{"id":2504,"date":"2021-11-17T10:58:22","date_gmt":"2021-11-17T08:58:22","guid":{"rendered":"https:\/\/www.gdprbuddy.eu\/ratsit-och-hur-de-svarar-pa-begaran-om-tillgang\/"},"modified":"2022-04-22T14:12:00","modified_gmt":"2022-04-22T13:12:00","slug":"ratsit-och-hur-de-svarar-pa-begaran-om-tillgang","status":"publish","type":"post","link":"https:\/\/www.gdprbuddy.eu\/en\/ratsit-och-hur-de-svarar-pa-begaran-om-tillgang\/","title":{"rendered":"Ratsit och hur de svarar p\u00e5 beg\u00e4ran om tillg\u00e5ng"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Ratsit och hur de hanterar GDPR<\/h3>

I slutet av september fick vi i uppdrag att beg\u00e4ra tillg\u00e5ng av\u00a0Ratsit\u00a0AB och\u00a0MerInfo\u00a0AB.\u00a0De\u00a0h\u00e4r\u00a0bolagen lever p\u00e5 att samla och s\u00e4lja personuppgifter, s\u00e5 de \u00e4r d\u00e4rmed den typen av bolag som ligger lite i riskzonen f\u00f6r att f\u00e5 GDPR-fr\u00e5gor.\u00a0<\/span>\u00a0<\/span><\/p>

Den h\u00e4r g\u00e5ngen var dock f\u00f6rsta g\u00e5ngerna som regelr\u00e4tta datahandlare fick fr\u00e5gor fr\u00e5n oss. Svaret vi fick fr\u00e5n Ratsit var minst sagt intressanta:<\/span>\u00a0<\/span><\/p>

\"\"<\/p>

MerInfo svarade inte alls, och verkar vara mer eller mindre om\u00f6jliga att f\u00e5 tag p\u00e5 information om. Vilket i sig \u00e4r ett problem (och lite ironiskt givet deras namn).
<\/span><\/p>

\u00a0<\/span><\/p>

\u00a0<\/span><\/p>

Vad vi kan l\u00e4sa av Ratsits svar:<\/span><\/b>\u00a0<\/span><\/h2>

Ratsit\u00a0s\u00e4ger att de inte svarar p\u00e5 mail med l\u00e4nkar och d\u00e4r de uppmanas g\u00f6ra n\u00e5got.\u00a0P\u00e5 s\u00e4tt och vis \u00e4r detta en vettig policy,\u00a0phising\u00a0och annat l\u00e4r trots allt komma till deras kundtj\u00e4nstmail f\u00f6rst. Genom att inte klicka p\u00e5 l\u00e4nkar skyddar man sig sj\u00e4lv\u00a0mot trojaner och annat som kan finnas bakom l\u00e4nkarna.<\/span>\u00a0<\/span><\/p>

Det \u00e4r bara det att enskilda m\u00e5ste kunna beg\u00e4ra ut information om behandlingar fr\u00e5n bolag och att de \u00e4ven har r\u00e4tt att anv\u00e4nda ombud n\u00e4r de beg\u00e4r ut den h\u00e4r informationen.\u00a0Att inte svara p\u00e5 mail fr\u00e5n ombud till privatpersoner inneb\u00e4r d\u00e5\u00a0ett direkt brott mot skyldigheten att svara p\u00e5 beg\u00e4ran om information inom en m\u00e5nad fr\u00e5n f\u00f6rfr\u00e5gan. Vilket var exakt det som h\u00e4nde.<\/span>\u00a0<\/span><\/p>

Ratsit ber d\u00e4refter oss att meddela v\u00e5r klient att klienten antingen kan logga in p\u00e5 \u201cmin Sida\u201d hos ratsit eller ge oss klientens inloggningsuppgifter s\u00e5 att vi kan logga in p\u00e5 klientens \u201cmin Sida\u201d. Det \u00e4r bara det att klienten valt att beg\u00e4ra ut information om behandling via oss, och att klienten kanske inte ens har n\u00e5gon \u201cmin Sida\u201d hos Ratsit. Ratsit beg\u00e4r s\u00e5ledes att klienten ska skapa ett konto f\u00f6r att f\u00e5 r\u00e4tt att beg\u00e4ra ut information om behandlingar. Notera \u00e4ven att Ratsit meddelar att klienten kan \u201cladda ner och radera sina uppgifter\u201d men att det inte st\u00e5r n\u00e5got om behandlingarna som Ratsit anv\u00e4nder uppgifterna till eller hur man f\u00e5tt tillg\u00e5ng till uppgifterna. <\/span>\u00a0<\/span><\/p>

Slutligen meddelar Ratsit att vi som ombud kan bes\u00f6ka dem och beg\u00e4ra ut information fr\u00e5n dem p\u00e5 plats med hj\u00e4lp av legitimation, registreringsbevis, fullmakt och vidimerad kopia p\u00e5 klientens legitimation. Nu har vi ju ist\u00e4llet valt att identifiera klienten via BankID, ett s\u00e4tt som typiskt sett brukar duga f\u00f6r att identifiera folk digitalt. <\/span>\u00a0<\/span><\/p>

Den enda anledningen som\u00a0Ratsit\u00a0egentligen kan ha rent juridiskt att inte l\u00e4mna ut information om behandling \u00e4r om de\u00a0inte visar att de inte \u00e4r i st\u00e5nd att identifiera den enskilde.\u00a0Ratsits\u00a0uppgift \u00e4r allts\u00e5 att bevisa att\u00a0BankID\u00a0inte duger som\u00a0identifikationsmedel i v\u00e5r allt mer digitaliserade v\u00e4rld.\u00a0<\/span>\u00a0<\/span><\/p>

I och med att re<\/span>gistrerade har r\u00e4tt att beg\u00e4ra information digitalt, s\u00e5 m\u00e5ste \u00e4ven identifikation kunna ske digitalt. Den personuppgiftsansvarige ska\u00a0dessutom\u00a0underl\u00e4tta ut\u00f6vandet av\u00a0dessa digitala\u00a0r\u00e4ttigheter.\u00a0Det \u00e4r sv\u00e5rt att s\u00e4ga att\u00a0Ratsit\u00a0g\u00f6r det n\u00e4r de g\u00f6r allt f\u00f6r att f\u00f6rsv\u00e5ra det f\u00f6r oss som ombud att beg\u00e4ra ut information om behandling.<\/span>\u00a0<\/span><\/p>

I\u00a0Ratsits\u00a0f\u00f6rsta mail bryter de allts\u00e5 mot flera punkter i GDPR artikel 12.<\/span>\u00a0<\/span><\/p>

Utgivningsbevis VS GDPR<\/h2>

Ratsit\u00a0menar \u00e4ven att deras behandling utanf\u00f6r \u201cMin Sida\u201d inte omfattas av GDPR p\u00e5 grund av deras utgivningsbevis.\u00a0F\u00f6r att utreda om det kan ligga n\u00e5got i det beh\u00f6ver vi f\u00f6rst och fr\u00e4mst avg\u00f6ra vad ett utgivningsbevis faktiskt inneb\u00e4r.<\/span>\u00a0<\/span><\/p>

P\u00e5 Myndigheten f\u00f6r Press, Radio och TV (allts\u00e5 de som utf\u00e4rdar Utgivningsbevis) framkommer f\u00f6ljande avseende utgivningsbevis och dess relation till GDPR:<\/span>\u00a0<\/span><\/p>

\u201cDu [som har utgivningsbevis har] \u00e4ven m\u00f6jlighet att publicera uppgifter som annars inte skulle vara till\u00e5tet enligt Dataskyddsf\u00f6rordningen (GDPR). F\u00f6rordningen till\u00e5ter att det g\u00f6rs undantag fr\u00e5n reglerna om personuppgiftsbehandling f\u00f6r webbplatser med utgivningsbevis f\u00f6r att p\u00e5 s\u00e5 s\u00e4tt uppr\u00e4tth\u00e5lla r\u00e4tten till yttrandefrihet.\u201d<\/span>\u00a0<\/span><\/p>

Utgivningsbeviset ger allts\u00e5 m\u00f6jlighet att \u201cpublicera uppgifter\u201d.\u00a0<\/span>\u00a0<\/span><\/p>

I den svenska\u00a0till\u00e4ggslagstiftningen\u00a0(dataskyddslagen 1:7)\u00a0framg\u00e5r f\u00f6ljande:<\/span>\u00a0<\/span><\/p>

\u201cEU:s dataskyddsf\u00f6rordning och denna lag ska inte till\u00e4mpas i den utstr\u00e4ckning det skulle strida mot\u00a0<\/span>tryckfrihetsf\u00f6rordningen<\/span><\/a>\u00a0eller\u00a0<\/span>yttrandefrihetsgrundlagen<\/span><\/a>.<\/span>\u00a0<\/span><\/p>

Artiklarna 5\u201330 och 35\u201350 i EU:s dataskyddsf\u00f6rordning samt 2\u20132 kap.<\/span> denna lag ska inte till\u00e4mpas vid behandling av personuppgifter som sker f\u00f6r journalistiska \u00e4ndam\u00e5l eller f\u00f6r akademiskt, konstn\u00e4rligt eller litter\u00e4rt skapande.\u201d<\/span>\u00a0<\/span><\/p>

Konsekvensen \u00e4r allts\u00e5 att behandling i form av publicering f\u00e5r godk\u00e4nt med h\u00e4nvisning till r\u00e4tten till yttrandefrihet, men (och det \u00e4r ett stort men) r\u00e4ttigheter under GDPR begr\u00e4nsas bara om publiceringen har journalistiskt, akademiskt, konstn\u00e4rligt eller litter\u00e4rt syfte.\u00a0<\/span>\u00a0<\/span><\/p>

Det h\u00e4r var \u00e4ven det vi h\u00e4nvisade till i v\u00e5r dialog med\u00a0Ratsit.<\/span>\u00a0<\/span><\/p>

\"\"<\/span><\/p>

Ratsit\u00a0svarade dock inte p\u00e5 vilket syfte de har med sin behandling, varf\u00f6r vi m\u00e5ste anta att det i vart fall inte r\u00f6r sig om journalistik eller n\u00e5got annat som faller utanf\u00f6r GDPR n\u00e4r de sprider\u00a0uppgifter offentligt.<\/span>\u00a0<\/span><\/p>

Detta \u00e4r\u00a0Ratsits\u00a0svar:<\/span>\u00a0<\/span><\/p>

\"\"<\/p>

Ingen information om vad syftet med behandlingen \u00e4r, enbart att vederb\u00f6rande ska logga in p\u00e5 \u201cMin sida\u201d.\u00a0Det som \u00e4r kruxet h\u00e4r \u00e4r att\u00a0Ratsit\u00a0allts\u00e5 kr\u00e4ver mer information av privatpersonen f\u00f6r att tillgodose\u00a0beg\u00e4ran om information, eller n\u00e4rmare best\u00e4mt kr\u00e4ver de att vi ska beg\u00e4ra mer information av privatpersonen \u00e4n vi beh\u00f6ver f\u00f6r att identifiera den.\u00a0Det h\u00e4r kan vi inte g\u00f6ra eftersom det skulle st\u00e5 i strid med principen om uppgiftsminimering, dessutom \u00e4r\u00a0det v\u00e4ldigt uppenbart att\u00a0Ratsit\u00a0genomf\u00f6r personuppgiftsbehandlingar utanf\u00f6r det som behandlas\u00a0p\u00e5 \u201cMin sida\u201d. Jag har inget konto, men finns \u00e4nd\u00e5 p\u00e5\u00a0Ratsit. Att tvinga mig skapa ett konto f\u00f6r att f\u00e5 ta del av informationen de ska ge mig enligt artikel 15 \u00e4r d\u00e4rmed ett ganska uppenbart brott mot\u00a0principen om uppgiftsminimering.\u00a0<\/span>\u00a0<\/span><\/p>

Jag m\u00e5ste ge dem mer\u00a0f\u00f6r att f\u00e5 veta vad de redan g\u00f6r och har.\u00a0<\/span>\u00a0<\/span><\/p>

Inte direkt s\u00e5 som lagen funkar.\u00a0Faktum \u00e4r att\u00a0<\/span>NOYB precis nyligen gjort en anm\u00e4lan med den motiveringen<\/span><\/a>.\u00a0Grindr\u00a0och\u00a0Ratsit\u00a0har med andra ord n\u00e5got gemensamt i att de\u00a0gl\u00f6mt bort att l\u00e4sa vad som st\u00e5r i lagen.<\/span>\u00a0<\/span><\/p>

Slutligen h\u00e4nvisar\u00a0Ratsit\u00a0till att en privatperson har r\u00e4tt att f\u00e5 registerutdrag genom att man skickar brev till deras leverant\u00f6r. Fast det \u00e4r v\u00e4l \u00e4nd\u00e5\u00a0Ratsit\u00a0som publicerar uppgifterna? Och\u00a0det \u00e4r v\u00e4l \u00e4nd\u00e5\u00a0Ratsit\u00a0som \u00e4r personuppgiftsansvarig f\u00f6r behandlingen? Enligt regelverket \u00e4r det ju d\u00e5 \u00e4ven\u00a0Ratsit\u00a0som ska svara p\u00e5 beg\u00e4ran fr\u00e5n enskilda.<\/span>\u00a0<\/span><\/p>

\u00c4ven h\u00e4r h\u00e4nvisar de till att beg\u00e4ran ska g\u00f6ras analogt, trots skyldigheten att underl\u00e4tta vid tillgodoseendet av r\u00e4ttigheter samt kravet p\u00e5 digitalt f\u00f6rfarande. Det \u00e4r \u00e4ven uppseendev\u00e4ckande att de bara till\u00e5ter en person att beg\u00e4ra tillg\u00e5ng en g\u00e5ng om \u00e5ret, i lagen finns ingen s\u00e5dan begr\u00e4nsning, det finns d\u00e4remot m\u00f6jlighet att neka en beg\u00e4ran om tillg\u00e5ng om\u00a0beg\u00e4ran om tillg\u00e5ng \u00e4r helt ogrundad. Det \u00e4r den personuppgiftsansvarige som ska visa det, och det finns inget som s\u00e4ger att en v\u00e4lgrundad beg\u00e4ran om tillg\u00e5ng ej skulle kunna g\u00f6ras flera g\u00e5nger om \u00e5ret.<\/span>\u00a0<\/span><\/p>

Summa summarum s\u00e5 uppfattar vi det som att Ratsit bryter mot lagen. Vi hoppas IMY k\u00e4nner likadant.
<\/span><\/p>

Ta g\u00e4rna och skicka en beg\u00e4ran om tillg\u00e5ng till Ratsits kundtj\u00e4nst och se vad de svarar, om ni inte \u00e4r n\u00f6jda s\u00e5 anm\u00e4l till IMY. Desto fler vi \u00e4r som p\u00e5pekar brister i regelefterlevnad dess b\u00e4ttre!<\/p>

Vi har \u00e4ven anm\u00e4lt Merinfo till IMY f\u00f6r deras brist p\u00e5 tillg\u00e4nglighet.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Ratsit och hur de hanterar GDPR I slutet av september fick vi i uppdrag att beg\u00e4ra tillg\u00e5ng av\u00a0Ratsit\u00a0AB och\u00a0MerInfo\u00a0AB.\u00a0De\u00a0h\u00e4r\u00a0bolagen lever p\u00e5 att samla och s\u00e4lja personuppgifter, s\u00e5 de \u00e4r d\u00e4rmed den typen av bolag som ligger lite i riskzonen f\u00f6r att f\u00e5 GDPR-fr\u00e5gor.\u00a0\u00a0 Den h\u00e4r g\u00e5ngen var dock f\u00f6rsta g\u00e5ngerna som regelr\u00e4tta datahandlare fick fr\u00e5gor…<\/p>\n","protected":false},"author":9,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[68,67],"tags":[],"class_list":["post-2504","post","type-post","status-publish","format-standard","hentry","category-gdprbuddy-en","category-sverige-en"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts\/2504","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/comments?post=2504"}],"version-history":[{"count":0,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/posts\/2504\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/media?parent=2504"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/categories?post=2504"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gdprbuddy.eu\/en\/wp-json\/wp\/v2\/tags?post=2504"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}