Nytt datadelningsavtal med USA välkomnas av näringslivet men föreningar är skeptiska

EU-kommissionen och USAs regering är överens om huvudprinciperna för en efterföljare till Privacy Shield. I ett gemensamt pressmeddelande från 25 mars 2022 skriver parterna att överenskommelsen är resultatet av mer än ett års intensiva förhandlingar.

Detaljerna kring det nya ramverket som kallas ”Trans-Atlantic Data Privacy Framework” har inte offentliggjorts än. Det framgår i pressmeddelandet att det handlar om en politisk överenskommelse som ska lägga grunden för ett juridiskt dokument som både EU och USA ska skriva färdigt och godkänna. 

I det gemensamma pressmeddelandet framgår det också att USA:s regering har ambitionen att införa vissa ändringar. USA:s regering avser att införa nya bestämmelser som ska se till så att amerikanska myndigheters övervakningsåtgärder är nödvändiga och proportionella. Européer ska också ges rätt till någon form av rättslig prövning av deras klagomål rörande amerikanska myndigheters övervakning. 

Dataskyddsmyndigheter välkomnar överenskommelsen
Den svenska Integritetsskyddsmyndigheten (IMY) redogör i ett pressmeddelande från 7 april 2022 för hur IMY och European Data Protection Board (EDPB) ser på överenskommelsen. IMY skriver i pressmeddelandet att EDPB välkomnar överenskommelsen. EU-ländernas dataskyddsmyndigheter har länge påpekat att ett nytt transatlantiskt avtal måste uppfylla de krav EU-domstolen ställde i Schrems II-domen. IMY framhäver samtidigt att personuppgiftsansvariga och biträden inte kan börja överföra uppgifter till USA genom att hänvisa till den politiska överenskommelsen.

– Det är dock viktigt att känna till att principöverenskommelsen endast är ett första steg i processen att ta fram ett beslut om adekvat skyddsnivå som kan ligga till grund för överföring av personuppgifter till USA, säger IMY:s rättschef David Törngren. 

En process i flera steg
Ett beslut om adekvat skyddsnivå är en EU-rättslig form av verkställighetslag som kallas genomförandeakt, Till att börja med måste EU-kommissionen och den amerikanska regeringen färdigställa det juridiska dokumentet. Först då kan EU-kommissionen anta en genomförandeakt, vilket utgör det första formella steget i EU:s lagstiftningsprocess för beslut om adekvat skyddsnivå. 

I ett andra steg måste kommissionen begära in ett yttrande från EDPB över genomförandeakten. I det tredje steget måste en genomförandekommitté bestående av företrädare för medlemsstaterna godkänna genomförandeakten. 

Kommersiella aktörer välkomnar förslaget
Microsoft välkomnade i ett blogginlägg den 25 mars 2022, den nya överenskommelsen och kallade den för en viktig milstolpe. 

Vidare har 35 branschföreningar och företag undertecknat ett gemensamt uttalande som redogör för näringslivets syn. Näringslivsföreträdarna välkomnar avtalet och efterlyser ett snabbt genomförande. I uttalandet betonas det att europeiska företag av alla storlekar är beroende av fungerande transatlantiska dataflöden. I en bilaga till uttalandet finns även uppskattningar och resultat från enkätundersökningar och annat underlag som näringslivsföreträdarna inkluderat för att ge en bild av hur näringslivet påverkas. Bland annat kan man läsa att EU uppskattas gå miste om 116 miljarder euro per år i förlorade exportintäkter utan en fungerande lösning för tredjelandsöverföringen. 

Förening som företräder konsumenter är skeptisk
Max Schrems, ordförande för den ideella organisationen Noyb (None of your business), gjorde också ett uttalande den 25 mars 2022. Schrems beklagar att överenskommelsen inte förbjuder EU och USA som ”likasinnade demokratier” från att spionera på varandra. Noyb kommer  noga analysera det nya ramverket så fort det blir offentligt. Om det nya ramverket inte uppfyller EU-domstolens krav i Schrems II-domen, är det sannolikt att Noyb ganska snabbt kommer vilja få det nya ramverket prövat i domstol en tredje gång. Schrems menar att det är konsumenterna och företagen som drabbas mest av ytterligare år med rättslig osäkerhet. 

En amerikansk dom påstås komplicera läget
Den 21 mars 2022, några dagar innan den politiska överenskommelsen tillkännagavs, skrev två ledande jurister som jobbar för American Civil Liberties Union (ACLU) en debattartikel i The Hill. ACLU är en ideell organisation som försvarar medborgerliga rättigheter genom att driva juridiska processer och genom opinionsbildning i USA. 

I debattartikeln hävdar ACLU-juristerna att en relativt färsk dom från USAs högsta domstol kommer att göra det svårare att få till ett transatlantiskt avtal som uppfyller Schrems II-domens krav. De två ACLU-juristerna var rättegångsombud för klagandena i ett mål som fått benämningen FBI v. Fazaga

Klagandena i FBI v. Fazaga beskyllde FBI för att bland annat ha kränkt deras religionsfrihet. Mellan åren 2006–2007 skickade FBI en avlönad informatör för att infiltrera en moské. Klagandena menade att informatören registrerade personuppgifter, inklusive politiska och religiösa åsikter, rörande hundratals praktiserande muslimer. Informatören spelade också in nästan alla samtal denne hade med församlingens medlemmar. Enligt klagandena började informatören på uppdrag från FBI initiera diskussioner om våld och Jihad med moskéns medlemmar. Det var då som medlemmar i moskén reagerade och anmälde informatören till polisen. Enligt klagandena var det i samband med detta som övervakningsoperationen avbröts. Senare uppdagades det att denne var informant för FBI, varpå klagandena valde att stämma FBI (Se sidorna 7-8 i PDF-versionen av domen och Högsta domstolens blogg

Högsta domstolen i USA hade att ta ställning till en principfråga som var avgörande för om den som anser sig drabbad av olaglig övervakning kan få sin sak prövad. För att en domstol ska kunna ta ställning till om en påstådd övervakning varit för långtgående, måste domstolen ta del av information om hur övervakningen skett. Om domstolen tvingar USAs regering att avslöja detaljer om sina övervakningsmetoder finns dock en risk för att hemlig information röjs. 

Principfrågan som USA:s högsta domstol hade att ta ställning till var om en rättegångsregel i Foreign Intelligence Surveillance Act (FISA), som föreskriver att övervakningens laglighet kan prövas av en domstol bakom stängda dörrar (in camera) och utan insyn för den klagande (ex parte), ska tillämpas före en oskriven rättsprincip. 

Den oskrivna rättsprincipen kallas för ”statshemlighetsprivilegiet”. Det är en bevisregel som har utvecklats genom domstolarnas praxis. Principen innebär att den amerikanska regeringen överhuvudtaget inte behöver redovisa detaljer om sin övervakning för en domstol, om USAs justitieminister intygar att det skulle äventyra nationella säkerhetsintressen. I dessa fall prövar domstolen inte om övervakningen var laglig.  

Högsta domstolen i USA slog fast att FISA-regeln inte trumfar statshemlighetsprivilegiet. Högsta domstolen klargjorde att båda dessa två regler samexisterar parallellt i fall som gäller statlig övervakning. När en individ klagar på statlig övervakning kan USAs regering därmed åberopa statshemlighetsprivilegiet för att få domstolsärendet avskrivet utan prövning. 

Läs mer här:

EU-kommisionens pressmeddelande den 25 mars 2022

IMYs pressmeddelande 7 april 2022

EU-kommissionens informationssida om genomförandeakter

Microsofts blogginlägg 25 mars 2022

Näringslivsföreträdarnas uttalande

Max Schrems och Noybs uttalande den 25 Mars 2022

ACLU-juristernas debattartikel

Inlägg på USAs högsta domstols blogg. Inlägget är skrivet av en oberoende reporter

USAs högsta domstols dom av 4 mars 2022 i målet FBI v. Fazaga

Advokatsamfundet i delstaten Pennsylvanias guide för reportrar, förklarar begreppen ”in camera” och ”ex parte”

Klarna Bank AB får betala 7,5 miljoner kronor i sanktionsavgift efter ett nytt beslut från Integritetsskyddsmyndigheten, IMY

Efter en tillsyn av Klarna Bank AB som inleddes i mars 2019 konstaterar IMY att informationen om bolagets personuppgiftshantering under perioden 17 mars 2020 fram till 26 juni 2020 strider mot dataskyddsförordningen på flera sätt. De artiklar som aktualiseras i beslutet är bland annat 5.1 a, 5.2, 12.1 och 13.1 c, 13.1 e, 13.1 f och 13.2 a i dataskyddsförordningen.

IMY:s grunder för beslutet
För det första slår IMY fast att det inte fanns tydlig information om ändamål samt relevant rättslig grund för personuppgiftsbehandling avseende personuppgifter i tjänsten ”Min ekonomi”. För det andra fanns otydligheter kring vilka svenska och utländska kreditupplysningsföretag som fick tillgång till olika kategorier av personuppgifter.

För det tredje ansåg IMY att information om tredjelandsöverföringar samt skyddsåtgärderna kopplat till dessa var bristfällig. Vidare menar IMY att informationen om de registrerades rättigheter var ofullständig och att principen om öppenhet utifrån detta inte uppfylldes. Bland sådana rättigheter nämns exempelvis rätten att få sina personuppgifter raderade och rätten till dataportabilitet.

Val av påföljd och sanktionsavgiftens storlek
Eftersom överträdelserna är sådana som avses i art. 83.5 dataskyddsförordningen konstaterade IMY att sanktionsavgiftens värde kunde uppgå till 20 miljoner euro eller till 4 % av den totala globala omsättningen under föregående budgetår, beroende på vilket av dessa värden som är högst. Enligt IMY:s beräkningar, som baserades på moderbolaget Klarna Holding AB:s årsredovisning år 2020 var det maximala beloppet som kunde dömas ut 404 miljoner kronor dvs. ca 40,4 miljoner euro.

I sin bedömning tog IMY hänsyn till att Klarna hanterar stora mängder personuppgifter eftersom 90 miljoner konsumenter använder sig av deras betalningslösningar. En försvårande omständighet i fallet var att överträdelserna gällde grundläggande och centrala bestämmelser i dataskyddsförordningen såsom bestämmelser om de registrerades rättigheter. En förmildrande omständighet är å andra sidan att Klarna under tiden som granskningen har pågått kontinuerligt förbättrat informationen. Klarna anser att dessa förbättringar och deras omfattning gör IMY:s beslut irrelevant.

Klarna anser att beslutet är otydligt och avser att överklaga
I sitt svar till IMY kritiserar Klarna beslutet för att vara otydligt och uttrycker ett missnöje med IMY:s förklaringar. Vidare önskar Klarna mer vägledning från IMY för att säkerställa att de lever upp till IMY:s krav och undviker framtida överträdelser. Klarna uppger även att de tänker överklaga beslutet.

Läs mer här:

Sanktionsavgift mot Klarna efter granskning

Beslut efter tillsyn enligt dataskyddsförordningen – Klarna Bank AB

Klarna straffas med mångmiljonbelopp

EDPB publicerar riktlinjer om hur man upptäcker sociala medieplattformars vilseledande insamling av personuppgifter

European Data Protection Board (EDPB) har publicerat ett utkast till sina riktlinjer 3/2022 om mörka mönster i gränssnitt för plattformar för sociala medier. Med mörka mönster avses oetisk utformning av en webbplats eller en app som lockar användaren att göra något som hen inte vill göra.

EDPB definierar mörka mönster som metoder där plattformar för sociala medier lockar sina användare att fatta oavsiktliga, oönskade och potentiellt skadliga beslut om behandlingen av deras personuppgifter. Ett exempel på ett mörkt mönster är när användaren överbelastas med information eller presenteras med för många alternativ att ta ställning till. Syftet är att påverka användaren att gå med på att dela för mycket personuppgifter om sig själv. Eller så kan syftet vara att få användaren att godkänna att dennes personuppgifter behandlas på ett sätt som hen egentligen inte kan förvänta sig.

EDPB anser att mörka mönster syftar till att påverka användarnas beteende och kan hindra dem från att effektivt skydda sina personuppgifter och göra välgrundade val. Användningen av mörka mönster strider inte bara mot GDPR utan kan också strida mot konsumentskyddslagar. EDPB presenterar en icke uttömmande förteckning över kategorier av mörka mönster. Vägledningen ger också 60 exempel, förslag på bästa praxis och inkluderar en checklista.

Ett av de mörka mönstren kallas emotionell styrning. I detta mönster används övertalande språk eller bilder som framkallar positiva känslor för att få användaren att känna sig nöjd eller trygg, eller som framkallar starka negativa känslor som rädsla eller skuld. EDPB illustrerar att när en användare registrerar sig på plattformen får hen följande uppmaning: “Berätta för oss om ditt fantastiska jag! Vi kan inte vänta, så kom in nu och berätta för oss!”. Denna form av handlingsdirigerande språkbruk antyder att användaren måste dela fler personuppgifter än vad som är nödvändigt för att tjänsten ska fungera. EDPB anser att detta strider mot principen om dataminimering, och det kan ifrågasättas om användaren verkligen har lämnat dessa uppgifter av egen fri vilja.

Ett annat mörkt mönster är enligt EDPB när användaren blir “lämnad i mörkret”. Det är när en plattform för sociala medier inte ger tydlig information eller använder ett tekniskt eller juridiskt språk som användaren inte förstår. EDPB ger följande exempel: En personuppgiftsincident leder till att obehöriga användare får tillgång till vissa hälsouppgifter. När den sociala medieplattformen informerar användarna om detta berättar plattformen bara att “särskilda kategorier av personuppgifter” av misstag blev offentliga. I detta fall bryter den sociala medieplattformen mot artikel 34 och artikel 12.1 i dataskyddsförordningen. EDPB konstaterar att denna information inte varnar användaren för att hens hälsouppgifter har offentliggjorts. Ordet “särskild” har en helt annan innebörd i vardagligt språk än i det juridiska GDPR-språket. De flesta människor vet inte att “särskilda” enligt definitionen i artikel 9 i GDPR syftar på det som i dagligt tal ibland kallas känsliga personuppgifter. EDPB anser därför att en sådan formulering är vilseledande eftersom den genomsnittliga användaren underskattar allvaret i personuppgiftsincidenten.  

EDPB betraktar mörka mönster som ett sätt att utforma och presentera innehåll som påtagligt bryter mot dataskyddsprinciperna om laglighet, rättvisa, öppenhet, ändamålsbegränsning och dataminimering, men som ändå låtsas vara formellt förenliga med dem. EDPB hoppas att riktlinjerna sannolikt ska öka användarnas medvetenhet om sina rättigheter och de potentiella riskerna med överdriven eller okontrollerad delning av deras personuppgifter.

Utkastet till riktlinjer är öppet för offentligt samråd. Vem som helst kan skicka sina synpunkter till EDPB fram till den 2 maj 2022.

Läs mer här:

EDPB:s riktlinjer 3/2022 om mörka mönster i användargränssnitt för sociala medieplattformar: Hur man känner igen och undviker dem (Engelska)

Tullverket får betala 300 000 kr i sanktionsavgift på grund av två tjänstemäns otillåtna användning av Google Foto

Aktuella lagrum och krav på en lagenlig personuppgiftsbehandling
Integritetsskyddsmyndigheten, IMY, inledde en granskning av Tullverket efter en anmälan om en personuppgiftsincident som inkom den 8 november 2019. IMY konstaterade i ett beslut att Tullverkets personuppgiftsbehandling stred mot 3 kap. 2 och 8 §§ brottsdatalagen (2018:1177), BDL. Av 3 kap. 2 § BDL framgår att personuppgifter endast får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 3 kap. 8 § BDL framgår vidare att det finns krav på adekvans och relevans vid personuppgiftsbehandling samt nödvändighets- och ändamålsprincipen.

Personuppgiftsincidenten i fråga
Enligt IMY:s beslut bestod den otillåtna personuppgiftsbehandlingen i att två tjänstemän vid Tullverket använde den amerikanska molntjänsten Google Foto på sina tjänstemobiler. Konsekvenserna av detta blev att foton och filmer som hade kopplingar till brottsutredande verksamhet hamnade på molntjänsten. Detta eftersom alla bilder och filmer som togs på tjänstetelefonerna i fråga automatiskt laddades upp på Google Foto. Tullverket uppger att användningen av molntjänsten var otillåten, men det påverkar inte IMY:s bedömning om att Tullverket ska ta ansvar för och betala sanktionsavgifter för incidenten.

IMY:s rekommendationer till Tullverket
IMY kommenterar vidare att det finns ett behov av att utbilda tjänstemän vid Tullverket om personuppgiftsbehandling och att myndigheten bör ta fram tydliga rutiner som specificerar hur tjänstemobilerna får användas. De kompletterar även detta med att begränsningar om vilka applikationer som ska kunna installeras på tjänstemobiler bör finnas. Den 20 november 2019 togs möjligheten att ladda ner Google Fotos bort på Tullverkets tjänstetelefoner och andra begränsningar infördes. Tullverket har även skapat tydligare rutiner för användning av tjänstemobiler efter den aktuella personuppgiftsincidenten.

Försvårande och förmildrande omständigheter
En försvårande omständighet i ärendet består i att uppgifterna med stor sannolikhet handlade om brott eller misstanke om brott och därmed utgör integritetskänsliga uppgifter. Att Tullverket har förtydligat sina rutiner och att det endast var två medarbetare som använde molntjänsten utgör å andra sidan förmildrande omständigheter. Tjänstemännen hade dessutom ingen avsikt att bilderna och filmerna som de tog i tjänsten skulle hamna på Google Foto och raderade dessa så fort det upptäcktes. Detta förklarar den någorlunda milda sanktionsavgiften, som utan de förmildrande omständigheterna skulle ha varit avsevärt större.

Omöjligt att fastställa personuppgiftsincidentens omfattning
Eftersom bilderna och filmerna raderades så fort det blev känt att de hamnade på Google Foto går det inte att konstatera personuppgiftsincidentens omfattning och hur många personer som påverkades.

Läs mer här:

Sanktionsavgift mot tullverket för bristande rutiner

Beslut efter tillsyn enligt brottsdatalagen- Tullverkets personuppgiftsbehandling på tjänstemobiler

Belgiens dataskyddsmyndighet hotas av politiskt detaljstyre

Artikel 52 GDPR ska säkerställa att dataskyddsmyndigheter garanteras en oberoendeställning att självständigt och objektiv tolka och tillämpa dataskyddsbestämmelser när de utför uppgifter som de tilldelats genom GDPR. Dataskyddsmyndigheterna skyddas från påverkan från politiken, andra delar av staten och privata intressen.

Nu har den belgiska dataskyddsmyndigheten yttrat sig om ett utkast till lag som regeringen lagt fram. Den belgiska regeringen vill reformera en inhemsk lag som inrättar den belgiska dataskyddsmyndigheten och reglerar dess interna struktur och mandat.

Den belgiska dataskyddsmyndigheten stöder huvudprinciperna i utkastet till lag, som syftar till att stärka dataskyddsmyndigheten. Samtidigt varnar dataskyddsmyndigheten för att lagförslaget innehåller problematiska inslag som allvarligt hotar dess oberoende och förmåga att arbeta effektivt. Dataskyddsmyndigheten understryker att dess oberoende garanteras av EU-rätten enligt fördragen och av EU-domstolens rättspraxis. Den belgiska dataskyddsmyndigheten betonar också vikten av en stark och oberoende dataskyddsmyndighet när digitaliseringen accelererar.  

Förtida entledigande av befattningshavare strider mot EU-rätten
Dataskyddsmyndigheten kritiserar för det första att lagförslaget kommer att leda till att utnämnda befattningshavare till följd av en juridisk omstrukturering entledigas (befrias från sina uppdrag) innan deras förordnande gått ut.

Den belgiska dataskyddsmyndigheten anser att detta strider mot EU-rätten och hänvisar till mål C-288/12, där EU-domstolen slog fast att Ungern hade brutit mot EU-fördragen (Brott mot EU-fördragen kan likställas med ett grundlagsbrott i en statsbildning, redaktionens anmärkning). I september 2008 utnämnde det ungerska parlamentet András Jóri till ungersk dataskyddskommissionär för en period på sex år, fram till september 2014. Det ungerska parlamentet reformerade dock dataskyddskommissionärens ämbete och ersatte det med en ny myndighet Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationella myndigheten för uppgiftsskydd och informationsfrihet), från och med januari 2012 utsågs Attila Péterfalvi till chef för den nya myndigheten. EU-domstolen slog fast att Ungern bröt mot EU-rätten. Ungern hade brutit mot bestämmelsen som skyddar dataskyddsmyndigheternas oberoende genom att hindra Jóri från att tjänstgöra som chef för den nya myndigheten fram till slutet av sin mandatperiod.

Dataskyddsmyndigheten anser att politisk detaljstyrning strider mot EU-rätten
För det andra kritiserar den belgiska dataskyddsmyndigheten att lagförslaget innebär att den politiska styrningen går längre än vad EU-rätten tillåter. Enligt lagförslaget krävs att det belgiska representanthuset har utvärderat ledamoten positivt för att han eller hon ska kunna väljas om för en ny mandatperiod. Den belgiska dataskyddsmyndigheten varnar för att det både är problematiskt att utvärderingen görs av representanthuset och att de objektiva kriterierna för utvärderingen inte anges i en lag. Detta anses öka risken för att befattningshavare utsätts för påtryckningar som påverkar hur de utövar sitt uppdrag.

Dessutom är dataskyddsmyndigheten kritisk till det faktum att lagförslaget kraftigt ökar parlamentets detaljstyrning av myndighetens interna organisation och prioriteringar. Enligt lagförslaget måste dataskyddsmyndigheten få sin strategiska plan godkänd av representanthuset, myndighetens interna arbetsordning kommer bestämmas av representanthuset och dataskyddsmyndigheten blir skyldig att lämna över en lista på alla experter som biträder den. Slutligen föreskriver lagförslaget hur myndigheten ska fördela sin personal mellan sina olika avdelningar.

Belgiska dataskyddsmyndigheten hänvisar till fallet C-518/07, där Europeiska kommissionen drog Tyskland inför EU-domstolen för brott mot EU-fördragen. Skälet var att tysk federal och delstatlig lagstiftning satte de tyska dataskyddsmyndigheternas tillsynsbeslut under lupp. EU-domstolen slog fast att det är olagligt enligt EU-rätten att medlemsstaterna granskar hur dataskyddsmyndigheterna tolkar och tillämpar EU-rätt. EU-domstolen slog fast att sådana metoder hindrar dataskyddsmyndigheter från att vara helt oberoende.

EU-domstolen betonade att oberoendet inte står i motsättning till att dataskyddsmyndigheterna har demokratisk legitimitet. Dataskyddsmyndigheter är enligt domstolen väktare av rätten till privatliv som mänsklig rättighet skyddad av EU-rätten. Domstolen påpekar att andra delar av staten kan vara partiska och ha ett egenintresse och en vilja att begränsa en dataskyddsmyndighets handlingsförmåga. En stat kan exempelvis ha en tendens att främja ekonomiska intressen hos vissa bolag som är betydelsefulla för dess ekonomi. Eller så kan staten själv ha ett starkt egenintresse av att få tillgång till speciella register med personuppgifter för att driva in skatt resonerade EU-domstolen. Slutligen konstaterade EU-domstolen att blotta risken för att dataskyddsmyndigheterna kan utsättas för formella eller informella politiska påtryckningar är tillräckligt för att bryta mot EU-rätten.

Läs mer:

Belgiska dataskyddsmyndighetens pressmeddelande med länk till yttrandet på Engelska

EU-domstolens dom i mål C‑288/12, Europeiska kommissionen mot Ungern

EU-domstolens dom i mål C-518/07, Europeiska kommissionen mot Tyskland

Ny vägledning om uppförandekoder som metod för tredjelandsöverföring

European Data Protection Board (EDPB) har nu publicerat en slutlig version av sina riktlinjer 04/2021 om uppförandekoder som ett verktyg för överföring av personuppgifter till tredjeland.

Vad är uppförandekoder?
Uppförandekoder är en uppsättning regler som kan skrivas av organisationer eller organ som representerar en viss sektor och som godkänns av en dataskyddsmyndighet. Det skulle till exempel vara möjligt för alla välgörenhetsorganisationer i Sverige att skriva en egen uppförandekod. Det är helt frivilligt för en organisation att ansluta sig till en uppförandekod, men när organisationen väl anslutit sig blir koden rättsligt bindande. En uppförandekod kan omfatta en viss typ av behandling, t.ex. överföringar till tredjeland, eller omfatta flera typer av behandlingar.

EU:s dataskyddsförordning, GDPR är en komplicerad lag med breda och abstrakta principer. En anledning till detta är att bestämmelserna måste kunna tillämpas på ett stort antal organisationer, från kebabrestauranger till sjukhus, statliga myndigheter och kärnkraftverk. Ett annat skäl är att dataskyddsförordningen måste vara teknikneutral för att reglerna ska förbli relevanta trots den snabba tekniska utvecklingen.

Särskilt små företag och ideella organisationer kan ha svårt att tyda dataskyddsförordningen då GDPR kräver att varje organisation gör en egen analys av de rättsliga kraven i relation till sin databehandling. Normalt kan organisation A inte förlita sig på en rättslig analys som gjorts av organisation B.

Uppförandekoder kan dock erbjuda ett formellt godkänt sätt för organisationer att samla sina resurser och göra en djupare gemensam analys som är relevant för deras typ av organisation och behandlingar. Exempelvis skulle alla idrottsföreningar kunna gå ihop och översätta de abstrakta kraven i GDPR till en uppsättning regler med rättsligt bindande krav och riktlinjer som är anpassade till deras sektor och skrivna på ett språk som är naturligt för deras bransch.

Uppförandekoder som överföringsverktyg
När ett tredjeland inte har erkänts av Europeiska kommissionen som ett land som har en tillräcklig nivå av dataskydd erbjuder artikel 46 i GDPR sex alternativa överföringsmekanismer. Dessa överföringsmekanismer syftar till att kompensera för bristerna i utländska dataskyddslagar. Standardavtalsklausuler är den överlägset vanligaste alternativa mekanismen. EDPB påpekar dock att godkända uppförandekoder är ytterligare ett verktyg som står till förfogande för personuppgiftsansvariga och personuppgiftsbiträden.

En viktig detalj i sammanhanget är att Norge, Island och Lichtenstein likställs med EU-länder när det kommer till tredjelandsöverföring. Dessa länder har ett avtal med EU genom avtalet om Europeiska ekonomiska samarbetsområdet (EES). EES-länderna måste skriva in EU-lagar, inklusive GDPR i sin nationella rätt.

EDPB noterar när det gäller överföringar till tredjeländer att uppförandekoder endast kan vara rättsligt bindande för dataimportörer, dvs. personuppgiftsansvariga och biträden som är etablerade i tredjeländer där GDPR inte gäller.

Dataexportörer, det vill säga personuppgiftsansvariga och personuppgiftsbiträden i EU/EES som för personuppgifter ut ur EU/EES, kan dock fortfarande vara medlemmar i den organisation som utarbetat uppförandekoden. Dessutom kan dataexportörer i EU/EES visa att de uppfyller de rättsliga kraven i artikel 46 genom att hänvisa till dataimportörens efterlevnad av den godkända uppförandekoden.

För alla typer av uppförandekoder under GDPR måste ett övervakningsorgan utses för att övervaka efterlevnaden av uppförandekoden. Övervakningsorganet för en uppförandekod för tredjelandsöverföring måste ha sitt huvudkontor inom EU/EES, så att de slutliga besluten om övervakningsåtgärder fattas inom EU/EES.

För att följa Schrems II-domen listar EDPB, 17 element som en uppförandekod för tredjelandsöverföring måste innehålla. Bland annat måste uppförandekoden skapa rättigheter för de registrerade som tredje part. Detta innebär att de registrerade, i egenskap av tredje part som inte har undertecknat avtalet mellan importören och exportören, ändå måste ha rättigheter enligt avtalet. De registrerade måste kunna stämma importören för avtalsbrott om någon av deras GDPR-rättigheter kränkts.

Ett annat krav som ställs är att dataimportören måste lämna en rättslig garanti. Dataimportören måste intyga att den inte har någon anledning att tro att lagarna i dataimportörens land hindrar denne från att kunna fullgöra sina skyldigheter enligt uppförandekoden.

Läs mer:

EDPBs vägledning 04/2021 om Uppförandekoder som överföringsverktyg

Integritetsskyddsmyndighetens hemsida om uppförandekoder och certifieringar

FN rapportör: Unika utmaningar med AI måste uppmärksammas omgående

Enligt en ny FN-rapport råder det ingen tvekan om att artificiell intelligens, om den används på ett korrekt och ansvarsfullt sätt, kan främja målet om jämlikhet för alla. Rapporten hävdar att detta inkluderar personer med funktionsnedsättning, som med vissa lösningar kan leva ett betydligt mer självständigt liv. Samtidigt konstaterar rapporten att bristfälliga AI-lösningar också kan ha en betydligt mer negativ inverkan på denna grupp än på personer utan funktionsnedsättning.

I december 2021 publicerade FN:s särskilda rapportör om rättigheter för personer med funktionsnedsättning, Gerard Quinn, nämnda rapport om hur artificiell intelligens påverkar rättigheterna för denna grupp. Quinn är professor i juridik vid Universitetet i Leeds, Storbritannien och har även kopplingar till Lunds universitet. Rapporten kommer snart att diskuteras vid FN:s råd för mänskliga rättigheter i Genève, Schweiz. Rådet för mänskliga rättigheter är för närvarande inne på sin 49:e sittning, som inleddes den 28 februari 2022 och kommer att pågå till den 1 april 2022.

Problemet med fördomsfulla och diskriminerande algoritmer har redan fått mycket uppmärksamhet, det har dock ofta relaterats till diskrimineringsgrunderna kön och etnicitet. Hanteringen av risker och möjligheter med AI-teknik var också ett flitigt diskuterat ämne under bland annat under Nordic Privacy Arena 2017.

Drabbas jättehårt om samhället inte hanterar gruppens unika problem

Nu varnar Gerard Quinn, i FN-rapporten för att de mänskliga rättigheterna för personer med funktionsnedsättning är i fara. Orsaken är att för lite uppmärksamhet har ägnats åt hur AI-teknologier specifikt påverkar denna grupp.

Rapporten påvisar att användningen av AI-teknik påverkar många mänskliga rättigheter, såsom rätten till likabehandling, arbete, studier med mera. Rätten till privatliv och dataskydd nämns som särskilt viktiga för att upprätthålla principen om mänsklig värdighet. I AI-sammanhang betyder det att personer med funktionsnedsättning har rätt att förstå och utöva kontroll över hur deras uppgifter behandlas.

FN-rapporten klargör också att vissa AI-risker är unika för personer med funktionsnedsättning. Det finns även risker som personer med funktionsnedsättning delar med andra grupper. Men även bland de risker som de delar med andra grupper är förhållandet mellan risker och möjligheter olika eller till och med oproportionerligt annorlunda för personer med funktionsnedsättning. Därför uppmanas FN:s medlemsstater i rapporten att skyndsamt lägga särskilt fokus på hur AI påverkar rättigheterna för den miljard människor som har en funktionsnedsättning.

Enligt en annan rapport, om diskriminering och AI som juridikprofessor Fredrik Zuiderveen Borgesius skrev för Europarådet år 2018, är dataskyddslagar och diskrimineringslagar de viktigaste rättsliga verktygen i Europa för att bekämpa AI-diskriminering (se sidan 31 i rapporten). Vidare har de brittiska datavetenskapsforskarna Reuben Binns och Reuben Kirkham undersökt hur diskrimineringslagstiftning och dataskyddslagstiftning kan användas tillsammans för att bekämpa AI-diskriminering av personer med funktionsnedsättning.

Personer med funktionsnedsättning är en mycket heterogen grupp

Binns och Kirkham konstaterar att det finns betydande skillnader i hur lagen hanterar AI i förhållande till personer med funktionsnedsättning jämfört med andra diskrimineringsgrunder. Binns och Kirkham förklarar att diskriminering av personer med olika funktionsnedsättningar inte kan elimineras med en och samma lösning. För det första erkänns ett stort antal fysiska, medicinska och psykiska tillstånd av lagen som funktionsnedsättningar. Detta kräver olika strategier för olika typer av funktionsnedsättningar. Dessutom finns ett kompletterande rättsligt skydd som inte gäller för andra diskrimineringsgrunder. Detta ytterligare rättsliga skydd består av skyldigheten att göra skäliga anpassningar, vilket bland annat kan kräva individuellt anpassade lösningar. För det andra, så förbjuder diskrimineringslagstiftningen inte en organisation från att behandla personer med funktionsnedsättning bättre än personer utan funktionsnedsättning. Den sistnämnda principen gäller dock inte andra diskrimineringsgrunder.

Binns och Kirkham identifierar sex situationer där dataskyddslagar och diskrimineringslagar samverkar. Om personer med funktionsnedsättningar missgynnas kan en organisation exempelvis vara skyldig att erbjuda alternativ till en AI-lösning. Enligt diskrimineringslagstiftningen kan detta falla under skyldigheten att tillhandahålla skäliga anpassningsåtgärder. Enligt dataskyddslagstiftningen kan rätten att inte bli föremål för automatiserat beslutsfattande också gälla (se till exempel artikel 22 i GDPR). I den här situationen erbjuder alltså båda lagarna olika perspektiv och sätt att skydda personer med funktionsnedsättning, påpekar Binns och Kirkham.

År 2019 publicerade en grupp forskare från Carnegie Mellonuniversitetet och Microsoft en färdplan för forskning om rättvis AI. I den artikeln gjorde de en bedömning av nuvarande teknik och dess risker för personer med funktionsnedsättning. Ansiktsteknologier riskerar enligt dem att fungera dåligt för personer med Downs syndrom, personer med synnedsättning och de som har en annan ögonanatomi eller personer som inte tittar på kameran från den förväntade vinkeln. Programvaran kan också misstolka känslorna hos personer med autism eller personer som har fått en stroke som påverkar ansiktsmusklerna. Teknik för taligenkänning kan också vara dålig på att uppfatta talet hos personer med talsvårigheter och hörselskadade med annorlunda uttal.

Regeringar uppmanas agera, annars får personer med funktionsnedsättning sämre livsvillkor under lång tid

I FN-rapporten betonas att personer med funktionsnedsättning är den grupp i samhället som oftast hamnar sist. Om samhällets mål är att personer med funktionsnedsättning ska kunna leva på lika villkor och inte diskrimineras måste tekniken nyttjas på rätt sätt. Annars kommer denna grupp enligt rapporten inte bara att hamna på efterkälken, den kommer inte heller att kunna komma ikapp senare. Rapporten ansluter sig till uppfattningen hos FN:s högnivåpanel för digitalt samarbete som rekommenderar att AI-tekniken ska användas för att uppnå FN:s mål för hållbar utveckling.

FN-rapporten konstaterar att FN:s konvention om rättigheter för personer med funktionsnedsättning, Convention on the Rights of Persons with Disabilities (CRPD) medför att regeringar har vissa skyldigheter i fråga om utvecklandet av AI-teknik. I rapporten slås det fast att regeringar enligt CRPD till och med har ansvar för att påverka den privata sektorn med både piska och morot (lagstiftning och incitament).

Enligt rapporten är regeringarna ansvariga för att både undanröja diskriminering och främja utveckling och användning av tekniska hjälpmedel för personer med funktionsnedsättning. Detta ska ske i ett tidigt skede när det gäller produktdesign, utveckling, produktion och distribution av sådana hjälpmedel. Genom att göra detta bör regeringarna sträva efter att göra hjälpmedlen allmänt tillgängliga till lägsta möjliga kostnad enligt CRPD, står det i rapporten.

Gerard Quinn ger också en rad rekommendationer till FN:s medlemsländer. Här kommer ett urval:

1) Gör den nationella debatten om artificiell intelligens bredare, djupare och fokuserad på CRPD.

2) Förbjud diskriminerande användning av artificiell intelligens.

3) Det rättsliga skyddet för mänskliga rättigheter behöver vara heltäckande och uttryckligen beakta hur artificiell intelligens påverkar personer med funktionsnedsättning.

4) Överväg ett moratorium för AI-teknik som riskerar att diskriminera, såsom teknik som analyserar ansikten och känslor.

5) Tillämpa standarder som är anpassade till personer med funktionsnedsättning vid upphandling.

6) Stöd organisationer för personer med funktionsnedsättning att bygga kapacitet att hantera AI-frågor. De behöver kunna övervaka hur utvecklingen av AI påverkar personer med funktionsnedsättning och samarbeta med organisationer inom den privata sektorn för att uppmärksamma skadliga och diskriminerande tillämpningar av AI-teknik.

Fördjupningstips

Frågan om hur AI-användning påverkar rättigheter för personer med funktionsnedsättning har onekligen många beröringspunkter med dataskyddsfrågorna. Allt från hur hjälpmedel hanterar personuppgifter till att organisationer måste säkerställa att diskriminerande databehandlingar inte förekommer. Personuppgifter kan även finnas i dataset som en AI tränas på och ibland vara en del av själva algoritmen.

Den som vill utforska frågan från ett mer praktiskt perspektiv skulle exempelvis kunna titta på denna YouTube-video av The Zero Project. I videon visas positiva exempel på AI-lösningar för personer med funktionsnedsättning samtidigt som det reflekteras över hur viktiga värden som dataskydd och självbestämmande värnas.

Även denna artikel om teckenspråksvantar kan vara av intresse. Flera forskare och studenter har sedan 80-talet oberoende av varandra uppfunnit teckenspråksvantar. Det är en vante med sensorer som sätts på handen och registrerar handform och handens position. Tanken är att den ska omvandla det som tecknas till tal eller text. Flera av uppfinnarna har också fått innovationspriser och utmärkelser för teckenspråksvantar som enligt döva själva inte alls är ett användbart hjälpmedel. Forskarna hade nämligen inte räknat med att en övervägande del av ett teckenspråks grammatik och kommunikation sker genom en medveten styrning av ansiktsuttryck och kroppshållning.

Exempelvis tecknas frågan ”Är du hungrig?” och påståendet ”du är hungrig” på exakt samma sätt med händerna i svenskt teckenspråk. Det är hur man rör ögonbrynen och lutar överkroppen som indikerar huruvida man frågar eller påstår något. Artikeln belyser och reflekterar över vikten av att uppfinnare redan på idéstadiet, konsulterar personer med funktionsnedsättning. Om man bygger produkten baserat på sina egna antaganden om gruppen, riskerar man lägga mycket värdefull tid och pengar på att ta fram en produkt som inte hjälper dem man vill hjälpa. Man riskerar också att förolämpa gruppen man vill hjälpa, om produkten trots sådana brister presenteras som en lovande lösning på gruppens problem.  

Läs mer:

Gerard Quinns FN-rapport om AI:s påverkan på rättigheter för personer med funktionsnedsättning

Fredrik Zuiderveen Borgesius rapport till Europarådet 2018 om AI och diskriminering

Datavetenskapsforskarna Binns och Kirkhams genomgång om hur dataskyddsregler och diskrimineringslagstiftning kan samverka för att göra AI mer rättvis för personer med funktionsnedsättning

Färdplanen för AI-rättvisa för personer med funktionsnedsättning. Framtagen 2019 av forskare vid Carnegie Mellonuniversitetet och Microsoft

Behandling av biometriska personuppgifter med fokus på situationer där den registrerade befinner sig i beroendeställning mot den personuppgiftsansvarige

Vilka personuppgifter är biometriska?

I GDPR definieras biometriska personuppgifter på följande sätt: ”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”. Tillsammans med bland annat uppgifter om hälsa och etniskt ursprung utgör biometriska uppgifter känsliga personuppgifter enligt art. 9 GDPR, vilket i sin tur innebär att GDPR erbjuder ett starkare skydd för dessa personuppgifter och ställer högre krav för att få behandla dem.

Vilka krav ska vara uppfyllda för behandling av biometriska personuppgifter?

För att behandla känsliga personuppgifter, som biometriska uppgifter, finns det tre förutsättningar som ska vara uppfyllda:

  1. Personuppgiftsbehandlingen följer de grundläggande principerna i art. 5 GDPR
  2. Det ska finnas en lämplig rättslig grund enligt art. 6 GDPR
  3. Det ska finnas ett undantag från huvudregeln om förbud mot behandling av känsliga personuppgifter enligt art. 9 GDPR

När det kommer till den tredje punkten ligger fokus på att det som huvudregel är förbjudet att behandla känsliga personuppgifter och att något av undantagen måste vara tillämpligt. Ett sådant undantag kan vara samtycke i form av en viljeförklaring som är frivillig, specifik, informerad och otvetydig. Samtycket kan dock inte användas som rättslig grund när det finns en alltför stor obalans i maktförhållanden mellan den registrerade och den personuppgiftsansvarige.

Arbetsgivares behandling av arbetstagares personuppgifter och varför samtycke inte passar som rättslig grund

Eftersom en obalans i maktförhållanden ofta råder mellan en arbetsgivare och en arbetstagare är det därför svårt för den pesrsonuppgiftsansvarige att använda samtycke som rättslig grund. Den personuppgiftsansvarige måste därför hitta en annan rättslig grund som är lämplig. Andra rättsliga grunder som kan aktualiseras i en sådan situation är stöd i lag eller i kollektivavtal som gäller mellan parterna. Vidare måste även proportionalitetsprincipen beaktas och det ska alltså inte finnas något sätt att uppnå samma syften på ett mindre integritetskänsligt sätt.

Samtycke som rättslig grund i fråga om ansiktsigenkänning för närvarokontroll underkänns av IMY

Integritetskyddsmyndigheten, IMY, har utfärdat en sanktionsavgift på 200 000 kr mot en gymnasieskola i Skellefteå som använde ansiktsigenkänning för att registrera elevernas närvaro. Gymnasieskolan uppgav att samtycke var den lämpliga rättsliga grunden, men detta underkändes av IMY eftersom elever befann sig i en beroendeställning till gymnasieskolan. IMY konstaterade vidare att det fanns andra, mindre ingripande sätt som gymnasieskolan skulle kunna ha använt sig av för att registrera närvaro.

Läs mer:

Höga krav för att få använda ansikts­igenkänning

Här kan du läsa om arbetsgivares behandling av biometriska uppgifter, till exempel ansiktsigenkänning och fingeravtryck.

Biometriska uppgifter ur ett dataskyddsperspektiv

Sanktionsavgift för ansikts­igen­känning i skola

European Data Protection Supervisor är orolig för missbruk av modern spionprogramvara

European Data Protection Supervisor (EDPS) vars uppgift är att agera som rådgivare till EU-politiker om hur de bör reglera teknik som påverkar integriteten, är oroad över den senaste generationen statliga spionprogram. I ett PM som publicerades den 15 februari 2022 gör EDPS några preliminära iakttagelser om spionprogrammet Pegasus.

Pegasus är ett hackerverktyg av militär standard avsett att användas av brottsbekämpande myndigheter men som enligt uppgift också missbrukats för att spionera på journalister, politiska rivaler och advokater. Enligt andra källor har även vissa länders statschefer olovligen avlyssnats.

Enligt EDPS ska PM:et ses som myndighetens bidrag till en pågående offentlig diskussion om huruvida en programvara som Pegasus kan accepteras i ett demokratiskt samhälle.

Vad är Pegasus?

EDPS PM, hänvisar till en artikel i the Guardian från juli 2021 som avslöjade att Pegasus (en programvara som utvecklats av företaget NSO-group med säte i Israel) är ett hackningsverktyg som kan göra mer än att bara avlyssna en telefon. Angriparen får fullständig kontroll över telefonen. Denne kan slå på sensorer som GPS, kameror och mikrofoner men kan även utföra åtgärder som att skicka meddelanden.

Enligt EDPS är Pegasus för kraftfullt jämfört med traditionella brottsbekämpningsverktyg. Annorlunda uttryckt: Om polisen endast får läsa information / avlyssna och använder verktyg med starkare funktioner som låter polisen överskrida sina juridiska befogenheter blir övervakningen för långtgående, olaglig och kränker mänskliga rättigheter. Programmet kan nämligen också missbrukas, angriparen kan även kapa den avlyssnades identitet menar EDPS.

Programvaror som Pegasus, bygger på avancerad skadlig kod. I detta fall är det en trojan som gör intrång i telefonen genom att runda dess säkerhetsskydd. Telefonen kan infekteras i hemlighet utan att användaren behöver göra någonting. De företag som står bakom denna typ av programvara har ekonomiska resurser för att anställa mycket duktiga programmerare som kan hitta sårbarheter som kan utnyttjas. Inte ens teknikjättar som Google och Apple kan hålla jämna steg med dem, så angriparen har hackningsmöjligheter i nivå med ledande underrättelsetjänster.

Oro kring Pegasus-liknande programvara

EDPS hänvisar vidare till medierapporter om att myndigheter i vissa EU-länder använt spionprogramvaran Pegasus för att hacka telefoner som tillhör journalister, politiker från oppositionen och advokater. EDPS anser att användningen av denna teknik innebär ett paradigmskifte inom elektronisk övervakning. EDPS anser att en programvara som Pegasus medför en hittills oöverträffad risk för skada på grundläggande mänskliga rättigheter, det demokratiska systemet och rättsstaten.

EDPS ifrågasätter också om användningen av Pegasus-liknande programvara är förenlig med EU-lagar och den europeiska rättsordningens grundprinciper. EDPS frågar sig därför också i vilken utsträckning bevis som samlats in med hjälp av programvaran, kan användas som bevis i domstol.

NSO-group tillbakavisar anklagelser

NSO-group anger i ett uttalande på sin hemsida från den 18e juli 2021 att de endast säljer sina produkter till brottsbekämpande myndigheter och underrättelsetjänster i länder som godkänts genom en tuff granskningsprocess. Enligt NSO-group får deras programvara bara användas för att fånga grova brottslingar som terrorister, knarkkarteller med mera och för att rädda människor i nöd. Programvaran körs på kundens egen utrustning och NSO-group uppger att de inte har tillgång till kundens data. Den 21 juli 2021 uppgav NSO-group att de inte längre kommer svara på medieförfrågningar, eftersom företaget menar att mediernas rapportering inte byggt på fakta.

The Times of Israel rapporterade i december 2021 att den israeliska regeringen, skärpte exportrestriktionerna för spionprogram. I artikeln intervjuas dock en advokat som jobbar med mänskliga rättigheter, denne dömer ut de nya åtgärderna som verkningslösa.  

EU och USA oroliga medan Ungerns dataskyddsmyndighet godkänner övervakning med Pegasus

Förra veckan rapporterade EU-observer att Europaparlamentet väntas inleda en officiell utredning om hur Pegasus har använts av EU:s regeringar för att övervaka journalister, advokater och politiker ur oppositionen. En sådan utredning kan kalla in vittnen och till och med skicka personer på utredningsuppdrag i medlemsstaterna. Den 15 februari 2022 hade parlamentet också en sittning i frågan.

Vidare rapporterar engelskspråkiga Hungary Today att den ungerska dataskyddsmyndigheten NAIH har utrett medieuppgifter rörande den ungerska regeringens övervakning av journalister, offentliga tjänstepersoner och den politiska oppositionen. Den 55-sidiga utredningen, liksom de juridiska motiveringarna till att NAIH ansåg att övervakningen i samtliga fall som utreddes var laglig, är dock hemlig till år 2050. Det verkar utifrån artikeln finnas tveksamheter om Europaparlamentet kommer få tillgång till det material som NAIH har.

Enligt Tech Crunch satte den amerikanska regeringen i november 2021 upp företaget NSO-group som har sitt säte i Israel på en lista med exportrestriktioner för amerikanska företag. Detta på grund av att programvaran även sålts till ”auktoritära regeringar”. Det finns också medieuppgifter om att vissa stater använt Pegasus för att avlyssna andra länders regeringschefer, däribland Frankrikes president men även Finska diplomater.

EDPS presenterar i PM:et en rad åtgärder, som bland annat innebär ett EU-förbud mot Pegasus-liknande programvara, import- och exportrestriktioner, effektivare kontroll av övervakningsåtgärder samt minimiregler för brottsutredningar på EU-nivå som gör det olagligt att samla in och använda bevis som erhållits med hjälp av liknande spionprogramvara. Avslutningsvis hävdar EDPS att de har en plikt att stödja civilsamhällets organisationer att lyfta dessa frågor. Det är enligt EDPS, tack vare civilsamhället, som missbruket av övervakningsverktyg mot politiker, journalister och människorättsaktivister ens kunnat avslöjas och ställas under demokratisk kontroll.

Läs mer

Europeiska datatillsynsmannens hemsidaArtikel i the Guardian från juli 2021

Artikel i the Guardian från juli 2021

NSO-groups uttalande den 18 juli 2021 där de tillbakavisar flera medieuppgifter om Pegasus

NSO-groups uttalden den 21 juli 2021 om att de inte längre kommer svara på medieförfrågningar.

Artikel i the Times of Israel den 6 december 2021

Artikel i the EU-observer från 9 feb 2022 om att EU-parlamentets planer att tillsätta en utredning

Videoinspelning av EU-parlamentets sittning den 15 feb 2022

Artikel i Hungary Today från 15 feb 2022

Artikel i Tech Crunch den 3 nov 2021 om att USA regering satt tillverkaren av Pegasus, NSO-group på en lista över företag som omfattas av exportrestriktion

Artikel i Washington Post från 20 juli 2021 om att Frankrikes president och 13 andra statsöverhuvuden avlyssnats

Pressmeddelande från Finlands utrikesdepartement den 28 januari 2022 om utrett spionage med Pegasus

Grekiska telekombolag får betala cirka 90 miljoner svenska kronor i sanktionsavgifter efter ett nytt beslut från den grekiska tillsynsmyndigheten, The Hellenic Data Protection Authority (HDPA)

HDPA har utfärdat sanktionsavgifter till dotterbolaget COSMOTE till ett belopp av 5 850 000 EUR och moderbolaget OTE Group till ett belopp av 3 250 000 EUR. Detta efter ett dataintrång hos COSMOTE som ledde till att känsliga uppgifter i form av samtalsdata läcktes. OTE Group är en av de största aktörerna inom telekom på den grekiska marknaden.

COSMOTE bötfälls för ett dataintrång och en olaglig databehandling

COSMOTE anmälde en incident i form av ett dataintrång till HDPA, men skulle enligt HDPA ha varit mycket mer inblandade i utredningen. I samband med det aktuella dataintrånget läcktes samtalsdata från kundsamtal mellan 2 september 2020 och 5 september 2020.

Samtalsdatan sparades på COSMOTE:s server och flyttades sedan från servern till en IP-adress som tillhörde en värdleverantör i Litauen. En användare med samma IP-adress i Litauen lyckades även få administrativ åtkomst till ett av OTE Groups system genom att ange lösenordet för ett administratörskonto. Hackern kunde därmed ta sig in i OTE Groups system där Big Data lagrades och ladda ner filen med samtalsdata.

COSMOTE:s rutiner för lagring och behandling av samtalsdata stred mot GDPR

HDPA undersökte i samband med incidenten hur COSMOTE lagrar och behandlar samtalsdata. De fann då att sådan data vanligtvis sparas i 90 dagar från tidpunkten då ett samtal äger rum i syfte att kunna lösa eventuella problem och fel som kan rapporteras i efterhand. Dessutom anonymiseras data och sparas sedan i 12 månader för att dra statiska slutsatser avseende en optimal utformning av telefonnätet.

HDPA fann att COSMOTE bröt mot bland annat Artikel 35(7) i GDPR eftersom innehållet i Data Protection Impact Assessment (DPIA) var otillräckligt, särskilt med hänsyn till hur nödvändig och proportionerlig behandlingen av personuppgifter var. HDPA kritiserade även hur anonymiseringsprocessen sköttes och ansåg att COSMOTE bröt mot Artikel 25(1) i GDPR genom deras underlåtenhet att implementera lämpliga säkerhetsåtgärder för att garantera ett korrekt genomförande av anonymiseringsprocessen. Dessutom ansåg HDPA att COSMOTE bröt mot artikel 5(1)(a), 5(2), 13, 14, 26 och 28 GDPR.

Moderbolaget OTE Group bötfälls för otillräckliga säkerhetsåtgärder som ledde till dataintrånget

HDPA konstaterat att även OTE Group borde ha varit mer inblandat i utredningen avseende dataläckan. Dessutom fann HDPA att både Cosmote och OTE Group är ansvariga för fastställande av lämpliga säkerhetsåtgärder och att OTE Group därmed bröt mot artikel 32(1) GDPR genom att inte kunna garantera dessa.

Läs mer:

Här och Här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart