Grekisk sanktion mot PwC

Den grekiska dataskyddsmyndigheten utdelade den 30 juli 2019 en sanktion på 150 000 euro (motsvarar ca 1,5 miljoner SEK) till PwC på grund av olagligt användande av personuppgifter om anställda.

Den grekiska dataskyddsmyndigheten bedömde i ett tillsynsbeslut att PwC hade använt personuppgifter i strid med flera grundläggande principer för personuppgiftsbehandling. De bedömde även att personuppgiftshanteringen till det yttre såg ut att skötas på ett lagligt sätt trots att den egentligen inte gjorde det. Förutom sanktionen på 150 000 euro krävde den grekiska dataskyddsmyndigheten att personuppgiftshanteringen av de anställdas personuppgifter inom tre månader skulle följa regelverket i GDPR. Enligt den grekiska dataskyddsmyndigheten ansågs sanktionen vara effektiv, proportionerlig och avskräckande.

Mer information här: https://www.gamingtechlaw.com/2019/07/pwc-greek-gdpr-fine.html

EU-domstolen dömer i Fashion ID-målet

Den 29 juli 2019 kom domen från EU-domstolen i det uppmärksammade Fashion ID-målet (C 40/17). Bakgrunden till fallet är att Fashion ID, en tysk onlinebutik, integrerat Facebooks ”gilla”-knapp på sin hemsida. När någon besöker hemsidan skickas därför besökarens personuppgifter till Facebook, oberoende av om besökaren är en Facebookanvändare eller om ”gilla”-knappen använts. EU-domstolen förtydligade i målet att företag som integrerar Facebooks ”gilla”-knapp, eller andra plugins, på sin hemsida måste få ett samtycke av användarna för att få skicka över personuppgifter till Facebook.

Verbraucherzentrale NRW, motsvarande det svenska konsumentverket, som tog fallet till domstol, konstaterade kort efter domen att domslutet ”är välkommet då företag som tjänar pengar på användardata nu också måste ta ansvar för sitt handlande”, detta enligt ordföranden Wolfgang Schuldzinski.

Mer information här: https://www.jdsupra.com/legalnews/ecj-rules-companies-using-social-63344/

https://www.reuters.com/article/us-eu-facebook-dataprotection/companies-using-facebook-like-button-liable-for-data-eu-court-idUSKCN1UO1B4

Sjukhusanställdas snokande i patientjournaler visade sig bli dyrt i Nederländerna

Tillsynsmyndigheten beslutade i förra veckan om sanktion om 460.000 EUR för en säkerhetsincident där anställda har läst information i kändisjournal. För att tvinga sjukhuset att höja säkerheten ålades dessutom sjukhuset att styrka inom 15 veckor att tvåfaktorautentisering samt förbättrad rutin för uppföljning av otillåten access har införts – vid äventyr av tillägg med 100.000 EUR varannan vecka (max 300.000 EUR) om så inte har skett.

Sanktionen utdelas med stöd av GDPR även om incidenten skedde i januari 2018. Återstår att se om den överklagas.

Personuppgifter för miljontals personer läckta när Bulgariens skatteverk hackades

I måndags mottog bulgarisk media ett e-mail från en rysk mejladress, där avsändaren skrev att denne flera månader tidigare kommit åt en stor mängd uppgifter om bulgariska medborgare. Avsändaren passade även på att kritisera myndigheters IT-säkerhet och kallade den parodisk, skriver Ekot (https://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=7266988). Uppgifterna varierar om hur många personers uppgifter som är berörda, men siffror upp emot 5 miljoner har nämnts. Enligt uppgift av Siren Hofvander synes det vara fråga om dålig IT-säkerhet och ett lösenord som gick att knäcka.

Organisationen ASCPD (Association of Specialists in Privacy and Data Protection), den rumänska motsvarigheten till Forum för Dataskydd, arbetar generellt för att höja medvetenheten om ett förbättrat integritetsskydd och för att säkerställa att tillräcklig information kommer till allmänhetens kännedom. I det här fallet går de nu ut och erbjuder, via sina medlemmar, gratis rådgivning till de rumänska medborgare som kan ha blivit berörda av intrånget i Bulgarien.

Mer information här: https://www.linkedin.com/pulse/ascpd-helps-romanian-citizens-affected-data-theft-marius-dumitrescu

Kan man lita på FaceApp?

Vaga formuleringar och oklara tolkningar. Uppgifterna går isär och röster höjs på olika håll i media den här veckan för vilka och hur stora risker som användare utsätter sig för.

Se t.ex. BBC för en bakgrund: https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/amp/technology-49018103

Internetstiftelsens Anne-Marie Eklund Löwinder, som är en av talarna på Nordic Privacy Arena i september, var förra veckan intervjuad av DN (https://www.dn.se/ekonomi/expert-faceapp-inte-storre-risker-an-andra-appar/). Hon rekommenderar alla att alltid fundera en god stund innan man laddar ner en app och ställa sig frågan om den erbjudna förströelsen är värd att köpa för ens användardata. Det här är en stor fråga som har lyfts tidigare, inte minst av DN:s reportrar i deras stora granskning om spårning via appar, ”Din plats till salu”, som tydliggjorde behovet av medvetenhet bland användarna samt ansvarstagande hos de som tillhandahåller apparna.

Facebook når uppgörelse med FTC om böter på 5 miljarder USD för Cambridge Analytica-skandalen

År 2016 uppdagades det att stora mängder information om Facebookanvändare hamnade hos analysföretaget Cambridge Analytica. Informationen användes bland annat i Donald Trumps valkampanj under presidentvalet i USA samma år. Till följd av detta startade den amerikanska myndigheten Federal Trade Commission (FTC) en undersökning i fallet, vilken nu alltså har kulminerat i böter motsvarande ca 47miljarder svenska kronor.

Facebook var förberett och hade avsatt 3 miljarder dollar för eventuella böter. Beloppet är ändock enligt många bedömare alltför lågt i förhållande till företagets årsinkomst, trots att beloppet är bland de högsta som utdelats i FTC:s historia.  Överenskommelsen behöver godkännas av det amerikanska justitiedepartementet för att bli giltig.

Läs mer här: https://www.bloomberg.com/news/articles/2019-07-12/ftc-approves-facebook-privacy-settlement-worth-about-5-billion

Schrems II till avgörande

Max Schrems, en ung österrikisk jurist och aktivist, bad Facebook år 2011 att delge honom all information de hade om honom. Han fick då en cd-skiva från Facebook som omfattade 1200 sidor av information om hans liv. I cd-skivan kunde man bland annat läsa om de privata meddelanden han skickat, evenemang han deltagit i och saker han gillade. Schrems bad därför 2013 den irländska dataskyddskommissionen att stoppa Facebook från att överföra hans privata information till USA, en klagan som gick ända till EU-domstolen.

Den 9 juli 2019 behandlade EU-domstolen det mål som kommit att kallas Schrems II och som på sikt kan leda till att Facebook och andra företag tvingas ändra på överflyttningsdynamiken av personuppgifter till områden utanför EU, exempelvis USA. Överföring av uppgifterna har möjliggjorts genom standardavtalsklausuler som godkänts av EU-kommissionen. Schrems menar att avtalsklausulerna inte räcker för att skydda EU-medborgares privata uppgifter från amerikanska underrättelsetjänster.

Beslut i målet väntas först i början av nästa år. Om EU-domstolen följer Schrems uppfattning, kan det få omfattande påverkan på internationella dataflöden och organisationer kan behöva omreglera hur transfereringar av personuppgifter sker – något som förstås kan ge upphov till omfattande arbete och stora kostnader i internationella affärsverksamheter. Beslutet kan även indirekt komma att få effekt för andra överföringsmekanismer såsom EU-US Privacy Shield.

Läs mer här: https://iapp.org/news/a/iapp-faqs-what-does-the-cjeus-schrems-ii-case-mean-for-data-transfers/

Otillräcklig DD av dataskyddet kan riskera bli dyrt – eventuella sanktioner mot hotellkedja

I slutet av 2018 upptäcktes och offentliggjordes en läcka av personuppgifter hänförliga till 339 miljoner gästregistreringar från hotellkedjan Marriott, av vilka drygt 30 miljoner anses härröra till personer inom EES-området, enligt ICO. Läckans ursprung antas hänföras till intrång i Starwoods system under 2014. Marriott förvärvade därefter Starwood 2016, men exponeringen av gästinformationen upptäcktes inte förrän 2018. ICO har tidigare konstaterat att Marriotts ”due diligence” (DD) var bristfällig vid förvärvet av Starwood och att läckan åtminstone borde ha upptäckts efter uppköpet. Marriott köpte därmed på sig en risk när de förvärvade kedjan med bristfälligt dataskydd och inte företog ett tillräckligt dataskyddsarbete.

ICO har utfärdat en bot på 1,17 miljarder kronor till Marriott för brott mot dataskyddsförordningen. Marriott har emellertid fortfarande tid att inkomma med synpunkter för att påverka bötesbeloppet, vilket de väntas göra. Tidigare har Marriott uttalat att man anser bötesbeloppet vara orättmätigt eftersom de också samarbetat med ICO. ICO menar däremot att en organisation har ett fullständigt ansvar för de personuppgifter som de förfogar över, även om uppgifterna var en del av ett uppköp eller en företagsfusion. 

Mer information: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

Sanktioner mot British Airways

Flygbolaget British Airways drabbades för drygt ett år sedan av en betydande cyberattack. Attacken ledde till att känslig information om 380 000 resenärer (innefattandes kreditkortsuppgifter) gjordes tillgänglig för hackare.

Enligt ICO har flygbolagets säkerhetsrutiner varit undermåliga under en längre period. Uppgifter om adress, betalningsinformation och namn uppges inte ha skyddats på erforderligt sätt, vilket strider mot dataskyddsförordningen.

Till följd av de bristande säkerhetsrutinerna tillkännagav ICO att man har för avsikt att fatta beslut om att flygbolaget ska böta 183 miljoner pund, motsvarande 2,2 miljarder svenska kronor och 1,5 % av den totala årsomsättningen för flygbolaget. Det blir därmed den högsta bot som utdömts för brott mot dataskyddsförordningen hittills.

Mer information: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

Sanktioner i Frankrike och Spanien

Spanska La Liga ska ha avlyssnat fotbollsfans mobiltelefoner för att undersöka om pubar visat matcher utan tillstånd. Organisationen ska ha fått tillgång till telefonernas ljudupptagningar via ligans officiella app, som laddats ner omkring tio miljoner gånger. Tillsynsmyndigheten AEPD bedömer inte att La Liga informerat om insamlingen tillräckligt tydligt och fattar därmed beslut om sanktionsavgift om 250 000 euro. 

I Frankrike ska ett fastighetsföretag utge 400 000 euro för att ha gjort information om enskildas identiteter och ekonomiska förhållanden tillgänglig via en hemsida. Företaget ska ha känt till sårbarheten sedan mars 2018, men inte infört krav på autentisering eller vidtagit andra åtgärder.

Företrädare för tillsynsmyndigheter i bl a Frankrike, Tyskland, Sverige, Finland och Irland diskuterar harmonisering och sanktioner vid Nordic Privacy Arena (Stockholm 23-24 september).

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart