Juristpodden möter Caroline Olstedt Carlström

Juristpodden besökte Forum för dataskydd vid vår strategikonferens i augusti. Se intervjun med vår ordförande Caroline Olstedt Carlström här:

 

Rätten att bli glömd åter till EU-domstolen

För fyra år sedan beslutade EU-domstolen (C-131/12) att Google skulle avindexera information om en spansk medborgare. Företaget har sedan dess varit involverat i en rad processer rörande den så kallade “rätten att bli glömd”.

Den franska tillsynsmyndigheten CNIL menar att Google måste avindexera information globalt, inte bara i lokala versioner av sökmotorn:

“The right to be delisted is derived from the right to privacy, which is a universally recognized fundamental right laid down in international human rights law. Only delisting on all of the search engine’s extensions, regardless of the extension used or the geographic origin of the person performing the search, can effectively uphold this right”.

Google har nu överklagat ett av CNIL:s beslut till EU-domstolen.

Albine Vincent vid CNIL medverkar som panelist vid årets Nordic Privacy Arena (Stockholm, 12-13 november).

Läs också:

Google förlorar mål om rätten att bli glömd

Finland: Morddömd har rätt att bli glömd

Incidentrapporter och offentlighetsprincipen – hur ska vi ha det?

Datainspektionen har tidigare rekommenderat regeringen att se över bestämmelserna i offentlighets- och sekretesslagen. Kammarrätten i Stockholm har nu prövat ett mål om sekretess för uppgifter rörande incidentrapporter och gett en journalist rätt mot Datainspektionen. Vi menar i likhet med Datainspektionen att lagstiftaren bör staka ut vägen.

De incidentrapporter som lämnas till Datainspektionen blir offentliga om inte annat framgår av offentlighet- och sekretesslagen, OSL. Datainspektionen rekommenderade förra året regeringen att stärka sekretessen, bl a med hänvisning till att rapporter kan innehålla detaljerad information om säkerhetsbrister hos företag och myndigheter. Offentliggöranden kan uppmuntra attacker, menade myndighetens chefsjurist Hans-Olof Lindblom.

Sekretess enligt Datainspektionen

Datainspektionen har sedan dataskyddsförordningen började gälla i maj i år vid flera tillfällen beslutat att inte lämna ut rapporter med hänvisning till sekretess. När Forum för dataskydd begärde att ta få ta del av en incidentrapport i juli meddelade Datainspektionen att sådana handlingar omfattas av sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- och bevakningsåtgärd enligt 18 kap. 8 § 3 OSL, och hänvisade bl a till att incidentrapportering till Post- och telestyrelsen tidigare ansetts omfattas av sekretess enligt bestämmelsen. Sekretessen omfattar inte bara rapporter, utan även uppgifter om ingivarens identitet. Datainspektionen meddelade att en anmälan om en incident inkommit, men avslog begäran om att få ta del av handlingen.

Journalist fick rätt i kammarrätten

Datainspektionen beslutade i juni att inte lämna ut en handling till en journalist med samma motivering. Journalisten överklagade och fick i början av augusti bifall i kammarrätten. Journalisten gjorde gällande att Datainspektionen gjort tolkningen att varje incidentrapport avslöjar brister i IT-system och att myndigheten därmed inte prövar varje handling i förhållande till sekretessen.

Kammarrätten i Stockholm konstaterade att den incidentrapportering som ska ske till Datainspektionen kan innebära en upplysning om att ingivarens IT-system är sårbart för attacker. Den aktuella incidenten avsåg dock inte intrång eller brister i den personuppgiftsansvariges IT-system. Anmälan innehöll inte heller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. Domstolen beslutade därmed att handlingen ska lämnas ut.

Kommentar: Sekretessreglerna bör ses över

Dataskyddsreglerna bör så långt det medges tillämpas på samma sätt i medlemsstaterna. Offentlighetsprincipen syftar visserligen inte enbart till att ge medborgare insyn i den offentliga förvaltningen (prop 1975/76:160 s. 71), men sker inte utlämnanden av uppgifter om incidentrapporter med restriktion kan exempelvis multinationella företag komma att försöka göra anmälningar i andra jurisdiktioner. Även variationer mellan tillsynsmyndigheternas kapacitet kan utnyttjas, och en indirekt konsekvens av det aktuella avgörandet kan bli att Datainspektionen nu får lägga mer tid på sekretessprövningar.

Det är olyckligt om vi halkar in på ett alltför nationellt spår även om det formellt kan synas korrekt mot bakgrund av vår långtgående offentlighetsprincip. Det är därför angeläget att lagstiftaren omprövar och ser över sekretessbestämmelserna i enlighet med Datainspektionens tidigare rekommendation.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd

Ny undersökning: Så används privacy tech-verktygen

I kölvattnet av dataskyddsreformen har en rad startups, och även etablerade konsult- och teknikföretag, lanserat digitala verktyg riktade till experter som arbetar med dataskyddsfrågor. IAPP, som tidigare sammanställt aktörerna på “privacy tech”-området, har nu tillsammans med TrustArc genomfört en enkätundersökning bland 328 köpare av sådana verktyg.

Verktyg för data mapping, personal data discovery och privacy program assessments är populära, visar undersökningen. Färre tycks vara intresserade av verktyg för hantering av samtycke och avidentifiering av persondata. Läs rapporten här.

 

Finland: Morddömd har rätt att bli glömd

För drygt två år sedan överklagade Google ett beslut om att företaget skulle radera information om en man som avtjänat straff för ett mord han begick 2012.

Finlands dataskyddsombudsman Reijo Aarnio menade att integritetsskyddet gjorde sig särskilt starkt gällande då mannen led av en sjukdom, Google att integritetsskyddet fick vika för allmänhetens informationsintresse samt att beslutet innebar en inskränkning av yttrandefriheten.

Högsta förvaltningsdomstolen i Finland har nu beslutat att mannen har rätt att få informationen raderad. Domstolen konstaterat bland annat att informationen om mannens hälsotillstånd är av privat och känslig natur. Informationsintresset väger enligt domstolen inte tyngre än integritetsskyddet, även om det rör sig om ett mycket allvarligt brott.

 

 

 

 

AI hittade omfattande brister i nätföretagens integritetspolicies

Vi berättade tidigare i år om Polisis, ett AI-verktyg för tolkning och visualisering av privacypolicies utvecklat av forskare vid bl a Federal Institute of Technology i Lausanne.  Ett liknande verktyg utvecklat av forskare vid European University Institute i Florens har nu använts för att utvärdera om användarvillkor är förenliga med GDPR.

Utvecklarna har låtit verktyget – Claudette – analysera 14 nätföretags, däribland Facebooks, Googles och Amazons, privacypolicies. Verktyget ska ha i identifierat otydligt språk i 401 och “potentiellt problematiska” klausuler eller otillräcklig information i 1 240 av sammanlagt 3 659 meningar.

BEUC, som stöttat projektet, konstaterar bl a att företagen inte alltid informerar användare om överföring av data till tredje part och att de använder språk som gör det svårt för konsumenter att förstå hur deras personuppgifter hanteras i praktiken. Läs BEUC:s Q&A här.

Vet Google vad du köper offline?

Google har tidigare anklagats för att på olika sätt ha kartlagd användares beteenden utanför den digitala miljön, bl a med hjälp av data insamlad av appen Google Maps.

Nya uppgifter gör gällande att företaget samarbetat med Mastercard för att samköra uppgifter om interaktioner med Googles annonser med korttransaktioner offline. Syftet ska ha varit att ta reda på vilka produkter användarna köper i fysiska butiker efter att ha exponerats för annonser på nätet. Enligt företagen har uppgifterna anonymiserats.

Möt JoAnn Stonier,  Chief Data Officer för Mastercard worldwide, på Nordic Privacy Arena i Stockholm den 12-13 november. Vi diskuterar bl a data ethics, ad tech och spårning och konsumenters attityder till personuppgiftsbehandling.

Fler namn klara för Nordic Privacy Arena 2018

Finlands kommunikationsminister Anne Berner, Mastercards Chief Data Officer JoAnn Stonier och Mozillas head of EU public policy Raegan MacDonald är några av keynotetalarna vid årets Nordic Privacy Arena (Stockholm 12-13 november 2018).

