Sanktioner i Frankrike och Spanien

Spanska La Liga ska ha avlyssnat fotbollsfans mobiltelefoner för att undersöka om pubar visat matcher utan tillstånd. Organisationen ska ha fått tillgång till telefonernas ljudupptagningar via ligans officiella app, som laddats ner omkring tio miljoner gånger. Tillsynsmyndigheten AEPD bedömer inte att La Liga informerat om insamlingen tillräckligt tydligt och fattar därmed beslut om sanktionsavgift om 250 000 euro. 

I Frankrike ska ett fastighetsföretag utge 400 000 euro för att ha gjort information om enskildas identiteter och ekonomiska förhållanden tillgänglig via en hemsida. Företaget ska ha känt till sårbarheten sedan mars 2018, men inte infört krav på autentisering eller vidtagit andra åtgärder.

Företrädare för tillsynsmyndigheter i bl a Frankrike, Tyskland, Sverige, Finland och Irland diskuterar harmonisering och sanktioner vid Nordic Privacy Arena (Stockholm 23-24 september).

Hur blir det med insynen när algoritmer fattar beslut?

Bara omkring var femte svensk känner till att en del beslut inom offentlig sektor fattas på automatisk väg. Det visar en undersökning genomförd av en forskargrupp vid Göteborgs universitet.

Merparten av svarandena tror att automatiseringen leder till sämre insyn i beslutsfattandet och att besluten blir mindre tillförlitliga. Samtidigt tror närmare sju av tio att beslutsfattandet blir mer opartiskt. De som har mer kunskaper visar sig vara mer positivt inställda till tekniken. 

På Arbetsförmedlingen har man sett över rutinerna sedan det framkommit att en ”beslutsrobot” fattat ett stort antal felaktiga beslut. Stickprovskontroller har införts, och numera informeras arbetssökande om att beslut fattas på automatisk väg. Enligt Arbetsförmedlingen rör det sig om en bugg som inte upptäckts när systemet testkörts.

– Efteråt insåg vi att vi inte informerat tillräckligt väl om att beslutet var maskinellt, säger Gabor Sebastiani, digital risk officer vid Arbetsförmedlingen.

Andra myndigheter som automatiserat delar av beslutsfattandet är Transportstyrelsen, Försäkringskassan och vissa kommuner. Beslut om tandvårdsstöd och föräldrapenning fattas i princip helt automatiserat. I Sverige rör det sig än så länge om enklare beslut, men AI-utvecklingen gör det teoretiskt möjligt att överlåta även mer avancerade bedömningar åt maskiner. I Danmark identifierar myndigheter barn som kan behöva särskild omsorg med hjälp av algoritmer. Svenska Försäkringskassan har bedömt att det kan bli möjligt för systemen att lösa komplicerade frågor utifrån stora mängder data, men konstaterar också att implementeringar måste föregås av juridiska och etiska analyser.

I privat sektor används AI av bl a försäkringsföretag och rekryterare. Gabor Sebastiani följer utvecklingen:

– Det här är ett intressant område där vi utforskar, men inte har saker i produktion då vi inte får eller vill fatta beslut på information som inte är uppenbart relevant för beslutet. Exempelvis skulle det vara orimligt att ha ett fotografi på en person som indata i en beslutsprocess.

– Vi har tittat på möjligheten att genom maskininlärning försöka förutspå hur länge en person kommer att vara arbetslös så att vi tidigt kan sätta in insatser för personer vi ser löper hög risk för långtidsarbetslöshet. Vi fick dock inga fantastiska resultat i de försöken, säger Sebastiani.

Han nämner också exemplet med kreditföretag som bedömer betalningsförmåga utifrån vilka enheter som används vid låneansökningar.

– Skulle Arbetsförmedlingen kunna se mönster som pekar på att personer som skriver in sig via en iPad i regel är arbetslösa kortare tid än personer som skriver in sig via en Android-telefon? Om mönstret finns, är det lagligt och moraliskt för en myndighet att fatta beslut om insats baserat på det beslutsunderlaget? Strider inte det mot likabehandlingsprincipen?

I 28 § förvaltningslagen stadgas att beslut kan fattas på automatiserad väg. Digitaliseringsrättsutredningen och eSams rättsliga expertgrupp har uttalat stöd för att bestämmelsen bör kunna betraktas som ett nationellt undantag från förbudet mot helt automatiserade beslut som har rättsliga föjder för den registrerade i dataskyddsförordningens artikel 22.

Förvaltningslagen och dataskyddsförordningen innehåller båda bestämmelser om informationsgivning. Kari Laumann, jurist vid norska Datatilsynet, föreläste om AI och kravet på transparen vid Nordic Privacy Arena 2017. Se inspelningen här:


Vid årets konferens diskuterar representanter för bl a Arbetsförmedlingen automatiserade beslut och transparens. Vi välkomnar också företrädare för försäkringsbolag och brottsbekämpande myndigheter för diskussioner om AI och profilering. Nordic Privacy Arena äger rum i Stockholm 23-24 september 2019.


Fredrik Svärd
fredrik.svard@dpforum.se

Läs också:

Ny bok varnar för bias i myndigheters algoritmer
“Är Sverige redo att låta maskiner fatta besluten?” (dn.se)
Juridik som stöd för förvaltningens digitalisering (regeringen.se)

Samtycke och registerutdrag i fokus för nya granskningar


Datainspektionen genomför under året ett antal granskningar för att undersöka om företag använder sig av samtycke som laglig grund för behandling av personuppgifter på rätt sätt. Först ut är Bonnier Magazines & Brands AB. Myndigheten har också inlett ett tillsynsärende rörande Spotifys utlämning av registerutdrag. 

JO-kritik för överföring av journaluppgifter till USA

JO kritiserar Region Halland för att ha lämnat ut pseudonymiserade uppgifter ur patientjournaler till en organisation i USA.

Flera omständigheter borde manat till försiktighet, menar JO, som konstaterar att det rör sig om uppgifter av mycket integritetskänsligt slag och att det varit möjligt att identifiera individer med hjälp av en referensfil. Minst åtta medarbetare varav tre konsulter ska ha haft tillgång till referensfilen.

Regionen kritiseras för att ha lämnat ut personuppgifter i strid med då gällande lagstiftning och för bristande dokumentation. Mottagaren var inte ansluten till Safe Harbor-principerna, och partnerna hade inte tecknat standardavtalsklausuler.

Läs beslutet i dess helhet här.

Nu granskas Googles annonsauktioner

Irlands dataskyddsmyndighet har beslutat att granska Googles överföring av personuppgifter till leverantörer av annonser. Enligt anmälaren, Johnny Ryan vid Brave(bilden), läcker det annonssystem som ska vara installerat på fler än åtta miljoner webbplatser känslig information om besökare.

Systemet skickar information om användare i form av ”bid requests” till certifierade leverantörer, som lämnar bud för visning av annonser. 

Enligt anmälan delas uppgifter om politisk åskådning och sexuell läggning. Systemet ska också dela uppgifter om vad användaren läser och tittar på samt göra det möjligt att kartlägga användarens beteenden över tid. Irlands dataskyddsmyndighet ska nu utreda om behandlingen är förenlig med dataskyddsförordningen.

Myndigheten har tidigare kritiserats för att inte agera tillräckligt kraftfullt mot teknikföretagen. Sedan dataskyddsförordningen började gälla har dock ärenden inletts rörande bl a Facebook, Apple, Twitter, LinkedIn och Instagram. 

Bland kritikerna märks Alexander Hanff, CEO för ThinkPrivacy och moderator vid årets Nordic Privacy Arena (se nedan). Vi välkomnar också Googles Global Privacy Counsel Peter Fleischer och företrädare för Irlands och Frankrikes dataskyddsmyndigheter.

Se Mozillas head of EU public policy Raegan MacDonalds keynote och den efterföljande paneldiskussionen om ad tech från förra årets konferens här

Läs också:

Datainspektionen om Googleärendet
“Demokratin rämnar och det är Facebooks fel”
Konsumentorganisationer anmäler Google

Fredrik Svärd
fredrik.svard@dpforum.se

Sanktioner i Sverige “snart”

Förra veckan släppte Datainspektionen myndighetens första nationella integritetsrapport. Företrädare för Datainspektionen redogjorde vid en konferens i Stockholm bl a för rapporten och för tillsynsverksamheten.

De tillsynsärenden som inletts rör stora aktörer som ägnar sig åt omfattande behandling som kan få konsekvenser för många människor, berättade Nazli Pirayehgar, som talade om det pågående tillsynsärendet mot Googlevid ett av Forum för dataskydds seminarier tidigare i år. 

Utöver Google granskas bl a utvecklare av mobila operativsystem, inkassoföretag, delar av rättsväsendet samt aktörer inom skolvärlden, detaljhandeln och hälso- och sjukvård – inklusive en internetbaserad vårdtjänst. Utöver detta följer Datainspektionen utvecklingen inom maskininlärning, ansiktsigenkänning och blockkedjeteknik.

Det första beslutet om sanktioner enligt dataskyddsförordningen kommer fattas “snart”, meddelade generaldirektör Lena Lindgren Schelin.

Sms-utskick inför valet anmäls till Datainspektionen

Fler än en halv miljon mottagare ska under helgen ha mottagit sms med uppmaningar om att rösta på Socialdemokraterna. Utskicket har lett till diskussion i sociala medier, där många nu frågar sig om behandlingen är förenlig med dataskyddsförordningen.

Information från politiska partier betraktas typiskt sett som samhällsinformation, se t ex Etiska nämnden för direktmarknadsföring för mer information. Samhällsinformation omfattas ninte av reglerna i marknadsföringslagen, vilken förbjuder exempelvis kommersiella sms-utskick utan inhämtande av samtycke. Behandling kan ske med annan laglig grund än samtycke enligt dataskyddsförordningen, däremot ställs krav på bl a informationsgivning till den registrerade.

– I nuläget går det inte att slå fast att det har skett ett regelbrott. Men det är ett problem och en brist att man inte har lämnat någon information. Mottagarna har ingen möjlighet att kontrollera vad det är för register de befinner sig i eller för vilka syften informationen behandlas och det är något man har rätt att få, säger Forum för dataskydds ordförande Caroline Olstedt Carlström i en kommentar till Aftonbladet.

Liknande sms har skickats ut med Vänsterpartiet och Alternativ för Sverige som avsändare. Alternativ för Sverige, som uppger att mottagarna utvalts slumpmässigt, har anmälts till Datainspektionen.

Läs också:
Oproportionerlig ansträngning informera registrerade via brev?
Väljare har fått mass-sms från flera partier (Dagens Nyheter)

Kommentaren till dataskyddsförordningen är här

Norstedts Juridik har nu släppt Dataskyddsförordningen (GDPR) m.m. – En kommentar. Det 880 sidor långa verket är författat av Sören Öman, dataskyddsexpert och ordförande i Arbetsdomstolen, som även skrev kommentaren till personuppgiftslagen tillsammans med Datainspektionens chefsjurist Hans-Olof Lindblom.

Verket innehåller utöver kommentarer till förordningen även kommentarer till dataskyddslagen och bestämmelsen om dataskyddssekretess i OSL.

Sören Öman berättar om arbetet med kommentaren vid Forum för dataskydds sommarmingel i Stockholm den 13 juni. Läs mer och anmäl dig här.

Läs mer om kommentaren hos Norstedts Juridik.

Oproportionerlig ansträngning informera registrerade via brev?

För snart ett år sedan inledde Polens dataskyddsmyndighet tillsyn avseende Bisnode Polens upplysningar om sole proprietors (motsv. enskilda näringsidkare). Information om näringsidkarna hämtas från Bolagsverket i Polen. Näringsidkarna lägger själva in uppgifter om sitt bolag, och inkluderar grundläggande företrädaruppgifter som namn och adress. 

Bisnode uppger att företaget har mailat information enligt dataskyddsförordningens artikel 14 till de sole proprietors man haft mailadresser till. I övrigt hänvisas till information på företagets hemsida och till att informationsgivning via brev är att betrakta som oproportionerlig ansträngning.

Dataskyddsmyndigheten bedömer att företaget borde ha skickat brev till samtliga registrerade, närmare sju miljoner personer. Bisnode menar att beslutet kan få stora konsekvenser för alla företag som erbjuder bolagsupplysningstjänster om europeiska företag:

– Det spelar, om man hårddrar det, enligt den polska dataskyddsinspektionen inte någon roll att uppgifterna enbart utgör begränsad och grundläggande företrädarinformation som redan är publikt tillgänglig, och det spelar heller inte någon roll att det skulle medföra enorma kostnader samt koldioxidutsläpp om alla bolag som tillhandahåller bolagsinformationstjänster i Europa skulle börja skicka hundratals miljoner brev för denna typ av personuppgiftshantering, säger Magnus Sjögren (bilden), Group General Counsel vid Bisnode.

Bisnode har överklagat beslutet. 

FEDMA uttryckte nyligen i ett paper stöd för uppfattningen att publikt tillgänglig information bör vara undantagen artikel 14 (5)(b) och att det kan utgöra en oproportionerlig ansträngning att kontakta registrerade om andra kontaktuppgifter än postadress saknas. 

Se paneldiskussionen om harmonisering och tillsyn med Magnus Sjögren, Albine Vincent (CNIL), Eija Warma (Castrén & Snellman) och Viljar Peep (Justitiedepartementet, Estland) från Nordic Privacy Arena 2018 här. Vi återkommer till ämnet vid årets konferens , läs mer här.

Fredrik Svärd
fredrik.svard@dpforum.se

Ny kammarrättsdom om incidentrapporter och sekretess

En person har begärt att få information om antalet anmälningar om personuppgiftsincidenter Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar innehållet i rapporterna och att själva uppgiften om antalet rapporter inte kan anses utgöra känslig information.

Datainspektionen avslog begäran med hänvisning till bl a 18 kap 8 § 3 OSL, prop. 2003/04:93 s 82 samt SOU 2017:36 s.247-257. Datainspektionen uttalade liksom i tidigare liknande ärenden att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart. 

Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder. 

Enligt domstolen är det inte tillräckligt att göra en generell bedömning för att sekretessbelägga samtliga anmälningar. Kammarrätten undanröjer beslutet och återförvisar målet till Datainspektionen för ny sekretessprövning enligt 2 kap 15 § tryckfrihetsförordningen. 

Datainspektionen har tidigare rekommenderat regeringen att stärka sekretessen (läs mer här). Medlemmar kan också ta del av vårt seminarium om incidentrapportering och offentlighet från den 15 oktober 2018 under medlemssidorna.

Fredrik Svärd
fredrik.svard@dpforum.se

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart