Den svenska teleoperatören Hallon har villkor som låter den dela abonnenters personuppgifter med tredje parter i ”marknadsföringssyfte”. Teleoperatören gör detta utan att abonnenter meddelas om det vid köp och villkoren bryter mot grundläggande regler om hur konsumenter ska informeras om hur deras personliga data behandlas.

Uppgifter till ”andra affärspartners”

Det var i samband med lanseringen av Abonnemangsguiden här på Surfa.se som vi blev uppmärksammade på underligheter i teleoperatören Hallons abonnemangsvillkor. Vi granskade villkoren och pratade med jurister från Post- och telestyrelse, myndigheten som reglerar svenska teleoperatörer, för att reda ut oklarheterna. Det blev snabbt uppenbart att villkoren ger teleoperatören möjlighet att dela abonnenters personuppgifter och att de bryter mot en rad regler relaterade till villkor och samtycke.

”Vi kommer löpande att behandla uppgifter om dig […] för att marknadsföra produkter och tjänster. För dessa ändamål kan vi lämna uppgifterna vidare […] till våra samarbetspartners och andra affärspartners.”, paragraf 7.1 i Hallons villkor.

Problemen med Hallons villkor är omfattande. För att förstå dem är det viktigt att först förstå skillnaden mellan avtalsvillkor och samtycke. Det förstnämnda kan till exempel vara villkor om hur avtal kan sägas upp och om vad som händer när det sker ett avbrott i tjänsten. Dessa villkor godkänner abonnenten när den tecknar sitt abonnemang. Ett samtycke är å andra sidan ett ensidigt godkännande från abonnenten som låter Hallon behandla konsumentens personuppgifter. Även om information om samtycket kan inkluderas i avtalsvillkoren skiljer sig samtycket från vanliga villkor, då samtycket är ensidigt. Den ensidiga naturen av ett samtycke innebär att en abonnent kan avbryta sitt samtycke, när som helst och av vilken anledning som helst. Avtalsvillkor kan å andra sidan inte brytas om inte båda parterna är överens om det eller om avtalet specificerar annat skäl till ett avslut. Skillnaden mellan ett avtalsvillkor och ett samtycke är viktig att förstå.

Tydliga regler från PTS

Hur företag begär samtycke och behandlar personuppgifter regleras av LEK, Lag om elektronisk kommunikation. Post- och telestyrelsen har sammanfattat hur denna lagen påverkar telebranschen i en utredning som gjordes år 2015. I rapporten beskriver myndigheten de regler som teleoperatörer bör följa när de insamlar samtycke. Reglerna som specificeras i utredningen inkluderar inte Hallon och är därför inte bindande för teleoperatören. LEK gäller ändå för alla företag som behandlar personuppgifter i Sverige. Post- och telestyrelsens dokument visar hur teleoperatörer bör utforma sina villkor för att följa lagen. När myndighetens riktlinjer jämförs med Hallons villkor är bristerna uppenbara.

Hallon har misslyckats redan innan villkoren granskas. När en konsument beställer ett abonnemang på teleoperatörens hemsida uppmärksammas den aldrig på att villkoren innehåller information om samtycke. En konsument som inte läser villkoren har därför ingen chans att ens vara medveten om att den samtycker till att dess personuppgifter behandlas. Detta går rakt emot Post- och telestyrelsens regler som säger att det måste ”vara tydligt för abonnenten att det är fråga om […] ett ensidigt lämnande av samtycke till behandling av uppgifter, samt att den vidare informationen om detta återfinns i en villkorsbilaga som abonnenten fått del av.”. Hallon har alltså redan misslyckats med att informera konsumenten om att ett samtycke existerar.

Ordet samtycke nämns inte ens

Även om en konsument hade läst Hallons villkor hade den haft svårt att läsa sig till detaljerna kring vad den samtycker till eller att den ens samtycker till något. Trots att Hallon tar sig rätten att behandla abonnenters personuppgifter berättar villkoren aldrig att abonnenter samtycker till det. Detta är i tydlig strid mot reglerna. PTS skriver: ”Om stödet för behandlingen är samtycke ska det tydligt framgå”. Ordet samtycke nämns inte över huvud taget i relation till personuppgifterna i Hallons villkor.

Hallon fortsätter att misslyckas när de ska berätta om personuppgifterna som behandlas. De nämner att de får dela information med tredje part men berättar inte vilken information som delas, till vilket syfte, hur den behandlas eller hur länge. Det är vanligen information som måste framgå för konsumenten. I Post- och telestyrelsens utredning påpekar myndigheten att beskrivningar inte får vara för generella och skriver ett exempel.

”[…] operatören ska undvika att använda beskrivningar av ändamål såsom ’för att kunna uppfylla Avtalet med dig’.”

I sina villkor skriver Hallon: ”Vi kommer löpande att behandla uppgifter om dig och om hur du använder Tjänsterna för att kunna uppfylla Avtalet med dig”. Hallon går rakt emot myndighetens rekommendation, ord för ord.

Samtycke är ett krav

Ett samtycke är som nämnt ensidigt. Det betyder att abonnenter när som helst har rätt att säga upp sitt samtycke, vilket hindrar Hallon från att fortsätta behandla konsumentens personuppgifter. För att sätta det på prov kontaktade vi Hallons support. Svaret var entydigt: samtycket är ett krav för tjänsten. En konsument som säger upp sitt samtycke kan inte fortsätta använda tjänsten. I praktiken betyder det att en konsument som inte samtycker kan få sitt abonnemang avslutat. Problemet är att detta inte påpekas i villkoren. Hallon har troligen inte rätt att avsluta abonnemanget av den anledningen. Operatören har därmed satt sig i en svår juridisk situation. De säger sig vara redo att säga upp abonnenters abonnemang av en anledning som aldrig nämns i villkoren. Oberoende på vad de juridiska teknikaliteterna säger är beskedet för en konsument att de inte kan säga upp sitt samtycke utan att bli av med sitt abonnemang.

Utöver att personuppgifter kan delas till andra företag i marknadsföringssyfte delar Hallon också personuppgifter till nummerupplysningsföretag. Det är vanligt att teleoperatörer inhämtar samtycke för det. Teleoperatörer är nämligen en stor källan till information för sajter så som Eniro och Hitta. Delningen av uppgifter till nummerupplysningsföretag är också ett samtycke som abonnenter kan säga upp när som helst. Här har dock Hallon inte bara brustit i sin information till abonnenter. De har istället skrivit missvisande information.

”Vi får lämna ut ditt namn, adress och telefonnummer till annan för nummerupplysningsändamål. Vi har ett fullgott sekretesskydd gällande alla kunders personuppgifter, men kan inte fullt ut garantera att identiteten förblir skyddad och erbjuder därför inte hemligt nummer.”

Hallon säger att de inte erbjuder ”hemligt nummer”. De skriver i praktiken att abonnenter inte kan dra tillbaka sitt samtycke. Detta strider mot definitionen av vad ett samtycke är. Det är dessutom förvirrande att de påstår sig ha ett fullgott skydd men att de samtidigt inte erbjuder tjänsten eftersom de inte kan garantera att abonnenters identitet förblir skyddad. Det finns visserligen inget som säger att teleoperatörer måste erbjuda hemligt nummer men Hallons beskrivning av varför den inte erbjuds är underlig.

Förändringar kommer, senare

Vi uppmärksammade Hallon på problemen i villkoren redan under mitten av december förra året. För att ge Hallon en ärlig chans att utreda frågan och möjligen åtgärda problemet väntade vi till mitten av januari innan vi tog kontakt igen. 10 dagar senare svarade företaget att de jobbar med att göra förändringar i villkoren. Beskedet var att förändringarna skulle ta 1-4 månader att genomföra. Det är alltså en förändring som görs som förberedelse inför den nya GDPR-lagstiftningen som sätter nya krav på villkor inom EU med start under slutet av maj 2018. Innan dess finns det inga planer på att göra något åt problemen med villkoren.

– Hallon lämnar inte ut kunduppgifter till exempelvis nummerupplysningsföretag eller tredje part för marknadsföring av deras produkter och tjänster. Däremot finns det en del formuleringar som behöver ses över i våra allmänna villkor, ett arbete vi är i full färd med just nu, skriver Anne-Louis Wirén från Hallon till Surfa.se i ett epost-meddelande.

Den stora frågan för konsumenter är givetvis om deras personuppgifter är i riskzonen. Svaret är att det finns öppningar i villkoren för att Hallon ska kunna dela personuppgifter med okända tredje parter. Teleoperatören säger samtidigt att de aldrig har delat kunders uppgifter i andra syften än att till exempel genomföra betalningar. Oberoende på vad Hallon säger är det dock ett faktum att deras villkor ger dem möjlighet att dela kunders personuppgifter till företag som kunden inte har någon som helst koppling till.

Källor: PTS (PDF), Archive.org (Hallon)

Tack till Mikael för tipset!