Vi välkomnar också:

  • Erik Dahlberg, marknadsexpert vid Kommerskollegium
  • Jacob Dexe, forskare vid RISE SICS
  • Leena Kuusniemi, rådgivare vid Fipra International
  • Magnus Sjögren, Group General Counsel vid Bisnode
  • Markus Bylund, IT-strateg vid Uppsala kommun
  • Michael Hopp, partner vid Plesner

Samt Företrädare för bl a EDPS, Facebook, SuperAwesome, Karlstad universitet och Delphi. 

Vi vill också passa på att tacka våra nytillkomna sponsorer Draftit och DPMS.

Boka din biljett till förra årets pris till och med den 1 augusti. Läs mer här.

Förhandsavgörande om Jehovas vittnens dörrknackning

Gästinlägg av Kave Noori, jur. stud. och medlem i Forum för dataskydd

År 2013 förbjöd finska datasekretessnämnden det kristna samfundet Jehovas vittnen i Finland från att samla in och behandla personuppgifter om enskilda som inte är medlemmar i samfundet utan att informera dem om personuppgiftsbehandlingen och att följa personuppgiftsreglerna i övrigt. Fallet gick till Högsta förvaltningsdomstolen i Finland som bad EU-domstolen klargöra hur EU:s dataskyddsdirektiv ska tolkas. Förra veckan kom EU-domstolens dom (C25/18).

Medlemmar i Jehovas vittnen knackar dörr hos okända människor för att sprida samfundets religion. Missionerande dörrknackning är en del av medlemmarnas utövande av sin religion och skyddas av religionsfriheten. Det har framkommit att missionerande Jehovas vittnen för anteckningar om personerna de pratar med och skriver upp deras namn, adress, familjeförhållanden och vad som sagts i samtalen, särskilt vilken religiös övertygelse den besökta personen har.

Detta kom EU-domstolen fram till:

Undantaget för verksamhet av rent privat natur och hushållsundantaget gäller inte

Med hänvisning till religionsfriheten argumenterade Jehovas vittnen för att det rörde sig om missionärernas personliga anteckningar och att dessa omfattades av undantaget för verksamhet av rent privat natur eller som har samband med missionärernas hushåll. EU-domstolen ansåg inte att undantaget gäller i det här fallet. Domstolen konstaterade att syftet med dörrknackningen var att sprida Jehovas budskap utanför missionärernas privata sfär och till ett obestämt antal personer som är okända för missionären och Jehovas vittnen. Dessutom förs åtminstone en del av personuppgifterna i anteckningarna vidare till samfundet Jehovas vittnen som använder personuppgifterna för att administrera listor över vilka personer som inte vill få hembesök. Därför är det inte en verksamhet av rent privat natur för missionären eller som har ett samband med dennes hushåll.

De handskrivna anteckningarna är tillräckligt strukturerade för att det ska vara ett manuellt personregister

Den andra frågan som prövades var om de manuella anteckningarna var tillräckligt strukturerade för att omfattas av personuppgiftsreglerna. Enligt DraftIt privacys handbok har tolkningen i svensk praxis enligt personuppgiftslagen varit att manuellt nedtecknade personuppgifter ska vara ordnade som i ett register så att det finns flera sökvägar.

Här menar EU-domstolen att en samling anteckningar som förs av ett religiöst samfund som innehåller uppgifter om de besöktas namn, adress och annan information är ett manuellt register med personuppgifter om det i praktiken är lätt att i efterhand hitta en viss person. EU-domstolen slår fast att det inte krävs något sökregister, förteckningar eller särskilda arrangemang för sökning för att det ska vara ett manuellt register.

Personuppgiftsansvaret är delat mellan missionärerna och Jehovas vittnen

Eftersom missionärernas personuppgiftsansvar inte ifrågasatts undersökte EU-domstolen endast om samfundet Jehovas vittnen kan anses vara medansvarigt. Dörrknackningen organiseras, samordnas och uppmuntras av Jehovas vittnen och utgör en viktig del av samfundets verksamhet. Samfundet administrerar utifrån anteckningarna också listor över vilka som inte vill få hembesök . Eftersom Jehovas vittnen är delaktiga i att bestämma ändamålen och medlen för databehandlingen har de ett delat personuppgiftsansvar tillsammans med missionärerna.  Detta gäller även om det är missionärerna som samlar in personuppgifterna genom sina anteckningar. Det saknar enligt EU-domstolen betydelse om Jehovas vittnen  själva har tillgång till anteckningarna. Vidare spelar det ingen roll huruvida Jehovas vittnen tagit fram några skriftliga riktlinjer eller instruktioner till sina dörrknackande medlemmar.

Nu är det upp till Högsta förvaltningsdomstolen i Finland att utifrån EU-domstolens tolkningsbesked kontrollera fakta i målet och avgöra tvisten.

Kave Noori

Almedalen: Från compliance till UX

Förberedelserna inför GDPR var ett stort samtalsämne i Almedalen förra året. I år kretsade integritets- och dataskyddsdiskussionerna istället kring sådant som smarta städer, vårddata och förstås om artificiell intelligens. Diskussionen om plattformarnas ansvar i ljuset av Cambridge Analytica-skandalen lever vidare, liksom den om haveriet på Transportstyrelsen.

Vi medverkade i en handfull seminarier – tack alla arrangörer för inbjudningar och bra arrangemang. Vi konstaterar att diskussionerna nu kretsar mindre kring regelefterlevnad och mer om dataskyddet utifrån ett användarperspektiv. Floden av GDPR-mail inför den 25 maj var exempelvis ett återkommande samtalsämne – hur utformar vi policies och annan information enskilda faktiskt orkar ta till sig? Detta diskuterar vi på djupet med hjälp av experter inom juridik, teknik och design vid Nordic Privacy Arena i november (se nedan).

Vi konstaterar också att Datainspektionen medverkade i ett flertal diskussioner i år – välkommet, givet att det ofta ställs frågor som rör tillsyn och vägledning. Politiker och tjänstemän lyste däremot ofta med sin frånvaro, även om en och annan deltog i seminarier om exempelvis Transportstyrelsen och om internetplattformarna.

Dataskyddet gör sig dock inte bara gällande i samband med incidenter. EU-kommissionen och Europaparlamentets informationskontor i Sverige tog exempelvis upp den kommande regleringen om överföringar av icke-personlig data. Just dataöverföringar är en högaktuell fråga givet frågetecknen kring Privacy Shield-överenskommelsen. Vi frågar oss emellanåt hur sådana, ofta initierade, samtal om viktiga framtidsfrågor ska nå fram till politikerna.

Apropå politik noterade vi som många andra med oro de högerextrema krafter som påverkade stämningen i Almedalen, men också de positiva motkrafter som gick samman. Forum för dataskydd är en opolitisk organisation, men vi värnar och står upp för såväl yttrandefriheten som skyddet för privatlivet.

Vi avser att delta även nästa år och utvärderar nu formerna. Klart är att forumet fortsatt vill bidra som en röst som både kan och vill bidra till en dialog och kunskap om en ansvarsfull användning av personuppgifter där nyckeln är en balanserad avvägning mellan ibland motstridiga intressen och rättigheter i en tid av snabb och komplex teknikutveckling, förändrade hotbilder och en ny syn på globala, europeiska och lokala institutioner.

Som vi kan se ovan är samtalet om dataskyddet inte sällan nyhetsdrivet. Vi välkomnade och deltog i diskussionerna om såväl Transportstyrelsen som Cambridge Analytica, men konstaterar att annat riskerar att falla mellan stolarna. Förhoppningsvis kan vi bidra till att breda perspektiven.

Vi tar gärna emot tips och förslag inför Almedalen 2019 – hör av dig till info@dpforum.se.

Fredrik Svärd, generalsekreterare
Caroline Olstedt Carlström, ordförande
Maria Holmström Mellberg, vice ordförande
Karl-Fredrik Björklund, vice ordförande

Sida 1 av 912345...Sista »

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1445 kr per år exklusive moms
Student: 400 kr per år inklusive moms











Go to cart