Visste du att Instagram har licensen att göra vad de vill med dina foton? Eller att TikTok inte behöver informera användare när dataläckor uppstår?
Det är få som läser reglerna och villkoren och integritetspolicys hos sina favoritappar och sociala medier. Och det är svårt att klandra dem. Att gå igenom de här dokumenten kan kännas som en oändlig uppgift. Men att acceptera de här villkoren utan att läsa dem kan resultera i väldigt allvarliga integritetsrisker.
När du gör det ger du trots allt företagen tillåtelse att:
- Samla din data
- Använda den här datan på nästan vilket sätt de anser lämpligt
- Dela din data och till och med ge andra företag tillåtelse att använda din data
Även om de här dokumenten är utmanande kan du vidta åtgärder för att skydda dig genom att läsa användarvillkor (eller summeringar av dem!) och genom att ordentligt ställa in dina integritetsinställningar. Du bör också bekanta dig med de datasekretesslagar som finns där du bor, som CalOPPa för invånare i Kalifornien eller GDPR för medborgare inom EU.
Hur många av oss har inte klickat på ”acceptera” i fältet för regler och villkor utan att ens bry sig om att läsa dem? För en del beror det på att dokumentet är så långt och förvirrande, för andra handlar det om att man helt enkelt inte har tid att läsa det. Och självklart – ju mer vi vänjer oss vid att inte läsa de här dokumenten, desto mindre motiverade blir vi att läsa det nästa dokumentet vi stöter på…
Problemet är att när vi blint godkänner de här villkoren sätter vi vår onlineintegritet i fara.
Varför är licensavtal och integritetspolicys egentligen så svårlästa? Vilket syfte har de och varför bör vi ta oss tid att gå igenom dem? I den här artikeln täcker vi allt man behöver veta om regler och villkor och integritetspolicys, inklusive lagarna som reglerar dem och hur man kan skydda sig mot de onda villkoren som döljer sig i de här dokumenten.
Vad är ett användaravtal?
Avtalet är även känt som regler och villkor (T&Cs), användarvillkor (ToS), slutanvändaravtal (EULA) och massor av andra namn. Ett användar- eller licensavtal är helt enkelt ett kontrakt mellan dig och den part som tillhandahåller en tjänst eller programvara.
Det här dokumentet specificerar tjänsten som tillhandahålls åt dig. Det bör även berätta vad du tillåts göra med appen, programmet eller tjänsten.
Oftast finns det även en sektion för vilka behörigheter du ger företaget, så att de kan leverera deras tjänst på bästa sätt. Till exempel behöver Google Maps åtkomst till din platsdata för att de ska kunna dela rätt anvisningar med dig.
De flesta mobilapparna, datorprogrammen och sociala mediesajterna som du använder har ett användaravtal. Du ombes acceptera dem innan eller under installation eller registrering.
Observera att eftersom det här användaravtalet är en typ av kontrakt så är det juridiskt bindande. I ett sådant avtal kan det självklart finnas avsnitt eller villkor som ingen rimlig domstol skulle genomdriva, men i princip är det ett juridiskt dokument med riktiga konsekvenser för båda parterna.
Vad är en integritetspolicy?
En integritetspolicy liknar ett användaravtal, men den har ett motsatt syfte: att skydda dig istället för företaget bakom programmet eller tjänsten. En integritetspolicy bör förebygga att kundernas integritet inskränks.
Det här dokumentet fastställer vilken användardata som företaget samlar in och behandlar, samt hur den här datan används, hur länge den får lagras och med vilka den delas.
I enlighet med dataskyddslagar i många jurisdiktioner (som CalOPPA i Kalifornien eller GDPR i Europa) behöver företagen som behandlar användardata ha en integritetspolicy. Eftersom de flesta webbplatser och appar idag är riktade till internationella användare så förenklar företagen bakom dem ofta situationen genom att tillhandahålla en integritetspolicy för alla som använder deras tjänster.
Varför läser användare inte regler och villkor?
Det är ingen hemlighet att regler och villkor ofta scrollas förbi och ignoreras. Även fast det är en del av vårt individuella ansvar att läsa alla avtal som presenteras för oss, så är det ändå svårt att förvänta sig att folk ska studera långa och vaga användaravtal och integritetspolicys.
1. Längd
Det främsta problemet med de här avtalen är längden. Till exempel är både Facebooks användarvillkor och integritetspolicy cirka 4 200 ord långa vardera. Visst, delen som går igenom din integritet är inte särskilt lång (dryga 1 100 ord). Men oavsett så vill inte de flesta läsa ett oproportionerligt långt dokument bara för att få reda på vad som händer med deras data.
Facebook är bara en av många verksamheter med långa användaravtal. Enligt en undersökning från 2018 är den genomsnittliga ordmängden för de 20 mest använda mobilapparnas integritetspolicys (på engelska) cirka 4 000 ord.
2. Komplexitet
Långa meningar, otydliga formuleringar och komplex jargong gör att dokumenten avskräcker besökarna från att läsa dem. Detta beror på att många av de här dokumenten är skrivna för att skydda företaget vid juridiska tvister och inte skrivna med den genomsnittliga användaren i åtanke.
Ta exemplet här nedan. Det är inte troligt att någon som inte är expert inom upphovsrättslag ska kunna förstå det här utdraget från Facebooks integritetspolicy efter första genomläsningen:
”Specifikt när du delar, publicerar eller laddar upp innehåll som täcks av immaterialrättigheter för eller relaterat till våra produkter, så ger du oss en icke-exklusiv, överförbar, underlicenserbar, royaltyfri och världsomspännande licens för att ta emot, använda, distribuera, modifiera, driva, kopiera, offentligt utföra eller visa, översätta och skapa härledda verk av ditt innehåll (i enlighet med dina integritets- och applikationsinställningar)”.
3. Försenad dokumentation
När du betalar för programmet får du oftast först se reglerna och villkoren under installation. Det innebär att du redan betalat för något utan att veta vad reglerna och villkoren är för ditt köp. Företagen som senarelägger de här dokumenten gör kunderna en otjänst. Det är som att köpa ett hus eller en bil där man får se avtalet när köpet redan är gjort.
Idag kan du självklart stöta på massor av olika användaravtal, men alla har inte det tekniska kunnandet för att hitta det allra senaste licensavtalet för sin produkt på sitt eget språk.
4. Otydlighet
Många integritetspolicys är väldigt otydliga med vilken data de samlar in, hur de använder den och i synnerhet vilka utomstående parter som de delar den med och i vilka syften. För att illustrera den sista punkten kan du ta en titt på en av Snapchats paragrafer för att dela din data:
”Vi kan komma att dela information om dig, som enhets- och användningsinformation, för att hjälpa oss och andra att förhindra bedrägeri.”.
Paragrafen ovan visas under sektionen om delning av din data med ”tredje parter”. Det förklarar inte alls vilka dessa ”andra” är och i vilken omfattning den här paragrafen är avsedd för. Dessutom låter termen ”användningsinformation” som att man på ett snällt sätt säger att Snapchat i princip kan dela allt du gör på din enhet med tredje parter.
Integritetsrisker i användaravtal och integritetspolicys
Det stämmer att företag använder din data på sätt som hjälper dig att få den bästa möjliga upplevelsen av deras program eller tjänst. Men de använder ofta även din data för annonsering, spårning och för att dela den med utomstående parter.
Därför är det otroligt viktigt att titta efter farliga paragrafer i användarvillkor och integritetspolicys så att du inte äventyrar din integritet. Här nedan ger vi dig några exempel på sådana paragrafer.
Instagram kan publicera dina bilder var de vill
Enligt Instagrams användarvillkor kan de publicera dina foton online efter eget tycke. När du godkänner det här avtalet vid registrering ger du dem en ”överförbar, underlicensbar, världsomspännande licens” för att göra det. Och det faktum att den här licensen är ”överförbar” betyder att de dessutom kan överlåta dina bilders rättigheter till andra parter.
Facebook kan sälja din data till annonsörer
En del hävdar att Facebook egentligen inte säljer din data. När någon köper reklamannonser säger dock FB så här: ”Vi tillhandahåller annonsörer med rapporter om de personer som läser deras annonser…”.
De fortsätter med att förklara att de inte gör datan så specifik att du kan identifieras. Men oavsett hur man vrider och vänder på det så får Facebook pengar i utbyte mot att dela information om dig med annonsörer. Och även om datan de säljer inte inkluderar ditt namn, så kommer det alltid att finns personer i denna era med big data som är tillräckligt skickliga att pussla ihop ledtrådarna.
YouTube, Amazon och Instagram kan när som helst ändra villkoren
Youtube, Amazon, Instagram och många andra företag kan ändra sina villkor när de vill. Även om du lyckas hitta ett företag som inte kränker din integritet på något sätt, så finns det ingen garanti för att det alltid kommer vara fallet.
Amerikanska domstolar har fastslagit att kunder måste meddelas när villkor ändras, som i fallet med Rodman mot Safeway, Inc, år 2014. Och många företag eller organisationer informerar faktiskt sina kunder om policyändringar. Men den krassa verkligheten är att många ändå missar det här meddelandet om det inte är uppmärksamma.
En del VPN-tjänster kan skicka vidare din data till tredjeparter
Dagens data-ekosystem är allt annat än tydligt. Bara för att du ger Företag A åtkomst till din data så innebär det inte att de är den enda risken. Företag A:s integritetspolicy kan tillåta dem att dela din data med massor av andra företag och organisationer. Och om någon av dessa parter hackas finns alltid risken att din data läcker ut på dark web eller används för att lura dig genom phishing och andra tekniker.
En del företag är även tvungna att lämna ut användardata till myndigheter när det begärs. Detta kan vara särskilt farligt om man är en journalist som riskerar att åtalas eller är medborgare i ett land med strikta myndigheter.
Dessa policys är ännu mer bekymrande när de används av appar som egentligen är till för att skydda din integritet, som virtuella privata nätverk (VPN-tjänster), antivirus och lösenordshanterare. Om du är orolig över det digitala säkerhetsprogrammet du använder så har vi sammanställt en lista med VPN-tjänster som inte sparar din data för att du ska kunna skydda dig när du använder internet.
Lagar som reglerar användaravtal och integritetspolicys
Som med fallen här ovan illustrerar gör komplexa avtal det ganska svårt att skydda din egen integritet. Därför är det naturligt att ställa sig frågan: finns det några lagar som hjälper att skydda användarna? Lyckligtvis är svaret ja.
Och integritetspolicys omfattas i högre grad än användaravtal av lagar och regler, en del av dem ska vi diskutera här nedan.
Integritetslagar i USA
Det finns inga specifika federala lagar i USA som kräver att man ska ha ett licensavtal, även om en del affärsområden kräver integritetspolicys. Amerikanska lagar är i stort sett eniga om att integritetspolicys bör inkludera följande ämnen:
- Vilken information som samlas in och hur den samlas in.
- Åtgärderna som vidtas för att skydda den här informationen.
- Hur man använder informationen som samlats in.
- Ifall informationen som samlats in får delas med någon utomstående part, och i så fall vilken information som delas och med vilka utomstående parter.
- Konsumenternas rätt till sin personliga data.
Enligt riktlinjerna från Federal Trade Commission (FTC) ska integritetspolicys skrivas på ett tydligt och begripligt språk. Du kommer dock märka att de här lagarna inte nämner något om längden på dessa policys. Man fastställer inte heller att integritetspolicys ska vara enkla att navigera, som genom att använda tydligt och koncist språk eller genom att inkludera innehållsförteckningar.
Sedan finns det även den välkända strikta California Online Privacy Protection Act (CalOPPA), som kräver att kommersiella hemsidor och onlinetjänster ska ha en integritetspolicy om de samlar in någon typ av personlig identifierbar information från invånare i Kalifornien.
CalOPPA verkställs av justitieministern i Kalifornien. Justitiekansliet var tidigare inblandade i ett rättsligt mål med Delta Airlines på grund av att företaget påstods ha överträtt CalOPPA, även fast fallet i slutändan lades ner av California Court of Appeals.
Integritetslagar i Europeiska unionen
Europeiska unionen (EU) har tydliga regler för både användaravtal och integritetspolicys. För licensavtal listar de tre tydliga krav:
- Användaravtal får inte motsätta sig kravet på god tro.
- Licensavtal får inte missgynna konsumenter vad gäller rättigheter och skyldigheter.
- Avtalsvillkoren måste vara formulerade på ett enkelt och förståeligt språk.
Om särskilda användarvillkor inte är i linje med de två första kraven anser EU dem som ”orättvisa”. Det betyder att de här villkoren inte är juridiskt bindande enligt EU.
Integritetspolicys i EU styrs av den allmänna dataskyddsförordningen (GDPR), vilket kanske är den mest strikta sekretesslagen i världen. Reglerna i GDPR gäller för alla företag som samlar in data från EU-medborgare.
GDPR listar en mängd olika information som de här policy-dokumenten ska inkludera – de hittar du på den här sidan. Men för att summera ska integritetspolicys vara:
- Skrivna på ett koncist, transparent, begripligt och lättillgängligt sätt.
- Skrivna på ett klart och tydligt språk, i synnerhet för information som riktar sig till barn.
- Levereras i god tid.
- Tillhandahållas utan kostnad.
GDPR har av många organisationer använts som grunden för att fördöma företag som inskränker på datasekretess. Till exempel bötfällde den nederländska dataskyddsmyndigheten LocateFamily på 5,7 miljoner kronor under 2021. Mer nyligen hävdade den franska integritetsskyddande myndigheten Commission Nationale de l’Informatique et des Libertés (CNIL) att Google Analytics överträder GDPR.
Hur skyddar man sin integritet mot användaravtal
Det finns några åtgärder man kan vidta för att ordentligt begränsa de här dokumentens integritetsrisker. Här nedan diskuterar vi tre av de allra viktigaste.
