Danska Datatilsynet ändrar sin praxis avseende publicering av bilder på internet

Sedan 2002 har avgörande om samtycke krävs för publicering av bild på internet eller inte varit om bilden utgör en porträttbild eller inte. Vid publicering av porträttbilder har samtycke alltid krävts av den som figurerar på bilden. Samtycke har däremot inte som huvudregel krävts vid publicering av en situationsbild, såsom en publik under en konsert.

På grund av gränsdragningsproblem mellan vad som utgör porträttbild och situationsbild samt den tekniska och samhälleliga utveckling som skett sedan 2002, har nu danska Datatilsynet ändrat sin praxis på området. Nytt är att ingen åtskillnad längre kommer att göras mellan porträttbilder och situationsbilder. Istället kommer en konsekvensbedömning samt vilket syfte som ligger bakom publiceringen att ligga till grund för om en bild får publiceras utan samtycke eller inte.

Läs mer här (danska).

Facebook kan behöva radera information globalt

I början av oktober kom EU-domstolen med ett nytt avgörande om möjlighet att kräva att en tjänsteleverantör såsom Facebook ser till att en olaglig handling ska förhindras eller upphöra.

I domen klargjordes bland annat att en medlemsstat ska kunna förelägga en värdtjänstleverantör att radera viss information som denne lagrar “…vars innehåll är identiskt med innehållet i information som dessförinnan förklarats olaglig eller att blockera åtkomsten till denna information, oavsett vem som har begärt att få den lagrad.” Värdtjänstleverantören kan vidare bli tvungen att radera informationen eller blockera åtkomst till informationen globalt.

Läs hela domen här.

Statligt moln

Regeringen har beslutat att tillsätta en utredning med uppdrag att föreslå en utformning för ett statligt moln.

Utredaren har fått i uppdrag att:

  • Kartlägga i vilken utsträckning det förekommer lagstiftning som hindrar eller försvårar för statliga myndigheter, kommuner och landsting att, med bibehållen säkerhet, utkontraktera it-drift till privata leverantörer,
  • analysera de rättsliga förutsättningarna för utkontraktering, och
  • vid behov lämna författningsförslag som tydliggör förutsättningarna för sådan utkontraktering.

Utredningen ska redovisas senast den 31 augusti nästa år.

Läs mer här

Visselblåsare – nytt EU-direktiv

EU har antagit ett nytt EU-direktiv som ska stärka skyddet för visselblåsare. Direktivet börjar gälla i alla EU-länder 2021.

Läs pressmeddelandet här.

Cloud Act-avtal

USA och UK har ingått ett Cload Act-avtal.

Läs mer här.

Samtycker du till cookies?

Ett samtycke till cookielagring kan inte lämnas genom en på förhand ikryssad ruta som användaren måste avmarkera för att vägra samtycke. Detta slår EU-domstolen i ett nytt avgörande.

Domstolen finner att en ”viljeyttring” av den registrerade måste ske genom ett aktivt handlande och inte ett passivt. I domen preciserar även domstolen att då det även krävs ett aktivt handlande för att kravet på att den registrerade ”otvetydigt” har lämnat sitt samtycke ska vara uppfyllt.  

Läs domen här.

Nytt avgörande från EU-domstolen om Rätten att bli glömd!

Efter EU-domstolens avgörande i Google-Spain målet, C-131/12, där domstolen slog fast att enskilda har en rätt att i vissa fall få felaktig information bortplockad från sökmotorer, den s.k. ”rätten att bli glömd”, har ett flertal frågor stigit på agendan. En utav dessa frågor har varit på vilket sätt en sökmotorleverantör ska genomföra borttagning av länkar när den registrerade har rätt till radering. 

I ett färskt avgörande i ett mål mellan CNIL och Google har EU-domstolen funnit att Google inte är skyldiga att ta bort länkarna från samtliga versioner av dess sökmotor, men däremot samtliga versioner av sökmotorn inom medlemsstaterna.

Läs domen här.

Är Sveriges första sanktion enligt GDPR en papperstiger?

KRÖNIKA – av Mattias Gotthold, jurist och dataskyddsombud samt ledamot i Forum för dataskydds styrelse.

En gymnasieskola, Anderstorpsgymnasiet, i Skellefteå kommun hade ett försöksprojekt där de tog närvaro på elever i skolan genom ansiktsigenkänning med kamera. På grund av detta har Datainspektionen nu beslutat att den ansvariga nämnden i kommunen, gymnasienämnden, ska betala en sanktionsavgift på 200 000 kronor och har höjt fingret samt varnat för att deras planer på att använda ansiktsigenkänning i framtiden (sannolikt) bryter mot GDPR.

Vid en första anblick kan 200 000 kronor uppfattas som en låg kostnad för ett så pass omfattande integritetsintrång som det som skedde på Anderstorpsgymnasiet. En kan då undra, kan ett sådant lågt belopp verkligen verka avskräckande med hänsyn till det stora integritetsintrånget som övervakningen medförde? En mindre nogräknad organisation skulle kunna se en sådan sanktion som en hyfsat liten kostnad för att vara konkurrenskraftig i den hårda konkurrensen. Och därför strunta i integritetsskyddande åtgärder för att först vid en eventuell upptäckt och sanktion vidta åtgärder. När jag läste beslutet från Datainspektionen blev jag dock övertygad om att sanktionen – efter första anblick – är avskräckande.

Av Datainspektionens beslut framgår att Skellefteå kommun bortsett från grundläggande dataskydd och därigenom brutit mot såväl GDPR som svensk grundlag. I regeringsformen framgår att vi inte ska behöva utstå betydande integritetsintrång från våra myndigheter som är orimliga. När det kommer till GDPR framgår vidare av Datainspektionens beslut att:

– brott mot två grundläggande principer i GDPR har begåtts 
– ansiktsigenkänningen (biometrisk data, alltså känsliga personuppgifter) skett utan giltig rättslig grund 
– kommunen inte gjort nödvändiga riskbedömningar (konsekvensbedömning)
– kommunen inte haft samråd med Datainspektionen trots de uppenbara riskerna med behandlingen

Utöver detta bedömde Datainspektionen att det var särskilt allvarligt att:

– den olagliga övervakningen var avsiktlig 
– Datainspektionen fick kännedom om behandlingen genom media
– eleverna var i en beroendeställning i förhållande till kommunen 
– att övervakningen skedde på barn (barn anses vara särskilt skyddsvärda)

Datainspektionen ansåg att det handlade om ett stort intrång i elevernas integritet. Och detta landade i en sanktion på 200 000 kr och en varning. Frågan är då, är 200 000 kr i sanktion utifrån fallet avskräckande? Avseende den frågan tycker jag följande ska beaktas.

För det första är den högsta möjliga sanktionsavgiften 10 miljoner kr för myndigheter. För det andra om sanktionen proportionellt översätts till den som gäller för företag, 20 miljoner euro, skulle det istället handla om ca. 4,3 miljoner kr. För det tredje avsåg den sanktionsgrundande övervakningen ett integritetsintrång på 22 elever under tre veckors tid. Vid sidan om detta finns det skäl att uppmärksamma att Datainspektionen inte utredde alla brister som kan tänkas förekommit i samband med behandlingen, de granskade inte om informationsplikten eller säkerheten i behandlingen var förenlig med GDPR.

Hade de lyft in detta i granskningen kunde sanktionen varit högre. Nu går det antagligen inte att översätta 200 000 kr till 4,3 miljoner kr rakt av om det hade varit ett företag, men om en friskolekoncern hade fått en sanktion på 4,3 miljoner för ett försöksprojekt på en klass elever under tre veckors tid hade vi inte ägnat en enda tanke åt om sanktionen verkligen är avskräckande eller inte.

Med detta som bakgrund anser jag att sanktionen är precis som det står i lagen att den ska vara – effektiv, proportionell och avskräckande.

Källa: https://www.dagensjuridik.se/kronikor/ar-sveriges-forsta-sanktion-enligt-gdpr-en-papperstiger/

Grekisk sanktion mot PwC

Den grekiska dataskyddsmyndigheten utdelade den 30 juli 2019 en sanktion på 150 000 euro (motsvarar ca 1,5 miljoner SEK) till PwC på grund av olagligt användande av personuppgifter om anställda.

Den grekiska dataskyddsmyndigheten bedömde i ett tillsynsbeslut att PwC hade använt personuppgifter i strid med flera grundläggande principer för personuppgiftsbehandling. De bedömde även att personuppgiftshanteringen till det yttre såg ut att skötas på ett lagligt sätt trots att den egentligen inte gjorde det. Förutom sanktionen på 150 000 euro krävde den grekiska dataskyddsmyndigheten att personuppgiftshanteringen av de anställdas personuppgifter inom tre månader skulle följa regelverket i GDPR. Enligt den grekiska dataskyddsmyndigheten ansågs sanktionen vara effektiv, proportionerlig och avskräckande.

Mer information här: https://www.gamingtechlaw.com/2019/07/pwc-greek-gdpr-fine.html

EU-domstolen dömer i Fashion ID-målet

Den 29 juli 2019 kom domen från EU-domstolen i det uppmärksammade Fashion ID-målet (C 40/17). Bakgrunden till fallet är att Fashion ID, en tysk onlinebutik, integrerat Facebooks ”gilla”-knapp på sin hemsida. När någon besöker hemsidan skickas därför besökarens personuppgifter till Facebook, oberoende av om besökaren är en Facebookanvändare eller om ”gilla”-knappen använts. EU-domstolen förtydligade i målet att företag som integrerar Facebooks ”gilla”-knapp, eller andra plugins, på sin hemsida måste få ett samtycke av användarna för att få skicka över personuppgifter till Facebook.

Verbraucherzentrale NRW, motsvarande det svenska konsumentverket, som tog fallet till domstol, konstaterade kort efter domen att domslutet ”är välkommet då företag som tjänar pengar på användardata nu också måste ta ansvar för sitt handlande”, detta enligt ordföranden Wolfgang Schuldzinski.

Mer information här: https://www.jdsupra.com/legalnews/ecj-rules-companies-using-social-63344/

https://www.reuters.com/article/us-eu-facebook-dataprotection/companies-using-facebook-like-button-liable-for-data-eu-court-idUSKCN1UO1B4

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart