Danska Datatilsynets fokusområden 2021

Danmarks dataskyddsmyndighet, Datatilsynet, är en central och oberoende myndighet som övervakar efterlevnaden av de gällande reglerna för dataskydd. Deras arbetsområde är brett och varierat, det sträcker sig från vägledning och rådgivning till behandling av klagomål men myndigheten hanterar även ansökningar om tillstånd att behandla personuppgifter. Utöver detta utför de även olika typer av tillsynsaktiviteter varje år. Slutligen har myndigheten en deltagande roll i europeiskt samarbete om dataskydd.

Följande punkter utgör myndighetens fokusområden 2021:

  • Kreditupplysningsföretag och kreditupplysningar
  • Inkassobyråers skyldighet att tillhandahålla information och radering
  • Bankernas processer vid begäran om registerutdrag
  • Kamerabevakning
  • Myndigheters offentliggörande av medborgares personnummer
  • Forskning
  • Behandling av personuppgifter om webbplatsbesökare (cookies)
  • Säkerhet för personuppgifter, inkl. brott mot regler i dataskyddslagstiftningen om säkerheten
  • Kontroll av personuppgiftsbiträden
  • Överföring av personuppgifter till tredjeländer
  • Behandling av personuppgifter i Europeiska storskaliga informationssystem
  • PNR-lag (en lag som bland annat reglerar insamling och användning av information om flygpassagerare)
  • Lag om brottsbekämpning

Läs mer här.

Egenskaper och risker med Internet of Bodies (IoB)

Den spanska dataskyddsmyndigheten (AEPD) publicerade den 11 januari 2021 ett pressmeddelande om egenskaper och risker som är förknippade med Internet of Bodies (IoB), vilket har vuxit fram genom framväxten av sakernas internet, på engelska Internet of Things (IoT). Pressmeddelandet förklarar särskilt att begreppet IoB har skapats som ett resultat av tillkomsten av anslutna enheter som används för att övervaka olika parametrar i vår kropp, vilket i sin tur resulterat i bearbetning av biometrisk och hälsodata med risker för användarens integritet. 

Tre generationer

I pressmeddelandet presenteras även tre nivåer för implementering eller generationer av IoB:

  • Första generationen: enheter utanför kroppen som mäter fysisk aktivitet, exempelvis smarta klockor;
  • Andra generationen: enheter inuti kroppen, såsom enheter för medicinska ändamål (t.ex. pacemaker, cochleaimplantat eller organ som utvecklats genom 3D-utskrift) och digitala piller; och
  • Tredje generationen: kroppssmälta enheter. Denna generation är fortfarande i utveckling och söker föreningen mellan människokroppen och tekniken för att kunna uppnå ett kommunikationsgränssnitt som gör det möjligt att tolka och agera på biologiska element.

Kvarstår en del frågor kring IoB

Av pressmeddelandet framhävs även att det uppstår en del frågor kring IoB, bland annat att skyddet mot cyberattacker måste vara så hög som möjligt. Det behövs även implementera principer för dataskydd som standard men även tillämpa säkerhetsåtgärder för att undvika sårbarheter.

Du kan läsa pressmeddelandet, endast tillgängligt på spanska, här.

Läs mer om IoB här och här.

notebooksbilliger.de bötfälls med 10,4 miljoner euro

Dataskyddsmyndigheten i Niedersachsen, Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen), har bötfällt notebooksbilliger.de AG med 10,4 miljoner euro för brott mot artiklarna 5 och 6 i dataskyddsförordningen (GDPR). Det är den högsta administrativa sanktionsavgiften som myndigheten hittills har utfärdat.

Kamerabevakning utan rättslig grund

Det framgår i LfD Niedersachsens pressmeddelande att notebooksbilliger.de har kamerabevakat sina anställda utan rättslig grund. Kamerabevakningen har skett under en period om två år och kameror har varit uppsatta i olika utrymmen, bland annat i gemensamma utrymmen och försäljningsområden. Syftet med kamerabevakningen var att förebygga och utreda brott men även att spåra flödet av varor i företagets lager.

Endast tillåtet vid misstanke om brott

LfD Niedersachsen påpekar att situationen innefattar ett allvarligt fall av kamerabevakning av anställda och lägger till att företag måste förstå att de med en så intensiv kamerabevakning massivt kränker de anställdas rättigheter. För att förhindra stölder i affärslokaler menar myndigheten att företag behöver överväga andra metoder än kamerabevakning, exempelvis slumpmässiga väskkontroller när anställda lämnar lokalerna. Myndigheten poängterar att kamerabevakning endast är tillåten om det finns en rimlig misstanke om brottslig handling och om så är fallet är det tillåtet för företag att övervaka specifika personer genom kamerabevakning under en begränsad tid. Den kamerabevakning som skett i företagets lokaler har varken varit tidsbegränsad eller varit riktad mot specifika anställda, den har inte varit proportionerlig och den strider mot artiklarna 5 och 6 i GDPR.

Läs pressmeddelandet, endast tillgängligt på tyska, här.

Norska Datatilsynet bötfäller Lindstrand Trading med 100 000 norska kronor

Lindstrand Trading bötfälls med 100 000 norska kronor på grund av att de har utfört fyra kreditbedömningar utan rättslig grund. Det handlar om en person som har lämnat in klagomål till Datatilsynet. Bakgrunden till klagomålet var att personen hade varit föremål för kreditbedömningar utan att ha någon kundrelation eller annan koppling till företaget. Enligt gällande dataskyddsregler krävs att all behandling av personuppgifter har en rättslig grund.

Måste finnas rättslig grund

En kreditbedömning innehåller detaljer om personlig ekonomi och enligt Datatilsynet kan det upplevas som ett intrång när ett företag använder informationen utan rättsligt grund. Information om en enskild firma är ju också personuppgifter, pekar ut en fysisk person som driver ett företag, och i detta fall företagarens, personens, ekonomiska situation. Enligt Datatilsynet innebär det att det måste finnas en rättslig grund för att bedöma kreditvärdigheten för ett en enskild firma.

Kreditbedömningarna som har utförts i detta fall anser Datatilsynet har gjorts för privata ändamål helt utanför näringsverksamheten och därmed drar Datatilsynet slutsatsen att kreditbedömningarna gjordes utan att kravet på rättslig grund har uppfyllts.

Tillsynet ser allvarligt på den här typen av regelbrott

I beslutet lyfter Datatilsynet särskilt skyldigheten avseende internkontroll och att alla verksamheter har ett ansvar för att kunna påvisa att de behandlar personuppgifter i enlighet med dataskyddsförordningen (artikel 24 respektive artikel 5 punkt 2 avseende ansvarsskyldigheten). Beroende på behandlingsaktiviteterna behöver verksamheter implementera interna riktlinjer till skydd för uppgifterna.

Överträdelserna har i det här fallet begåtts av verksamhetschefen, som ansetts ha endast begränsad kunskap om de kraven i dataskyddsförordningen som behöver vara uppfyllda för att få behandla informationen i kreditupplysningar. Eftersom dataskyddsförordningen förutsätter en stark förankring hos ledningen anses den här omständigheten, och även den omständigheten att verksamheten varken hade på plats tekniska eller organisatoriska åtgärder i form av skriftliga rutiner för att säkra regelefterlevnaden, av Datatilsynet utgöra försvårande omständigheter som påverkar den administrativa sanktionsavgiften i höjande riktning.

Beslutet är överklagat av Lindstrand Trading.

Läs mer här.

Datainspektionen = Integritetsskyddsmyndigheten

Från och med den första januari 2021 heter Datainspektionen Integritetsskyddsmyndigheten (IMY). Nytt namn, samma viktiga uppdrag – att värna om din personliga integritet, skriver de i ett inlägg på LinkedIn. Myndighetens uppdrag är att arbeta för att skydda medborgarnas personuppgifter så att de hanteras korrekt och inte hamnar i fel händer, men även att meddela tillstånd till kamerabevakning samt att verka för god sed inom inkasso och kreditupplysning.

Ny webbplats

Med namnbytet byter även myndigheten sin visuella identitet och under våren 2021 lanseras en ny webbplats med bättre sökfunktion, struktur och innehåll för både verksamheter och privatpersoner, skriver Integritetsskyddsmyndigheten på sin webbplats. Webbplatsen nås via www.imy.se och Swedish Authority for Privacy Protection är myndighetens engelska namn.

Läs mer här.

Nestor SAS bötfälls med 20 000 euro

Den 5 december 2021 meddelade den franska dataskyddsmyndigheten, Commission Nationale de l’informatique et des Libertés, CNIL, att de ålägger Nestor SAS med böter om 20 000 euro då företaget har skickat e-postmeddelanden utan samtycke till 653 033 personer sedan 2017.

Brott mot CPCE och GDPR

Handlingen bryter mot artikel L-34-5 i franska post- och elektronisk kommunikationslagen (CPCE) samt GDPR. Nestor har skickat e-postmeddelanden till personer som har skapat ett konto på Nestors webbplats eller mobilapplikation och samlat in data ifrån de onlineforumlär som använts vid skapandet av ett konto.

Nestor misslyckats med dataskyddsåtgärder

CNIL betonar att Nestor i samband med onlineformuläret för insamling av personuppgifter inte informerat individerna om insamlingen av personuppgifter och i mobilapplikationen lämnades inte heller nödvändig information om personuppgiftsbehandlingen. Detta har resulterat i att CNIL fann att Nestor i strid med artikel 12 och 13 i GDPR inte lämnat nödvändig information om behandlingen av personuppgifter till de berörda registrerade. CNIL fann dessutom att Nestor inte har gett de registrerade tillgång till de personuppgifter som behandlats, vilket gjorde att CNIL ansåg att Nestor agerat i strid med även artikel 15 GDPR. Nestor har även misslyckats i att implementera lämpliga dataskyddsåtgärder, såsom användning av ett starkt lösenord vid skapande av ett konto på webbplatsen eller i mobilapplikationen, skriver CNIL på sin webbplats.

Läs mer här.

Övergångsbestämmelser för överföring av personuppgifter mellan EU-Storbritannien

I handels- och samarbetsavtalet som förhandlades fram den 24 december 2020 enades EU och Storbritannien om att tillåta överföring av personuppgifter från EU till Storbritannien från och med den 1 januari 2021 för en ytterligare övergångsperiod på upp till sex månader.

Storbritannien ska inte betraktas som tredjeland

Enligt överenskommelsen ska överföringar av personuppgifter från EU och europeiska ekonomiska samarbetsområdet till Storbritannien och Nordirland under övergångsperioden inte betraktas som överföringar till ett tredjeland, så länge Storbritannien samordnar sina ytterligare åtgärder i dataskyddsfrågor med den europeiska sidan (artikel FINPROV. 10A: Tillfällig bestämmelse för överföring av personuppgifter till Storbritannien, s. 414 f., Tillgänglig på tca-20-12-28.pdf (europa.eu).

Överföringsinstrument

Om EU-kommissionen inte fattar ett beslut i enlighet med artikel 45.3 i GDPR och artikel 36.3 i direktiv (EU) 2016/680 för Förenade kungariket vid slutet av övergångsperioden, sålunda ett beslut om adekvat skyddsnivå, måste överföringar göras med ett av överföringsinstrumenten i kapitel V i GDPR, t.ex. kommissionens standardavtalsklausuler för dataskydd. Berörda organisationer bör förbereda sig för ett sådant scenario.

Läs mer här.

Danska Datatilsynet lanserar ny sida om dataskydd riktat till barn och ungdomar

Den 21 december lanserade Datatilsynet en undersida på deras webbplats som riktar sig till barn och ungdomar. Materialet på sidan handlar främst om användning av sociala medier och bilddelning på webben. Syftet med sidan är dels att informera barn och ungdomar om deras rättigheter när det gäller dataskydd och dels för att förbereda barn och ungdomar till ett mer kritiskt tänkande när det handlar om hur andra hanterar information om dem.

Viktig målgrupp

Då internetanvändning är en integrerad del av de flesta barns och ungdomars vardag är det viktigt som tillsynsmyndighet att göra en särskild ansträngning för att informera och vägleda barn och ungdomar om deras rättigheter, skriver Datatilsynet på deras webbplats. Barn och ungdomar är en viktig målgrupp då de vanligtvis är mindre medvetna om de risker som kan uppstå när andra hanterar information om dem. Mot denna bakgrund föreskriver dataskyddsreglerna att barn och ungdomar ska erhålla ett särskilt skydd av sina personuppgifter.

Under 2021 kommer Datatilsynen att följa upp det nya materialet med mer informationskampanjer riktade mot barn och ungdomar.

Läs mer här och besök den nya sidan här.

Datainspektionens granskning av brottsbekämpande myndigheter klar

I augusti 2018 trädde brottsdatalagen i kraft och i den finns en skyldighet för berörda myndigheter att rapportera vissa personuppgiftsincidenter till Datainspektionen. Exempel på sådan incident är om uppgifter om en eller flera registrerade personer har blivit förstörda eller gått förlorade på annat sätt. Incidenter som inte är av allvarlig karaktär behöver dock inte anmälas till Datainspektionen men skall dokumenteras av den berörda myndigheten.

Sju myndigheter granskade

Datainspektionen har granskat totalt sju brottsbekämpande myndigheter där de sett över myndigheternas förmåga att upptäcka personuppgiftsincidenter, att hantera eventuella incidenter, att dokumentera incidenter samt vilken information och utbildning personalen på de olika myndigheterna fått vad gäller personuppgiftsincidenter.

Rutinerna ser bra ut

De brottsbekämpande myndigheter som ingått i Datainspektionens granskning är Polisen, Ekobrottsmyndigheten, Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket. Enligt Datainspektionen ser myndigheternas rutiner för personuppgiftsincidenter bra ut.

Läs mer och ta del av besluten här.

Allmän varning utfärdad till stormarknad pga användning av ansiktsigenkänning

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) har utfärdat en varning till en stormarknad på grund av användning av ansiktsigenkänning. Det framkommer av varningen att stormarknaden ska ha använt ansiktsigenkänning för att skydda butiksbesökare och personal samt för att förhindra stölder. Kamerasystemet var uppsatt vid stormarknadens ingång och registrerade således ansiktet på alla som besökt stormarknaden.

Ansiktsigenkänning förbjuden

Efter signaler från media har AP begärt ut information från stormarknadens ägare, detta gjordes den 6 december 2019 och den 8 december 2019 stängde stormarknaden av ansiktsigenkänningssystemet. Men entreprenören har meddelat AP att han vill sätta igång systemet igen.

Två undantag

Det finns enligt AP två undantag från förbudet mot att använda biometriska uppgifter för att identifiera enskilda personer; att den registrerade gett sitt uttryckliga samtycke eller när ansiktsigenkänning är nödvändig för autentisering eller utgör en säkerhetsåtgärd som ligger i allmänhetens intresse. Det senare anser stormarknaden ligga till grund för stormarknadens användning av kamerasystemet. Detta håller dock inte AP med om.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart