Remissyttrande avseende SOU 2016:41 – Hur står det till med den personliga integriteten? En kartläggning av integritetskommittén

Remissyttrande: 10 november 2016

REMISSYTTRANDE

Diarienummer: 2016/898

Justitiedepartementet
Grundlagsenheten
Sara Ahmed
103 33 Stockholm

Konsumentverket begränsar sitt yttrande till att avse de delar av delbetänkandet[1] som berör konsumentförhållanden samt frågor som är av betydelse för Konsumentverkets verksamhet. Verkets övergripande uppfattning är att kartläggningen utgör ett viktigt kunskapsbidrag och en god översikt av hur användandet av informationsteknik påverkar den personliga integriteten inom ett flertal olika områden. Konsumentverket välkomnar därför utredningen.

I yttrandet nedan fokuserar Konsumentverket på tillägg och justeringar till vad som sägs i olika delar av kartläggningen. Författningsförslaget kommenteras sist i yttrandet. Yttrandet följer samma disposition och rubriksättning som betänkandet.

DEL I, Inledning

2.4 Kommitténs riskbedömning (även s. 28 ff.)

I den modell som används för att bedöma integritetsrisken och klassificera denna som "viss", "påtaglig" eller "allvarlig" är det enligt Konsumentverkets uppfattning korrekt att tala om förväntad skada i form av intrång i den personliga integriteten genom att skadans storhet relateras till sannolikheten för att skadan ska inträffa. Bägge variablerna kan dock utgöra felkällor. Om dessa uppskattas felaktigt blir därmed också resultatet, klassificeringen av risken, felaktig. Mot den bakgrunden behöver en bedömning göras av om de resonemang som föregår varje klassificering är trovärdiga och överens-stämmande med den riskklass som slutligen väljs.

Konsumentverkets bedömning är att utredningen för övertygande resonemang och att riskerna klassificeras i enlighet med de resonemang som har förts. Eftersom modellen dock inte ger klart besked om hur viktningen mer precist ska göras kan det dock vara svårt att helt följa varför den ena eller andra riskklassen väljs. Ett exempel är kapitel 15 respektive 16 där risken bedöms som "allvarlig" vid kreditupplysningsföretags verksamhet, men som "påtaglig" vad gäller kreditprövning (avsnitt 15.5 jämfört med 16.5).

DEL II, Kommitténs sammantagna bedömning m.m.

Konsumentverket delar utredningens sammantagna bedömning att den digitala utvecklingen generellt innebär långtgående konsekvenser och stegvisa försämringar av den personliga integriteten. Vid sidan av integritetsfrågan påverkar även digitaliseringen rollen som konsument och aktualiserar behovet av konsumentskydd. Särskilt allvarlig är utvecklingen eftersom konsumenters kunskap och insyn är starkt begränsade vilket gör det svårt för konsumenter att veta vad de har att förhålla sig till och därmed kunna fatta välgrundade beslut.

Istället för att kommentera vart och ett av områdena som övergripande beskrivs i del II (avsnitt 3.7), lämnar Konsumentverket sina kommentarer i anslutning till respektive relevant kapitel i Del III. Nedan berörs, inom ramen del II, endast frågan om tillsyn.

3.3.5. Otillräcklig tillsyn (även avsnitt 3.7.6)

Av avsnitt 3.3.5 framgår att tillsynen bedöms som otillräcklig, vilket är ett normativt uttalande, dock utan att utredningen utvecklar vad som skulle vara att anse som "tillräcklig" tillsyn. Konsumentverket delar emellertid slutsatsen att den snabba teknikutvecklingen talar för att Datainspektionens uppdrag, som har varit oförändrat under lång tid, bör utökas för att följa, analysera och rapportera denna utveckling och att resurser bör tilldelas för uppdraget.

I samma avsnitt nämns i fjärde stycket Konsumentverket och det sägs att "(...) Likaså har inte användarvillkoren för sociala medier ännu granskats av Konsumentverket". Användarvillkor för sociala medier har granskats av Konsumententverket men däremot inte ur ett integritetsperspektiv då det är Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter. Konsumentverket kan förvisso tillämpa avtalsvillkorslagen (1994:1512), AVLK, på oskäliga avtalsvillkor i allmänhet med hänvisning till lagstridighetsprincipen alternativt marknadsföringslagen (2008:486), MFL, när insamlande personuppgifter används för att skicka marknadsföring (spam). Det primära tillsynsansvaret är dock Datainspektionens och ett ingripande av Konsumentverket skulle därför som regel föregås av samråd myndigheterna emellan.

6.7.3 Övriga tillsynsmyndigheter

I beskrivningen av Konsumentverkets tillsynsansvar nämns endast AVLK samt KO:s sanktionsmöjligheter. Denna beskrivning uppfattar Konsumentverket som alltför kortfattad och tillägg görs nedan i anslutning till kapitel 12 (om konsumentområdet) samt 14 (om försäkringsområdet).

DEL III, Riskbedömning av olika områden och företeelser

12 Konsumentområdet

Konsumentverket delar utredningens bedömning att det finns allvarliga integritetsrisker på konsumentområdet. Integritetskommitténs kartläggning kan även vara värdefull för den nyligen initierade utredningen "Ett reklamlandskap i förändring" (Dir. 2016/84).

Det är oklart för konsumenter hur personliga uppgifter samlas in, behandlas och används. Användandet av personliga uppgifter handlar inte bara om personlig integritet, utan har även blivit en allt viktigare konsumentfråga. När konsumenter byter personliga uppgifter mot olika tjänster blir de personliga uppgifterna en handelsvara som i viss utsträckning ersätter pengar. Det gör det svårare att jämföra de verkliga kostnaderna för tjänsterna. Det blir också svårare att bedöma om värdet av vad man lämnar ifrån sig speglar värdet av det man får. Precis som vid betalning i kronor, bör konsumenter få tydlig prisinformation när det är personlig information som utgör ersättningen.

Konsumentverket delar även utredningens bedömning av det urvattnade samtycket och att informationen inte sällan är bristfällig. Ett exempel är att det enligt avtalsvillkoren för olika tjänster är mycket svårbedömt hur informationen kan komma att spridas och användas av tredje män: "Dina uppgifter kan komma att användas för marknadsföringsändamål och även delas till bolag inom koncernen samt till seriösa samarbetspartners".

Vid sidan av informationens utformning och omfattning kan även ett begränsat läsutrymme, exempelvis vid användande av läsplatta eller mobiltelefon, göra det svårare för konsumenten att ta till sig informationen. Även tidpunkten för informationsgivningen är viktig för hur informationen tas emot av konsumenten. I regel ges informationen i anslutning till ibruktagandet av tjänsten och konsumenten vill i detta läge sannolikt komma igång med användandet snarare än att läsa villkor. Det grundläggande antagandet om rationellt beteende är också kritiskt för att transparens och information ska bidra till ett gott konsumentskydd. Tillgång till information hjälper inte den konsument som saknar förmåga och intresse av att ta till sig och agera på den.

Sammanfattningsvis är Konsumentverkets bedömning att behovet är stort av att uppnå balans mellan skydd för konsumenterna och de möjligheter som digitaliseringen innebär.

12.1.3 Regelverk och tillsyn

Utredningen innehåller en lista på de författningar som styr hantering av personuppgifter avseende handel och marknadsföring och Konsumentverket anges som tillsynsmyndighet när det gäller hantering av personuppgifter i konsumentsammanhang. Enligt Konsumentverkets uppfattning bör vid sidan av AVLK även MFL framhållas. Den senare lagstiftningen är central när det gäller integritet och marknadsföring, vilket har berörts ovan i avsnitt 3.3.5.

13 Sociala medier och e-post

13.1.9 Användarvillkor respektive 13.3 Det skyddande regelverket

I rubricerat avsnitt nämns bland annat att villkoren är långa och krångligt skrivna och att risken finns att unga idag publicerar uppgifter som de i framtiden kan komma att ångra. Villkoren ger mycket fria händer åt det sociala mediet att använda sig av uppgifterna för egna ändamål.

Dessa iakttagelser överensstämmer med Konsumentverkets erfarenheter. I utredningen står det att det inte finns några rekommendationer om sociala mediers avtalsvillkor om personuppgifter från det svenska Konsumentverket. I det sammanhanget kan dock nämnas att Konsumentverket har tagit fram en vägledning vad beträffar marknadsföring i bloggar och andra sociala medier, vilket ligger under myndighetens tillsynsansvar (jämför även avsnitt 3.3.5 ovan). Vidare har KO drivit ett ärende till Marknadsdomstolen gällande just frågan om omfattande och komplicerade användarvillkor riktade mot unga (nätverkssajten Habbo Hotel, Sulake Sverige AB). Domstolen ansåg emellertid att enbart villkorens komplexitet inte var tillräckligt för att bifalla KO:s talan om att sådana användarvillkor skulle förbjudas (MD 2013:9).

Slutligen har Konsumentverket noterat att det finns villkor och policys för appar som har skrivits med ett enklare språk. Att ett enklare språk används är naturligtvis positivt från konsumentsynpunkt, men villkoren är fortfarande omfattande och att de är skrivna med ett enklare språk kan även göra att de upplevs som mindre ingripande trots att användandet innebär att konsumenten delar med sig av åtskillig, även integritetskänslig, information.

Kap. 14 Försäkringsverksamhet

Konsumentverket delar utredningens bedömning att försäkringsbranschens utveckling behöver följas och att riskerna kan klassificeras som "allvarliga" för den personliga integriteten.

14.1.4 Tillsyn m.m.

Till avsnittet kan tilläggas att tillsynen på försäkringsområdet berör även Konsumentverkets ansvarsområde. Konsumentverket bedriver tillsyn över bestämmelserna om information i 2 respektive 10 kap. försäkringsavtalslagen (2005:104), FAL, motsvarande bestämmelser om gruppförsäkringar i 17 respektive 19 kapitlet samma lag samt 6 kapitlet lag (2005:405) om försäkringsförmedling, LFF. Utöver dessa informationsbestämmelser bedriver Konsumentverket också tillsyn av marknadsföring av försäkringsprodukter samt över att försäkringsföretagens avtalsvillkor inte är oskäliga enligt AVLK.

14.3.4 Inhämtning av uppgifter om hälsa

Generella samtycken har kommenterats ovan under kap. 12 om konsumentområdet. I försäkringssammanhang kan även inskjutas att 11 kap. 1a § FAL noggrannare har reglerat frågan samt att försäkringsföretagens syn på den egna tillämpningen berörs i den aktuella utredningen "Rätten till en personförsäkring" (SOU 2016:37, s. 280 ff.).

Kap. 15 Bank- och kreditmarknad

Konsumentverket håller med utredningen i att användningen av kreditkort och andra digitala transaktioner kan innebära allvarliga risker för den personliga integriteten.

15.3.3 Risker för den personliga integriteten

Bankappar och internetbank

Konsumentverket har särskilt noterat och följer framväxten av så kallade betalningsinitierings- och kontoinformationstjänster. Genom att tjänsterna kopplas till konsumentens internetbank kan betalningar genomföras och konsumenter kan få överblick över sin privatekonomi. Kreditgivare kan även ges underlag till kreditprövningar. Av uppenbara skäl hanterar tjänsterna detaljerad och känslig information om konsumenters ekonomiska förhållanden, exempelvis vilken typ av inköp som har gjorts under en viss period. Konsumentverket kan dock inte med säkerhet bedöma om denna typ av nyare tjänster är desamma som avses under utredningens rubrik "Bankappar och internetbank" på s. 424 f.

Identitetsstölder och bedrägerier

På s. 426 i utredningen nämns vad som åtminstone initialt kom att kallas SMS-lån. Begreppet är rätt använt i sitt sammanhang, det vill säga för att avse krediter som uteslutande söks genom SMS och för vilka personnummer är tillräckligt. Dessa krediter är dock enligt Konsumentverkets uppfattning betydligt ovanligare idag och Konsumentverket använder för att bättre spegla marknadsutvecklingen istället benämningen "snabblån".

Förekomsten av identitetsstölder har medfört att en marknad för försäkringsskydd mot dessa risker har vuxit fram (se kapitel 14 ovan om försäkringsmarknaden). På denna marknad har fler aktörer tillträtt sedan försäkringsskyddet började införas i hemförsäkringarna med start 2014. I detta sammanhang kan inskjutas att Konsumentverket under våren 2016 granskade marknadsföring, förköpsinformation och avtalsvillkor för ID-skyddsförsäkringar (se Konsumentverkets Dnr 2016/366).

DEL V – Kommitténs förslag

24.5 Kommitténs överväganden och förslag

Konsumentverket bedömer det som positivt att Datainspektionen genom ändringen i förordningen (2007:975) med instruktion för myndigheten ges ett utökat uppdrag att följa, analysera och årligen redovisa utvecklingen på området.

Konsumentverket delar även Integritetskommitténs bedömning i avsnitt 24.5.6 att "Ett uppdrag att följa och beskriva utvecklingen på området ställer höga krav särskilt med hänsyn till utvecklingens uppskruvade hastighet." Mot den bakgrunden, samt att det i utredningen anges att tillsynen har varit otillräcklig och resurserna begränsade, är det angeläget att tillräckliga resurser tilldelas för uppdraget.

_________________________

Detta yttrande har beslutats av Stf generaldirektör Ivar Rönnbäck. I den slutliga handläggningen har också verksjuristen Elin Söderlind, juristen Cecilia Norlander, juristen Erik Fröcklin och föredragande juristen Joel Westerlund deltagit.

..........................................................

Ivar Rönnbäck
Beslutande

Joel Westerlund
Föredragande

[1] I yttrandet används även begreppen "betänkandet", "utredningen" och "kartläggningen" i synonym betydelse.