Lågt skydd för konsumenter som vill stärka sin säkerhet

Hej igen Amelia


Om besöksinformationen på något vis kan knytas till en viss besökare är det personuppgifter. Nedan utgås från att så är fallet.

Ifall den insamlingsmetod som används inte omfattas av LEK 6:18 ska personuppgiftslagen tillämpas. Personuppgiftslagen gäller också när insamlade uppgifter sammanställs eller på annat sätt vidarebehandlas, oavsett med vilken metod de samlades in. Do not track (DNT) kan ha viss betydelse när personuppgiftslagen tillämpas.

För att insamling ska kunna ske med stöd av samtycke (10 § personuppgiftslagen) krävs att den registrerade i förväg informerats om behandlingen. Samtycket kan inte heller vara generellt utan måste avse en särskild behandling. Det är alltså tveksamt om DNT=0 (ok att spåra) kan utgöra ett samtycke.

Personuppgiftslagen ger ingen absolut rätt för den registrerade att vägra behandling. DNT=1 (spåra inte) har dock betydelse om insamlingen sker med stöd av en intresseavvägning (10 § punkten f). Om den registrerade motsätter sig insamling bör den personuppgiftsansvariges intresse av att ändå behandla uppgifterna endast i undantagsfall väga över. Detsamma bör gälla om den registrerade på annat sätt försökt blockera insamlingen av uppgifter.

Du kan läsa mer om intresseavvägning här: http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/intresseavvagning/

Vänliga hälsningar

Markus Lind
Jurist, Datainspektionen
http://www.datainspektionen.se/

-----Ursprungligt meddelande-----
Från: Amelia Andersdotter
Skickat: den 22 februari 2016 16:05
Till: DI Registrator
Ämne: Fwd: SV: Fråga om webbläsarplugin

Hej Datainspektionen,

Vi har tidigare korresponderat enligt nedan.

Om insamlingen av besöksinformation i kartläggningssyfte inte använder
metoder som omfattas av 6 kap. 18 § lagen om elektronisk kommunikation,
och användaren har satt en Do Not Track-flagga i sin webbläsare för att
tydligt indikera sina preferenser (dvs sitt samtycke) faller det då
under Datainspektionens tillsyn? Och mer relevant: får ett
internetföretag kringgå användarens meningsyttring i dessa fall?

Jag har haft kontakt med PTS om deras pågående tillsyn av den
indikerade bestämmelsen, och de menar att allt mer insamling av
besöksinformation i kartläggningssyfte genomförs med andra metoder än
de som avses i 6 kap.
18 § lagen om elektronisk kommunikation. De har alltså motsatt syn som
ni verkar ha på den tekniska utvecklingen. :-/

vänliga hälsningar,

Amelia

-------- Forwarded Message --------
Subject:  SV: Fråga om webbläsarplugin
Date:   Mon, 22 Feb 2016 13:59:07 +0000
From:   Upplysningstjänsten <no-reply@datainspektionen.se>
To:   Amelia Andersdotter

Hej Amelia

Jag förstår inte på vilket sätt du menar att reklamspärren kringgås
vilket sannolikt är avgörande för om någon och i så fall vilken
reglering som är tillämplig. Om det inte sker någon
personuppgiftsbehandling, vilket inte tycks vara fallet i vart fall i
detta skede, är frågan dock utanför Datainspektionens område.

Insamling av besöksinformation i kartläggningssyfte använder normalt
metoder som omfattas av 6 kap. 18 § lagen om elektronisk kommunikation
och hamnar därför under PTS tillsyn.

Vänliga hälsningar

Markus Lind
Jurist, Datainspektionen
http://www.datainspektionen.se/

-----Ursprungligt meddelande-----
Från: Amelia Andersdotter
Skickat: den 18 februari 2016 14:57
Till: DI Registrator
Ämne: Fråga om webbläsarplugin

Hej Datainspektionen,

Om jag har installerat ett webbläsarplugin i min dator som ökar
säkerheten i min dator genom att t ex blockera vissa skript eller
requests, och jag är en slutkonsument, finns det några regler som
skyddar mig mot att privata företag utvecklar tekniska åtgärder för
att kringgå mitt plug-in utan min vetskap?

Jag tänker t ex på reklamföretag som arbetar sig runt tekniska
spärrmekanismer för reklam som slutanvändare själva installerat på

sin

terminalutrustning (alltså när det blir ett direkt teknikkrig mellan
de leverantörer som försöker hjälpa privatpersoner att inte bli
kartlagda och få reklam och de företag som vill leverera reklam

oavsett).

Jag undrar också ifall de reglerna skulle vara tillämpliga på

åtgärder

jag vidtar som slutkonsument för att t ex inte bli spårad (exempelvis
genom att indikera Do Not Track-flaggan i min webbläsare), och vad

jag

har för rättigheter att ta reda på om företag ägnar sig åt det här.
Måste jag t ex kunna visa att specifikt jag själv blivit utsatt för

en

kringgåendemanöver eller kan jag få information från ett företag så
länge det finns en risk att jag är drabbad av att de kringgår

tekniska

säkerhetsåtgärder jag vidtagit?

vänliga hälsningar,

Amelia

Hej Amelia!

Jag tror att din fråga spänner över fler rättsområden än de som PTS har tillsyn
över.

Om den "tekniska åtgärd" som du hänvisar till innebär att information läses från
eller skrivs till din dator/webbläsare så är "cookie-regeln" (6 kap. 18 § LEK)
tillämplig, vilket innebär ett krav på information och samtycke.

Annars är det nog närmast marknadsföringsregler som skulle kunna komma i fråga.
Jag föreslår att du kontaktar Konsumentverket för att höra vad som gäller.

Hälsningar
Staffan Lindmark

Hej Amelia,
MSB har till uppdrag att stödja och samordna samhällets informationssäkerhet och för det fall att företeelsen som sådan skulle ha en inverkan på denna så faller det då inom MSB verksamhetsområde. MSB arbetar inte med hur företag framställer eller skickar reklam/budskap till konsument.  Den frågeställning du har tangerar att ligga närmast Datainspektionens område, dvs var går gränsen för användarens tekniska åtgärder utan att dessa gör någon typ av olovligt intrång i användarens skydd.

Som jag förstår det är det inte fråga om att göra någon typ av intrång eller påverkan på mjukvara eller information som finns hos konsument. Frågan är helt enkelt om det är tillåtet att skicka information som kringgår de filter, typ Adblock, som konsumenten använder för att slippa se visst budskap. Man skulle kunna tillämpa samma resonemang på spam. Dvs skulle det vara förbjudet att försöka skicka epost som tar sig igenom mottagarens spamfilter och såvitt jag ser det finns det ingen lagstiftning alls som idag förbjuder detta. Är frågeställningen som beskriven ovan så faller det inte inom MSBs verksamhetsområde.

Med vänlig hälsning

Ingela D Hellström
Senior handläggare

Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet
Myndigheten för samhällsskydd och beredskap
Postadress: 651 81 Karlstad
Besöksadress: Fleminggatan 14, Stockholm
Tel växel: 0771-240 240
Tel direkt: 010-240 42 68
Mobil: 072-233 62 81
E-post: ingela.d.hellstrom@msb.se 

www.msb.se

-----Ursprungligt meddelande-----
Från: Amelia Andersdotter
Skickat: den 25 februari 2016 13:18
Till: Darhammar Hellström Ingela
Kopia: MSB Registratur
Ämne: Re: Fråga om it-säkerhet. Dokid 323373

Hej Ingela,

Tack för ditt svar, och för din sammanställning av kontaktuppgifter till andra svenska myndigheter som arbetar med konsument-, dataskydds- och marknadsföringsfrågor.

Min frågeställning rörde inte under vilka omständigheter marknadsföring är tillåtet, eller under vilka omständigheter personuppgiftsbehandling är tillåtet, utan i vilken utsträckning företag har tillstånd att kringgå säkerhetsåtgärder som en slutanvändare vidtagit på sin egen dator? Jag har inte heller förstått vilka delar av frågeställningen som ligger inom MSB:s verkningsområde?

vänliga hälsningar,

Amelia Andersdotter

On 02/25/16 10:22, Darhammar Hellström Ingela wrote:

Hej Amelia,
du har ställt fråga till Myndigheten för samhällsskydd och beredskap (MSB) ang. om it-säkerhet och vilka regler som gäller för reklamföretag gentemot slutkonsumenter. MSB har till uppgift att utveckla samhällets förmåga att förebygga och hantera olyckor och kriser. Inom informationssäkerhet har MSB i uppgift att samordna arbetet med samhällets informationssäkerhet. Din frågeställning berör flera rättsområden och har därför många infallsvinklar som delvis faller utanför MSBs verkningsområde.  Jag kommer därför i förekommande fall hänvisa till andra myndigheter som kan lämna svar inom de områdena.


När det gäller legalt skydd att kringgå kryptografiska funktioner omfattas det av upphovsrättsliga regler och oss veterligt finns det inte på motsvarande sätt inom andra områden.

Marknadsföringslagen är tillämplig när det gäller reklam. Här är Konsumentverket tillsynsmyndighet och har bland annat ansvar för att granska företags marknadsföring och reklam så att den inte är vilseledande eller på andra sätt otillbörlig. De lämnar också oberoende vägledning till konsumenter.

Konsumentverkets kontaktuppgifter:
webbsida: www.konsumentverket.se<http://www.konsumentverket.se>
Konsumentverket/KO
Box 48, 651 02 Karlstad
Tage Erlandergatan 8A
Tel: 0771-42 33 00
konsumentverket@konsumentverket.se<mailto:konsumentverket@konsumentver
ket.se>

Regler för enskilds integritet finns lagen om elektronisk kommunikation och är tillämpbar om exempelvis reklamföretaget har köpt/nyttjar tjänst via en teleoperatör. När det gäller området för elektroniska kommunikationer är Post- och telestyrelsen tillsynsmyndighet och har bland annat till uppgift att främja tillgången till säkra och effektiva elektroniska kommunikationer.

PTS kontaktuppgifter:
Webbsida: www.pts.se<http://www.pts.se>
Postadress: PTS, Box 5398, 102 49 Stockholm Telefon vxl:  08-678 55 00
e-post: PTS@pts.se

När det gäller insamling och behandling av personuppgifter, vilket ip-adresser omfattas av, så är Datainspektionen tillsynsmyndighet. Datainspektionen arbetar för att säkra den enskilda individens rätt till integritet i samhället och genom sin tillsynsverksamhet verkar de för att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet.

Datainspektionens kontaktuppgifter:
webbsida: www.datainspektionen.se<http://www.datainspektionen.se>
Telefon: 08-657 61 00
E-post: datainspektionen@datainspektionen.se
Fax: 08-652 86 52
Datainspektionen
Box 8114
104 20 Stockholm

Med vänlig hälsning

Ingela D Hellström
Senior handläggare informationssäkerhet

Verksamheten för samhällets informations- och cybersäkerhet
Myndigheten för samhällsskydd och beredskap
Postadress: 651 81 Karlstad
Besöksadress: Fleminggatan 14, Stockholm Tel växel: 0771-240 240 Tel
direkt: 010-240 42 68
Mobil: 072-233 62 81
E-post: ingela.d.hellstrom@msb.se

www.msb.se<http://www.msb.se>

—–Ursprungligt meddelande—–
Från: Amelia Andersdotter
Skickat: den 18 februari 2016 14:49
Till: MSB Registratur
Ämne: Dokid 323373 Fråga om IT-säkerhet

Hej MSB,

Om jag har installerat ett webbläsarplugin i min dator som ökar säkerheten i min dator genom att t ex blockera vissa skript eller requests, och jag är en slutkonsument, finns det några regler som skyddar mig mot att privata företag utvecklar tekniska åtgärder för att kringgå mitt plug-in utan min vetskap?

Jag tänker t ex på reklamföretag som arbetar sig runt tekniska spärrmekanismer för reklam som slutanvändare själva installerat på sin terminalutrustning.

vänliga hälsningar,

Amelia

Hej Amelia,


Det finns idag inga sådana regler, men för mer info om detta ber vi dig kontakta IAB, Interactive Advertising Bureau, som är den ledande världsorganisationen för onlinemarknadsföring: http://iabsverige.se/.

Med vänlig hälsning

Jessica Modig
kommunikatör

Jungfrugatan 10
114 44 Stockholm
08-662 05 50
j.modig@reklamombudsmannen.org
www.reklamombudsmannen.org

—–Ursprungligt meddelande—–
Från: Amelia Andersdotter
Skickat: den 18 februari 2016 14:52
Till: RO
Ämne: Fråga om webbläsarplugin

Hej reklamombudsmannen,

Om jag har installerat ett webbläsarplugin i min dator som ökar säkerheten i min dator genom att t ex blockera vissa skript eller requests, och jag är en slutkonsument, finns det några regler som skyddar mig mot att privata företag utvecklar tekniska åtgärder för att kringgå mitt plug-in utan min vetskap?

Jag tänker t ex på reklamföretag som arbetar sig runt tekniska spärrmekanismer för reklam som slutanvändare själva installerat på sin terminalutrustning.

vänliga hälsningar,

Amelia