1. Läs avtalet (eller en summering av det)
Det bästa sättet att skydda dig mot skadliga avtal är att läsa dem. För de 99% som inte har tid eller energi att göra det rekommenderar vi att man läser en summerad version av det. Här kan du hitta förenklade versioner av användaravtal:
- tl;dr Legal: tillhandahåller programlicenser på begriplig engelska och understryker de viktigaste delarna i dokumentet.
- TOSDR: betygsätter hemsidor och tjänster från A (väldigt bra) till E (väldigt dålig) baserat på hur väl deras användarvillkor skyddar konsumenträtten och dataintegritet.
- PrivacySpy: betygsätter och kontrollerar integritetspolicys hos populära tjänster som Facebook, Google, Amazon, Windows, Apple och många fler.
2. Sök efter nyckelord
När du går igenom användarvillkor eller integritetspolicys bör du leta efter viktiga nyckelord (använd Ctrl + F eller genom att skumma igenom), som ”agree/samtyck”, ”accept/acceptera/godkänn”, ”third parties/tredje parter”, ”advertising partners/reklampartners/annonsörer”, ”affiliates/samarbetspartners” och ”retain/lagra/spara”. Genom att göra det kan du hoppa till delar av avtalet som specifikt tar upp användardata, licenser och tillstånd.
3. Justera dina sekretessinställningar
Kontrollera regelbundet dina sekretessinställningar och säkerställ att de är optimerade för att skydda dig. I integritetspolicys nämner företag ofta att du genom att helt enkelt justera sekretessinställningarna i deras app eller hemsida kan ändra eller dra tillbaka en del av de databehörigheter som du ger till dem. Även om du använder AWS S3 för lagring bör du se till att du lär dig hur man säkrar sina S3-lagringsutrymmen.
Observera att de här inställningarna i huvudsak skyddar din integritet mot andra användare och inte från själva plattformen. Men det kan ändå vara bra att göra.
Här är ett konkret exempel: Facebook tillåts använda ditt innehåll efter att du tar bort det från ditt konto. Men de kan endast göra det så länge det fortfarande delas av andra. Genom att göra ditt konto privat minskar du riskerna för det ordentligt.
Skydda sin integritet online
Det går inte att undvika användarvillkor och integritetspolicys (såvida du inte på något sätt slutar att använda varenda hemsida, app och program för alltid). Det kan verka skrämmande och tidskrävande, men att läsa reglerna och villkoren är en viktig del för att skydda din dataintegritet. Gör det till en vana att läsa de här användarvillkoren och med tiden blir det en del av din rutin.
För fler tips om hur du skyddar dig online rekommenderar vi följande artiklar:
- Se vår lista med de fem bästa VPN-tjänsterna här. En VPN döljer din IP-adress så att hackare, annonsörer eller dina myndigheter inte kan få reda på ditt IP (och all information som är kopplat till det). Du kan även lära dig mer om IP-adresser här.
- Surfa anonymt eller lär dig hur du dyker in i dark web med Tor-webbläsare. Dark web är en kontroversiell plats på internet där både skumma hemsidor och ocensurerad information kan hittas.
Har du någon specifik fråga om integritetsriskerna i användarvillkor? Ta en titt på vår FAQ här nedan för att se om vi redan har svarat på din fråga. Om vi inte har det får du gärna lämna en kommentar med din fråga, så kommer vi svara på den så fort som möjligt!
”Användarvillkor” är helt enkelt ett namn som ges till ett dokument som fastställer den tjänst som erbjuds av ett företag till dess kunder. Det här dokumentet täcker även hur kunder tillåts använda produkten eller tjänsten, samt vilka behörigheter du ger ett företag för att samla in data. Du måste godkänna användarvillkoren för en särskild produkt eller tjänst innan du kan använda den.
En integritetspolicy är ett dokument som fastställer vilken sorts data en hemsida, app eller tjänst samlar från dig. Den går även igenom hur datan samlas in, varför den samlas in och hur den används, samt vilka och vem den delas med.
Integritetspolicys skapades först för att lagstiftare ville ha ett sätt att skydda konsumenterna och informera dem om hur deras data används. Men på grund av dess komplexitet och storlek är de ofta inte till särskilt mycket hjälp. Integritetspolicys behöver inte godkännas innan man använder en tjänst, men genom att använda tjänsten har du per automatik godkänt integritetspolicyn.
Problemet är dubbelriktat. För det första är de här dokumenten ofta otroligt långa och skrivna på ett komplext juristspråk som i princip bara en utbildad advokat som specialiserat sig på datalagar kommer förstå. För det andra gör man det mest troligt för att dölja sekretessparagrafer som missgynnar konsumenterna, exempelvis paragrafer som ger företaget tillåtelse att samla enorma mängder data från sina konsumenter. Ta en titt på den här artikeln om integritetsrisker i användarvillkor för mer information.
