Datainspektionen inleder granskning av Schengens informationssystem

Nu inleder Datainspektionen en granskning av Schengens informationssystem SIS II som är ett it-system för utbyte av uppgifter om bland annat efterlysta personer mellan medlemsländer i EU. Myndigheten inleder granskning av den svenska delen av SIS II, detta genom bland annat inspektion på plats hos Polismyndigheten.

Information om efterlysta personer

Den information som finns i SIS II är bland annat uppgifter om personer som inte får resa in eller vistas i Schengenområdet, information om personer som är efterlysta för brott samt försvunna personer.

Granskning var fjärde år

Enligt Datainspektionen ska alla EU-länder genomföra en sådan här typ av granskning av sitt nationella SIS II var fjärde år. It-systemet är omfattande och innehåller en stor mängd uppgifter om många personer och det är därför viktigt med återkommande kontroller meddelar Datainspektionen på deras webbplats.

Läs mer här.

Bostadsbolaget Uppsalahem bötfälls med 300 000 kr

Bakgrunden till utfärdandet av sanktionsavgiften är att ett flerbostadshus som tillhör Uppsalahem har bedrivit olaglig kamerabevakning vilket Datainspektionen blev varse om efter klagomål från en boende. Det handlar om en bevakningskamera som sitter riktad rakt mot den klagandes ytterdörr.

“Komma tillrätta med ordningsstörningar”

Enligt Datainspektionen visar myndighetens granskning av ärendet att två lägenhetsdörrar syns i bevakningskamerans upptagningsområde. Den ena dörren tillhör den klagande och den andra tillhör en boende i huset som ”varit utsatt för störningar och trakasserier.” Syftet med kamerabevakningen är att ”komma tillrätta med de ordningsstörningar som har pågått i trapphuset under en längre tid.”

Olaglig kamerabevakning

Datainspektionen slår fast i sitt beslut att det aktuella fallets kamerabevakning är olaglig och därför utfärdar myndigheten en sanktionsavgift på 300 000 kronor mot bostadsbolaget Uppsalahem.

Läs mer här.

Norska idrottsförbundet meddelas om överträdelseavgift på 2,5 miljoner norska kronor

Norska Datatilsynet meddelar norska idrottsförbundet (NIF) om överträdelseavgift efter en personuppgiftsincident. Det rör sig om att personlig information om 3,2 miljoner personer legat tillgänglig online i 87 dagar. Incidenten inträffade efter ett fel i samband med testning av en molntjänst. Datatilsynet anser att NIF brister i sina säkerhetsrutiner för testning och att det var onödigt att testa molntjänsten med en så stor omfattning av personuppgifter.

Drygt 500 tusen barn drabbade

Den personliga information som exponerats är namn, kön, födelsedatum, adress, telefonnummer, e-post och klubbanslutning. Av de 3,2 miljoner personer som drabbats av avvikelsen var 486 447 barn i åldern 3-17 år. Den norska dataskyddsmyndigheten har dock inte någon information om att obehöriga faktiskt har utnyttjat avvikelsen.

Tidsfrist för feedback

Överträdelseavgiften på 2,5 miljoner norska kronor anser Datatilsynet vara rimlig för denna överträdelse. Datatilsynet påpekar dock att detta är ett meddelande om överträdelseavgift som NIF har möjlighet att lämna kommentarer på innan ett slutgiltigt beslut fattas. Föreningen har fått en tidsfrist den 4 januari 2021 för feedback.

Läs mer här.

Umeå universitet bötfälls med 550 000 kr för personuppgiftsincident

Efter en granskning av Umeå Universitet kan Datainspektionen konstatera att universitetet brutit mot dataskyddsförordningen. Det rör sig om att universitetet inte vidtagit tillräckliga tekniska och organisatoriska åtgärder vid hantering av känsliga personuppgifter.

Känsliga uppgifter på molntjänst

Granskningen visar att en forskargrupp vid universitetet lagrat känslig information på en amerikansk molntjänst. Det handlar om hundratals inskannade förundersökningsprotokoll som gruppen begärt ut från polisen. Molntjänsten användes trots att universitetet informerar på sitt intranät om att känsliga uppgifter ej bör lagras i den aktuella molntjänsten. Datainspektionens granskning visar även att forskargruppens mailkorrespondens med polisen skett på ett oaktsamt sätt då gruppen bifogat de inskannade dokumenten med känslig information i korrespondensen. Trots att polisen påpekat att det är ett olämpligt sätt att skicka känsligt material på upprepades händelsen igen.

Incidenten inte anmäld till Datainspektionen

Något som Datainspektionen även riktar kritik mot är att universitet inte anmält incidenten till Datainspektionen vilket det sedan 25 maj 2018 finns en skyldighet för organisationer att göra. Datainspektionen skriver på sin hemsida att ”den personuppgiftsansvarige är skyldig att anmäla incidenter till oss och då även redovisa vad man har gjort för att minimera effekterna av incidenten och för att liknande incidenter inte ska inträffa igen.”

Datainspektionen utfärdar en administrativ sanktionsavgift på 550 000 kronor mot Umeå universitet.

Läs mer här.

Amazon Europe Core bötfälls med 35 miljoner euro

Den franska dataskyddsmyndigheten Commission Nationale de l’informatique et des Libertés, CNIL utfärdar böter på 35 miljoner euro till företaget Amazon Europe Core. Detta efter att CNIL genomfört en granskning av webbplatsen amazon.fr. Det rör sig om att företaget placerar cookies på användarens skärm utan samtycke. Dessutom saknas tillfredsställande information om placeringen av cookies.

Placering av cookies

Under granskningen kunde noteras två överträdelser av artikel 82 i dataskyddslagen. En av överträdelserna handlar om att webbplatsen amazon.fr har placerat ett stort antal cookies på användarens skärm, vilka ej varit nödvändiga för tjänsten. I detta fall är syftet med cookies reklam. Det faktum att placera cookies i direktankomst till webbplatsen är oförenligt med ett förhandsgodkännande och ett samtycke från internetanvändaren behöver inhämtas innan cookies placeras på skärmen.

Bristfällig information

Den andra noterade överträdelsen handlar om bristfällig information för användare av webbplatsen amazon.fr. Den informationsbanner som finns på webbplatsen med texten: ”Genom att använda denna webbplats, accepterar du vår användning av cookies för att tillhandahålla och förbättra våra tjänster. Ta reda på mer” innehåller endast en allmän och ungefärlig beskrivning av syftet med alla cookies. I synnerhet anser CNIL att informationstexten inte tydligt förklarar att de cookies som har placerats har som huvudmål att visa användaren personliga reklamannonser. Informationsbannern informerade inte heller om att användaren har rätt att inte godkänna cookies.

Läs mer här.

Google LCC och Google Ireland Inc bötfälls med €100 miljoner

Den franska dataskyddsmyndigheten Commission Nationale de l’informatique et des Libertés, CNIL bötfäller Google LCC och Google Ireland Inc på totalt 100 miljoner euro för cookieöverträdelser på webbplatsen google.fr.

Cookies utan samtycke

Den 10 december meddelade CNIL att de den 7 december utfärdat två böter på totalt 100 miljoner euro mot Google LLC och Google Ireland Inc. Google LLC bötfälls med 60 miljoner euro och Google Ireland Inc med 40 miljoner euro. Detta efter att myndigheten genomfört en granskning av google.fr som bland annat avslöjat att cookies, som i de flesta fall användes i marknadsföringssyfte, automatiskt har placerats på användarens skärm utan samtycke.

Gemensamt ansvar

CNIL beslutade att bötfälla båda Google-företagen då myndigheten fann att företagen gemensamt är ansvariga för att fastställa syften och det sätt på vilket cookies används.

Läs mer här.

Datainspektionen har granskat åtta vårdgivare – brister i åtkomst till journaluppgifter

Vid en granskning av åtta vårdgivare har Datainspektionen funnit brister i hur vårdgivare styr personalens åtkomst till journaluppgifter. ”Myndigheten har upptäckt brister som i sju av de åtta fallen leder till administrativa sanktionsavgifter upp till 30 miljoner kronor”, skriver Datainspektionen på sin hemsida.

Behovs- och riskanalys

Granskningens fokus har varit att se över om vårdgivarna har gjort den behovs- och riskanalys som krävs för att kunna ge de anställda rätt behörighet till personuppgifter i vårdgivarens huvudjournalssystem. För att vårdgivarna ska kunna tilldela personalen rätt behörighet måste alltid en behovs- och riskanalys först göras, detta så att verksamheterna kan garantera patienterna det integritetsskydd de har rätt till.

Stora brister

Det visade sig att sju av vårdgivarna inte gjort någon behovs- och riskanalys medan en vårdgivare genomfört analysen men med vissa brister. Myndigheten konstaterar att bristerna hos de sju vårdgivarna är så pass allvarliga att det leder till en administrativ sanktionsavgift mellan 2,5 miljoner och 30 miljoner kronor.

Vägledning som stöd för vårdgivare

En sammanfattande vägledning med slutsatserna från granskningen finns nu publicerad på Datainspektionens hemsida. Vägledningen ska ge stöd åt vårdgivare vid genomförandet av sådana analyser som behöver göras innan behörighet ska tilldelas i journalsystem.  

Läs mer här.

Uppdaterad vägledning om dataskyddsregler som är särskilt relevanta i samband med anställningsförhållanden

Den danska dataskyddsmyndigheten Datatilsynet har publicerat en uppdaterad vägledning om dataskyddsregler som är särskilt relevanta i samband med anställningsförhållanden. Vägledningen innehåller bland annat regler om lagring, överföring och radering av personuppgifter men även anställdas och sökandes rättigheter till lediga tjänster och kontroll av anställda.

Grundval till revidering av vägledning

Revideringen av vägledningen har delvis gjorts på grundval av diskussioner med representanter från arbetsmarknadens parter om fackliga företrädares användning av arbetsgivarens IT-utrustning.

Läs mer här.

Vodafone bötfälls med 12,25 miljoner euro

Den italienska dataskyddsmyndigheten Garante bötfäller Vodafone med 12,25 miljoner euro för brott mot GDPR.

Hundratals klagomål

Garante bötfäller telekomföretaget Vodafone med 12, 25 miljoner euro efter hundratals klagomål om oönskade telefonsamtal från förtaget. Myndigheten inledde en granskning vilken kunde avslöja att det fanns brister i Vodafones lagringssystem för kundinformation.

Förbjuds bearbeta data

Böterna utfärdas med anledning av olaglig behandling av personuppgifter för miljontals användares som bland annat använts till marknadsföring. Vodafone är nu förbjuden att bearbeta data från tredje part som inte fått korrekt samtycke. Detta gäller för marknadsförings- och kommersiella ändamål.

Läs mer här.

Två franska företag döms till böter om 2,25 miljoner euro respektive 800 000 euro

Den franska dataskyddsmyndigheten Commission Nationale de l’informatique et des Libertés, CNIL, bötfäller Carrefour France om 2,25 miljoner euro och Carrefour Banque om 800 000 euro.

Brister i hantering av kund- & användardata

Efter att CNIL mottagit flertalet klagomål mot Carrefour-gruppen inleddes kontroller av företagen i maj och juli 2019. Man upptäckte då brister i hanteringen av kund- och användardata vilket ledde till beslut om att inleda ett sanktionsförfarande mot företagen. Myndigheten beslutade senare att bötfälla Carrefour France med 2,25 miljoner euro och Carrefour Banque med 800 000 euro.

Brott mot cookies och begränsad lagringstid för data

CNIL noterade bland annat att när en användare ansluter till webbplatsen carrerfour.fr eller carrerfour-banque.fr placeras flera kakor automatiskt på skärmen samt att flera av kakorna används för reklam utan användarens samtycke. Myndigheten har även noterat att det finns uppgifter om mer än 28 miljoner inaktiva kunder sparade.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart