Hur långt räcker 30 miljoner?

Datainspektionen räknar med att ta emot fler än 15 000 anmälningar per år när de nya dataskyddsreglerna börjat gälla. Myndigheten har tidigare flaggat för att man kommer behöva nyanställa och investera i ny teknik för att ”vara på banan som en fungerande tillsynsmyndighet”.

Regeringen föreslår nu att Datainspektionens anslag ska höjas med 30 miljoner kronor och att myndighetens stödjande och rådgivande roll ska förtydligas. 50 anställda ska bli 100. Myndigheten, som föreslås byta namn till Integritetsskyddsmyndigheten, ska också rapportera till regeringen om utvecklingen på integritetsskyddsområdet.

Givet de utmaningar myndigheten, och alla som hanterar personuppgifter, står inför är det välkommet att anslagen höjs. Vi välkomnar också det bredare anslaget med fokus på ny teknik och utveckling av nya digitala tjänster.

Datainspektionens chefsjurist Hans-Olof Lindblom deltog i en paneldiskussion om bl a dataskyddsmyndigheternas resurser vid Nordic Privacy Arena 2017:

Tillskottet till kassan kommer dock i elfte timmen. Det råder idag akut brist på dataskyddsspecialister. Datainspektionen har pekat på behovet länge. men står nu med några månader kvar till att dataskyddsförordningen börjar gälla inför utmaningen att rekrytera (och behålla) kvalificerad personal i tuff konkurrens med företag och andra myndigheter.

Utöver detta tror vi mot bakgrund av de framställningar Datainspektionen gjort tidigare att det kommer behövas ytterligare anslag för att hantera anmälningar och utöva tillsyn, hantera incidentrapporter, för att stärka kommunikationsarbetet och den tekniska plattformen och för att bedriva utbildningsverksamhet. Till detta kommer, som regeringen skriver, arbetet med att hantera och möjliggöra utveckling inom exempelvis artificiell intelligens och big data. Automatiserade beslut, smarta städer, ansiktsigenkänning och blockchainapplikationer på dataskyddsområdet är idag realiteter. Här bör etiska frågor vägas in.

Liksom hos många företag riskerar det nu att bli ett sent uppvaknande inför den 25 maj. Vi hoppas att det inte stannar där, utan att regeringen nu exempelvis långsiktigt verkar för att säkra tillgången på kompetens. Vi planerar för egen del en rad aktiviteter just på temat kompetensförsörjning på dataskyddsområdet under 2018. Vi hoppas också att tillsynsmyndigheten får mandat och resurser att inta en aktiv roll i såvål den nationella som den internationella dialogen om dataskydd, exempelvis genom aktiv närvaro i Artikel 29-gruppen och genom samarbete med forskare.

Om Sverige skall bli världsledande inom digitalisering måste tillsynsmyndigheten ges möjlighet att bli en ledare inom dataskydd och integritet. Att rapportera torde ingå varje tillsynsmyndighets uppdrag. Men kanske är uppdraget att rapportera om vad som händer på integritetsskyddsområdet ett tecken på att regeringen, i likhet med många företagsledningar,  blivit mer villig att lyssna på de som arbetar med frågorna.

Fredrik Svärd
Generalsekreterare Forum för dataskydd
fredrik.svard@dpforum.se

Otillräcklig DD av dataskyddet kan riskera bli dyrt – eventuella sanktioner mot hotellkedja

I slutet av 2018 upptäcktes och offentliggjordes en läcka av personuppgifter hänförliga till 339 miljoner gästregistreringar från hotellkedjan Marriott, av vilka drygt 30 miljoner anses härröra till personer inom EES-området, enligt ICO. Läckans ursprung antas hänföras till intrång i Starwoods system under 2014. Marriott förvärvade därefter Starwood 2016, men exponeringen av gästinformationen upptäcktes inte förrän 2018. ICO har tidigare konstaterat att Marriotts ”due diligence” (DD) var bristfällig vid förvärvet av Starwood och att läckan åtminstone borde ha upptäckts efter uppköpet. Marriott köpte därmed på sig en risk när de förvärvade kedjan med bristfälligt dataskydd och inte företog ett tillräckligt dataskyddsarbete.

ICO har utfärdat en bot på 1,17 miljarder kronor till Marriott för brott mot dataskyddsförordningen. Marriott har emellertid fortfarande tid att inkomma med synpunkter för att påverka bötesbeloppet, vilket de väntas göra. Tidigare har Marriott uttalat att man anser bötesbeloppet vara orättmätigt eftersom de också samarbetat med ICO. ICO menar däremot att en organisation har ett fullständigt ansvar för de personuppgifter som de förfogar över, även om uppgifterna var en del av ett uppköp eller en företagsfusion. 

Mer information: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

Facit för Datainspektionens verksamhet under GDPR-året

För drygt ett år sedan föreslog regeringen att Datainspektionens anslag skulle höjas med 30 miljoner kronor. Vi bedömde då att myndigheten sannolikt kommer behöva ytterligare anslag för att kunna hantera anmälningar och incidentrapporter, och även för att stärka kommunikationsarbetet och den tekniska plattformen.

Kraftig ökning av ärenden – som väntat

Av Datainspektionens årsredovisning för 2018 framgår nu att antalet inkommande ärenden ökat från ca 8 000 till ca 25 000. Myndigheten tog emot 2 262 incidentrapporter och ca 1 800 klagomål från enskilda (att jämföra med omkring 250 2017).

Myndighetens medarbetare besvarade 8 500 frågor via telefon och närmare 11 000 skriftliga frågor. 16 000 samtal nådde inte fram, detta trots att antalet medarbetare ökade från 57 till 87 under året.

Svårt behålla kompetens

Parallellt med nyrekryteringen gick många vidare till andra uppdrag. En förklaring uppges vara den ökade efterfrågan på dataskyddskompetens. Enligt årsredovisningen har 70 procent av medarbetarna varit anställda kortare tid än 18 månader.

Datainspektionen konstaterar vidare att myndighetens eget digitaliseringsarbete kommer kräva fortsatta investeringar.

Läs också: Hur långt räcker 30 miljoner?

2 500 incidentrapporter sedan 25 maj

Enligt en undersökning från DLA Piper har europeiska dataskyddsmyndigheter tagit emot omkring 59 000 incidentrapporter sedan dataskyddsförordningen började gälla.

Datainspektionen ska ha tagit emot omkring 2 500 anmälningar, nästan dubbelt så många som franska CNIL. Sverige placerar sig på delad sjätteplats sett till antalet anmälningar efter Irland, Tyskland, Storbritannien, Irland och Danmark.

Enligt rapporten har 91 beslut om sanktionsavgifter fattats sedan den 25 maj 2018.

Läs också: Hur långt räcker 30 miljoner?

 

Hon är Datainspektionens nya generaldirektör

Regeringen utsåg på torsdagen Lena Lindgren Schelin till ny generaldirektör och chef för Datainspektionen. Hon tillträder den 1 mars i år. Lindgren Schelin är idag chefsjurist vid Ekobrottsmyndigheten, där hon bl a arbetat med omställningen inför att dataskyddsförordningen börjar gälla.

Eva Håkansson har tjänstgjort som tillförordnad generaldirektör sedan Kristina Svahn Starrsjö lämnade posten för att bli justitieråd i Högsta förvaltningsdomstolen.

Regeringen meddelade nyligen att Datainspektionen ska få ytterligare 30 miljoner kronor i anslag och att myndigheten ska byta namn till Integritetsskyddsmyndigheten.

 

Grekisk sanktion mot PwC

Den grekiska dataskyddsmyndigheten utdelade den 30 juli 2019 en sanktion på 150 000 euro (motsvarar ca 1,5 miljoner SEK) till PwC på grund av olagligt användande av personuppgifter om anställda.

Den grekiska dataskyddsmyndigheten bedömde i ett tillsynsbeslut att PwC hade använt personuppgifter i strid med flera grundläggande principer för personuppgiftsbehandling. De bedömde även att personuppgiftshanteringen till det yttre såg ut att skötas på ett lagligt sätt trots att den egentligen inte gjorde det. Förutom sanktionen på 150 000 euro krävde den grekiska dataskyddsmyndigheten att personuppgiftshanteringen av de anställdas personuppgifter inom tre månader skulle följa regelverket i GDPR. Enligt den grekiska dataskyddsmyndigheten ansågs sanktionen vara effektiv, proportionerlig och avskräckande.

Mer information här: https://www.gamingtechlaw.com/2019/07/pwc-greek-gdpr-fine.html

“Demokratin rämnar och det är Facebooks fel”

 

Gråmulen januarimorgon i Bryssel. Jag gör sällskap med en handfull konsulter och forskare till kommunen Schaarbeek och privacykonferensen CPCP. Det har gått någon vecka sedan franska CNIL meddelade att Google ska betala omkring en halv miljard kronor i sanktionsavgift. Panoptykon Foundation har just anmält samma företag för otillåten personuppgiftsbehandling kopplad till annonsering.

Under konferensens hashtag diskuteras nyheten om att Apple blockerat Facebook Research, en app som ska ha använts för att samla in bl a platsdata, konversationer och sökhistorik. De stående samtalsämnena är just de återkommande skandalerna, EU-valet i maj och inte minst Facebooks och Googles närvaro vid konferensen. Själv har jag just varit värd för ett seminarium om plattformsföretagens samhällspåverkan, vid vilket författaren och analytikern Mattias Beijmo tecknade en helt annan bild av Facebooks datahantering än den företagets VD Mark Zuckerberg målar upp i en debattartikel i Expressen.

– Demokratin rämnar under oss och det är Facebooks fel, suckar en ung konsult. Hon är inte ensam. Liknande tongångar hörs från lagstiftare, professorer, företrädare för tillsynsmyndigheter och även företag längre ner på listan över sponsorer. En återkommande uppfattning är att plattformarna söker rikta fokus mot enkla lösningar och från sådant som microtargeting, bit requests, ad auctions, profilering, inhämtande av samtycken och frågan om självreglering kontra lagstiftning.

– Vad ska de säga? GDPR går på tvärs mot själva affärsmodellen, säger konsulten.

Europeiska datatillsynsmannen Giovanni Buttarelli, en av årets mottagare av EPIC:s International Data Privacy Champion Awards, konstaterar i ett anförande att mytologin kring affärsmodeller som sammankopplat allt och alla börjat tappa sin lyster. Med avstamp i Shoshana Zuboffs nysläppta bok The Age of Surveillance Capitalism och EU:s antitraffickingdirektiv manar han till kamp mot det digitala slaveriet. Företrädare för EU-kommissionen säger med eftertryck att de vill se åtgärder från plattformarnas sida nu, före valet.

Plattformarna är representerade såväl på scen som i mässhallen. I mitten av det som en gång var en marknadsplats för traktens bönder delar Google utbroschyrer med information om insatser för att skydda data i samband med det stundande valet. Project Shield, ett verktyg som skyddar sajter mot DDOS-attacker, kommer exempelvis göras tillgängligt för alla politiska organisationer. Jag får också en dosa för tvåfaktorssautentisering.

Mark Zuckerberg skriver i Expressen att företaget han startade för 15 år sedan strävar mot en värld där makten ligger i människors händer. Facebook säljer inte användares personuppgifter. Transparensverktyg gör det möjligt för användare att se varför annonser visas, polariserande innehåll tas bort. Samtycken hämtades in inför att GDPR skulle börja gälla.

Det är inte försäljning av data kritiker som Harvardprofessorn och författaren Shoshana Zuboff skjuter in sig på, utan just maktförhållandet: Företagen vet inte bara vad användarna gjort utan också vad de kommer att göra. Samtidigt är systemen utformade för att hålla användarna i okunskap och fast i en ny ekonomisk ordning. I förlängningen ersätter algoritmerna de demokratiska institutionerna, offentliga handlingar ersätts av företagshemligheter. Assymetrin saknar motstycke i mänsklighetens historia, menar hon.

Många av de närmare 100 000 anmälningar som ska ha kommit in till tillsynsmyndigheterna rör just plattformsföretagen. CNIL konstaterar i sitt beslut om sanktionsavgift att det är svårt för användare att överblicka hur data hanteras, trots design patterns och transparensverktyg. Datainspektionen har nyligen inlett en egen granskning av företaget (se Datainspektionens presentation från vårt seminarium den 28 januari här). Amerikanska FTC utreder just nu Facebook med anledning av bland annat Cambridge Analytica-skandalen och väntas besluta om rekordsanktioner.

Företagen återkommer till att de anställer medarbetare och vidareutvecklar tekniska verktyg för att identifiera och ta bort otillåtet innehåll. De motsätter sig, på det stora hela, reglering – och det med kraft. Enligt amerikanska medier lade Apple, Microsoft, Facebook, Amazon och Google rekordbelopp på lobbying förra året. Google ska exempelvis ha spenderat 21 miljoner dollar på lobbying enbart i Washington.

Paul Nemitz, direktör vid EU-kommissionen, betonar under konferensen att dataskyddsreformen genomförts trots omfattande lobbying. Åsikterna om huruvida regelverken är tillräckliga eller om det behövs ytterligare lagskärpningar går isär.

Sir Timothy Berners-Lee uppfann webben för 30 år sedan. Idag hör han till skaran som varnar för plattformarnas dominans och som efterlyser regelverk som kan tygla dem. Hans forskningsprojekt Solid, och startupen Inrupt, syftar till att decentralisera webben och ge användare bättre kontroll över hur data används. Macron och Merkel har tidigare talat om behovet av insyn i hur algoritmerna fungerar. Lagstiftare på båda sidor om Atlanten har bett Zuckerberg övertyga dem om att reglering inte behövs. Apples Tim Cook efterfrågade en amerikansk motsvarighet till dataskyddsförordningen när han gästade Bryssel i höstas. För egen del saknar jag en diskussion om huruvida det bör vara tillåtet för plattformar att upplåta utrymme till i praktiken anonyma användare.

Vi lyfte frågan vid Nordic Privacy Arena i november, då med hjälp av representanter för kommissionen, EDPS, Bird & Bird och Mozilla. Vid 2017 års konferens, ett halvår innan Cambridge Analytica-skandalen rullades upp, talade EPIC:s president Marc Rotenberg om dataskydd och demokrati. Vi återkommer till ämnet vid årets konferens, då Googles Global Privacy Officer Peter Fleischer möter bl a företrädare för CNIL.

Vi har kritiserats för att legitimisera företagen genom att ge dem talarplats. Jag förstår invändningen. Samtidigt har det tidigare varit, och är delvis fortfarande, ett problem att plattformarna inte varit närvarande där de här frågorna diskuteras. Jag är fast övertygad om vikten av dialog. Vi kan inte tvinga talare att delta i paneler, och vi kan inte tvinga dem att tala om sådant de inte vill tala om. Men vi kan samla dataskyddsombud och andra som faktiskt styr över hur företagen hanterar data, ministrar, journalister och dataskyddsexperter i samma rum. Och vi kommer aldrig ta emot betalning för talartid.

Den yttrandefrihet och det integritetsskydd vi har idag är resultatet av en dragkamp mellan olika aktörer, exempelvis mellan lagstiftare som velat begränsa det fria ordet och publicister som försvarat det. Idag tar vi för givet att medieföretag deltar i samtalen och även att de berättar om hur de resonerat inför olika beslut. Så har det inte alltid varit. I pressens barndom bestod tidningar, om de kunde kallas det, bokstavligt talat av fake news. Professionaliseringen av kåren, pressetiken och synen på medierna som något mer än vinstdrivande företag – en statsmakt – kom senare.

Nu ser vi en liknande civilisationsprocess, med andra aktörer och andra förutsättningar. Dataskyddsombud och andra experter på området är en viktig röst i sammanhanget. De får en allt starkare ställning och har möjlighet att påverka utvecklingen. Google har exempelvis skrotat en ”censurerad” version av sökmotorn avsedd för den kinesiska marknaden efter interna protester. Men de behöver inte nödvändigtvis agera bromsklossar. De kan bidra till att hitta nya lösningar där teknik och juridik går hand i hand. De lösningarna diskuteras kanske i de lite mindre hörsalarna, men diskussioner pågår.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd

28 January, 2019 17:00 - 20:30  Haymarket by Scandic

Data Protection Day (Stockholm 28 januari)

Fira årets Data Protection Day med oss

Vi uppmärksammar årets Data Protection Day med mingel och föreläsningar om de digitala plattformarnas hantering av personuppgifter, ett ämne vi haft anledning att återkomma till vid flera tillfällen de senaste åren. På måndag diskuterar vi bl a plattformarnas användarvillkor, inhämtanden av samtycke och den senaste tidens uppmärksammade tillsynsärenden. Möt Nazli Pirayehgar (Datainspektionen), Robin Vetter (Fores), Pär Lannerö (Metamatrix), Dag Wetterberg (Wetterberg Advokatbyrå) samt författaren, strategen och analytikern Mattias Beijmo.

Vi presenterar också två nysläppta böcker: Dag Wetterbergs och Monika Wendlebys GDPR – Tillämpa och förstå i praktiken i ny upplaga och Fores antologi Plattformssamhället kommer finnas tillgängliga till medlemspriser.

Talare:

Mattias Beijmo, författare, digital strateg och analytiker

Mattias Beijmo har arbetat i över 20 år med digitalisering och internetteknolo­gi, samt med att tolka och förutspå människors beteenden baserat på deras digitala spår. Han är aktuell med boken De kan inte stoppa oss, utgiven av Volante.

”Facebook har upplevt ett katastrofalt 2018. Skandal efter skandal, och inte den mest lyckade hanteringen av den efterföljande enorma negativa uppmärksamheten i medier världen över. Dessutom har Facebook andra, ständigt pågående utmaningar: Fake news, försök att påverka val och demokrati, näthat, censurfrågor, etc. etc. – precis som vilket land eller jordklot som helst har Facebook frågor om värderingar, policies och lagar som de hittills inte tagit i.

Jag ska försöka sammanfatta fem förslag till Facebook. Det är förslag som inte nödvändigtvis syftar till att hjälpa Facebook att överleva, utan fem punkter för att vår demokrati som vi känner den ska överleva. Facebook är på många sätt den perfekta skärningspunkten av samhället och internet, och på så sätt utmärkt som utgångspunkt för större resonemang.” – Mattias Beijmo

Robin Vetter, Fores

Robin Vetter är assisterande chef för tankesmedjan Fores program Digitala samhället. Robin berättar om Fores studier av de digitala plattformarnas samhällspåverkan, och om den nya antologin Plattformssamhället. Boken innehåller kritiskt diskuterande inlägg författade av experter från en rad olika fält. Bland författarna märks utöver redaktörerna Jonas Andersson Schwarz och Stefan Larsson Joakim Wernberg, Amelia Andersdotter, Darja Isaksson och Pär Lannerö (nedan). Läs mer om boken och författarna här.

Pär Lannerö, Metamatrix

Pär Lannerö är civilingenjör i datateknik och konsult inom digital hållbarhet på Metamatrix AB sedan 1999. Han är en av medförfattarna till Fores antologi om plattformssamhället. Hans kapitel om samtycke har rubriken ”Hur vi avtalade bort både det privata och det offentliga rummet, och hur vi kan få dem tillbaka”.

Pär kommer, precis som i sitt kapitel i antologin, att utgå från projektet CommonTerms som han startade med stöd av bland annat Internetfonden. CommonTerms var en reaktion på det som kallats nätets största lögn: ”Jag har läst och accepterar villkoren”. Projektet har föreslagit en palett av olika insatser som skulle kunna minska behovet av sådana lögner. Dataskyddsreformen har adresserat flera aspekter av problematiken, men inte alla. Utöver reglering behövs nya designmönster, nya typer av verktyg och tjänster, nya roller och nya inslag i utbildningar. Vilka steg kan och bör tas efter GDPR för ett mer hållbart digitalt samhälle?

Nazli Pirayehgar, Datainspektionen

I slutet av 2018 anmälde en rad europeiska konsumentorganisationer Google för att ha behandlat personuppgifter i strid med dataskyddsförordningen. Läs mer om anmälningarna här. Datainspektionen har nu publicerat den tillsynsskrivelse som tillställts Google med anledning av Sveriges Konsumenters klagomål. Parallellt med detta har franska CNIL beslutat att påföra företaget sanktionsavgift om 50 miljoner euro. Nazli Pirayehgar, jurist vid Datainspektionen, informerar om Datainspektionens granskning.

Dag Wetterberg, Wetterberg Advokatbyrå

Dag Wetterbergs och Monika Wendlebys bok GDPR – Förstå och tillämpa i praktiken släpps i dagarna i ny upplaga med bl a fördjupade analyser, genomgång av rättsfall och nya checklistor och andra verktyg. Passa på att mingla med Dag Wetterberg och representanter från Sanoma Utbildning. Vi kan även i år erbjuda Forum för dataskydds medlemmar rabatt på boken, vi informerar om detta under seminariet och i ett separat nyhetsbrev inom kort. Ett begränsat antal exemplar kommer finnas på plats. Läs mer om boken här.

Var: Haymarket by Scandic, Hötorget 13-15, Stockholm
När: Mingel från 17:00, seminarium från 18:00-19:45, därefter fortsatt mingel för den som vill. Tiderna är ungefärliga.

Lättare mat serveras. Observera att vi tar ut en avgift om 300 kr vid frånvaro som inte anmälts senast 24 timmar före eventet. Samtliga priser är exkl. moms.

Välkommen!


Relaterat: 

 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd är ett kompetensnätverk som arbetar med att stärka fokuset på dataskydd. Stärk ditt dataskyddsarbete med kompetens från mer är 750 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart