-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hej Erik,
Jag svarar inline.
On 06/04/2014 05:33 PM, Erik Mjöberg wrote:
Hej Tobias!
Bra att Du tog upp frågan om samtycke.
I avtalet med min bank, Handelsbanken, finns ingenting om samtycke till att samla in uppgifter om besökta tjänster. Jag känner inte heller till att någon annan legitimationsutfärdare skulle ha en sådan friskrivning. Slutligen kan utfärdaren begära samtycke till insamling av adressen till den anlitade tjänsten i samband med att tjänsten anlitas, men inte heller det har skett i någon av de tjänster som jag har anlitat.
Jag saxar från Handelsbankens villkor[1]
- --8<---------------cut here---------------start------------->8--- Banken behandlar i egenskap av utfärdare av betalningsinstrumentet sådana personuppgifter om kunden som krävs för att administrera dessa tjänster och för att kontrollera att betalningsinstrumentet är giltigt och inte spärrat samt för att bevaka bankens rätt med anledning av kundens användning av betalningsinstrumentet. Kunden har rätt att efter skriftlig begäran till banken få information om vilka personuppgifter som banken behandlar om kunden. Kunden har också rätt att kräva rättelse av de personuppgifter som banken behandlar om kunden om de skulle vara felaktiga eller missvisande. Kunden kan i sådant fall vända sig till sitt bankkontor eller till Handelsbanken, Centrala revisionsavdelningen, 106 70 Stockholm. Genom att godkänna dessa villkor samtycker kunden till att banken i egenskap av utfärdare av kundens betalningsinstrument lämnar ut sådana personuppgifter om kunden – till exempel kundens personnummer eller annat motsvarande identifieringsnummer och uppgift om kundens banktillhörighet – till andra som accepterar av banken utfärdade betalningsinstrument som är nödvändiga för att de ska kunna kontrollera att betalningsinstrumentet är giltigt och inte spärrat och för att de ska kunna bevaka sin rätt med anledning av användningen av betalningsinstrumentet. - --8<---------------cut here---------------end--------------->8---
- --8<---------------cut here---------------start------------->8--- Dessa villkor gäller för Handelsbankens inloggningskort som kan användas av bankens kunder för elektronisk identifiering och godkännande av uppdrag i banken och hos annan som accepterar av banken utfärdade betalningsinstrument. Villkoren gäller också för annan elektronisk ID-handling eller rutin som banken anvisar för inloggning till och godkännande av uppdrag i Handelsbankens Internettjänst eller annat kommunikationssätt som banken tillhandahåller. - --8<---------------cut here---------------end--------------->8---
Jag är inte jurist (jag gissar att du inte heller är det), men som jag tolkar det där så har Handelsbanken ganska explicit sagt sig ha rätten att lagra och behandla uppgifter gällandes elektronisk ID-handling. Vidare gissar jag att Handelsbanken i egenskap av en bank har _väldigt_ god koll på reglerna kring deras tjänster, helt enkelt därför att banker tjänar pengar på att ha koll på reglerna och finstilt i avtal ;)
Så jag känner mig ganska kränkt av hanteringen ... Men det har en mycket ringa betydelse i sammanhanget. Det väsentliga är att den klart strider mot Person- uppgiftslagen (PuL)! Och inte bara mot PuL utan även mot t.ex. EU-stadgans skydd av personuppgifter i artikel 7 och 8. Om man tillämpar samma metod som EU- domstolen gjorde beträffande upphävandet av ändringarna i Datalagringsdirektivet (proportionalitetsprincipen i artikel 52:1) skulle insamlingen av adresserna till de av användarna anlitade tjänsterna vara /ett "allmänt samhällsintresse som erkänns av unionen"/ om hanteringen skulle godkännas av EU-domstolen. Det har jag svårt att tro.
Jag tror att legitimering och identitetskontroller anses vara ett allmän samhällsintresse som erkänns av unionen - även/särskilt med direktkontroll via utgivande part. Återigen - jag är ingen jurist. EU ställer (eventuellt, osäker på om förslaget röstades igenom) vissa krav på att man ska spara minimal mängd data för att kunna sköta sitt jobb[2]. Det kan troligen ses som fullt legitimt att behålla loggar över var någon identifierade sig, dels för fakturering och dels för att kunna undersöka omständigheterna om en konflikt uppstår.
Du har som Handelsbanken säger rätt att begära ut information om vad de sparar om dig. Har du gått till din bank och bett om det skriftligt? Det _ska_ vara gratis en gång om året.
Det finns sedan flera år tillbaka färdiga lösningar på hur legitimationsutfärdaren kan styrka användarens identitet utan att känna till var styrkandet ska användas -- precis som i den analoga världen. Se t.ex. Identity 2.0 från 2006 eller user-centric IDs.
Det är en jättebra idé med den typen av lösningar, problemet är - hur säljer man in till EU och riksdagen att det här är ett reellt problem? Jag tror att regeringar runt om i världen är väldigt förtjusta i att be sina medborgare lita på sina egna banker - tyvärr är det i dagens informationstäta samhälle fullt möjligt för bankerna att småjustera dina räntor efter ett besök på t.ex. en HIV-klinik eller återupprepade autenticeringar hos Marlboros kundklubb.
Som tekniker är det svårt att säga "Det mest realistiska är troligen att förbjuda den här typen av särbehandling i lag snarare än att förbjuda den i kod". Det är såklart viktigt att vi långsiktigt jobbar för en bättre lösning i och med e-legitimation 2.0, men som det är nu så har vi den lösningen vi har idag, och det kommer troligen inte att ändras. Kortsiktigt så är det viktigt att kommunicera med maktcenter som styr över det här, banker, riksdag/parlament, regeringar, EU-parlamentet, USAs kongress m.fl. för att skriva relevant lagstiftning för att göra missbruk av personuppgifter olagligt och skapa transparenta modeller för t.ex. att sätta räntor (förslagsvist att bankerna måste ange vilka profiler en kund har för att få en viss ränta och sen strikt följa detta, vilket såklart skulle göra många som är vana att förhandla väldigt upprörda)
Det är ett litet delikat problem att börja peta i bankindustrin ;)
Vänliga hälsningar
Erik Mjöberg
Ha en bra kväll - -- Emil Tullstedt
[1] http://www.handelsbanken.se/shb/inet/icentsv.nsf/vlookuppics/a_bankid_bankid... [2] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0238:FIN:en:H...