Nytt register över One-Stop-Shop

EDPB (European Data Protection Board) har publicerat ett nytt register som innehåller beslut som fattats av nationella tillsynsmyndigheter efter One-Stop-Shop-samarbetsförfarandet (artikel 60 GDPR) på sin webbplats.

Enligt GDPR har tillsynsmyndigheter en skyldighet att samarbeta i ärenden med en gränsöverskridande komponent för att säkerställa en konsekvent tillämpning av förordningen – den så kallade one-stop-shop-mekanismen (OSS). Under OSS ansvarar ledningstillsynsmyndigheten (LSA) för att förbereda utkasten till beslut och arbetar tillsammans med berörda tillsynsmyndigheter för att nå enighet. 

Värdefullt register

Fram till början av juni har LSA antagit 110 slutliga OSS-beslut. I registret presenteras besluten samt sammanfattningar av besluten på engelska som utarbetats av EDPB-sekretariatet. Registret kommer att vara värdefullt för personer som arbetar med dataskydd då det innehåller information som visar hur tillsynsmyndigheter samarbetar för att verkställa GDPR i praktiken. 

Informationen i registret har validerats av de aktuella LSA:erna och i enlighet med villkoren i dess nationella lagstiftning.


Ta del av registret här.

Användning av värmekameror stoppas i Lisses, Frankrike

Som en del av att bekämpa spridningen av COVID-19-epidemin i Lisses, Frankrike, placerades bärbara värmekameror ut i bland annat kommunens skolor. Värmekamerorna samlar in hälsodata från de som vistas i skolorna och på så sätt ska spridningen av viruset bekämpas. 

Användningen av dessa värmekameror har dock begärts stoppas då insamlingen av data sker automatiskt och utan samtycke, vilket krävs av GDPR. Skolans elever, lärare och övrig personals hälsodata blir med andra ord registrerade genom att de vistas i lokalerna där kamerorna är uppsatta.

Åsidosätter rätten till integritet

Då bland annat avsaknaden till samtycke från de berörda uppfylls inte villkoren för att tillåta denna typ av datainsamling och därför beordras Lisses kommun att avsluta användningen av dessa värmekameror. Man menar att kommunen åsidosätter rätten till respekt och integritet för de berörda, vilket även inkluderar rätten till skydd av personuppgifter. 


Läs mer här.

Diskussionspanel kring e-hälsotjänster

Tidigare under dagen sände SVT2 Forum ett webbinarium kring de legala utmaningar e-hälsan medför med anledning av den ökade tillväxten av e-hälsotjänster. Medverkade i webbinariet gjorde bland annat Datainspektionens generaldirektör Lena Lindgren Schelin, Erik Janzon, E-hälsomyndigheten, Daniel Forslund, biträdande regionråd i Region Stockholm. 

E-hälsa som app – dataskydd och datadelning

Då marknaden för e-hälsotjänster växer sig större väcks frågor kring dataskydd och integritet. Utgångspunkten för webbinariets diskussion var SNS-rapporten “E-hälsa som app – dataskydd och datadelning”, skriven av Cecilia Magnusson Sjöberg, professor i rättsinformatik och ämnesföreståndare vid Juridiska institutionen, Stockholms Universitet. Rapporten ingår i SNS:s forskningsprojekt “Vård och omsorg i det 21:a århundradet” där fokus är att ta fram ny kunskap om hur kompetensförsörjningen kan säkras i sektorn och hur ny teknik kan tas tillvara. 

Något som rapporten visar är att den stora efterfrågan på e-hälsotjänster medför, förutom många fördelar, även flertalet utmaningar där bland annat hälsoapparna och juridiken inte alltid går hand i hand. Ytterligare en utmaning som är att förutsättningarna för häsloappar i den privata respektive offentliga sektor kan se olika ut när det exempelvis gäller administrativa sanktionsavgifter enligt dataskyddsförordningen (GDPR). 

Viktigt att det finns ett regelverk

Webbinariet avslutas med en diskussion kring ämnet där Lena Lindgren Schelin, generaldirektör på Datainspektionen berättar att de största problemen och utmaningarna inom området är hon poängterar att hälsa, e-hälsa, appar och framförallt dessa i kombination är ett svårt med mycket viktigt område. Vidare förklarar hon att SNS:s rapport pekar på många intressanta områden samt att det är viktigt att bejaka att digitaliseringen är här för att stanna. Hon förklarar även att det handlar om att få med dataskyddsperspektivet tidigt i all utveckling då det sällan går att reparera i efterhand. Vidare poängterar hon att det är viktigt att det finns ett regelverk att förhålla sig till.

Webbinariet kan du se här.

Datainspektionen granskar ABB

Datainspektionen har fått in klagomål gällande ABB men behöver i första steget ta reda på om de är behöriga att granska den internationella koncernen. 

Det klagomål som inkommit till Datainspektionen handlar om hur ABB hanterar personuppgifter om arbetssökande i samband med rekryteringar. En granskning har nu inletts men Datainspektionen behöver i ett första steg utreda om de är behöriga att granska ABB som är en internationell koncern. 

I nuläget ställer Datainspektionen ett antal frågor till ABB för att bland annat ta reda på mer specifikt i vilka länder hanteringen av personuppgifter gäller, samt i vilket land beslutet för hur sättet hanteringen av personuppgifterna fattats. 

Läs mer här.

EU-kommissionens rapport gällande dataskyddsregler nu publicerad

Den 24 juni i år offentliggjorde EU-kommissionen en rapport gällande tillämpningen av den allmänna dataskyddsförordningen (GDPR) som trädde i kraft för drygt två år sedan.

Den offentliggjorda rapporten visar att GDPR har uppfyllt de flesta av sina mål, särskilt genom att erbjuda medborgarna en stark uppsättning verkställbara rättigheter och genom att skapa ett nytt europeiskt system för styrning och verkställighet.

Modernisera mekanismer för dataöverföring

EU-kommissionen skall, enligt den allmänna dataskyddsförordningen (GDPR), rapportera om tillämpningen och översynen av förordningen med en första rapport efter två år och därefter vart fjärde år. I rapporten presenteras en förteckning över åtgärder som ytterligare ska underlätta tillämpningen av den allmänna dataskyddsförordningen för alla berörda parter med särskilt fokus på små och medelstora företag. Detta för att främja samt vidareutveckla en verkligt europeisk dataskyddskultur samt ett kraftfullt verkställande. 

För att nå den fulla potentialen i internationella uppgiftsöverföringar ska kommissionen fortsätta sitt arbete mot en adekvat skyddsnivå med sina partner runt om i världen. Utöver detta håller kommissionen, i samarbete med Europeiska dataskyddsstyrelsen, på att modernisera andra mekanismer för dataöverföring, inbegripet standardavtalsklausuler, det mest använda verktyget för dataöverföring.

Läs hela rapporten här.

Norska Folkhälsoinstitutets svarsbrev angående stoppet av appen Smittestopp

Den 15 juni i år meddelade Norska Datatilsynet att de väljer att införa ett tillfälligt förbud mot behandling av personuppgifter som är kopplade till appen Smittestopp. Anledningen till anmälan är att Datatilsynet ifrågasätter bristen på valfrihet för användaren. Det Norska Folkhälsoinstitutet hade fram till den 23 juni att dokumentera och göra nödvändiga ändringar för att återuppta användandet av appen.

Igår, 24 juni, skickade det Norska Folkhälsoinstitutets svar till Norska Datatilsynet gällande beslutet om tillfälligt stopp av användandet av appen Smittestopp. I svarsbrevet går att läsa att det Norska Folkhälsoinstitutet bland annat kommer fortsätta samt förbättra arbetet kring tekniska lösningar. De understryker även att digital smittspårning är viktig för att förhindra och förebygga spridning av smitta samt att det är mycket angeläget att sätta appen i bruk igen. 

För att ta del av svarsbrev och tillhörande bilagor klicka dig vidare här.

Datainspektionen klar med granskning av Polismyndighetens belastningsregister

Den 20 januari 2020 inkom det från Polismyndigheten en anmälan om personuppgiftsincident till Datainspektionen och en granskning av Polismyndighetens personuppgitsbehandling inleds.

Tekniska felaktigheter

Det var under perioden 19 november till och med den 13 januari 2020 som personuppgiftsincidenten ägde rum. Incidenten gällde utskick av ett antal utdrag ur belastningsregistret till enskilda personer som innehållit för få eller för många uppgifter. Datainspektionen beslutar, mot bakgrund av informationen, att granska Polismyndighetens personuppgiftsbehandling i belastningsregistret.

Vid granskningen framkom i huvudsak att Polismyndigheten under november 2019 infört en ny teknisk plattform, vilket krävde förändringar i kommunikationen med systemet för registerutdrag. Systemet genomgick ett flertal tester innan den driftsattes men trots detta uppdagades det felaktigheter i vissa typer av utdrag ur belastningsregistret. När problemet blev känt stoppade Polismyndigheten registerutdragstjänsten tillfälligt i väntan på att felet åtgärdades.

Polismyndigheten vidtagit ett antal åtgärder

Med anledning av incidenten har Polismyndigheten bland annat publicerat ett pressmeddelande med generell information om det inträffade samt underrättat samtliga enskilda som fått ett felaktigt utdrag. Vidare har Polismyndigheten uppgett att de följt upp vilka utdrag som skickats in samt gjort en noggrann utredning och riskbedömning av de felaktiga utdrag som kan användas för att söka vissa typer av arbeten.

Datainspektionen har granskat det inträffade och konstaterar att Polismyndigheten har åtgärdat de tekniska fel som orsakat incidenten och vidtar därför inga ytterligare åtgärder.

Ta del av hela granskningen här

Uppdaterad information kring kamerabevakning

Med anledning av att Datainspektionen fått många frågor kring kamerabevakning i flerbostadshus har de nu tagit fram ny information gällande denna typ av kamerabevakning. Informationen riktar sig till både den som vill bevaka samt den som blir bevakad och går att finna på Datainspektionens webbplats.

Den 16 juni i år kunde vi rapportera om en granskning Datainspektionen gjort av en bostadsrättsförening. Granskningen gällde användandet av kamerabevakning i en fastighet, där man sedermera kunde konstatera att bostadsrättsföreningen handlat fel. Det handlade om kamerabevakning i fastighetens entré samt trapphus vilket ledde till att bostadsrättsföreningen blev ålagd att betala 20 000 kr i sanktionsavgift.

Bevakningsintresset avgörande

Vad innebär dataskyddsförordningen och kamerabevakning, vilka rättigheter har den som bevakas? Rätten till att inte bli bevakad – finns den? Väger intresset av att bevaka tyngre än de boendes integritetsintresse? Datainspektionen reder bland annat ut dessa frågor och vägleder både den som vill bevaka samt den som blir bevakad genom att illustrera ett flertal konkreta exempel på sin webbplats. Bevakningsintresset är avgörande och en bedömning av om tilltänkt bevakning är tillåten eller inte krävs.

Det är syftet som styr

Syftet sätter ramarna för hur en bevakning får bedrivas. Endast bevakning av det som är nödvändigt med anledning av ert syfte är tillåtet. Om syftet är att utreda, förhindra eller beivra brott måste det gå att bevisa att det kan finnas problem med brottslighet på just den plats kamerabevakningen sker. Därefter måste bevakningsintresset vägas mot rätten att inte bli bevakad i sin hemmiljö.

Läs mer på Datainspektionen.se

Statskontorets myndighetsanalys av Datainspektionen

Datainspektionen har enligt statskontoret inte visat tillräckligt bra resultat, särskilt inom tillsyn. Detta kan få konsekvenser att förvaltningar, företag och organisationer inte tar tillsyn på allvar och fortsätter hantera personuppgifter på fel sätt. Datainspektionen har genomgått stora förändringar och nu förväntar sig statskontoret bättre resultat. Läs mer här.

Justitiekanslern (JK) har den 18 maj 2020 beslutat att Försäkringskassan ska utge 7 000 kr i skadestånd till en enskild person mot bakgrund av myndighetens felaktiga behandling av sekretessbelagda och känsliga personuppgifter

Försäkringskassan skickade sekretesskyddade handlingar innehållande känsliga personuppgifter om en kvinna och hennes barn, till fel person.

JK konstaterar i sitt beslut att för skadefall som inträffat innan dataskyddsförordningen trädde ikraft gäller den numera upphävda personuppgiftslagen (se prop. 2017/18:105 s. 176) och att det i aktuellt fall var fråga om sådan behandling av personuppgifter som omfattas av personuppgiftslagen.

I ärendet stod det klart att utlämnande av personuppgifter genom översändande betraktas som behandling av personuppgifter enligt 3 § personuppgiftslagen (se SOU 2003:40 s. 190). Själva utlämnandet av handlingarna hade skett via vanlig post och den hanteringen var varken helt eller delvis automatiserad eller uppfyllde kriterierna för ett manuellt register. Detta ansågs dock ha mindre betydelse. Det avgörande ansågs istället vara vilken karaktär som den bakom­liggande behandlingen av personuppgifterna hade. Om den behandlingen varit helt eller delvis automatiserad (utskriften av handlingarna) eller om den uppfyllt kriterierna för ett manuellt register måste även själva utlämnandet av personuppgifterna anses omfattas av den behandlingen.

Kvinnan fick rätt till skadestånd enligt 48 § personuppgiftslagen.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Forum för Dataskydd är ett kompetensnätverk som arbetar med att stärka fokuset på dataskydd. Stärk ditt dataskyddsarbete med kompetens från mer är 750 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart