Integritetsskyddsmyndigheten (IMY) har publicerat en brevmall för begäran om radering av personuppgifter

Enligt dataskyddsförordningen har du rätt att vända dig till verksamheter som behandlar dina personuppgifter och be att få dina uppgifter raderade, detta kallas även för rätten att bli bortglömd.

Rätt att bli bortglömd

Rätten att bli bortglömd eller rätt till radering gäller exempelvis om du avslutar ditt medlemskap på gymmet, du har lämnat samtycke till att delta i en marknadsundersökning men ångrar dig och återkallar ditt samtycke eller om du får nyhetsbrev från ett företag och du vill att det ska upphöra.

Läs mer och ta del av brevmallen här.

Global polisinsats oskadliggjort stort malwarenätverk

Europol meddelar i ett pressmeddelande att ett stort malwarenätverk avväpnats efter en global polisinsats. Polisinsatsen resulterade i att ett av världens mest betydelsefulla botnet, Emotet, nu har oskadliggjorts. Det handlar om ett samarbete, koordinerat av Europol och Eurojust, mellan polisen och flera myndigheter i bland annat Nederländerna, Tyskland, USA och Storbritannien.

Nytt och unikt tillvägagångsätt

Den infrastruktur som Emotet använt sig av har involverat flera hundra servrar runtom i världen, alla dessa har haft olika funktioner för att hantera datorerna för de infekterade offren. Genom en operativ strategi lyckades rättsväsendet att få kontroll över Emotets infrastruktur och ta ned den från insidan. Tillvägagångssättet som användes är unikt och nytt för att bekämpa denna slags brottslighet.

Som en del av den brottsutredningen upptäcktes en databas med e-postadresser, användarnamn och lösenord som stulits av Emotet.

Läs hela pressmeddelandet här.

Belgiens DPA har ålagt marknadsföringsbolaget Family Service böter om 50 000 euro för brott mot GDPR

Family Service är ett marknadsföringsbolag som distribuerar prover, specialerbjudanden och informationsblad till framtida föräldrar i rosa boxar.

Överfört personuppgifter utan giltigt samtycke

Efter att den belgiska dataskyddsmyndigheten, DPA, erhållit klagomål om att Family Service överfört personuppgifter till tredje part utan giltigt samtycke och dessutom utan tillräcklig information om överföringen till kunden inledde myndigheten en granskning av företaget. Granskningen visade att företaget lämnat ut och/eller sålt personuppgifter i marknadsföringssyfte. Att företaget delat personuppgifter med tredje part har inte nått kunderna på ett adekvat sätt.

50 000 euro rimligt belopp

De rosa boxarna med prover, specialerbjudanden och informationsblad delades dessutom ut av gynekologer och sjukhus vilket kan ha vilselett kunderna att tro att initiativet kommit ifrån den offentliga sektorn och inte från Family Service. Med beaktande bland annat av att företaget behandlar personuppgifter om 21,1 % av den belgiska befolkningen, däribland personuppgifter om barn, samt företagets storlek anser belgiske DPA att böter om 50 000 euro är ett rimligt belopp.

Läs mer här.

Det norska förlaget CyberBook AS bötfälls med 200 000 NOK

Norska Datatilsynet bötfäller CyberBook AS med 200 000 norska kronor för olaga vidarebefordran av e-post. Datatilsynet har fått in klagomål från en tidigare anställd som menar att företaget aktiverat en automatisk vidarebefordran av den anställdes personliga e-post. Vidarebefordran ska ha skett i fler månader utan att den tidigare anställde fick information om detta. Efter granskning av ärendet framkommer att företaget brutit mot reglerna om tillgång till e-postlådor och annat elektroniskt material.

Måste upprätta rutiner

Datatilsynet bedömer även att CyberBook AS har brutit mot dataskyddsförordningens krav på rättslig grund, information till den registrerade och skyldigheten att lyssna till den klagande, utöver kravet påa radering av personuppgifter. Med detta som grund beslutar Datatilsynet att företaget måste upprätta skriftliga rutiner för åtkomst till e-postlådor för anställda och tidigare anställda. Utöver detta bötfälls företaget med 200 000 norska kronor för den olovliga vidrebefordran.

CyberBook AS har tre veckor på sig att överklaga beslutet.

Läs mer här.  

EDPB tagit fram nya riktlinjer med exempel på personuppgiftsincidenter som ska anmälas

Den europeiska dataskyddsstyrelsen EDPB har tagit fram riktlinjer med exempel på vad som är personuppgiftsincidenter som ska anmälas. Riktlinjerna syftar till att ge mer tydlighet i hantering av personuppgiftsincidenter och vilka faktorer som ska beaktas i riskanalysen av dessa.

Offentligt samråd tom 2 mars

Riktlinjerna innehåller en översikt över de vanligaste kategorierna av personuppgiftsincidenter som ska anmälas till de olika nationella tillsynsmyndigheterna. Till exempel diskuteras ransomware, obehörig datafiltrering och stulna eller förlorade enheter och dokument. Riktlinjerna finns ute för offentligt samråd till och med den 2 mars.

Läs mer här.

Datatilsynet DK publicerar ny vägledning för att fastställa administrativa sanktionsavgifter av GDPR

Den danska dataskyddsmyndigheten har i samarbete med rikspolisen och riksadvokaten i Danmark utarbetat en vägledning för beräkning av sanktionsavgifterna för fall där organisationer bryter mot dataskyddsförordningen, GDPR.

Vägledningen ska bidra till ökad transparens kring hur bland annat tillsynen avgör storleken på sanktionsavgifterna som åläggs organisationer.

Användas som praxis nationellt och inom EU

Det handlar om ett levande dokument som kontinuerligt kommer att utvidgas i takt med att tillsynsmyndigheten med flera hanterar ärenden om sanktionsavgifter. Vägledningen kommer även att fungera som praxis både nationellt och inom EU.

Läs mer här.

IMY lämnar över sin första integritetsrapport till regeringen

Integritetsskyddsmyndigheten (IMY) har i uppdrag från regeringen att löpande följa utvecklingen inom integritetsskydd och vart fjärde år ska myndigheten rapportera om den mest aktuella och betydelsefulla utvecklingen som påverkar den personliga integriteten till regeringen. Förra veckan överlämnade IMY första integritetsrapporten.

Digitaliseringspolitiken behöver kompletteras

IMY skriver vidare att Sverige har en ambitiös digitaliseringspolitik och som nu behöver kompletteras med konkreta mål och åtgärder för att säkerställa att utvecklingen är hållbar ur ett integritetsperspektiv. Vidare berättar Lena Lindgren Schelin, generaldirektör IMY, att Sverige riskerar att bygga in sig i en storskalig insamling och användning av data som är oetisk, olaglig eller på ett allvarligt sätt inskränker våra mänskliga rättigheter.

Det framgår i rapporten att det är både enklare och billigare än någonsin att samla in, bearbeta och analysera stora mängder data, detta genom bland annat mobiltelefoner och smarta prylar i hemmet.

Tydligare integritetspolitik

IMY poängterar att Sverige kan säkerställa människors rätt till privatliv och rätten till självbestämmande genom en tydligare integritetspolitik. Avslutningsvis förklarar Lena Lindgren Schelin ”Som ett led i att stärka enskildas rättigheter kommer IMY under 2021 att bedriva mer tillsyn än tidigare baserat på klagomål från enskilda. På så sätt verkar vi för ett tryggt informationssamhälle.”

Läs mer här.

Elander-koncernen har fått sina företagsbestämmelser godkända av IMY

Integritetsskyddsmyndigheten (IMY) meddelade i pressmeddelande förra veckan att Elander-koncernen fått sina bindande företagsbestämmelser godkända av myndigheten så att koncernen ska kunna överföra personuppgifter till sina koncernbolag utanför EU.

Bindande företagsbestämmelser

Bindande företagsbestämmelser är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Syftet med bindande företagsbestämmelser är att förenkla för koncerner att överföra personuppgifter till koncernbolag utanför EU.

Gedigen granskningsprocess

IMY har tillsammans med ett par andra medgranskande europeiska dataskyddsmyndigheter genomfört en granskning av koncernens förlag till bindande företagsbestämmelser. Myndigheten har också yttrat sig över dem. Dessa granskningar resulterade i att de bindande företagsbestämmelserna godkändes.

Läs mer här.

Dejtingappen Grindr kan komma att få administrativ sanktionsavgift om 100 miljoner norska kronor

Norska dataskyddsmyndigheten, Datatilsynet, har fattat ett preliminärt beslut om sanktioner om 100 miljoner norska kronor till dejtingappen Grindr till följd av ett klagomål till Datatilsynet från norska Konsumentrådet.

Grindr är en dejtingapp för homosexuella och bisexuella män, transpersoner och queerpersoner. År 2020 lämnade Konsumentrådet in ett klagomål mot Grindr till Datatilsynet eftersom appen i marknadsföringssyfte delade information om GPS-placering, information från användarprofilerna och att personen i fråga är en Grindr-användare eller inte till flera tredje parter. Tredje parterna har sedermera möjlighet att dela dessa uppgifter vidare. Myndigheten utgår även ifrån att spårning av olika webbplatser, tjänster eller enheter för marknadsföringssyfte i normalt kräver samtycke.

Grindrs samtycke ej giltigt

Datatilsynets slutsats är att Grindr behöver samtycke för att dela ovannämnda personuppgifter och att de samtycken som Grindr inhämtat inte varit giltiga. Myndigheten anser även att uppgiften om att personen är en Grindr-användare eller inte är en känslig personuppgift eftersom den anger personens sexuella läggning. Den integritetspolicy som personen behöver godkänna för att bli användare av appen frågar inte specifikt om samtycke till utlämnande av personuppgifter till tredje part, vilket myndigheten anser strider mot GDPR.

Avskräckande effekt

Den preliminärt meddelade sanktionsavgiften om 100 miljoner norska kronor är den hittills högsta avgiften från det norska Datatilsynet även om vi inte vet om det beloppet står sig när Datatilsynet fattar slutligt beslut i ärendet. Myndigheten menar att administrativa sanktionsavgifter enligt GDPR måste vara effektiva och stå i rimlig proportion till överträdelsen men även ha en avskräckande effekt. Grindr har en tidsfrist för att lämna in synpunkter till senast den 15 februari.

Läs mer här.

Aquateknikk AS bötfälls med 100 000 norska kronor

Efter att klagomål kommit in till norska Datatilsynet från en person gällande en kreditbedömning utan en rättslig grund bötfälls Aquateknikk AS med 100 000 norska kronor. Det handlar om att företaget utfört kreditbedömning på en person som inte har någon kundrelation eller annan anknytning till företaget.

Saknas rättslig grund

Enligt Datatilsynet saknas rättslig grund till den genomförda kreditbedömningen och Aquateknikk har inte haft ett välgrundat intresse av att bedöma klagandes kreditbetyg. Datatilsynet poängterar även att kreditinformation är en typ av personlig information som är särskilt viktigt att skydda. Vidare förklarar Datatilsynet att eftersom en kreditbedömning innehåller uppgifter om personlig ekonomi kan enskilda uppleva det som ett intrång i den personliga integriteten när ett företag använder informationen utan rättslig grund.

Aquateknikk har tre veckor på sig att överklaga.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart