Ratsit och hur de hanterar GDPR

I slutet av september fick vi i uppdrag att begära tillgång av Ratsit AB och MerInfo AB. De här bolagen lever på att samla och sälja personuppgifter, så de är därmed den typen av bolag som ligger lite i riskzonen för att få GDPR-frågor.  

Den här gången var dock första gångerna som regelrätta datahandlare fick frågor från oss. Svaret vi fick från Ratsit var minst sagt intressanta: 

MerInfo svarade inte alls, och verkar vara mer eller mindre omöjliga att få tag på information om. Vilket i sig är ett problem (och lite ironiskt givet deras namn).

 

 

Vad vi kan läsa av Ratsits svar: 

Ratsit säger att de inte svarar på mail med länkar och där de uppmanas göra något. På sätt och vis är detta en vettig policy, phising och annat lär trots allt komma till deras kundtjänstmail först. Genom att inte klicka på länkar skyddar man sig själv mot trojaner och annat som kan finnas bakom länkarna. 

Det är bara det att enskilda måste kunna begära ut information om behandlingar från bolag och att de även har rätt att använda ombud när de begär ut den här informationen. Att inte svara på mail från ombud till privatpersoner innebär då ett direkt brott mot skyldigheten att svara på begäran om information inom en månad från förfrågan. Vilket var exakt det som hände. 

Ratsit ber därefter oss att meddela vår klient att klienten antingen kan logga in på “min Sida” hos ratsit eller ge oss klientens inloggningsuppgifter så att vi kan logga in på klientens “min Sida”. Det är bara det att klienten valt att begära ut information om behandling via oss, och att klienten kanske inte ens har någon “min Sida” hos Ratsit. Ratsit begär således att klienten ska skapa ett konto för att få rätt att begära ut information om behandlingar. Notera även att Ratsit meddelar att klienten kan “ladda ner och radera sina uppgifter” men att det inte står något om behandlingarna som Ratsit använder uppgifterna till eller hur man fått tillgång till uppgifterna.  

Slutligen meddelar Ratsit att vi som ombud kan besöka dem och begära ut information från dem på plats med hjälp av legitimation, registreringsbevis, fullmakt och vidimerad kopia på klientens legitimation. Nu har vi ju istället valt att identifiera klienten via BankID, ett sätt som typiskt sett brukar duga för att identifiera folk digitalt.  

Den enda anledningen som Ratsit egentligen kan ha rent juridiskt att inte lämna ut information om behandling är om de inte visar att de inte är i stånd att identifiera den enskilde. Ratsits uppgift är alltså att bevisa att BankID inte duger som identifikationsmedel i vår allt mer digitaliserade värld.  

I och med att registrerade har rätt att begära information digitalt, så måste även identifikation kunna ske digitalt. Den personuppgiftsansvarige ska dessutom underlätta utövandet av dessa digitala rättigheter. Det är svårt att säga att Ratsit gör det när de gör allt för att försvåra det för oss som ombud att begära ut information om behandling. 

I Ratsits första mail bryter de alltså mot flera punkter i GDPR artikel 12. 

Utgivningsbevis VS GDPR

Ratsit menar även att deras behandling utanför “Min Sida” inte omfattas av GDPR på grund av deras utgivningsbevis. För att utreda om det kan ligga något i det behöver vi först och främst avgöra vad ett utgivningsbevis faktiskt innebär. 

På Myndigheten för Press, Radio och TV (alltså de som utfärdar Utgivningsbevis) framkommer följande avseende utgivningsbevis och dess relation till GDPR: 

“Du [som har utgivningsbevis har] även möjlighet att publicera uppgifter som annars inte skulle vara tillåtet enligt Dataskyddsförordningen (GDPR). Förordningen tillåter att det görs undantag från reglerna om personuppgiftsbehandling för webbplatser med utgivningsbevis för att på så sätt upprätthålla rätten till yttrandefrihet.” 

Utgivningsbeviset ger alltså möjlighet att “publicera uppgifter”.  

I den svenska tilläggslagstiftningen (dataskyddslagen 1:7) framgår följande: 

“EU:s dataskyddsförordning och denna lag ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. 

Artiklarna 5–30 och 35–50 i EU:s dataskyddsförordning samt 2–2 kap. denna lag ska inte tillämpas vid behandling av personuppgifter som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.” 

Konsekvensen är alltså att behandling i form av publicering får godkänt med hänvisning till rätten till yttrandefrihet, men (och det är ett stort men) rättigheter under GDPR begränsas bara om publiceringen har journalistiskt, akademiskt, konstnärligt eller litterärt syfte.  

Det här var även det vi hänvisade till i vår dialog med Ratsit. 

Ratsit svarade dock inte på vilket syfte de har med sin behandling, varför vi måste anta att det i vart fall inte rör sig om journalistik eller något annat som faller utanför GDPR när de sprider uppgifter offentligt. 

Detta är Ratsits svar: 

Ingen information om vad syftet med behandlingen är, enbart att vederbörande ska logga in på “Min sida”. Det som är kruxet här är att Ratsit alltså kräver mer information av privatpersonen för att tillgodose begäran om information, eller närmare bestämt kräver de att vi ska begära mer information av privatpersonen än vi behöver för att identifiera den. Det här kan vi inte göra eftersom det skulle stå i strid med principen om uppgiftsminimering, dessutom är det väldigt uppenbart att Ratsit genomför personuppgiftsbehandlingar utanför det som behandlas på “Min sida”. Jag har inget konto, men finns ändå på Ratsit. Att tvinga mig skapa ett konto för att få ta del av informationen de ska ge mig enligt artikel 15 är därmed ett ganska uppenbart brott mot principen om uppgiftsminimering.  

Jag måste ge dem mer för att få veta vad de redan gör och har.  

Inte direkt så som lagen funkar. Faktum är att NOYB precis nyligen gjort en anmälan med den motiveringen. Grindr och Ratsit har med andra ord något gemensamt i att de glömt bort att läsa vad som står i lagen. 

Slutligen hänvisar Ratsit till att en privatperson har rätt att få registerutdrag genom att man skickar brev till deras leverantör. Fast det är väl ändå Ratsit som publicerar uppgifterna? Och det är väl ändå Ratsit som är personuppgiftsansvarig för behandlingen? Enligt regelverket är det ju då även Ratsit som ska svara på begäran från enskilda. 

Även här hänvisar de till att begäran ska göras analogt, trots skyldigheten att underlätta vid tillgodoseendet av rättigheter samt kravet på digitalt förfarande. Det är även uppseendeväckande att de bara tillåter en person att begära tillgång en gång om året, i lagen finns ingen sådan begränsning, det finns däremot möjlighet att neka en begäran om tillgång om begäran om tillgång är helt ogrundad. Det är den personuppgiftsansvarige som ska visa det, och det finns inget som säger att en välgrundad begäran om tillgång ej skulle kunna göras flera gånger om året. 

Summa summarum så uppfattar vi det som att Ratsit bryter mot lagen. Vi hoppas IMY känner likadant.

Ta gärna och skicka en begäran om tillgång till Ratsits kundtjänst och se vad de svarar, om ni inte är nöjda så anmäl till IMY. Desto fler vi är som påpekar brister i regelefterlevnad dess bättre!

Vi har även anmält Merinfo till IMY för deras brist på tillgänglighet.