Uppsala universitet
Inst. för informatik och media
Privatpersoners syn på GDPR och dess
förmåga att skydda deras personliga
integritet
Jankeh Joof
Carina Svedberg
Kurs: Informationssystem C: Examensarbete Nivå: C
Sammanfattning:
Dataskyddsförordningen GDPR infördes med syfte om att ge privatpersoner större kontroll över sina personuppgifter genom ett flertal rättigheter. Dessa rättigheter är viktiga för privatpersoner att känna till för att kunna uppnå syftet med GDPR. GDPR har även stärkt kraven för hur organisationer ska behandla personuppgifter och har på så sätt givit personer större kontroll över vem som har rätt att behandla deras uppgifter och till vilket ändamål. Men hur ser privatpersoner egentligen på förordningen och dess förmåga att skydda deras personliga integritet? Uppsatsen har som syfte att ta reda på hur privatpersoner ser på GDPR och dess förmåga att skydda deras personliga integritet, därav har en enkät utformats för att samla in data. Insamlade data ger en djupare förståelse om hur personerna utnyttjar sina rättigheter och om det finns faktorer som påverkar deras användande. Från enkätundersökningen har det framkommit att införandet av GDPR inte har lett till att personer i allmänhet känner sig tryggare när de delar personlig information digitalt. Uppsatsen visar dock att kunskap om förordningen verkar vara en viktig faktor både när det gäller att aktivt utnyttja förordningens rättigheter och när det gäller att känna sig tryggare vid delning av personuppgifter. Det verkar dock som att förordningen inte har förmått personer att i högre grad ta kontroll i situationer när de delar med sig av information. Personerna fortsätter att inte läsa användarvillkor och informationen i cookiedialoger och väljer att använda tjänster även om de är osäkra på hur deras personuppgifter behandlas.
Nyckelord: GDPR, dataskyddsförordningen, rättigheter, integritet, användarstudie
Abstract:
The General Data Protection Regulation, GDPR was introduced with the aim of giving private individuals greater control over their personal data, through several rights. These rights are important for the individual to know in order to achieve the purpose of the GDPR. The GDPR has also strengthened the requirements for how organizations must process personal data, thus given people greater control over who has the right to process their data and for what purpose. But how do private individuals really view the regulation and its ability to protect their privacy? The aim of the thesis is to find out how private individuals view the GDPR and its ability to protect their privacy, hence a survey has been designed to collect data. Collected data provides a deeper understanding of how people use their rights and whether there are factors that affect their use. The survey has shown that the introduction of the GDPR has not led to people in general, feeling more secure when sharing personal information online. On the other hand, knowledge of the regulation seems to be an important factor, both in the use of rights and in terms of feeling more secure, when sharing personal data. However, it seems that the regulation has not led people to take greater control in situations when sharing information. People continue not to read the terms of use and the information in cookie dialogues and choose to use the services even if they are unsure of how their personal data is processed.
Begreppslista
Cookies En textfil som lagrar och samlar information vid användning av en webbplats. En
cookie kan lagra olika typer av data men det är lagringen av användarinformation i form av personlig information som ska hanteras efter dataskyddsförordningen GDPR.
(Nationalencyklopedin u.å.)
Personuppgift Som personuppgift räknas all information som avser en fysisk person som kan
identifieras. Detta gäller oavsett om det krävs att ytterligare information inhämtas för att identifieringen ska kunna ske. (Integritetsskyddsmyndigheten (IMY) 2020a)
Personuppgiftsansvarig Den organisation som bestämmer för vilka ändamål personuppgifter
ska behandlas och hur behandlingen ska gå till (IMY 2020i).
Personuppgiftsbehandling Begreppet personuppgiftsbehandling inbegriper all hantering av
personuppgifter. Detta avser exempelvis lagring, insamling, registrering, ändring och utlämning. (IMY 2020a)
Rättslig grund För att en personuppgift ska få behandlas så krävs det en rättslig grund. En
Innehållsförteckning
1 Inledning ... 6
1.1 Bakgrund ... 6
1.2 Problemformulering ... 7
1.3 Syfte och forskningsfrågor... 8
1.4 Avgränsningar ... 8 1.5 Disposition ... 8 2 Metod ... 9 2.1 Forskningsstrategi ... 9 2.2 Datainsamlingsmetod ... 9 2.3 Enkäten ... 10 2.4 Metodik för dataanalys ... 11 2.5 Metodkritik ... 12 3 Teori ... 14 3.1 GDPR ... 14 3.2 Tidigare undersökningar ... 15
3.2.1 Rapporten Nationell integritetsrapport... 15
3.2.2 Rapporten Delade meningar ... 16
3.3 Samtycke, användarvillkor och cookies ... 17
3.4 Integritetsparadoxen ... 18 4 Resultat ... 20 4.1 Demografi ... 20 4.2 Kunskap om GDPR ... 21 4.3 Kunskap om personuppgiftsbehandling ... 22 4.4 Känsla av trygghet ... 23
4.5 Inställning till datainsamling ... 24
4.6 Vidtagande av aktiva åtgärder ... 25
4.6.1 Läsande av användarvillkor ... 25
4.6.2 Cookies ... 26
4.6.3 Hur viljan att läsa villkor påverkas av mängden av dem ... 28
4.6.4 Tillgång till geografisk position ... 28
4.6.5 Avstående från användning av tjänst ... 30
4.7 Användande av rättigheter ... 31
4.8 Respondenternas skäl till varför de inte använder rättigheterna ... 33
5 Analys av resultat ... 34
5.1 Kunskap om GDPR ... 34
5.2 Känsla av oro ... 35
5.3 Vidtagande av aktiva åtgärder ... 36
5.4 Användande av rättigheter ... 38 5.5 Integritetsparadoxen ... 40 6 Slutsats ... 41 7 Diskussion ... 42 Källförteckning ... 43 Bilaga 1 ... 47 Bilaga 2 ... 53
Figurförteckning
Figur 1 - Respondenternas fördelning avseende utbildning baserat på ålder ……….20Figur 2 - Fördelning över andelen av respondenterna som har hört talas om de olika rättigheterna ……….22
Figur 3 - Svaren på frågan: Känner du oro för följande? Markera alla alternativ som stämmer in på dig ……….………23
Figur 4 - Svar på frågan: Läser du användarvillkor när du registrerar dig på en sajt eller laddar ner en app? ………25
Figur 5 - Svar på frågan: Om du inte läser användarvillkoren, av vilka skäl läser du dem inte? ………..………26
Figur 6 - Svar på frågan: Hur brukar du agera när du besöker en hemsida och du får frågan om du accepterar cookies? ………..………26
Figur 7 - Svar på frågan: Markera alla alternativ som stämmer in på hur du hanterar cookies ……….………27
Figur 8 - Svar på frågan: Begränsar du appars och sajters behörighet så att de inte kan se var du befinner dig? ……….………28
Figur 9 - Svar på frågan: Vad får dig att acceptera att en app/sajt har tillgång till information om var du befinner dig? ………29
Figur 10 - Svar på frågan: Vilka är skälen till att du använder en tjänst trots att du är osäker på hur din personliga information hanteras/används? ………30
Tabellförteckning
Tabell 1 - Respondenternas ålder ……….………20
Tabell 2 - Hur respondenterna känner inför att deras personuppgifter används av
organisationer ………..………23
Tabell 3 - Sambandet mellan kunskap om GDPR och hur GDPR har påverkat
trygghetskänslan ………24
Tabell 4 - Sambandet mellan kunskap om GDPR och begäran att få veta vilka
personuppgifter en organisation har ……….…………32
Tabell 5 - Sambandet mellan oro inför personuppgiftsbehandling och användande av
någon rättighet ………33
Tabell 6 - Frekvenstabell över respondenternas skäl till varför de inte använder
Rättigheterna ………33
Tabell 7 - Sambandet mellan kunskap om GDPR och om en person känner oro inför att
6
1 Inledning
I detta kapitel beskrivs bakgrunden till ämnesområdet och problemet formuleras. Därefter presenteras uppsatsens syfte och forskningsfrågor samt vilka avgränsningar uppsatsen har använt sig av. Sist i kapitlet gås uppsatsens disposition igenom.
1.1 Bakgrund
Privatpersoner tillbringar allt mer tid på internet, 91 % av den svenska befolkningen använder det dagligen (Internetstiftelsen 2019). Internetanvändningen i Sverige år 2020 har i synnerhet förändrats under pandemin och till följd av detta har fler blivit internetanvändare (Internetstiftelsen 2020). Internet används för att göra inköp och bankärenden, ta del av nyheter och för att spendera tid på sociala medier men har under detta år fått en ny betydelse. För att bromsa smittspridningen har det uppmanats att begränsa social kontakt och därmed har internettjänster möjliggjort för ett sätt att interagera med varandra. Användningen av dessa digitala internettjänster resulterar även i en enorm mängd data som innefattar personuppgifter. Dessa uppgifter samlas in, lagras och bearbetas utan vår medvetenhet och används sedan i kommersiella syften genom att informationen säljs vidare till tredjepartskällor (Gopal m fl 2018), där flera stora företag som Google och Facebook tjänar multum på personuppgifts-behandling. Organisationer samlar även in information om användare för att anpassa och förbättra sina tjänster (ibid.). Användarna vill oftast ta del av de anpassade tjänsterna och erbjudandena men känner samtidigt en oro kring hur deras personliga uppgifter hanteras (ibid.). I takt med digitaliseringen uppkommer nya utmaningar för hantering av personuppgifter. Genom billigare och bättre tekniska verktyg för sambearbetningen av stora mängder data, skapas ett större kommersiellt värde för personuppgifter (Integritetskommittén 2016). Det finns en risk för att den enorma mängden data används för nya ändamål som inte har nämnts vid insamlingen. Detta kan leda till att användaren lämnas utan kontroll över deras egna data då hen inte har kännedom om och inflytande över hanteringen (ibid).
I den förhållandevis nya digitala värld vi nu lever i, som inkräktar alltmer på den personliga integriteten, infördes GDPR i maj 2018 med syfte om att ge privatpersoner större kontroll över sina personuppgifter. Enligt Europeiska kommissionen (2020a) använder svenska medborgare internet i högre utsträckning än de flesta andra länder i Europa och påverkas sannolikt av GDPR i större omfattning. GDPR ersatte det tidigare dataskyddsdirektivet 95/46/EG och bygger vidare på det som fungerade väl i det tidigare direktivet, men uppdaterar även lagar för att göra dem bättre anpassade till de stora teknologiska förändringarna som har skett under de senaste åren (Chorpash 2020). Den nya dataskyddsförordningen (GDPR), som nu har funnits i två år, har hittills väckt diskussionen om datasäkerhet och personlig integritet.
7
skickat ut oönskad reklam via mail och lagrat kreditkortsuppgifter, trots borttagna användarkonton (Di 2020). Även TikTok, en social media-app för video-, skapande och delning, är under utredning av brittiska myndigheter för felaktig hantering av barns data (Milkaite & Lievens 2020). Fastän det har fattats en förordning för att ta itu med frågan om personlig integritet gör dessa felaktiga personuppgiftsbehandling det ännu viktigare för privatpersoner att ha kontroll över sina personuppgifter.
1.2 Problemformulering
Förutom att GDPR har stärkt kraven för hur organisationer ska behandla personuppgifter så har förordningen även givit personer större kontroll över vem som har rätt att behandla deras uppgifter och till vilket syfte. Det finns dock frågetecken om i vilken utsträckning GDPR förbättrar individuell kontroll samt vilka begränsningar som finns med förordningen (Ooijen & Vrabec 2018; Vanberg 2020). Vanberg (2020) hävdar att GDPR är ett steg i rätt riktning men inte ett komplett och tillräckligt skydd. Ett exempel är att företag numera måste sätta upp en policy på sina webbplatser för att informera om integritetsrisker. Det är dock många konsumenter som inte förstår innebörden av dessa (ibid.). Vidare görs det gällande att även om personer får göra ett aktivt val när det gäller att dela med sig av sina personuppgifter så tänker de ofta inte över de konsekvenser som delningen kan medföra (ibid.).
Tidigare undersökningar om privatpersoners syn på privatliv har påvisat att privatpersoner inte agerar i enlighet med hur de värderar sin integritet (Mulder & Tudorica 2019; Barth & De Jong 2017; Fei 2018; Gopal m fl 2018). Individer hävdar att de bryr sig om sin personliga integritet men väljer ändå att dela med sig av sina uppgifter för att ta del av fördelarna som finns med diverse tjänster (Mulder & Tudorica 2019). Detta fenomen beskrivs som privacy paradox, integritetsparadoxen på svenska. Forskning om fenomenet beskriver motstridigheter och tvetydiga förklaringar där olika studier ger olika förklaringar till beteendet. Utz, Degeling, Fahl, Schaub & Holz (2019) hävdar att användare är medvetna om datainsamlingen och känner en stor oro inför hur deras personuppgifter används men styrs av ett rutinmässigt beteende (ibid.). Ett exempel är att användare accepterar cookie-villkoren på ett rutinmässigt sätt utan att läsa vad som står. Privatpersoner önskar en större kontroll över hur deras personliga data används men väljer inte att agera i enlighet med det (ibid.). Vidare hävdar Ooijen och Vrabec (2018) att det mänskliga beslutet hindrar möjligheten att få mer kontroll. Det förefaller därmed finnas ett gap mellan privatpersoners utryckta oro och kunskap respektive agerande för att själva ta kontroll över sina egna data.
8
1.3 Syfte och forskningsfrågor
Uppsatsen har som syfte att ta reda på hur privatpersoner ser på GDPR och dess förmåga att skydda deras personliga integritet.
De forskningsfrågor som ställs är:
• Hur ser privatpersoner på GDPR och dess förmåga att skydda deras personliga integritet?
• Hur utnyttjar privatpersoner de rättigheter som GDPR har gett dem? • Finns det faktorer som inverkar på användandet av rättigheterna?
Den första frågan omfattar uppsatsens huvudsyfte. De båda andra frågorna syftar till att ge en bredarebild av synen på GDPR. Det krävs som tidigare nämnts att privatpersonerna gör aktiva val och utnyttjar sina rättigheter för att den kontroll som lagstiftningen avser ge medborgarna ska ha effekt. För att få en djupare förståelse om hur personer ser på GDPR så behövs därmed även en kunskap om hur personerna utnyttjar sina rättigheter och om det finns faktorer som påverkar deras användande.
1.4 Avgränsningar
Studiens syfte är, som tidigare nämnts, att undersöka privatpersoners åsikter om hur GDPR har påverkat deras möjligheter att skydda sina personuppgifter, fokus ligger således på de delar av GDPR som behandlar deras rättigheter. Organisationers skyldigheter kommer inte att behandlas, annat än när dessa sammanfaller med privatpersoners rättigheter.
Den population som undersöks är svenskspråkiga privatpersoner som är 16 år eller äldre. Studien har valt att ha den lägre åldersgränsen då det finns särskilda regler för hur person-uppgifter tillhörande barn under 16 år får behandlas. Bland annat anses de inte alltid kunna självständigt avge samtycke (IMY 2020b).
1.5 Disposition
9
2 Metod
Kapitlet beskriver uppsatsens forskningsstrategi, datainsamlingsmetod och hur analysen av insamlade data gick till. Kapitlet avslutas med metodkritik.
2.1 Forskningsstrategi
Uppsatsens syfte är, som tidigare nämnts, att undersöka den svenskspråkiga populationens åsikter och beteenden avseende GDPR. Avsikten är således att undersöka många enheter avseende ett begränsat antal förvalda faktorer. Studien har således karaktären av en breddstudie (survey) (Goldkuhl 2011). Denna strategi innebär att samma slags data samlas in från en större grupp personer på ett standardiserat och systematiskt sätt. Utifrån de mönster man kan finna i insamlade data skapas generaliseringar som kan appliceras på en större population än det direkt undersökta urvalet (Oates 2005, s 93).
2.2 Datainsamlingsmetod
Enkäter associeras ofta med surveystrategin (Oates 2005, s 219) och en enkät är det som studien använt för att samla in data. En enkät kan vara självadministrerad, det vill säga respondenterna fyller själva i svaren på frågorna utan att forskaren eller någon annan intervjuare är närvarande (Oates 2005, s 219). Detta möjliggör att på kortare tid och med mindre resurser få in fler svar. En ytterligare fördel är att respondenternas svar inte riskerar att påverkas av en intervjuare. (Hjerm, Lindgren & Nilsson 2014, ss 168–170) Administrationsformen säkerställer även att alla respondenter har sett samma frågor (Oates 2005, s 221).
Att respondenterna endast har ett antal fasta svarsalternativ att välja mellan minskar risken för låg reliabilitet. Detta då slumpmässiga fel orsakade av behovet att tolka långa och olika svar elimineras. Inkludering av frågor med öppna svarsalternativ skulle kunna motverka den effekten eftersom de inkluderar ett moment av tolkning. Det kan dock vara en fördel att i slutet av enkäten ha en öppen fråga i vilken respondenterna uppmanas att ange om de har något att tillägga. Detta möjliggör att samla in information som de fasta frågorna och svarsalternativen inte har lyckats fånga in.(Hjerm, Lindgren & Nilsson 2014, ss 170–171) Öppna frågor kan även vara lämpliga vid insikten om att det på en fråga kan finnas en uppsjö möjliga svar och att det inte går att förutse hur respondenterna kommer att svara. (Oates 2005, s 223).
10
Urvalet av respondenter har gjorts med hjälp av en kombination av bekvämlighetsurval och självselektionsurval. Respondenterna kommer därmed att bestå av de personer som är enkla att nå eller är villiga att hjälpa till, samt de som valt att svara på en allmänt ställd förfrågan om behov av respondenter (Oates 2005, s 98).
2.3 Enkäten
Innan enkäten konstruerades gjordes en genomgång av för uppsatsens frågeställning relevant litteratur. Utifrån denna genomgång identifierades ett antal faktorer, som skulle kunna påverka personers användande av deras rättigheter avseende GDPR. En del av den funna litteraturen bestod i ett antal tidigare gjorda undersökningar. I avsnittet ovan nämndes att sannolikheten för att enkäten mäter det den avser att mäta kan ökas genom att använda tidigare använda frågor. Därför har ett antal frågor från dessa undersökningar, Integritetsskyddsmyndighetens Nationell integritetsrapport (2019a) och Insight Intelligences Delade meningar (2020), använts i enkäten. En del av frågorna har dock omarbetats då det ansågs att deras formuleringar kunde förbättras eller då svarsalternativen inte till fullo stämde med det enkäten eftersträvar att undersöka. Till det har ett antal nya frågor framställts. I Bilaga 1 finns alla enkätens frågor.
Ett antal frågeområden skapades som stöd för att säkerställa att enkätens frågor täckte de faktorer som avsågs undersökas, såväl som attityder och faktiskt användande.
Av skälen angivna i avsnittet ovan, om fördelen med att ha en öppen fråga i slutet av enkäten, så består enkätens sista fråga av en öppen fråga. Frågan ger respondenterna möjlighet att själva ange varför de inte har utnyttjat de rättigheter GDPR ger dem. Förutom den sista öppna frågan så har ett antal av frågorna inkluderat ett öppet svarsalternativ, då alla möjliga svar inte har känts möjliga att förutspå.
Innan enkäten distribuerades granskades den av uppsatsens handledare, vilken har erfarenhet av enkätundersökningar. Detta för att upptäcka brister och ge möjlighet att korrigera dessa innan respondenterna fick ta del av enkäten.
Undersökningen ämnar till att få en så representativ bild av populationen som möjligt gällande bland annat kön, ålder och utbildning. För att uppnå detta är ett probabilistiskt urval att föredra, däremot är detta urval tidskrävande och kostsamt enligt Oates (2005). Därför användes istället ett icke-probabilistiskt urval där, som tidigare nämnts, en kombination av självselektionsurval och bekvämlighetsurval genomfördes. Eftersom uppsatsen undersöker svenskspråkiga privatpersoners syn på GDPR och dess förmåga att skydda deras personliga integritet eftersträvades det att nå ut till den svenska befolkningen. Då hela svenska befolkningen är för svår att nå skickades enkäten främst ut till Facebook-grupper som författarna var delaktiga i. Bland den svenska befolkningen är Facebook den mest populära plattformen (Internetstiftelsen 2019), vilket var varför Facebook användes som det primära mediet för att nå ut till målgruppen. Detta då mediet ansågs ge en för uppsatsens ändamål tillräckligt god spridning avseende respondenter.
11
Urvalet av Facebook-grupper grundade sig på att deltagarna skulle representera olika grupper av den svenska befolkningen. Anledningen till detta var för att göra resultaten i studien mer generaliserbara och pålitliga. Grupper som var aktuella för undersökningen blev då olika tips- och informationssidor på Facebook. För att öka sannolikheten att det var svenska privat-personer som besvarade enkäten var frågorna på svenska.
2.4 Metodik för dataanalys
Det första steget av analysprocessen bestod i att upprätta en kodbok. I denna kodades de svarsalternativ vilka inte redan bestod av siffror om till att representeras av en siffra. Detta för att kunna genomföra kvantitativ analys, med hjälp av ett statistikprogram, på insamlade data. Enkäten innehöll ett antal flervalsfrågor vilka gjordes om till dikotoma variabler, det vill säga variabler som endast har två möjliga variabelvärden (Hjerm, Lindgren & Nilsson 2014, s 127). En variabel vardera skapades således för varje svarsalternativ. Där det ena variabelvärdet representerade att alternativet valts, medan det andra alternativet representerade att det inte valts. Det valda datainsamlingsverktyget Google Forms presenterar en respondents svar på flervalsfrågor i form av en sträng bestående av samtliga alternativ som personen valt. Skälet till att skapa dikotoma variabler var således att förenkla möjligheten att genomföra statistisk analys. De dikotoma variablerna som skapats utifrån svarsalternativen på flervalsfrågorna om rättigheter och oro har slagits samman till index. Genom summering av värdet av de olika variablerna skapas ett sammanfattande mått på egenskapen (Hjerm, Lindgren & Nilsson, s 94). I detta fall kunskap om rättigheterna, känsla av oro och användande av rättigheter. Cronbachs alpha kan användas som ett mått på hur väl de ingående variablerna korrelerar (Sundell 2020). Värdet av Cronbachs alpha varierar mellan 0 och 1, och tumregeln för när indexet anses vara tillräckligt bra brukar vara 0,7 (ibid.). Värdet för kunskap om rättigheter var 0,779 och för känsla av oro var värdet 0,785. När det gällde kunskapen om rättigheter hamnade dock värdet på 0,573. De ingående variablerna anses trots allt mäta samma sak, därför har indexet ändå använts. Indexet används för att undersöka hur många av de olika rättigheterna en person har använt i förhållande till olika variabler. Vid användning för detta syfte så blir värdet av Cronbachs alpha av mindre betydelse.
Det finns en risk för informationsförlust när index skapas (Hjerm, Lindgren & Nilsson 2014, s 98). Därför har en del av de dikotoma variablerna även använts enskilt i analysen.
12
underlättade även vidare analys. Resultaten av den initiala analysen tydliggjorde dock att det fanns väsentliga skillnader mellan de i gruppen Eftergymnasiala studier ingående utbildningsgrupperna och de individer som hade examen från universitet/högskola. Därför beslutades det att utbildningsgruppen Examen från högskola/universitet skulle behandlas separat.
Svaren på enkätens avslutande öppna fråga har kodats och därefter tematiserats. Temana har därefter kodats om till siffror för att svaren ska kunna genomgå statistisk analys.
Då uppsatsen har ett delsyfte som innefattar att undersöka vilka faktorer som påverkar användandet av privatpersoners rättigheter så har sambandsanalyser genomförts. För att undersöka om funna samband bör anses som relevanta och inte som ett utslag av slumpen kan man testa för statistisk signifikans (Oates 2005, s 259). Den för uppsatsen valda signifikansnivån är 0,05. Under avsnittet metodkritik beskrivs det utförligare hur signifikansnivån har använts i dataanalysen. De analysmetoder som använts är korstabeller, Chi2, Pearson r och Spearmans rangkorrelation. Chi2 går att använda oavsett skalnivå (ibid.).
Spearmans rangkorrelation kan användas för variabler på ordinalskalenivå, medan Pearson r är avpassad för variabler på kvotskala (Hjerm, Lindgren & Nilsson 2014, s 124). I praktiken så används Pearson r dock ofta även på ordinalskalevariabler (ibid., s 128). Dikotoma variabler kan ses som att de är på kvotskalenivå, vilket gör det möjligt att använda alla beräkningar som kan göras på kvotskala för dessa (ibid. s 127). Då flera av uppsatsens variabler är på nominalskalenivå så har primärt Chi2 använts för att undersöka signifikans. Pearson r och
Spearmans rangkorrelation har i uppsatsen enbart använts i vissa fall och då som komplement till Chi2. Skälen till detta ges i avsnitt 2.5. De samband som hittats har visualiserats och
analyserats med hjälp av korstabeller.
2.5 Metodkritik
Det finns en del saker som man bör ha i åtanke vid analysen av en enkäts resultat. När stängda frågor används finns det en risk att respondenterna inte lägger särskilt mycket tanke bakom sina svar utan svarar snabbt och lite slarvigt (Oates 2005, s 223). Det finns även en risk att frågors svarsalternativ inspirerar tankar hos respondenten som denne själv inte skulle ha kommit på (ibid.). En enkät innebär även begränsningar när det gäller möjligheten att korrigera missförstånd (Oates 2005, s 230). Det går inte heller att ytterligare undersöka detaljer (ibid.) Urvalet av respondenter skedde, som tidigare nämnts, via ett icke-probabilistiskt urval. Det betyder att det inte går att veta om urvalet är representativt för den population som avses undersökas (Oates 2005, s 96). Möjligheten att kunna genomföra generaliseringar, som går att applicera på hela populationen, är därför väldigt liten (ibid.). Därmed blir det svårt att hävda att resultatet och de ur detta dragna slutsatserna gäller för hela befolkningen.
13
använts för att hitta intressanta samband inom det undersökta urvalet och inte som ett mått på sannolikheten att resultatet är representativt för Sveriges befolkning.
De statiska analysmetoderna som har använts ställer en del krav på variablerna. När det gäller Chi2så kan det uppstå problem i de fall att datamängden är för liten eller då värdet av flera celler
är mindre än fem (Oates 2005, s 261). För att Chi2ska kunna beräknas på ett tillförlitligt sätt så
14
3 Teori
Kapitlet beskriver teorier och tidigare forskning som är av relevans för studien. Avsnittet inleds med att beskriva dataskyddsförordningen (GDPR), därefter beskrivs tidigare forskning. Därefter kommer ett avsnitt om samtycke, användarvillkor och cookies. Kapitlet avslutas med en överblick/diskussion om integritetsparadoxen.
3.1 GDPR
GDPR reglerar insamling och användning av personlig information, vilket gör den till ett viktigt juridiskt instrument när det gäller att skydda den personliga integriteten (Vanberg 2020). Ett sätt varmed GDPR försöker stärka individens möjlighet att skydda sin personliga integritet är genom de krav som ställs avseende samtycke. För att samtycke ska vara en giltig grund för personuppgiftsbehandling krävs det att det har avgetts frivilligt, informerat och genom en aktiv handling. (IMY 2020a). Tystnad, på förhand ikryssade rutor eller inaktivitet utgör inte samtycke (European Data Protection Board(EDPB) 2020). Att enbart fortsätta använda en tjänst är inte att anse som en aktiv indikation på ett val (ibid.)
Om personuppgifterna ska användas för flera syften så bör samtycke ges för samtliga av dessa. För att personuppgifterna ska kunna användas på ett annat sätt, än det som samtycke redan har avgivits för, så måste samtycke sökas även för det nya ändamålet. Maktförhållandet mellan den som söker samtycke och den som ska avge samtycke måste vara jämlikt och det får inte ställas krav på individen i samband med en förfrågan om samtycke. I de fall som det krävs en motprestation för att få tillgång till en vara eller tjänst så anses inte samtycket vara frivilligt och det är därmed inte giltigt. Motprestationen kan till exempel bestå i att personen måste godta vissa användarvillkor som inte är nödvändiga för att verksamheten eller tjänsten ska fungera. (IMY 2020h)
En person har alltid rätt att dra tillbaka sitt samtycke (IMY 2020h). Det ska vara lika lätt att dra tillbaka samtycket som det var att lämna det (ibid.). Om den personuppgiftsansvariga inte har någon annan rättslig grund än samtycket för att behålla personuppgifterna så kan personen begära att uppgifterna raderas i samband med att samtycket dras tillbaka (IMY 2020g).
Vid personuppgiftsbehandling så måste ändamålet med behandlingen tydligt anges. Om uppgifterna kommer att behandlas för olika ändamål så ska vart och ett av dessa beskrivas. Det behöver även anges vem/vilka som kommer att behandla uppgifterna och vilka uppgifter som kommer att samlas in och användas. Det språk som används ska vara tydligt och enkelt att förstå för en genomsnittlig person och inte enbart för jurister. Det är inte tillåtet med långa integritetspolicys som är svåra att förstå eller påståenden fulla av juridisk jargong. (EDPB 2020) Informationen som ges behöver innehålla information om de insamlade uppgifterna kommer att överföras utanför EU och på vilken rättslig grund personuppgifterna kommer att behandlas (IMY 2020g).
15
så kan personen begära att personuppgifterna återlämnas till denne eller överförs till en annan organisation. (IMY 2020g)
När ett beslut om en privatperson fattas på ett automatiserat sätt så är organisationen skyldig att meddela personen om detta. Personen har rätt att bestrida beslutet och begära att få det granskat av en fysisk person. (IMY 2020g)
Förutom att personuppgifter får behandlas med stöd av de rättsliga grunder som anges i GDPR så öppnar förordningen för att behandling kan vara tillåten om det är nödvändigt för att upprätthålla rätten till yttrandefrihet. Detta gör det möjligt för innehavare av sajter, som Eniro, Hitta och Ratsit, att få grundlagsskydd för sina databaser genom att ansöka om frivilligt utgivningsbevis (IMY 2020e). Därmed är de skyddade enligt Yttrandefrihetslagen, vilket gör att det för dem är möjligt att publicera uppgifter på ett sätt som annars inte skulle ha varit tillåtet enligt GDPR (Myndigheten för press, radio och tv 2020).
3.2 Tidigare undersökningar
I detta avsnitt ges en sammanfattning av de delar av rapporterna Nationell integritetsrapport och Delade meningar som är av intresse för uppsatsen.
3.2.1 Rapporten Nationell integritetsrapport
Den tidigare nämnda Nationell integritetsrapport baseras på en undersökning gjord av Novus å Integritetsskyddsmyndighetens vägnar. Undersökningen genomfördes i februari 2019 och omfattar medborgare mellan 18 och 79 år. Syftet med undersökningen var att, ett år efter dataskyddsförordningens införande, få en bild av svenska medborgares syn på integritet och dataskydd. (IMY 2019)
Undersökningen visade att 8 av 10 kände till GDPR och att den innebär förstärkta rättigheter. Knappt hälften av medborgarna sade sig känna till förordningen ganska eller mycket bra. Den mest kända rättigheten var den om rätten att få veta vem som behandlar vad och varför, ungefär 70% sade sig känna till detta. Runt hälften kände till rätten om radering och rätten att invända mot personuppgiftsbehandling. Något färre, 36%, kände till rätten att få felaktiga personuppgifter rättade. Minst känd var rättigheten avseende dataportabilitet, det vill säga rätten att få personuppgifter återlämnade eller överförda till ett annat företag. 26% sade sig känna till denna rättighet. Personer i åldrarna 30 – 39 år och de med universitets- och högskoleutbildning var de grupper som hade högst kunskap om GDPR och rättigheterna. Dessa grupper hade även i högre grad kunskap om hur deras personuppgifter används.
16
Nästan hälften av medborgarna uppgav att de ofta eller ibland avstod från att använda en digital tjänst om de kände sig osäkra på hur deras personuppgifter skulle komma att användas. 16% sade sig aldrig avstå. Bland dessa var kvinnor och personer i åldrarna 65-79 år överrepresenterade.
5% uppgav att de alltid läser användarvillkoren, medan nästan en av fyra sade sig aldrig läsa dessa. En dryg tredjedel sade sig läsa användarvillkoren, men väldigt sällan. 23% läste villkoren ibland, medan 12% sade sig läsa dem ofta. Kvinnor och personer i åldrarna 50-79 år var överrepresenterade bland dem som i större utsträckning läste användarvillkoren.
Personer som upplever oro inför personuppgiftsbehandling vidtar i högre grad aktiva åtgärder för att förhindra att deras surfvanor samlas in och är mer benägna att avstå från en tjänst vid osäkerhet kring personuppgiftsbehandling. De läser även i större utsträckning användarvillkor jämfört med andra grupper.
Vid undersökningens genomförande hade ungefär 16% av den vuxna befolkningen utnyttjat någon av rättigheterna under GDPR. Den rättighet som flest hade använt sig av, 7%, var rätten att invända mot användning av personuppgifter. Tätt följt av rätten till radering och rätten att begränsa användandet av personuppgifter, vilka 6% hade nyttjat. Åldersgruppen 18-29 år var överrepresenterade bland dem som hade använt någon av rättigheterna. 22% av dessa uppgav att de använt minst en rättighet.
3.2.2 Rapporten Delade meningar
Delade meningar är en rapport baserad på en undersökning om svenskarnas syn på digital integritet, gjord av Insight Intelligence i samarbete med Svensk handel, Skatteverket, Malmö universitet och Karlstads universitet. Undersökningen genomfördes under januari 2020. (Insight Intelligence 2020)
Enligt undersökning hade, vid undersökningstillfället, drygt hälften av svenskarna kunskap om GDPR i ganska eller mycket stor utsträckning. Något färre än en av tio ansåg sig känna till förordningen i mycket liten utsträckning. Kunskapen om förordningen ökade med utbildningsnivå. Nästan sex av tio av de med högskole- eller universitetsutbildning sade sig ha ganska eller mycket stor kunskap. Hos de med som mest en gymnasieexamen uppgav runt 40% att de hade ganska eller mycket stor kunskap.
Avseende huruvida dataskyddsförordningen har påverkat personers känsla av trygghet, när det gällde att dela information digitalt, så uppgav majoriteten, 75%, att de inte upplevde någon skillnad jämfört med tidigare. 14% angav att de kände sig tryggare, medan 4% kände sig mindre trygga.
17
hanteras så hade fyra respektive tre procent av respondenterna bett om detta. 2% hade bett om att få sin personliga information överförd till en annan leverantör eller tjänst, 1% hade frågat om ett beslut fattat om dem var taget av en människa eller ett datasystem.
3.3 Samtycke, användarvillkor och cookies
Som beskrivs under avsnittet GDPR så har förordningen som avsikt att privatpersoner ska kunna fatta informerade beslut om samtycke till hantering av deras personuppgifter. Tillfällena då individen ombedes att avge samtycke till personuppgiftsbehandling är många (Breen, Ouazzane & Patel 2020). Det sker till exempel när en fråga om att acceptera cookies ställs när en hemsida besöks, vid överlämning av personuppgifter för att göra inköp via Internet och vid användning av sociala media, mobiltelefoners operativsystem och många appar (ibid.). Problemet med att privatpersoner ställs inför många frågor om samtycke varje dag tas upp i riktlinjerna avseende samtycke (EDPB 2020). Det anges att detta problem resulterar i en risk för att personerna inte läser den information som tillhandahålls. Enligt GDPR så ligger ansvaret att finna en lösning på problemet hos de personuppgiftsansvariga (ibid.). Det verkar dock som att dessa fortfarande är långt ifrån att hitta en lösning.
När personer ständigtställs inför dialoger så har de en tendens att vänja sig vid att klicka bort dem (Böhme & Köpsell 2010). Istället för att använda en systematisk process för att fatta beslut, i vilken all tillgänglig information tas i beaktande, så används heuristik och bekväma genvägar (Chaiken & Yakoov 1999 se Böhme & Köpsel 2010). Vilken av de två processerna som väljs i en specifik situation beror på typen av beslut, individens grad av engagemang, personens personlighetsdrag och kontextuella ledtrådar, såsom egenskaper hos en samtyckesdialog (ibid.). I en undersökning gjord i april 2020, alltså efter GDPR infördes, visades att majoriteten av de undersökta tjänsterna använde sig av tekniker för att få användaren att acceptera deras cookiepolicy (Mehrnezhad 2020). Ett exempel på en sådan teknik är att inkludera en markerad default-knapp med vilken samtycke ges till all datainsamling på en gång. När en sådan knapp finns tillgänglig accepterar användarna fler datainsamlingssyften (Machuletz & Böhme 2020). Dessa designtekniker har inte fått minskad effekt efter dataskyddsförordningens införande (ibid.).
De flesta samtyckesnotiser innehåller en länk till en integritetspolicy eller en sida som innehåller ytterligare information om cookieanvändning (Utz m fl 2019). Många av dessa dokument innehåller dock ingen information om syftet med datainsamlingen eller vem som har tillgång till insamlade data (ibid.). Det finns dock indikationer på att det har skett en viss förbättring jämfört med innan införandet av GDPR när det gäller hur den information som ges täcker områden som är relevanta i förhållande till förordningen (Linden, Khandelwal, Harkous & Fawaz 2020). Integritetspolicys tenderar dock att ha blivit längre, troligen som en konsekvens av att policyerna nu behöver innehålla mer information (ibid.). Forskning visar dock att användare sällan läser integritetspolicys (Steinfeld 2015).
18
sekretesspolicys, är att de är för långa, medan nästan tre av tio tyckte villkoren var otydliga och svåra att förstå.
Vanberg (2020) för fram argumentet att GDPR inte fullt ut klarar av att tackla problemet med maktobalansen mellan privatpersoner och personuppgiftsansvariga. En person kan välja att inte godkänna de villkor som erbjuds av ett företag. Nekandet kan dock leda till att personen inte kan använda sig av tjänsten, vilken kan vara nödvändig för personen. Möjligheten till valfrihet när det gäller samtycke blir därmed väldigt begränsad, vilket kan leda till att personer går med på personuppgiftsbehandling som de annars inte hade gått med på. Även om personen vet att villkoren inte respekterar dess integritet så har den i praktiken väldigt liten förhandlingskraft.
3.4 Integritetsparadoxen
Forskning kring integritetsparadoxen påbörjades under 2000-talet (Barnes 2006; Norberg, Horne och Horne 2007). Brown (2001) studerade internetupplevelsen i förhållande till användarnas oro för integritet och säkerhet. I studien upptäcktes ett avvikande beteende där individer utrycker oro över kränkning av deras integritet men väljer ändå att frivilligt dela sina personliga uppgifter, ett paradoxalt beteende. Fastän det fanns forskning som bekräftade teorin om integritetsparadoxen var själva begreppet ännu ej etablerat. Termen integritetsparadox var något som Norberg, Horne och Horne (2007) grundade.
Kokolakis (2015) genomförde en studie för att ta reda på om människor verkligen bryr sig om sin integritet. För att ta reda på detta analyserade Kokolakis (2015) ett flertal olika studier som har forskat om integritetsparadoxen. Det har visat sig att forskning om teorin har gett motstridiga resultat, där vissa studier hävdar att integritetsparadoxen existerar medan andra påstår att individers beteende är i linje med deras oro och attityd. Orsakerna till denna motsägelse är komplex och olika studier har hittat bevis som antingen stödjer eller motsäger integritetsparadoxen. När det handlar om det digitala beteendet, som användning av sociala nätverk, finns det bevis som stödjer existensen av integritetsparadoxen (Norberg m fl 2007; Spiekermann, Grossklags och Berendt 2001; Acquisti & Grossklags 2005).
Spiekermann, Grossklags och Berendt (2001) hävdar att internetanvändare prioriterar sin integritet högt men att de inte beter sig i enlighet med den. I deras studie presenteras ett resultat med syfte om att avslöja sambandet mellan integritet och det faktiska beteendet vid e-handel (ibid.). Deltagarna i studien ombads att fylla i ett frågeformulär gällande attityd kring integritet för att sedan besöka en webbutik. På webbutiken fanns det en chatbot som ställde frågor, det visade sig att deltagarna är benägna att besvara personliga frågor fastän de värderade sin integritet högt i frågeformuläret. Acquisti och Grossklags (2005) stödjer detta och hävdar att integritetsrelaterade beslut påverkas av ofullständig information, begränsad rationalitet och fördomar.
19
en avvägning gällande sin integritet, såldes en avvägning mellan den förväntade förlusten av integritet gentemot den potentiella vinsten av avslöjande (ibid.). När den potentiella vinsten av avslöjande är högre än den förväntade förlusten av integritet lämnar individer ut personlig information (ibid.). Vidare menar Kokolakis (2015) att de flesta individerna saknar förmågan att beräkna risker och fördelar vid utlämnade av personuppgifter.
Unga i åldern 15–24 vidtar fler säkerhetsåtgärder för att värna om sin integritet, genom att ge falsk information, begränsa tillgång till deras personliga profil och neka vänförfrågningar (Miltgen & Peyrat-Guillard 2014). Å andra sidan diskuteras det om detta ger den yngre generationen högre kontroll eller om det är en fråga om tillit (Kokolakis 2015). Blank, Bolsover och Dubois (2014) hävdar att den yngre generationen är mer aktiva på internet och har därför en större medvetenhet om potentiella hot och risker. Den äldre åldersgruppen tenderar att ha lägre teknisk kunskap och bristande medvetenhet i jämförelse med den yngre generationen (ibid.).
20
4 Resultat
I detta kapitel presenteras resultatet av enkätundersökningen. Först beskrivs de som svarat på enkäten och därefter deras kunskap om GDPR. På det följer kunskap om personuppgifts-behandling, dataskyddsförordningens påverkan på respondenternas trygghetskänsla och inställning till datainsamling. Därefter redogörs för resultatet på frågorna om vilka aktiva åtgärder respondenterna vidtar för att skydda sin personliga integritet. Sist beskrivs användningen av rättigheter och vad respondenterna har angivit för skäl till varför de inte använder dem i högre utsträckning.
4.1 Demografi
Enkäten besvarades av 225 personer, varav 70 % är kvinnor och 29 % är män. En person angav alternativet vill ej svara på frågan om kön. Denna respondent har räknats bort vid jämförelser innehållande kön, då en person inte utgör ett tillräckligt stort underlag för jämförelser. De flesta av respondenterna är i åldersgruppen 50-64 år och tillsammans med åldersgruppen 40-49 år så utgör de 60% av respondenterna. Både åldersmässigt och könsmässigt så utgör respondenterna således inte ett representativt urval i förhållande till befolkningen som helhet.
16-29 år 30-39 år 40-49 år 50-64 år 65+ år Totalt
53 23 63 72 14 225
24% 10% 28% 32% 6% 100%
Tabell 1. Respondenternas ålder.
45% av respondenterna har examen från högskola/universitet. En av fem har ej eftergymnasial utbildning och var tredje har studerat på eftergymnasial nivå. Lägst utbildningsgrad har personer i åldrarna 16-29 år.
21
4.2 Kunskap om GDPR
På en fråga om respondenternas uppskattade kunskap om GDPR anger majoriteten att de har kännedom om GDPR. Av samtliga respondenter anser 27% att de känner till förordningen mycket bra. Därefter anser 52% att de känner till den ganska bra. Sex respondenter, 3% anser att de knappast känner till någonting och enbart tre personer, 1%, uppger att de aldrig har hört talas om GDPR. Det finns ett samband mellan personens ålder och dess kunskap. För detta samband gäller, när svarsalternativen är sammanslagna till låg eller ingen kunskap respektive ganska eller mycket bra kunskap, att 𝛘2= 22,839, df=4, p <0,001, N=225. Högst är kunskapen hos de mellan 50 och 64 år och de i åldrarna 30-39 år där 89 respektive 87% säger sig ha mycket eller ganska bra kunskap om GDPR och vad den innebär. 84% av de i åldrarna 40-49 år placerar sig själva i samma kategori. Lägst är kunskapen hos personer i åldrarna 16-29 år, 59%, och de äldre än 65 år, 57%.
När det gäller kunskap om att GDPR ger personer särskilda rättigheter svarar 30% att de känner till det mycket bra, medan 46% anser att de känner till det ganska bra. Endast 3 personer, 1%, har aldrig hört talas om detta. Avseende ålder så följer det samma mönster som när det gäller kunskap om GDPR generellt (𝛘2=18,022, df=4, p=0,001, N=225). 87 respektive 85% av de i åldrarna 30-39 år och 50-64 år känner till att GDPR ger dem särskilda rättigheter mycket eller ganska bra. Något färre 79% av de i åldrarna 40-49 år skattade sin kunskap på samma sätt. Lägst var återigen kunskapen hos de i åldrarna 16-29 år och 65+ där 57% ansåg sin kunskap vara mycket eller ganska bra.
Kunskapen om GDPR ökar med utbildningsnivån (𝛘2=12,707, df=2, p=0,002, N=225). Av de respondenter som har examen från högskola/universitet så var det 87% som ansåg att deras kunskap var ganska eller mycket hög, av de med eftergymnasiala studier var det 77% och av de utan eftergymnasiala studier var det 62% som ansåg detsamma.
22
Figur 2. Fördelning över andelen av respondenterna som har hört talas om de olika rättigheterna. Bastal 225. Även på denna fråga går det att se ett samband mellan kunskap och ålder (𝛘2=55,625, df=32,
p=0,006, Spearman: r=0,229, p <0,001, Pearson: r=0,229, p <0,001) och att kunskapen ökar
med utbildningsnivån (𝛘2=32,943, df=16, p=0,008, Spearman: r=0,263, p <0,001, Pearson:
r=0,275, p <0,001). Personer som är 30 år eller äldre har hört talas om fler av de rättigheter
som det frågas om. Högst var kunskapen hos de i åldrarna 40-49 år där 81% hade hört talas om fem eller fler, jämfört med 43% av de i åldrarna 16-29 år. När det gäller utbildning så hade 79% av de som har examen från högskola/universitet hört talas om fem eller fler. Detsamma gällde 60% av de med eftergymnasiala studier och 48% av de med som mest en gymnasieexamen.
4.3 Kunskap om personuppgiftsbehandling
Sex av tio av respondenterna anser sig ha ganska eller mycket hög kunskap om hur deras personuppgifter kommer att användas när de överlämnas till företag, myndigheter eller organisationer. Det finns ett samband mellan kunskap och ålder (𝛘2=13,857, df=4, p=0,008,
N=225). Kunskapen är högst hos personer i åldersgrupperna mellan 30 och 64 år i vilka över
65% har ganska eller mycket hög kunskap. Lägst är kunskapen bland dem i åldrarna 16-29 år av vilka 60% anser att de har låg eller ingen kunskap.
Endast en liten andel, 5%, känner inte till att det de gör på internet registreras och kan säljas vidare till andra företag i syfte att anpassa reklam. Något fler, 8%, känner inte till att appar i mobilen kan innebära att företag kan följa hur de fysiskt förflyttar sig.
Högre kunskap inom detta område reflekteras i en högre kunskap om GDPR och dess rättigheter
23
4.4 Känsla av trygghet
84% av respondenterna känner någon form av oro inför att deras personuppgifter används av organisationer. De flesta av dessa anger att de upplever viss oro, medan 14% känner ganska stor oro och 7% mycket stor.
Mycket stor oro Ganska stor oro Viss oro Ingen oro Totalt
15 31 143 36 225
7% 14% 64% 16% 100%
Tabell 2. Hur respondenterna känner inför att deras personuppgifter används av organisationer.
På en fråga där respondenterna fick ange vilka av ett antal olika alternativ de kände oro inför så var det endast 7% som angav att de inte kände oro inför något av alternativen. Det som de allra flesta kände sig oroliga inför var att drabbas av olagligt intrång där hackare, kriminella eller andra obehöriga skulle komma åt de personuppgifter som finns hos myndigheter och företag. 64% kände sig oroliga över att deras personuppgifter ska komma att användas på ett sätt de inte är bekväma med. 56% kände sig oroliga över att appar i mobilen kan innebära att företag kan följa hur de fysiskt förflyttar sig. Lika många kände oro över att person-uppgifterna kan delas eller föras vidare till andra företag eller organisationer. 53% kände sig oroliga för att deras uppgifter kan säljas vidare med syfte att anpassa reklam. Samma antal kände oro över att personuppgifterna ska överföras till ett land utanför EU.
24
När det gäller hur GDPR har påverkat känslan av trygghet vid delning av personuppgifter digitalt anger majoriteten, 71 %, att de inte känner någon skillnad jämfört med tidigare. 20 % anger att de känner sig tryggare och 5 % känner sig mindre trygga. Andelen som känner sig tryggare efter förordningens införande ökar med kunskapen om GDPR (𝛘2=12,598, df=6, p
<0,05, Spearman: r=0,204, p=0,003, Pearson: r=0,209, p=0,002; N=216, svarsalternativet Vet
ej exkluderat), 32% av dem som anser att de känner till GDPR mycket bra känner sig tryggare. GDPRs påverkan på trygghetskänslan Aldrig hört talas om Känner knappast till något om
Känner till lite Känner till ganska bra Känner till mycket bra Totalt Mer trygg 0 0 4 21 19 44 0% 0% 10% 18% 32% 20% Ingen skillnad 0 2 31 88 39 160 0% 33% 78% 76% 65% 71% Mindre trygg 0 1 3 6 2 12 0% 17% 8% 5% 3% 5% Vet ej 3 3 2 1 0 9 100% 50% 5% 1% 0% 4% Totalt 3 6 40 116 60 225 100% 100% 100% 100% 100% 100%
Tabell 3. Sambandet mellan kunskap om GDPR och hur GDPR har påverkat trygghetskänslan.
4.5 Inställning till datainsamling
För att få ett mått på hur inställningen avseende insamling av personuppgifter ser ut ställdes två frågor. Den första frågan gällde huruvida personen såg det som positivt att företag samlar in information om dem för att kunna förbättra sina tjänster. 60% av respondenterna angav antingen 1, 2 eller 3 på en skala mellan 1 och 7, där 1 motsvarar instämmer inte alls och 7 instämmer helt. Majoriteten ser således personuppgiftinsamling som i någon grad negativt. Åt andra hållet är det 22% som har svarat 5, 6 eller 7 och således ser insamlingen som i någon grad positivt. Det är dock bara 3% som ser personuppgiftsinsamling som något helt och hållet positivt.
Därefter fick respondenterna ta ställning till hur de upplever valmöjligheten när det gäller att dela med sig av sin personliga information. Frågan som ställdes var om respondenten ofta upplevde att den inte hade något val när det gäller att dela med sig av personuppgifter. 73% anger att de i någon mån instämmer. Var fjärde person instämmer helt med att de ofta inte har något val. Endast en procent instämmer inte alls.
25
4.6 Vidtagande av aktiva åtgärder
Det här avsnittet beskriver resultatet på de enkätfrågor som behandlar vad respondenterna gör för att skydda sin personliga integritet.
4.6.1 Läsande av användarvillkor
Det är endast 3% av respondenterna som anger att de alltid läser användarvillkoren, medan 30% säger sig aldrig läsa villkoren. Majoriteten, 60%, läser villkoren väldigt sällan eller ibland.
Figur 4. Svar på frågan: Läser du användarvillkor när du registrerar dig på en sajt eller laddar ner en app? Bastal 225.
För att undersöka sambandet mellan läsande av användarvillkor och andra variabler så slogs svarsalternativen sällan och ibland respektive ofta och alltid ihop. Det finns ett samband mellan läsande av användarvillkor och ålder (𝛘2=21,072, df=8, p=0,007, N=225). 53% av de i åldrarna 16-29 år läser aldrig användarvillkoren, jämfört med drygt 20% i övriga ålderskategorier och 7% av de äldre än 65 år. Tillsammans med dem som är äldre än 65 år så är kvinnor överrepresenterade bland dem som i större utsträckning läser villkoren. 41% av männen jämfört med 25% kvinnorna läser aldrig villkoren (𝛘2=7,204, df=2, p=0,027, N=224). Personer som upplever ganska eller mycket stor oro avseende personuppgiftsbehandling är mer benägna att läsa användarvillkoren ofta eller alltid än de som inte upplever lika stor oro (𝛘2=14,232, df=6,
p=0,027, N=225). 33% av dem som är mycket oroliga och 19% av dem som är ganska oroliga
läser användarvillkoren ofta eller alltid jämfört med 8% av dem som upplever viss oro.
Av dem som säger sig läsa användarvillkoren så uppger majoriteten, 78%, att de skummar igenom hela eller delar av villkoren. Endast två personer läser villkoren noggrant och ser till att förstå vad som står i dem. 16% läser vissa delar och 5% läser igenom hela. Personer över 40 år är mer benägna att åtminstone skumma igenom hela användarvillkoren (𝛘2=41,660, df=20,
p=0,003, N=225, 50% av cellerna har en förväntad fördelning mindre än 5).
26
personer som angett detta alternativ har inte i större utsträckning angett att de inte läser villkoren för att de har förtroende för organisationen. Totalt är det 29% av de som svarat, som anger förtroende för företaget som ett skäl till att de inte läser.
Figur 5. Svar på frågan: Om du inte läser användarvillkoren, av vilka skäl läser du dem inte? Bastal 208. På denna fråga kunde respondenterna själva ange ett svar och det var tio personer som valde att göra så, samtliga svar finns i Bilaga 2. Det vanligaste svaret var någon form av att de inte upplever att de har något annat val än att acceptera. Då de antingen har behov av tjänsten eller appen eller för att de vill ha tillgång till tjänsten som erbjuds. Övriga svar bestod i att texten är skriven på ett sådant sätt att det är svårt att förstå vad den betyder och att texten är för lång, för liten och för komprimerad.
4.6.2 Cookies
72% av respondenterna väljer, när de ställs inför en fråga om de accepterar cookies, att acceptera och klicka bort dialogrutan utan att läsa. 9% läser igenom villkoren och anpassar inställningarna baserat på vad som står i dem.
Figur 6. Svar på frågan: Hur brukar du agera när du besöker en hemsida och du får frågan om du accepterar
27
Respondenterna fick även svara på en fråga om hur de hanterar cookies i övrigt. 56% anger att de tillåter vissa cookies av bekvämlighetsskäl och 33% gör ingenting för att begränsa cookies. 22% av respondenterna säger att de inte förstår sig på cookies.
Figur 7. Svar på frågan: Markera alla alternativ som stämmer in på hur du hanterar cookies. Bastal 225. Personer som upplever ganska eller mycket stor oro inför personuppgiftsbehandling är mer benägna att vidta åtgärder för att begränsa cookies, 94% av dem som är ganska oroliga och 87% av dem som är mycket oroliga vidtar åtgärder jämfört med 64% av dem som inte känner sig oroliga (𝛘2=16,266, df=3, p=0,001, N=225).
För att undersöka om det fanns samband mellan hur personer agerar när de ställs inför en cookiedialog och hur personerna hanterar cookies i övrigt så slogs svarsalternativet “Väljer att lämna hemsidan” samman med alternativet “Annat” och alternativet “Läser igenom villkoren och anpassar...” slogs ihop med “Läser inte villkoren men väljer...”.
28
4.6.3 Hur viljan att läsa villkor påverkas av mängden av dem
För att finna ytterligare skäl till att personer väljer att inte läsa användarvillkor och cookiepolicys ställdes en fråga, om huruvida det faktum att de måste ta ställning till insamling av personuppgifter, via cookiepolicys och användarvillkor, så ofta påverkar deras vilja att läsa igenom informationen. 63% instämmer i någon mån att detta har en inverkan, varav 36% av respondenterna instämmer helt med att det påverkar deras vilja.
När det gäller cookiepolicys så väljer de personer som i högre grad upplever att deras vilja att läsa inte påverkas, att i större utsträckning acceptera och klicka bort cookiefrågor utan att läsa dem. Medan det bland dem som i högre grad håller med om att deras vilja att läsa påverkas är vanligare att personen läser cookiepolicyn och anpassar inställningarna. Denna grupp väljer även i högre utsträckning att anpassa inställningarna även om de inte läser villkoren.
(𝛘2=38,656, df=24, p=0,03, N=225)
4.6.4 Tillgång till geografisk position
På en fråga om huruvida respondenterna begränsar appars och sajters tillgång till position så svarar de allra flesta, 65%, att det beror på vilken app det rör sig om. 11% anger att de inte begränsar tillgången till sin position.
Figur 8. Svar på frågan: Begränsar du appars och sajters behörighet så att de inte kan se var du befinner dig? Bastal 225.
De som är över 65 år anger i större utsträckning att de inte begränsar tillgång. 50% av dem har angett detta alternativ och ytterligare 14% har angett att de inte vet om de gör det eller inte. Samtliga av personerna i åldrarna 30–39 år begränsar i någon mån tillgång till deras position, de flesta, 83%, anger att det beror på vilken app eller sajt det rör sig om. (𝛘2= 40,540, df=12, p
<0,001, N=225, 45% av cellerna har en förväntad fördelning mindre än 5).
Oro inför personuppgiftsbehandling har betydelse för om en person begränsar tillgång eller inte. Personer som känner ganska eller mycket stor oro har i högre grad svarat ja på frågan om de begränsar tillgång till position, 44% av dem begränsar tillgången jämfört med 15% av dem som
29
exkluderat). Det går dock inte att se någon skillnad i beteendet hos de som har uttryckt oro
specifikt inför att företag har tillgång till deras platsinformation.
Det i särklass vanligaste skälet till att respondenterna tillåter att en tjänst har tillgång till deras position är att det är väsentligt för dess funktion. 82% anger detta skäl.
Figur 9. Svar på frågan: Vad får dig att acceptera att en app/sajt har tillgång till information om var du befinner
dig? Bastal 225.
De som säger sig inte begränsa tillgång till position anger i högre utsträckning att de inte vet hur man gör eller att de inte bryr sig. Var tredje vet inte hur man gör och var fjärde bryr sig inte. Med svarsalternativet Vet ej exkluderat så är 𝛘2=52,583, df=6, p <0,001, N=218, 58% av
cellerna har en förväntad fördelning mindre än 5. För att kunna undersöka sambandet med Pearson r så skapas tre dikotoma variabler, där det ena variabelvärdet (1) representerar att svarsalternativet “...vet inte hur jag begränsar...”, “...bryr mig inte...” respektive Nej [begränsar inte], har valts och det andra (0) att respektive alternativ inte har valts. Det går att se ett svagt samband mellan begränsning av tillgång till position och kunskap om hur man begränsar (r=0,244, N=225, p <0,001) och ett något starkare samband mellan begränsning och huruvida en person bryr sig (r=0,345, N=225, p <0,001).
Personer som är äldre än 65 år är överrepresenterade bland de, 11% av respondenterna, som inte vet hur man begränsar tillgången till position. 43% av de 65+ vet inte hur de ska göra för att begränsa tillgången (𝛘2=16,177, df=4, p=0,003, N=225, när den dikotoma variabeln som
beskrivs ovan används).
30
4.6.5 Avstående från användning av tjänst
Drygt hälften av respondenterna anger att det händer att de avstår från att använda en digital tjänst för att det känner sig osäkra på hur deras personuppgifter används. Samtidigt säger en dryg tredjedel att de inte avstår.
Det finns ett samband mellan personens ålder och huruvida en person avstår från att använda en tjänst (𝛘2=8,301, df=4, p=0,081; Spearman: r=0,163, p=0,018; Pearson: r=0,176, p=0,011;
N=210, svarsalternativet Vet ej exkluderat). Personer i åldrarna 16-29 år avstår i mindre mån
än andra grupper från att använda tjänster de känner sig osäkra på. Ungefär hälften av dem använder tjänsten oavsett osäkerhet. När det gäller de som är över 65 år avstår, å andra sidan, åtta av tio. Även personer som känner oro avseende personuppgiftsbehandling avstår i större utsträckning från att använda en tjänst (𝛘2=15,029, df=3, p=0,002, N=210). Bland dem som känner sig mycket oroliga är det 93% som väljer att avstå och bland dem som känner ganska stor oro är det 77%. Av dem som inte känner sig oroliga anger 42% att det händer att de avstår. På en uppföljande fråga, om varför respondenterna använder en tjänst trots att de är osäkra på hur deras personliga information hanteras, så är det endast 5% som anger att de inte använder sådana tjänster. Andelen som aldrig använder en tjänst de inte litar på är således betydligt mindre än de 56% som säger att det händer att de avstår. Det vanligaste svaret till varför personerna trots allt använder en tjänst är att de har behov av att använda den, 66% har angett detta alternativ. De som har valt detta alternativ är underrepresenterade bland dem som har angett att de använder en tjänst om fördelarna med denna överväger riskerna, med 44% jämfört med 61% (𝛘2=5,752, df=1, p=0,016, N=225).
Sammanlagt anger 49% av respondenterna att de använder en tjänst även om de är osäkra på hur deras personuppgifter kommer att användas om de anser att fördelarna överväger riskerna.
Figur 10. Svar på frågan: Vilka är skälen till att du använder en tjänst trots att du är osäker på hur din
31
4.6.6 Samband mellan de olika åtgärderna
Personer som vidtar åtgärder inom ett område tenderar att göra så i högre grad inom även de andra. 75% av dem som ofta eller alltid läser användarvillkor väljer att avstå från en tjänst om de känner sig osäkra på hur deras personuppgifter hanteras (𝛘2=6,881, df=2, p=0,032, N=210,
svarsalternativet Vet ej exkluderat). Av dem som läser igenom cookiepolicys och de som inte
läser men väljer den inställning som samlar minst information så läser 20% användarvillkor ofta eller alltid (𝛘2=14,668, df=4, p=0,005, N=225). 77% av dem som begränsar appars och sajters tillgång till deras platsinformation anger att det händer att de avstår från en tjänst om de känner sig osäkra på hur deras personuppgifter behandlas (𝛘2=7,702, df=2, p=0,021, N=203,
exklusive svarsalternativen Vet ej).
Oro och ålder har en inverkan på vilka åtgärder en person vidtar. De som är över 65 år och de som är i åldrarna 16-29 år uppvisar de största skillnaderna både relativt varandra och relativt de övriga åldersgrupperna. De som är 16-29 år läser i högre grad inte användarvillkor, medan de äldre än 65 år läser dem i högre utsträckning. Mönstret upprepas när det gäller i vilken utsträckning personerna väljer att avstå från att använda en tjänst man känner osäkerhet inför. De som är äldre än 65 år väljer att avstå medan 16-29 åringarna väljer att använda tjänsten ändå. De som är äldre än 65 år är dessutom mindre benägna än andra att begränsa tillgången till deras position. Detta beror till stor del på att de inte har kunskap om hur man gör.
Personer som känner mycket eller ganska stor oro, avseende personuppgiftsbehandling, avstår i högre grad från att använda en tjänst när de är osäkra på hur personuppgifterna kommer att användas. Likaså är de mer benägna att begränsa tillgången till deras position, vidta åtgärder för att begränsa cookies och läsa användarvillkor.
4.7 Användande av rättigheter
52% av respondenterna säger sig ha använt den rättighet som handlar om att personer har rätt att begära att användandet av deras personuppgifter begränsas. Näst mest använd är rätten att invända mot att personuppgifter används, vilken 37% säger sig ha använt. Därefter kommer rätten att begära att personuppgifter raderas med 21%. 11% har använt rättigheterna att få veta vilka personuppgifter en organisation har och 9% har begärt att få felaktiga personuppgifter rättade. 4% har begärt information om hur en organisation använder deras personuppgifter och något färre, 3%, har begärt att få sina personuppgifter återlämnade eller överförda till ett annat företag. Minst använd är rätten att få veta om ett beslut är taget av en människa eller av ett datasystem, vilken 2% har använt sig av.
32
Figur 11. Fördelning över vilka rättigheter respondenterna har använt sig av. Bastal 225.
För tre av rättigheterna går det att se att användandet ökar med kunskapsnivån avseende GDPR, rätten att få veta vilka personuppgifter en organisation har, rätten att få person-uppgifter rättade och rätten om dataportabilitet. För sambandet mellan kunskapsnivån och rätten att veta vilka personuppgifter en organisation har så gäller att 𝛘2=6,111, df=4, p=0,191, Spearman: r=0,158,
p=0,018 och Pearson: r=0,157, p=0,018, för sambandet med rätten att få personuppgifter
rättade, 𝛘2=9,217, df=4, p=0,056, Spearman: r=0,199, p=0,003 och Pearson: r=0,188, p=0,005
och för rätten om dataportabilitet 𝛘2=5,438, df=4, p=0,245, Spearman: r=0,148, p=0,026 och
Pearson: r=0,136, p=0,042. Begärt att få veta
vilka personuppgifter en organisation har Aldrig hört talas om Känner knappast till något om
Känner till lite Känner till ganska bra Känner till mycket bra Totalt Begärt 0 0 1 14 10 25 0% 0% 3% 12% 17% 11% Inte Begärt 3 6 39 102 50 200 100% 100% 98% 88% 83% 89% Totalt 3 6 40 116 60 225 100% 100% 100% 100% 100% 100%
Tabell 4. Sambandet mellan kunskap om GDPR och begäran att få veta vilka personuppgifter en organisation har.
33
Personerna i åldrarna 50-64 år har i högre grad använt sig av någon av rättigheterna, 79% av dessa har använt minst en av rättigheterna.
Hur orolig en person känner sig inför personuppgiftsbehandling påverkar användandet
(𝛘2=7,272, df=3, p=0,064, Spearman: r=-0,178, p=0,007, Pearson: -0,179, p=0,007, N=225).
Andelen av dem som inte känner sig oroliga som har använt minst en rättighet uppgår till 56%. Andelen som använt en rättighet ökar till 87% av dem som upplever mycket stor oro. Personer som känner sig oroliga har även i högre grad använt sig av fler av rättigheterna (𝛘2=0,057,
df=21, p=0,057, Spearman: r=0,226, p <0,001, Pearson: r=0,256, p <0,001).
Ingen oro Viss oro Ganska stor oro Mycket stor oro Totalt
Använt någon rättighet 20 97 25 13 155
56% 68% 81% 87% 69%
Inte använt någon rättighet 16 46 6 2 70
44% 32% 19% 13% 31%
Totalt 36 143 31 15 225
100% 100% 100% 100% 100%
Tabell 5. Sambandet mellan oro inför personuppgiftsbehandling och användande av någon rättighet.
4.8 Respondenternas skäl till varför de inte använder rättigheterna
Det kom in 81 svar på enkätens sista avslutande öppna fråga. Frågan som ställdes var om det fanns något skäl till varför personen inte hade använt någon av de rättigheter den har genom dataskyddsförordningen. 49 personer av dem som svarade på frågan har använt någon/några av rättigheterna. 16 personer svarade att de inte hade något skäl. Åtta av dessa har inte använt någon rättighet.
Sex teman identifierades bland de 65 svar som angav ett skäl. Några av respondenterna angav fler än ett skäl. Det vanligaste svaret som gavs var okunskap. En knapp tredjedel angav detta skäl. En av fyra hade inte känt något behov av att använda någon av rättigheterna. En av fem angav att de tyckte det var krångligt och svårt att förstå. Nästan lika många konstaterade att de helt enkelt var för lata. Fyra personer bryr sig inte tillräckligt och tre personer angav en brist på tid som skäl.
Okunskap Krångligt Lathet Inget behov Bryr sig inte Tid
20 13 12 16 4 3
31% 20% 18% 25% 6% 5%
