JO-kritik för överföring av journaluppgifter till USA

JO kritiserar Region Halland för att ha lämnat ut pseudonymiserade uppgifter ur patientjournaler till en organisation i USA.

Flera omständigheter borde manat till försiktighet, menar JO, som konstaterar att det rör sig om uppgifter av mycket integritetskänsligt slag och att det varit möjligt att identifiera individer med hjälp av en referensfil. Minst åtta medarbetare varav tre konsulter ska ha haft tillgång till referensfilen.

Regionen kritiseras för att ha lämnat ut personuppgifter i strid med då gällande lagstiftning och för bristande dokumentation. Mottagaren var inte ansluten till Safe Harbor-principerna, och partnerna hade inte tecknat standardavtalsklausuler.

Läs beslutet i dess helhet här.

Nu granskas Googles annonsauktioner

Irlands dataskyddsmyndighet har beslutat att granska Googles överföring av personuppgifter till leverantörer av annonser. Enligt anmälaren, Johnny Ryan vid Brave(bilden), läcker det annonssystem som ska vara installerat på fler än åtta miljoner webbplatser känslig information om besökare.

Systemet skickar information om användare i form av ”bid requests” till certifierade leverantörer, som lämnar bud för visning av annonser. 

Enligt anmälan delas uppgifter om politisk åskådning och sexuell läggning. Systemet ska också dela uppgifter om vad användaren läser och tittar på samt göra det möjligt att kartlägga användarens beteenden över tid. Irlands dataskyddsmyndighet ska nu utreda om behandlingen är förenlig med dataskyddsförordningen.

Myndigheten har tidigare kritiserats för att inte agera tillräckligt kraftfullt mot teknikföretagen. Sedan dataskyddsförordningen började gälla har dock ärenden inletts rörande bl a Facebook, Apple, Twitter, LinkedIn och Instagram. 

Bland kritikerna märks Alexander Hanff, CEO för ThinkPrivacy och moderator vid årets Nordic Privacy Arena (se nedan). Vi välkomnar också Googles Global Privacy Counsel Peter Fleischer och företrädare för Irlands och Frankrikes dataskyddsmyndigheter.

Se Mozillas head of EU public policy Raegan MacDonalds keynote och den efterföljande paneldiskussionen om ad tech från förra årets konferens här

Läs också:

Datainspektionen om Googleärendet
“Demokratin rämnar och det är Facebooks fel”
Konsumentorganisationer anmäler Google

Fredrik Svärd
fredrik.svard@dpforum.se

Sanktioner i Sverige “snart”

Förra veckan släppte Datainspektionen myndighetens första nationella integritetsrapport. Företrädare för Datainspektionen redogjorde vid en konferens i Stockholm bl a för rapporten och för tillsynsverksamheten.

De tillsynsärenden som inletts rör stora aktörer som ägnar sig åt omfattande behandling som kan få konsekvenser för många människor, berättade Nazli Pirayehgar, som talade om det pågående tillsynsärendet mot Googlevid ett av Forum för dataskydds seminarier tidigare i år. 

Utöver Google granskas bl a utvecklare av mobila operativsystem, inkassoföretag, delar av rättsväsendet samt aktörer inom skolvärlden, detaljhandeln och hälso- och sjukvård – inklusive en internetbaserad vårdtjänst. Utöver detta följer Datainspektionen utvecklingen inom maskininlärning, ansiktsigenkänning och blockkedjeteknik.

Det första beslutet om sanktioner enligt dataskyddsförordningen kommer fattas “snart”, meddelade generaldirektör Lena Lindgren Schelin.

Sms-utskick inför valet anmäls till Datainspektionen

Fler än en halv miljon mottagare ska under helgen ha mottagit sms med uppmaningar om att rösta på Socialdemokraterna. Utskicket har lett till diskussion i sociala medier, där många nu frågar sig om behandlingen är förenlig med dataskyddsförordningen.

Information från politiska partier betraktas typiskt sett som samhällsinformation, se t ex Etiska nämnden för direktmarknadsföring för mer information. Samhällsinformation omfattas ninte av reglerna i marknadsföringslagen, vilken förbjuder exempelvis kommersiella sms-utskick utan inhämtande av samtycke. Behandling kan ske med annan laglig grund än samtycke enligt dataskyddsförordningen, däremot ställs krav på bl a informationsgivning till den registrerade.

– I nuläget går det inte att slå fast att det har skett ett regelbrott. Men det är ett problem och en brist att man inte har lämnat någon information. Mottagarna har ingen möjlighet att kontrollera vad det är för register de befinner sig i eller för vilka syften informationen behandlas och det är något man har rätt att få, säger Forum för dataskydds ordförande Caroline Olstedt Carlström i en kommentar till Aftonbladet.

Liknande sms har skickats ut med Vänsterpartiet och Alternativ för Sverige som avsändare. Alternativ för Sverige, som uppger att mottagarna utvalts slumpmässigt, har anmälts till Datainspektionen.

Läs också:
Oproportionerlig ansträngning informera registrerade via brev?
Väljare har fått mass-sms från flera partier (Dagens Nyheter)

Kommentaren till dataskyddsförordningen är här

Norstedts Juridik har nu släppt Dataskyddsförordningen (GDPR) m.m. – En kommentar. Det 880 sidor långa verket är författat av Sören Öman, dataskyddsexpert och ordförande i Arbetsdomstolen, som även skrev kommentaren till personuppgiftslagen tillsammans med Datainspektionens chefsjurist Hans-Olof Lindblom.

Verket innehåller utöver kommentarer till förordningen även kommentarer till dataskyddslagen och bestämmelsen om dataskyddssekretess i OSL.

Sören Öman berättar om arbetet med kommentaren vid Forum för dataskydds sommarmingel i Stockholm den 13 juni. Läs mer och anmäl dig här.

Läs mer om kommentaren hos Norstedts Juridik.

Oproportionerlig ansträngning informera registrerade via brev?

För snart ett år sedan inledde Polens dataskyddsmyndighet tillsyn avseende Bisnode Polens upplysningar om sole proprietors (motsv. enskilda näringsidkare). Information om näringsidkarna hämtas från Bolagsverket i Polen. Näringsidkarna lägger själva in uppgifter om sitt bolag, och inkluderar grundläggande företrädaruppgifter som namn och adress. 

Bisnode uppger att företaget har mailat information enligt dataskyddsförordningens artikel 14 till de sole proprietors man haft mailadresser till. I övrigt hänvisas till information på företagets hemsida och till att informationsgivning via brev är att betrakta som oproportionerlig ansträngning.

Dataskyddsmyndigheten bedömer att företaget borde ha skickat brev till samtliga registrerade, närmare sju miljoner personer. Bisnode menar att beslutet kan få stora konsekvenser för alla företag som erbjuder bolagsupplysningstjänster om europeiska företag:

– Det spelar, om man hårddrar det, enligt den polska dataskyddsinspektionen inte någon roll att uppgifterna enbart utgör begränsad och grundläggande företrädarinformation som redan är publikt tillgänglig, och det spelar heller inte någon roll att det skulle medföra enorma kostnader samt koldioxidutsläpp om alla bolag som tillhandahåller bolagsinformationstjänster i Europa skulle börja skicka hundratals miljoner brev för denna typ av personuppgiftshantering, säger Magnus Sjögren (bilden), Group General Counsel vid Bisnode.

Bisnode har överklagat beslutet. 

FEDMA uttryckte nyligen i ett paper stöd för uppfattningen att publikt tillgänglig information bör vara undantagen artikel 14 (5)(b) och att det kan utgöra en oproportionerlig ansträngning att kontakta registrerade om andra kontaktuppgifter än postadress saknas. 

Se paneldiskussionen om harmonisering och tillsyn med Magnus Sjögren, Albine Vincent (CNIL), Eija Warma (Castrén & Snellman) och Viljar Peep (Justitiedepartementet, Estland) från Nordic Privacy Arena 2018 här. Vi återkommer till ämnet vid årets konferens , läs mer här.

Fredrik Svärd
fredrik.svard@dpforum.se

Ny kammarrättsdom om incidentrapporter och sekretess

En person har begärt att få information om antalet anmälningar om personuppgiftsincidenter Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar innehållet i rapporterna och att själva uppgiften om antalet rapporter inte kan anses utgöra känslig information.

Datainspektionen avslog begäran med hänvisning till bl a 18 kap 8 § 3 OSL, prop. 2003/04:93 s 82 samt SOU 2017:36 s.247-257. Datainspektionen uttalade liksom i tidigare liknande ärenden att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart. 

Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder. 

Enligt domstolen är det inte tillräckligt att göra en generell bedömning för att sekretessbelägga samtliga anmälningar. Kammarrätten undanröjer beslutet och återförvisar målet till Datainspektionen för ny sekretessprövning enligt 2 kap 15 § tryckfrihetsförordningen. 

Datainspektionen har tidigare rekommenderat regeringen att stärka sekretessen (läs mer här). Medlemmar kan också ta del av vårt seminarium om incidentrapportering och offentlighet från den 15 oktober 2018 under medlemssidorna.

Fredrik Svärd
fredrik.svard@dpforum.se

Teknik för ansiktsigenkänning möter motstånd

2015 sjösatte Kina ett projekt med ambitionen att kunna identifiera medborgare med 90 procents tillförlitlighet inom tre sekunder. Idag uppger utvecklare som kinesiska SenseTime att de tangerar 100 procents träffsäkerhet och att systemen är bättre än människor på att identifiera individer.

ICO utreder pilotprojekt i London

Men på andra håll varnar kritiker för att enskilda kan komma att pekas ut felaktigt. I London använder polisen ett system med kameror kopplade till en “watch list” på prov i samband med exempelvis julhandeln, fotbollsmatcher och andra större sammankomster. Systemet ska ha identifierat oskyldiga som brottslingar. ICO inledde ett tillsynsärende i december:

– There may be significant public safety benefits to enable the police to apprehend offenders and prevent crimes from occurring. But how facial recognition technology is used in public spaces can be particularly intrusive. It’s a real step change in the way law-abiding people are monitored as they go about their daily lives, säger kommissionär Elisabeth Denham i en kommentar.

– There is a lack of transparency about its use and a real risk that the public-safety benefits derived from the use of FRT will not be gained if public trust is not addressed.

Nej till ansiktsigenkänning i San Francisco

San Francisco har nu som första stad i USA beslutat att förbjuda polisens och andra myndigheters användning av teknik för ansiktsigenkänning. Användning av övervakningsutrustning ska föregås av ett ansökningsförfarande. Flygplatser och hamnar omfattas inte av reglerna.

Flera delstater har lagt fram liknande lagförslag, och i Washington DC har republikanska senatorn Roy Blunt föreslagit att privata aktörer inte ska tillåtas använda teknik för ansiktsigenkänning utan inhämtande av samtycke.

Utvecklingen i Sverige

I Sverige utvecklar polisen ett nytt nationellt kameraövervakningssystem med stöd för ansiktsigenkänning som ska kunna hantera bildmaterial från såväl fasta kameror som kroppskameror och kameror monterade på drönare. I Göteborg tar polisen under året 300 nya fast monterade kameror i bruk, och i Stockholm pågår ett pilotprojekt med mindre och mer moderna kroppsburna kameror.

Datainspektionen har tidigare rekommenderat regeringen att reglera användningen av kroppsburna kameror och även förelagt polisen att ta fram riktlinjer och rutiner. I slutet av förra året inleddes en granskning av Stockholms Lokaltrafiks användning av liknande kameror. Datainspektionen har också begränsat Tullverkets användning av smarta kameror i arbetet med fordonskontroller. Tullverket har fått tillstånd att automatiskt fotografera registreringsskyltar, men Datainspektionen har beslutat att endast registreringsnummer – inte hela kamerabilder – ska få skickas till den centrala databasen. Beslutet har överklagats till domstol.

Parallellt med detta levererar företag som Indivd och Deep North teknik till gallerior, butiker och andra som vill kunna analysera kundbeteenden, enligt uppgift utan behandling av personuppgifter.

Sedan den 1 augusti 2018 gäller den nya kamerabevakningslagen som bl a innehåller skärpta krav på informationsgivning. Vi tar upp frågeställningar kring polisens användning av kameror och ny teknik vid årets Nordic Privacy Arena (Stockholm 23-24 september). Hör bl a företrädare för svensk och dansk polis, digitaliseringsminister Anders Ygeman och en rad dataskyddsmyndigheter. Se också Gemma Gordon Clavells keynote om smarta städer från Nordic Privacy Arena 2017 här.

Fredrik Svärd
fredrik.svard@dpforum.se

Texten uppdaterad 19-05-16
Läs också:

Ny bok varnar för bias i myndigheters algoritmer
Nya regler om kamerabevakning

Nordiska dataskyddsmyndigheter stärker samarbetet

De nordiska dataskyddsmyndigheterna har enats om ett antal samarbetsåtgärder. Myndigheterna ska bl a skapa ett nätverk för informationsutbyte och arrangera en fördjupande workshop.

– Dataskyddsmyndigheterna i Norden har sedan länge ett nära samarbete men nu med dataskyddsförordningen, GDPR, är det viktigare än någonsin, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Lena Lindgren Schelin talar bl a om det nordiskas samarbetet och om Datainspektionens nationella integritetsrapport vid Nordic Privacy Arena i september.

Forum för dataskydd kommenterar insamlingen av persondata via appar

Forum för dataskydds ordförande Caroline Olstedt Carlström kommenterar den senaste tidens rapportering om hur personuppgifter samlas in via appar och säljs vidare av datamäklare.

I en intervju med Svenska YLE varnar hon för att oförsiktig hantering av personuppgifter kan leda till att enskilda blir mer negativt inställda till digitaliseringen.

– Det är så viktigt att den tekniska utvecklingen vi vill ha fungerar. Det förutsätter ju att vi användare har tilltro till tjänsterna. 

Hon efterfrågar också mer information och utbildning kring dataskyddsfrågor, exempelvis i grundskolan. Läs artikeln här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart