud. Detta då vi ser att dataskydd är viktigt och centralt i vår resa mot digitala tjänster, till exempel prenumerationstjänsten Care by Volvo, där en person är i centrum snarare än bilen.”

Vattenfall

1. ”Vi strävar alltid efter att lämna information om personuppgiftsbehandlingen både när uppgifterna samlas in och när den registrerade annars begär det. I första hand ges informationen utifrån vår personuppgiftspolicy som vi nu uppdaterar för att säkerställa att vi är transparenta och möter de utökade kraven på information om behandlingen som GDPR ställer. Under kommande två veckor kommer vi kontakta våra kunder och informera om att vi med anledning av GDPR uppdaterat våra allmänna avtalsvillkor och hänvisa till vår uppdaterade policy om det är så att man vill ha mer information. Frågor rörande Vattenfall AB:s och Vattenfallkoncernens personuppgiftsbehandling kan även ställas direkt till något av våra dataskyddsombud eller via vårt allmänna kontaktformulär på hemsidan.”

”För frågor och begäran om registerutdrag, det vill säga vilken data vi behandlar om enskilda privatpersoner hänvisar vi till Vattenfalls kundservice. Var och en har rätt att få information om i vilken utsträckning uppgifter om den egna personen behandlas av Vattenfall. Om sådana personuppgifter finns hos Vattenfall får berörd person efter skriftlig begäran information om vilka kategorier av personuppgifter som behandlas, varifrån dessa har inhämtats, för vilket eller vilka ändamål behandlingen sker, vilken laglig grund som föreligger och till vem eller vilka uppgifterna lämnas ut. Den som begär information ska kunna legitimera sig. Vattenfall skickar svar till den folkbokföringsadress som finns registrerad hos Vattenfall inom en månad från det att begäran inkommit”.

2. ”Information om hur man bör gå tillväga för att åberopa denna rätt kommer också att finnas i vår policy för personuppgiftshantering. När denna typ av förfrågan inkommer inleds en analysprocess för att utreda bakgrunden till förfrågan och sedan vidta rätt åtgärder. Förfrågningar om att bli raderad ställs till och hanteras av Vattenfalls kundservice.”

”Vattenfall raderar personuppgifter då laglig grund saknas för att behålla uppgifterna. Våra kunder har rätt att omgående få sina personuppgifter raderade om något av följande gäller; behandlingen grundar sig enbart på ditt samtycke och du återkallar detta; uppgifterna inte längre behövs för de ändamål som de behandlats för; behandlingen sker för direktmarknadsföring och du motsätter dig att uppgifterna behandlas för det ändamålet; informationen har inte behandlats enligt förordningen; du motsätter dig behandling som sker efter en intresseavvägning och de berättigade skälen inte väger tyngre än ditt intresse; radering krävs för att uppfylla en rättslig skyldighet.”

Folksam

1. ”Kunden ska skicka in en undertecknad skriftlig begäran om registerutdrag till oss alternativt beställa detta via ”mina sidor”. På Folksamsgruppens webbplatser (till exempel folksam.se https://www.folksam.se/hjalp/gdpr-hantering-av-personuppgifter) finns information hur vi delar personuppgifter med andra parter.”

2. ”Kunden ska ta kontakt med kundservice så hjälper de till.”

H&M

1 & 2. ”H&M tar dataskydd på stort allvar och vi har därför särskild kundservicepersonal som hanterar våra kunders förfrågningar rörande integritet och kundens rättigheter, inklusive rätten till tillgång till data samt rätten att bli raderad. Våra svenska kunder kan alltid nå dem på dataprotection.se@hm.com”

Postnord

1. ”Postnord följer Datainspektionens rekommendation kring registerutdrag och begär en för hand undertecknad begäran om registerutdrag. Av utdraget kommer att framgå vilka kategorier av personuppgifter som Postnord behandlar, ändamålen med behandlingen samt eventuella tredje parter, till exempel myndigheter, som uppgifterna lämnas ut till.”

2. ”Också om man vill få sina personuppgifter raderade ska man skicka en för hand undertecknad begäran om detta. För att Postnord ska kunna uppfylla sitt statliga uppdrag som postoperatör behöver Postnord behandla uppgifter om namn och postadress, dessa uppgifter kan därför inte raderas.”

Klarna

1. ”Genom att besöka avsnittet ”dataskydd” på vår hemsida. Där (https://klarna.se/dataskydd) förklarar vi hur det går till när vi samlar in information om våra kunder, varför vi behöver göra detta och hur vi hanterar informationen. Vi på Klarna värnar om våra kunder, vilket innebär att den information som samlas in hanteras på ett ansvarsfullt sätt och det är viktigt för oss att våra kunder känner till detta. Vi har även ett dedikerat kundservice-team specialiserat på dataskydd som våra kunder kan kontakta direkt för att få svar på frågor och funderingar.”

2. ”Idag kan våra kunder göra detta genom att kontakta våra dataskyddsspecialister i vårt dedikerade kundservice-team. Mer information om hur man får hjälp med detta finns tillgänglig på vår hemsida i avsnittet 'dataskydd' (https://klarna.se/dataskydd).”

Apoteket

1. ”Detta framgår av Apoteket AB:s nya integritetspolicy som börjar gälla 25 maj 2018 (https://www.apoteket.se/kundservice/integritetspolicy/). En privatperson kan kostnadsfritt begära ett registerutdrag där privatpersonen anger vilken information denne vill ta del av. Apoteket AB ska besvara detta önskemål utan onödigt dröjsmål och alltid inom en månad. Om Apoteket av någon anledning inte kan uppfylla önskemålet, ska detta motiveras. Registerutdraget skickas till privatpersonens folkbokföringsadress. Privatpersonen kommer även kunna få ett registerutdrag via Apotekets hemsida efter en stark autentisering.”

”Privatpersoner har rätt att få information om vilken data Apoteket behandlar om dem. Begäran görs skriftligt och ska undertecknas av den sökande samt innehålla uppgift om namn, personnummer och adress. Utdragen sänds till den sökandes folkbokföringsadress inom en månad från det att ansökan inkommit till Apoteket.”

2. ”En privatpersons personuppgifter sparas så länge det är nödvändigt enligt lag, exempelvis lag om handel med läkemedel och bokföringslagen. Som kund har en privatperson rätt att begära att utan onödigt dröjsmål få information raderad om någon av följande förutsättningar gäller; om uppgifterna inte längre behövs för de ändamål som de behandlats för; om behandlingen grundar sig enbart på privatpersonens samtycke och privatpersonen återkallar detta; om behandlingen sker för direktmarknadsföring och privatpersonens motsätter sig att uppgifterna behandlas; om privatpersonen motsätter sig behandling som sker efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än dennes intresse; om data inte har behandlats enligt gällande lagstiftning; om radering krävs för att uppfylla en rättslig skyldighet.”

”Om personuppgifter raderas kommer Apoteket, så långt som rimligen möjligt, att underrätta dem som Apoteket har lämnat ut personuppgifter om privatpersonen till om att denna radering har ägt rum. Vi kommer även, på privatpersonens begäran, att informera om till vem informationen har lämnats ut.”

Securitas

1. ”Securitas Sverige behandlar främst personuppgifter (kontaktuppgifter och övrigt material) för våra kunders ändamål. Om en privatperson kontaktar oss så kommer vi att behöva identifiera i vilket sammanhang som personen anser att vi hanterar dennes uppgifter. Därifrån kan vi ge vidare information om hur vi ska hantera personens fråga. Det innebär att de personer som vill veta hur deras personuppgifter behandlas hos oss främst kommer att behöver kontakta vår kund, som får kontakta oss. Kunden får sedan förse personen med vilka uppgifter som behandlas hos oss för deras ändamål. Detta är ett sätt att säkerställa att vi lämnar ut information till rätt person.

”Generell information om vilka personuppgifter vi hanterar när vi behandlar personuppgifter för våra kunders ändamål eller egna ändamål kommer också att publiceras på vår hemsida framöver. I samband med att vi upprättar personuppgiftsbiträdesavtal med våra kunder så informeras kunderna om vilka underbiträden vi anlitar och de anger vilka företag vi delar/ger åtkomst till personuppgifterna.”

2. ”Även här agerar vi främst personuppgiftsbiträde åt våra kunder och agerar utifrån avtal. Securitas Sverige har dock både automatiserade och manuella processer för att hantera och ta bort personuppgifter som inte längre är relevanta för ändamålet. Till exempel kan nämnas att protokoll, bilder och ärenden raderas automatiskt efter tidsbestämda intervaller samt att vi har processer och rutiner för att säkerställa att material inte lämnas ut till obehöriga. Vissa personuppgifter, främst avtalsrelaterade kontaktuppgifter behöver vi behålla under en tid och kan inte 'glömmas bort' för att vi ska sköta våra åtagande till exempel mot Skatteverket.

Om en privatperson vill veta mera om hur Securitas Sverige behandlar personuppgifter så kommer det att finnas information och kontaktvägar på www.securitas.se/GDPR.”

Peter Ottsjö

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt