Frågor och svar

Vad är dataskydd?

Dataskydd, eller ”skydd av personuppgifter”, är en mänsklig rättighet i Europeiska unionen. Det är en samling administrativa och formella krav på hur personuppgifter behandlas. Syftet med skyddet är att ge individen förutsättningar att utöva sin rätt till privatliv. Dataskyddslagstiftningen garanterar transparens, insyn och valfrihet kring vem man blir påverkad av och på vilket sätt och på vilka villkor denna påverkan äger rum.

Från och med 2018 kommer en ny lag om dataskydd för EU, som kommer vara likadan i hela EU. Fram tills 2018 gäller personuppgiftslagen, en svensk lag som stiftades till följd av EU:s tidigare dataskyddslagstiftning från 1995.

Vad är ”beteendekartläggning” och ”profilering”?

Beteendekartläggning är när man tittar på hur en viss person, eller grupp av personer, typiskt beter sig. Till exempel att de ofta besöker vissa undersidor, behöver slå upp vissa ord i en ordbok eller att de hamnat på webbplatsen genom att använda någon särskild sökmotor. Beteendekartläggning används för att förutsäga vad olika kategorier av människor kan antas tycka är intressant, svårt eller lustigt.

Profilering är när man använder beteendekartläggning för att sortera in människor i olika grupper. Vanligtvis särbehandlar man sedan den kartlagda gruppen baserat på dess förväntade preferens.

Både profilering och beteendekartläggning är vanligt i reklamindustrin. Det används för att bestämma vilken sorts reklam man får se på olika webbplatser. Till exempel kan småbarnsföräldrar eller personer som känner småbarnsföräldrar i högre utsträckning än andra få se reklam för nappflaskor, barnvagnar eller charterresor. I ökad utsträckning används profilering även för att bestämma vilket tidningsinnehåll man får se när man besöker en dagstidning. Man kan till exempel få korta artiklar om nyfödda barn ifall man står i en kö (och har ont om tid) och samtidigt är i ”rätt ålder” för att gå i barntankar, eller långa artiklar om nyfödda barn ifall man sitter på ett tåg (och därför har mer tid).

Profilering också användas för att utforma politiska åtgärder, till exempel genom att utforma samhällsinformation för särskilda grupper eller områden, eller vidta åtgärder mot eller för en särskild grupp baserat på dess förväntade egenskaper. Denna sorts politiska påverkansarbete kallas för ”nudging”, och kan också användas för att öka acceptansen i olika sociala grupper för vissa typer av åtgärder.

Vad menar ni med att en webbplats ”skvallrar” till tredjeparter?

Skvaller innebär att information om någons beteende, läsning eller preferenser lämnas över till någon annan än den som driver webbplatsen.

På den moderna webben har det blivit vanligt att webbplatser inte drivs från en och samma plats. När man besöker en webbplats på webben kommer man inte bara i kontakt med den som driver webbplatsen, utan även med alla de företag och organisationer som den som driver webbplatsen har samarbeten med. Det kan vara internetleverantörer, skriptleverantörer, typsnittsleverantörer, analysverktyg och en rad andra leverantörer och tjänster. Om den som driver webbplatsen lämnar över uppgifter om en besökare till någon av dessa tredjeparter är det skvaller, eftersom det vanligtvis inte framgår för besökaren att något överlämnande sker.

Det kan till exempel handla om att en webbutik lämnat över uppdraget att profilera besökare till ett reklamföretag, eller att en myndighet byggt sin webbplats så att man automatiskt lämnar information om sitt beteende till ett reklamföretag. Oftast är det reklamföretag som är tredjeparter och mottagare av skvaller.

Vad är den allmänna dataskyddsförordningens principer?

Den allmänna dataskyddsförordningen från EU träder i kraft 25 maj 2018 och handlar om att balansera makten mellan de som påverkar individer (typiskt sett företag och myndigheter) och individerna själva. Dataskydd.net:s webbkoll är ett verktyg för att ta reda på vem som försöker samla in information om enskilda, och vad man kan göra för att hindra osynliga kartläggningar.

Laglighet, korrekthet och öppenhet

Det ska vara tydligt för en enskild vad som gäller vid behandlingar av personuppgifter. (5(1)(a))

På Dataskydd.net:s webbkoll ser vi detta som att privatpersoner ska ha en möjlighet att förstå vilka tredjeparter de ställs i kontakt med genom att besöka en webbplats. Om ett reklamföretag eller något annat företag får del av personuppgifter, och möjlighet att påverka privatpersonen genom den tillgången, ska privatpersonen kunna ta reda på det. Man ska inte behöva ha en Master i Webbutveckling eller använda särskilda tekniska verktyg för att kunna förstå vem som får möjlighet att påverka en själv. Principen om öppenhet är lätt, men vill man inte vara helt transparent finns bestämmelser om vad man inte får låta bli att berätta i förordningens artiklar 13-20.

Det innebär också att privatpersoner ska få reda på när saker går fel: om man har samlat in information om privatpersonen som sedan riskerar att ha läckt, bör enskilda få reda på det. I förordningen heter detta ”information till den registrerade om personuppgiftsincident” och reglerna finns i artikel 34.

Ändamålsbegränsning

Personuppgifter ska samlas in för specifika och angivna syften. Dessa syften ska vara tydliga och begripliga för enskilda. Artikel 13-20. (5(1)(b))

Ändamål med insamlingen är ett ganska vitt begrepp, och kan innefatta allt från marknadsföring till att ”förbättra webben”. På Dataskydd.net:s webbkoll föredrar vi metoder att förbättra webben och webbplatsen som inte kräver datainsamling från enskilda. Därför har vi en massa tips på hur man kan förbättra sin webb i en dataskyddande riktning.

Dataminimering

Man ska inte samla in fler uppgifter än vad som är absolut nödvändigt för ändamålet. (5(1)(c))

Beroende på vilket ändamål man har valt, kan det här innebära olika mängder personuppgifter. Dataskydd.net:s webbkoll gör det enkelt att ta reda på hur man kan låta bli att både samla in och att läcka information om privatpersoner. Vill man ändå samla in personuppgifter i större eller mindre utsträckning, behöver man dels vara öppen med det (individen ska förstå vilka uppgifter som samlas in och varför de är viktiga för ändamålet), och så behöver man förhålla sig till reglerna i dataskyddsförordningens kapitel 4. Baktanken med detta regelverk är att den som vill kartlägga och spåra andra ska behöva tänka igenom varför och på vilket sätt den vill göra detta, så att det inte sker bara för att det går.

Korrekthet

Personuppgifter ska vara stämma överens med verkligheten och uppdateras om de är felaktiga.

Den här principen rör i första hand information som registreras av myndigheter eller företag till exempel i kreditgivningsindustrin. I webbutveckling och marknadsföring är det vanligare att man arbetar med ”luddiga” mängder av personuppgifter, och konsekvensen av att man felklassificeras av sin webbspårare är vanligen inte värre än att man får felaktigt riktad reklam när man rör sig i onlinemiljöer.

Lagringsminimering

Man ska inte spara uppgifter längre än nödvändigt.

Den här rättigheten anknyter till ändamålsbegränsning och dataminimering. Dataskydd.net:s webbkoll gör det enkelt att inte behöva tänka så mycket på den här principen.

Integritet och konfidentialitet

Personuppgifter ska behandlas på ett säkert sätt, både organisatoriskt och tekniskt.

Dataskydd.net:s webbkoll gör det enkelt att se vilka tekniska skyddsåtgärder för dataskydd som finns på plats. Vi har identifierat åtgärder som inte borde kräva några större organisatoriska förändringar: de flesta av våra tips går snabbt att genomföra, och de kostar lite. Vår målsättning är att göra det så enkelt för privatpersoner som möjligt att utöva sina rättigheter, samtidigt som de som bygger webbplatser får enkla tumregler att ge privatpersoner denna möjlighet.

Ansvarsskyldighet

Den som är ansvarig för webbplatsen är ansvarig för att principerna följs.

Eftersom ansvar kan vara en stor börda har Webbkoll ett stort antal rekommendationer för dataskydd som kan gå längre än vad man kan vara juridiskt ansvarig för. Vi vill möjliggöra bästa möjliga skydd med minsta möjliga administrativ börda. En anledning till varför GDPR-reglerna gör att det ter sig byråkratiskt och tråkigt att inte dataminimera är att varje aktör i samhället som vill påverka andra noga måste överväga sättet på vilket de använder sådan makt.