Kommentaren till dataskyddsförordningen är här

Norstedts Juridik har nu släppt Dataskyddsförordningen (GDPR) m.m. – En kommentar. Det 880 sidor långa verket är författat av Sören Öman, dataskyddsexpert och ordförande i Arbetsdomstolen, som även skrev kommentaren till personuppgiftslagen tillsammans med Datainspektionens chefsjurist Hans-Olof Lindblom.

Verket innehåller utöver kommentarer till förordningen även kommentarer till dataskyddslagen och bestämmelsen om dataskyddssekretess i OSL.

Sören Öman berättar om arbetet med kommentaren vid Forum för dataskydds sommarmingel i Stockholm den 13 juni. Läs mer och anmäl dig här.

Läs mer om kommentaren hos Norstedts Juridik.

Oproportionerlig ansträngning informera registrerade via brev?

För snart ett år sedan inledde Polens dataskyddsmyndighet tillsyn avseende Bisnode Polens upplysningar om sole proprietors (motsv. enskilda näringsidkare). Information om näringsidkarna hämtas från Bolagsverket i Polen. Näringsidkarna lägger själva in uppgifter om sitt bolag, och inkluderar grundläggande företrädaruppgifter som namn och adress. 

Bisnode uppger att företaget har mailat information enligt dataskyddsförordningens artikel 14 till de sole proprietors man haft mailadresser till. I övrigt hänvisas till information på företagets hemsida och till att informationsgivning via brev är att betrakta som oproportionerlig ansträngning.

Dataskyddsmyndigheten bedömer att företaget borde ha skickat brev till samtliga registrerade, närmare sju miljoner personer. Bisnode menar att beslutet kan få stora konsekvenser för alla företag som erbjuder bolagsupplysningstjänster om europeiska företag:

– Det spelar, om man hårddrar det, enligt den polska dataskyddsinspektionen inte någon roll att uppgifterna enbart utgör begränsad och grundläggande företrädarinformation som redan är publikt tillgänglig, och det spelar heller inte någon roll att det skulle medföra enorma kostnader samt koldioxidutsläpp om alla bolag som tillhandahåller bolagsinformationstjänster i Europa skulle börja skicka hundratals miljoner brev för denna typ av personuppgiftshantering, säger Magnus Sjögren (bilden), Group General Counsel vid Bisnode.

Bisnode har överklagat beslutet. 

FEDMA uttryckte nyligen i ett paper stöd för uppfattningen att publikt tillgänglig information bör vara undantagen artikel 14 (5)(b) och att det kan utgöra en oproportionerlig ansträngning att kontakta registrerade om andra kontaktuppgifter än postadress saknas. 

Se paneldiskussionen om harmonisering och tillsyn med Magnus Sjögren, Albine Vincent (CNIL), Eija Warma (Castrén & Snellman) och Viljar Peep (Justitiedepartementet, Estland) från Nordic Privacy Arena 2018 här. Vi återkommer till ämnet vid årets konferens , läs mer här.

Fredrik Svärd
fredrik.svard@dpforum.se

Ny kammarrättsdom om incidentrapporter och sekretess

En person har begärt att få information om antalet anmälningar om personuppgiftsincidenter Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar innehållet i rapporterna och att själva uppgiften om antalet rapporter inte kan anses utgöra känslig information.

Datainspektionen avslog begäran med hänvisning till bl a 18 kap 8 § 3 OSL, prop. 2003/04:93 s 82 samt SOU 2017:36 s.247-257. Datainspektionen uttalade liksom i tidigare liknande ärenden att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart. 

Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder. 

Enligt domstolen är det inte tillräckligt att göra en generell bedömning för att sekretessbelägga samtliga anmälningar. Kammarrätten undanröjer beslutet och återförvisar målet till Datainspektionen för ny sekretessprövning enligt 2 kap 15 § tryckfrihetsförordningen. 

Datainspektionen har tidigare rekommenderat regeringen att stärka sekretessen (läs mer här). Medlemmar kan också ta del av vårt seminarium om incidentrapportering och offentlighet från den 15 oktober 2018 under medlemssidorna.

Fredrik Svärd
fredrik.svard@dpforum.se

Teknik för ansiktsigenkänning möter motstånd

2015 sjösatte Kina ett projekt med ambitionen att kunna identifiera medborgare med 90 procents tillförlitlighet inom tre sekunder. Idag uppger utvecklare som kinesiska SenseTime att de tangerar 100 procents träffsäkerhet och att systemen är bättre än människor på att identifiera individer.

ICO utreder pilotprojekt i London

Men på andra håll varnar kritiker för att enskilda kan komma att pekas ut felaktigt. I London använder polisen ett system med kameror kopplade till en “watch list” på prov i samband med exempelvis julhandeln, fotbollsmatcher och andra större sammankomster. Systemet ska ha identifierat oskyldiga som brottslingar. ICO inledde ett tillsynsärende i december:

– There may be significant public safety benefits to enable the police to apprehend offenders and prevent crimes from occurring. But how facial recognition technology is used in public spaces can be particularly intrusive. It’s a real step change in the way law-abiding people are monitored as they go about their daily lives, säger kommissionär Elisabeth Denham i en kommentar.

– There is a lack of transparency about its use and a real risk that the public-safety benefits derived from the use of FRT will not be gained if public trust is not addressed.

Nej till ansiktsigenkänning i San Francisco

San Francisco har nu som första stad i USA beslutat att förbjuda polisens och andra myndigheters användning av teknik för ansiktsigenkänning. Användning av övervakningsutrustning ska föregås av ett ansökningsförfarande. Flygplatser och hamnar omfattas inte av reglerna.

Flera delstater har lagt fram liknande lagförslag, och i Washington DC har republikanska senatorn Roy Blunt föreslagit att privata aktörer inte ska tillåtas använda teknik för ansiktsigenkänning utan inhämtande av samtycke.

Utvecklingen i Sverige

I Sverige utvecklar polisen ett nytt nationellt kameraövervakningssystem med stöd för ansiktsigenkänning som ska kunna hantera bildmaterial från såväl fasta kameror som kroppskameror och kameror monterade på drönare. I Göteborg tar polisen under året 300 nya fast monterade kameror i bruk, och i Stockholm pågår ett pilotprojekt med mindre och mer moderna kroppsburna kameror.

Datainspektionen har tidigare rekommenderat regeringen att reglera användningen av kroppsburna kameror och även förelagt polisen att ta fram riktlinjer och rutiner. I slutet av förra året inleddes en granskning av Stockholms Lokaltrafiks användning av liknande kameror. Datainspektionen har också begränsat Tullverkets användning av smarta kameror i arbetet med fordonskontroller. Tullverket har fått tillstånd att automatiskt fotografera registreringsskyltar, men Datainspektionen har beslutat att endast registreringsnummer – inte hela kamerabilder – ska få skickas till den centrala databasen. Beslutet har överklagats till domstol.

Parallellt med detta levererar företag som Indivd och Deep North teknik till gallerior, butiker och andra som vill kunna analysera kundbeteenden, enligt uppgift utan behandling av personuppgifter.

Sedan den 1 augusti 2018 gäller den nya kamerabevakningslagen som bl a innehåller skärpta krav på informationsgivning. Vi tar upp frågeställningar kring polisens användning av kameror och ny teknik vid årets Nordic Privacy Arena (Stockholm 23-24 september). Hör bl a företrädare för svensk och dansk polis, digitaliseringsminister Anders Ygeman och en rad dataskyddsmyndigheter. Se också Gemma Gordon Clavells keynote om smarta städer från Nordic Privacy Arena 2017 här.

Fredrik Svärd
fredrik.svard@dpforum.se

Texten uppdaterad 19-05-16
Läs också:

Ny bok varnar för bias i myndigheters algoritmer
Nya regler om kamerabevakning

Nordiska dataskyddsmyndigheter stärker samarbetet

De nordiska dataskyddsmyndigheterna har enats om ett antal samarbetsåtgärder. Myndigheterna ska bl a skapa ett nätverk för informationsutbyte och arrangera en fördjupande workshop.

– Dataskyddsmyndigheterna i Norden har sedan länge ett nära samarbete men nu med dataskyddsförordningen, GDPR, är det viktigare än någonsin, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Lena Lindgren Schelin talar bl a om det nordiskas samarbetet och om Datainspektionens nationella integritetsrapport vid Nordic Privacy Arena i september.

Forum för dataskydd kommenterar insamlingen av persondata via appar

Forum för dataskydds ordförande Caroline Olstedt Carlström kommenterar den senaste tidens rapportering om hur personuppgifter samlas in via appar och säljs vidare av datamäklare.

I en intervju med Svenska YLE varnar hon för att oförsiktig hantering av personuppgifter kan leda till att enskilda blir mer negativt inställda till digitaliseringen.

– Det är så viktigt att den tekniska utvecklingen vi vill ha fungerar. Det förutsätter ju att vi användare har tilltro till tjänsterna. 

Hon efterfrågar också mer information och utbildning kring dataskyddsfrågor, exempelvis i grundskolan. Läs artikeln här.

Finland utser biträdande dataombudsmän

Den 1 maj tillträder Anu Talus och Jari Råman som biträdande dataombudsmän i Finland. Anu Talus kommer närmast från en tjänst vid justitieministeriet och ska bl a leda de ärenden som omfattas av dataskyddsförordningen. Jari Råman, som arbetat med dataskyddsfrågor vid finska polisen under många år, ska bl a arbeta med ärenden som omfattas av dataskyedsdirektivet och utöver detta med verksamhetsutveckling och samordning av tillsynspolitiken.

Medlemsrabatter på litteratur från Hart Publishing

I veckan släpps The Right to be Forgotten, en ny bok om GDPR, rätten att bli glömd, Google Spain-målet samt Storbritanniens Data Protection Act och Brexit. Boken är skriven av Paul Lambert, författare till bl a The Data Protection Officer: Profession, Rules and Role.

Vi kan i samarbete med Hart Publishing erbjuda Forum för dataskydds medlemmar 20 procents rabatt på boken och på sju andra titlar, däribland Brendan McGurks nysläppta bok om profilering och försäkringsrätt. Missa inte heller Legal Tech – A Practicioner’s Guide, som innehåller ett kapitel skrivet av Forum för dataskydds Fredrik Svärd.

Rabattkoden hittar du under medlemssidorna och i vårt nyhetsbrev. Läs mer om titlarna här:

The Right to be Forgotten, Paul Lambert
Data Profiling and Insurance Law, Brendan McGurk
Collisions in the Digital Paradigm – Law and Rule Making in the Internet Age, David John Harvey
Protecting Personal Information – The Right to Privacy Reconsidered, Andrea Monti & Raymond Wacks
Data Protection and Privacy – The Internet of Bodies, Ronald Leenes, Rosamunde van Brakel, Serge Gutwirth & Paul De Hert
Liability for Artificial Intelligence and the Internet of Things, Sebastian Lohsse, Reiner Schulze, Dirk Staudenmayer
Surveillance, Privacy and Trans-Atlantic Relations, David Cole, Federico Fabbrini & Stephen Schulhofer
Legal Tech – A Practicioner’s Guide, Markus Hartung, Micha-Manuel Bues & Gernot Halbleib

EU stärker skyddet för visselblåsare

För drygt två år sedan stärktes skyddet för visselblåsare i Sverige. Reglerna innefattar bl a en rätt att utan repressalier slå larm om allvarliga missförhållanden externt om det inte gett resultat att göra det internt. Ett tiotal EU-länder har liknande regelverk.

Europaparlamentet har nu antagit ett minimidirektiv till skydd för den som rapporterar om brott mot bl a konsument- och dataskyddsregler. Visselblåsare uppmanas att i första hand använda sig av interna kanaler. Vidtas inte åtgärder ska visselblåsaren enligt förslaget kunna slå larm externt, exempelvis till media. Reglerna omfattar utöver arbetstagare exempelvis aktieägare, styrelseledamöter och volontärer, samt personer som hjälper visselblåsare att slå larm.

Lagstiftningen ska nu godkännas av ministerrådet, därefter har medlemsländerna två år på sig att införa direktivet.

Ny vägledning om förhållandet personuppgiftsansvarig – personuppgiftsbiträde

För snart ett år sedan arrangerade Forum för dataskydd ett seminarium om vem som är personuppgiftsansvarig respektive personuppgiftsbiträde. Medlemmar kan ta del av inspelningen under medlemssidorna.

Svenska Datainspektionen har sedan dess fått i uppdrag av EDPB att leda en arbetsgrupp som ska ta fram nya riktlinjer för hur begreppen ska tolkas.

Svenskt Näringsliv har nu publicerat en vägledning som ska hjälpa företag att undvika att avtal sluts med stöd av felaktiga bedömningar om personuppgiftsansvaret. Martin Brinnen och Mikael Bock vid advokatfirman Kahn Pedersen beskriver med hjälp av exempel och checklistor hur kartläggningen av personuppgiftsbehandlingen, fastställandet av personuppgiftsansvaret och regleringen av förhållandet mellan aktörerna kan gå till. Läs vägledningen här.

Vi återkommer till ämnet vid Nordic Privacy Arena 23-24 september.

Sida 1 av 1312345...10...Sista »

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart