Ny uppdaterad information gällande hantering av personuppgifter

Datainspektionen har tagit fram ny uppdaterad information riktad främst till arbetsgivare för att ge vägledning i hantering av personuppgifter om sina anställda enligt Dataskyddsförordningen, GDPR. Informationen gäller bland annat vägledning kring vad som gäller för rekryteringssystem och kamerabevakning på arbetsplatser.

Undantagsfall

Det är normalt förbjudet för en arbetsgivare att behandla känsliga personuppgifter så som exempelvis medlemskap i en fackförening eller etniskt ursprung men det finns undantag. Således tar även informationen upp och ger vägledning i vad som gäller i undantagsfall.

Både privat och offentlig sektor

Informationen vänder sig främst till arbetsgivare inom både privat och offentlig sektor, men kan även vara till hjälp för arbetstagare, arbetssökande, fackförbund och branschorganisationer.

Läs mer här och här.

Datainspektionen byter namn om regerigen får bestämma

Vid årsskiftet kan det vara så att vi får lägga ett nytt namn på minnet och därmed radera ett gammalt. Detta då Regeringen föreslår att Datainspektionen ska byta namn till Integritetsskyddsmyndigheten.

Därför namnbyte

I budgetpropositionen som regeringen lade fram 21 september framkom flertalet skäl till varför Datainspektionen bör byta namn, bland annat därför att:

”Datainspektionen har ett brett ansvar för att människor ska skyddas mot kränkningar av den personliga integriteten. Det framstår därför som naturligt att låta myndighetens uppdrag när det gäller skyddet för den personliga integriteten avspeglas i dess namn. Genom namnbytet markeras också myndighetens nya roll. Risken för att Integritetsskyddsmyndigheten skulle komma att förväxlas med Säkerhets- och integritetsskyddsnämnden bedöms vara liten.”

Lagändringen föreslås träda i kraft den 1 januari 2021.

Läs mer här (s.90 ff. i Budgetpropositionen för 2021, hela dokumentet, prop. 2020/21:1)

Viktig vägledning gällande personuppgiftsansvariga och personuppgiftsbiträden

Den Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en vägledning som tydligt framhäver gränsdragningen mellan organisationer som är personuppgiftsansvariga och personuppgiftsbiträden. Den organisation som är personuppgiftsansvarig är den som bestämmer varför och på vilket sätt en viss hantering av personuppgifter ska ske. En organisation kan ta hjälp av någon annan för den faktiska hanteringen och då blir den hjälpande organisationen ett personuppgiftsbiträde.

Datainspektionen haft ledande roll

Vägledningen som EDPB har publicerat fokuserar på gränsdragningen mellan personuppgiftsansvarig och -biträde. Den beskriver även vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan organisationen med ansvar och den som är biträde. Förutom detta innehåller vägledningen en beskrivning av ett gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.

Vägledningen har tagits fram EU-gemensamt i en arbetsgrupp där den svenska Datainspektionen haft en ledande roll.

Läs mer här.

Norska Stortinget utsatt för cyberattack

Det handlar om en cyberattack där ett begränsat antal e-postkonton tillhörande några av det norska Stortingets ledamöter och anställda inom administrationen blivit angripna. Angriparna har fått ut data från de angivna personernas e-postkonton. Stortingets administrativa chef Marianne Andreassen bekräftar händelsen i ett uttalande på Stortingets hemsida. Stortinget tar händelsen på mycket stort allvar och de riktar full uppmärksamhet åt att analysera situationen. Detta för att uppnå en helhetsbild av det inträffade.

Motivet, omfattningen och skadan ej känd

Vilken typ av data som angriparna kommit över genom de hackade e-postkontona har ännu ej framkommit. Motivet bakom incidenten, omfattningen och skadan är fortfarande okänd. Stortinget har rapporterat in händelsen till bland annat den norska polisens säkerhetstjänst. Händelsen är under utredning.

Läs mer här.

Pulse Secure utsatt för ransomwareattack

Den franska dataskyddsmyndigheten CNIL informerades nyligen om att konfidentiell information om mer än 900 företag runtom i världen har publicerats på ett internetforum. Dessa data ska bland annat ha innehållit IP-adresser till sårbara servrar.

Ej uppdaterade produkter

Vad som inträffat visar sig vara ett dataintrång orsakat av en ransomwareattack där måltavlan varit Pulse Secure, ett virtuellt privat nätverk (VPN) som används av flertalet företag. Attacken påverkade icke uppdaterade versioner av vissa Pulse Secure-produkter, vilket möjliggjort angriparen att komma åt känslig information.

Programuppdateringar tillgängliga

Programutgivaren till Pulse Secure har publicerat en sammanställning av de berörda produktversionerna och tillgängliggjort programuppdateringar till dessa. De rekommenderar att organisationer som ännu ej uppdaterat sina Pulse Secure-produkter bör göra det snarast möjligt för att inte bli utsatta för intrång.  

Uppdatera alla lösenord

CNIL rekommenderar också att de organisationer som berörs av detta förnyar alla lösenord som använts i organisationens system. Generellt råder CNIL organisationer att genomföra granskningar av sina informationssystem, samt att övervaka misstänkta aktiviteter för att dessa snabbt ska upptäckas.  

Läs mer här.

Riktade IT-attacker mot kryptovalutaföretag

IT-säkerhetsföretaget F-Secure meddelar i ett pressmeddelande den 25 augusti 2020 att en Nordkorea-allierad hotaktör utfört riktade IT-attacker mot flertalet kryptovalutaföretag runt om i världen.

Kopplingar till Lazarusgruppen

Det framgår av pressmeddelandet att det handlar om en mycket skicklig ekonomiskt motiverad hotaktör som har kopplingar till Lazarusgruppen, vars intressen ligger i linje med Nordkoreas. F-Secure drar slutsatsen att attacken var en del av Lazarus offensiv riktad mot kryptovalutaindustrin i bland annat i USA, Storbritannien, Nederländerna och Tyskland.

“Spear phishing”

I pressmeddelandet framgår det att den taktik, de tekniker och processer som använts under attacken är en så kallad ”spear phishing”, i detta fall genom att använda LinkedIn för att skicka falska jobberbjudanden till olika profiler. Trots Lazarusgruppens ansträngningar att dölja sina spår, genom att till exempel inaktivera mottagarens antivirusprogram och avlägsna spår från skadliga koder, kunde F-Secure finna tillräcklig bevisning för att avslöja gruppens attack.

Läs mer här.

Det danska Datatilsynet har kastat känsliga dokument i vanlig pappersåtervinning

Det danska Datatilsynet skriver på sin hemsida att de av misstag har kastat dokument som kan innehålla konfidentiell och känslig information om medborgare, anställda etc. i en container istället för att strimlas. Detta är material som i vanliga fall lagras elektroniskt i Datatilsynets system.

Skulle ha strimlats

Dokumenten har kastats i en behållare i tron om att det sedan skulle strimlas men har istället kastats i en container som vanligt papper. Containern stod emellertid i ett låst återvinningsrum. Det danska Datatilsynet ser incidenten som djupt beklagligt och tycker att det är mycket olyckligt att den har inträffat. Datatilsynet har nu granskat myndighetens riktlinjer och skärpt sina förfaranden för att se till att pappersavfall i framtiden hanteras korrekt.

Pågått mellan februari och augusti

Överträdelsen har pågått under perioden februari till augusti, under samma period som myndigheten flyttade till nya lokaler. Från mitten av mars till mitten av juni har emellertid frågan inte varit aktuell, eftersom alla anställda under denna period arbetade hemifrån på grund av COVID-19. Det finns inga indikationer på att personlig information har nått obehöriga personer.

Läs mer här.

Datainspektionens första godkännande av bindande företagsbestämmelser

Tetra Pak-koncernen har nu fått sina bindande företagsbestämmelser godkända av Datainspektionen. Det är första gången som Datainspektionen som ansvarig dataskyddsmyndighet godkänt bindande företagsbestämmelser enligt GDPR. Godkännandet innebär att multinationella koncerner nu kan tillämpa regler vilka kan säkerställa lämpliga skyddsåtgärder vid överföring av personuppgifter till företag inom den egna koncernen i länder utanför EU/ESS.

Granskning

Godkännandet har genomgått noggrann granskning av Datainspektionen tillsammans med andra dataskyddsmyndigheter, samt den Europeiska Dataskyddsstyrelsen, EDPB. Samtliga dataskyddsmyndigheter inom EU/ESS har fått yttrat sig i granskningen.

Användbart instrument

EU:s samtliga medlemsstater har ett likvärdigt skydd för personuppgifter och personlig integritet, detta gäller även EES-länderna, och därför kan personuppgifter överföras fritt inom detta område utan begränsningar. Detta skydd vid överföring av personuppgifter finns dock inte i alla länder utanför EU/EES vilket därför kräver att dataskyddsförordningen innehåller regler om under vilka förutsättningar det är tillåtet att överföra personuppgifter till tredje land. Det är här som bindande företagsbestämmelser är ett användbart instrument.

Läs mer här och ta del av beslutet här.

Polisen får nu använda AI för bildanalys

Polisen har nu fått godkännande av Datainspektionen att använda automatiserat bildverktyg, artificiell intelligens, för att effektivisera arbetet kring analyser av exempelvis kläder, vapen och ansikten. I dagsläget utförs analys av bildmaterial manuellt av Polisen, vilket är både resurs- och tidskrävande. Nu hoppas man att med hjälp av den nya tekniken kunna korta ner handläggningstiderna samt nå bättre analysresultat.

Datainspektionen gett skriftliga råd

Den nya tekniken innebär även hårdare förhållningsregler i och med att man kommer att behandla känsliga biometriska uppgifter. Även om Datainspektionen anser att Polisen har ett berättigat intresse av att behandla personuppgifter på det sätt som tekniken avser har de valt att lämna skriftliga råd som måste följas innan tekniken implementeras.

Får inte samköras med befintliga register

Innan Polisen väljer att använda den nya metoden i specifika fall kommer de att göra en bedömning för att säkerställa att det är absolut nödvändigt att ta till den nya tekniken. De har även lovat att vidta ”tekniska och organisatoriska skyddsåtgärder för att minimera risken för intrång i den personliga integriteten” samt att inte samköra den nya metoden med de redan befintliga registren.

Läs mer här.

Danska Datatilsynet granskar kommuner

Under veckan har det danska Datatilsynet genomfört tre planerade inspektioner mot Ringkøbing-Skjern kommun, Varde kommun respektive Holstebro kommun. Inspektionerna fokuserade på kommunernas efterlevnad av kravet på att föra register över hur kommunerna bearbetar data.

Vissa utmaningar har väckts

I ett av fallen fann Datstilsynet att majoriteten av kommunens listor har upprättats på ett bra och lämpligt sätt, eftersom listorna – enligt myndighetens bedömning – generellt gav en god översikt över hur kommunen bearbetar datan. I två av fallen konstaterade Datatilsynet att vissa delar av kommunernas listor väckte utmaningar i förhållande till de underliggande syftena med att hålla listor.

Baserat på erfarenheterna med inspektioner avseende kravet på att föra register har det danska Datatilsynet uppdaterat riktlinjerna för registerhantering från januari 2018.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från mer än 700 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dporum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart