Den nederländska dataskyddsmyndigheten (DPA) har nu avslutat en granskning av TikTok som har resulterat i en administrativ sanktionsavgift på 750 000 euro

Förra året inledde DPA en omfattande granskning av TikTok, en populär applikation som idag används av många nederländska barn, efter oro om hur barnens personuppgifter hanteras. Granskningen är nu avslutad och har resulterat i att TikTok åläggs med 750 000 euro i administrativa sanktionsavgifter eftersom de inte har gjort tillräckligt för att skydda barnens integritet.

I samband med nedladdning av TikTok ombads användare att godkänna en integritetspolicy på engelska. Eftersom informationen inte fanns på nederländska har TikTok misslyckats med att informera dess yngre användare om hur applikationen samlar, lagrar och använder personuppgifter. Detta bryter mot dataskyddslagstiftningen som bygger på öppenhetsprincipen och att de registrerade alltid ska ha en klar uppfattning om hantering av deras personuppgifter.

Möjligheter till granskning varierar beroende på var företaget har sitt huvudkontor
Om ett företag har sitt huvudkontor utanför Europa kan alla EU:s medlemsländer delta i en tillsyn av dess verksamhet. När det gäller företag som har sina huvudkontor i Europa är det främst landet där huvudkontoret ligger som bär ansvaret för en eventuell granskning.

Tidigare hade TikTok sitt huvudkontor utanför Europa och Nederländerna kunde därför granska TikToks verksamhet. Enligt DPAs vice ordförande Monique Verdier har TikTok nu etablerat sin verksamhet i Irland och Nederländerna har därmed delat med sig av granskningens resultat. Monique Verdier påpekade att det nu är upp till Irlands tillsynsmyndighet att avsluta granskningen och undersöka om det finns andra brister i TikToks hantering av barnens personuppgifter. Det blir även Irlands ansvar att meddela ett slutgiltigt beslut.

Föräldrar och deras roll
Föräldrar har nu mer kontroll över sina barns konton och kan hantera barnens sekretessinställningar genom sitt konto med hjälp av familjedelningsfunktionen. Monique Verdier tyckte att funktionen var bra, men rekommenderade även föräldrar att visa intresse i de videor deras barn skapar och prata med sina barn om hur de interagerar med andra användare på TikTok.

TikTok har överklagat beslutet.

Nyhetsartikeln finns att läsa på EDPB här

Pressmeddelandet på nederländska finns att läsa här

Grönt ljus att överföra personuppgifter till Storbritannien

Den 28 juni 2021 meddelade Europeiska kommissionen att den beslutat att Storbritannien erbjuder en adekvat skyddsnivå.

Kommissionen har tagit ett beslut om adekvat skyddsnivå enligt GDPR och ett annat beslut om adekvat skyddsnivå enligt brottsbekämpningsdirektivet.

Exportkontroll på personuppgifter

Kommissionen har befogenhet att på förhand godkänna tredjeland så uppgifter får överföras dit, genom att fatta beslut om adekvat skyddsnivå. Tredjeland måste respektera rättsstatsprincipen och tillhandahålla en nivå av dataskydd som väsentligen motsvarar EU-standard. I det här fallet konstaterar kommissionen att Storbritannien efter Brexit helt och hållet implementerat reglerna i GDPR och brottsbekämpningsdirektivet i sitt rättssystem.

När det finns ett beslut om adekvat skyddsnivå, behöver personuppgiftsansvariga och personuppgiftsbiträden som vill exportera personuppgifter med stöd av beslutet, inte själva analysera lagarna i tredjeland. Deras uppgift blir istället att ta del av beslutet för att se om beslutet är förenat med villkor. Om man bryter mot villkoren blir exporten av personuppgifter olaglig. I det här fallet är det bara ett av besluten som har ett villkor. Personuppgifter får inte överföras till Storbritannien med stöd av beslutet om adekvat skyddsnivå enligt GDPR, om de ska användas på den brittiska sidan för migrationskontroll.

Det här är de första adekvansbesluten som automatiskt upphör att gälla efter en förutbestämd tid. Besluten upphör den 27 juni 2025, det vill säga om fyra år. Kommissionen ska fortsätta övervaka utvecklingen i Storbritannien under dessa 4 år och vidta åtgärder om skyddsnivån i landet minskar. Om kommissionen vill förlänga besluten behöver beslutsförfarandet inledas från början.

Skyddet i Storbritannien och CLOUD Act-avtal

Det är också värt att uppmärksamma att kommissionen i pressmeddelandet anser att rättssystemet i Storbritannien har implementerat starka skyddsåtgärder. Kommissionen upplyser att de brittiska underrättelsetjänsterna måste ha förhandsgodkännande från ett oberoende juridiskt organ för att få inhämta underrättelseuppgifter. Vidare påpekar kommissionen att individer som tror att en brittisk underrättelsetjänst olagligt har spionerat på dem kan starta en rättsprocess i en oberoende brittisk domstol. Slutligen noterar kommissionen i ett av besluten att Storbritannien har undertecknat ett CLOUD Act-avtal med USA som väntar på att träda i kraft. Kommissionen bedömer att det i framtiden kan förekomma att personuppgifter som överförts från EU till Storbritannien baserat på beslutet om adekvat skyddsnivå, i ett senare skede lämnas ut till USA. Kommissionen anser dock att detta inte utgör någon större fara, bland annat för att den anser att Cloud Act-avtalet mellan Storbritannien och USA ger ett likvärdigt dataskydd som motsvarar kraven i det så kallade ”paraplyavtalet” mellan EU och USA.

För mer information, se skäl 153-156, på sidorna 45-47 i adekvansbeslutet enligt GDPR.


Den norska tillsynsmyndigheten Datatillsynet har konstaterat att Olso Universitetssjukhus måste ingå nya avtal när sjukhuset tar hjälp av utländska laboratorier

Datatillsynet har efter en tillsyn av Olso Universitetssjukhuset konstaterat att sjukhuset inte kan säkerställa att de har kontroll över patientdata när laboratorietjänster efterfrågas från andra länder.

Tillsynsmyndigheten konstaterar att det är viktigt att kunna ta hjälp av utländska laboratorier när sjukhuset i fråga eller andra norska laboratorier saknar expertis för att förse patienterna med sådan vård som de behöver. Sjukhuset skickar ut blodprov, annat biologiskt material och patientdata till andra länder, både inom och utanför EES. Detta påverkar cirka 8000 patienter per år.

Avtal som kan tillgodose rätt behandling av personuppgifter saknas

Att det kan finnas ett behov av att ta hjälp från utländska laboratorier befriar inte sjukhuset från dess ansvar att säkerställa en säker och lämplig behandling av biologiska prover och patientdata.

Datatillsynet fastställde att sjukhuset har misslyckats med att upprätta lämpliga avtal för att säkerställa en korrekt behandling av sjukhusets förpliktelser och skydd av patientdata. Detta bland annat eftersom sjukhuset har misslyckats med att ingå avtal om behandling av data med laboratorierna.

Sjukhuset kommer att ta tag i problemen

Sjukhuset skriver i sitt sista svar på Datatillsynets preliminära kontrollrapport att de vill ta tag i problemen som sjukhuset avslöjar. Sjukhuset kommer att delegera ansvaret för användning av utländska laboratorier till en särskild sjukhusenhet och kommer att ingå avtal med laboratorierna som säkerställer att patientdata och det biologiska materialet behandlas i enlighet med tillämplig lagstiftning. Direktören för Datatillsynet, Bjørn Erik Thon, menar att detta sänder positiva signaler från sjukhuset i fråga. En klar ansvarsfördelning och tydliga avtal är viktiga för skydd av personuppgifter och informationssäkerhet.

Det ursprungliga pressmeddelandet på norska finns att läsa här

Europeiska dataskyddsstyrelsen (EDPB) har rapporterat om pressmeddelandet på engelska här

EDPB och EDPS vill att dataskyddsmyndigheter utövar tillsyn över AI-lag

Europeiska dataskyddsstyrelsen (EDPB) och Europeiska datatillsynsmannen (EDPS) publicerade den 21 juni ett gemensamt remissvar på EU-kommissionens förslag till AI-förordning.


Breddat tillämpningsområde och tillsyn genom dataskyddsmyndigheter
EDPB och EDPS är positiva till EU-kommissionens förslag om att lagen också ska omfatta EU-institutionernas användning av AI och att EDPS blir tillsynsmyndighet för EU-institutionerna. Samtidigt uttrycker båda remissinstanserna att de är djupt bekymrade över att internationella samarbeten för brottsbekämpning är undantagna från den föreslagna AI-lagen, vilket öppnar upp för att lagen kan kringgås.


När det gäller medlemsstaternas tillsyn föreslår EDPB och EDPS att uppgiften bör ges till dataskyddsmyndigheterna som redan utövar tillsyn under GDPR. I yttrandet betonas det att dataskyddsmyndigheterna redan skyddar grundläggande rättigheter i AI-projekt där personuppgifter behandlas enligt GDPR eller brottsbekämpningsdirektivet. EDPS och EDPB anser att den föreslagna lagen innehåller bestämmelser om dataskydd som påverkar tillämpningen av GDPR, EUDPR (dataskyddsförordning för EU-institutionerna) och brottsbekämpningsdirektivet. Om tillsynsuppdraget läggs på dataskyddsmyndigheterna möjliggörs enligt remissvaret en smidigare och mer samstämmig lagtolkning mellan dataskyddslagarna och AI-förordningen. Slutligen anser EDPB och EDPS att det skulle ge dataskyddsmyndigheterna möjlighet att förhindra motsägelsefulla tillsynsbeslut emellan medlemsstaterna.


Förbud mot social poängsättning och att förutspå brottsligt beteende
EDPB och EDPS efterfrågar regelskärpningar kring användningen av AI inom vissa områden. I synnerhet anser de att påträngande AI, som påverkar den mänskliga värdigheten bör förbjudas.
För det första anser EDPB och EDPS att EU-kommissionens förslag förbjuder system för social poängsättning i alldeles för få situationer. I remissvaret framhåller de att förslaget inte hindrar sociala medieföretag och molntjänstleverantörer som har tillgång till stora mängder personuppgifter från att införa sådana system. De rekommenderar därför att det införs ett totalförbud.


För det andra efterlyser EDPS och EDPB ett allmänt förbud mot användning av AI för biometrisk identifiering på offentliga platser oavsett i vilket sammanhang det används. Detta inkluderar identifiering av alla beteendemässiga eller biometriska egenskaper hos en person såsom gångstil, tangenttryckningar, röst, fingeravtryck, ansikte och DNA.
För det tredje efterfrågar EDPB och EDPS ett förbud mot “biometrisk kategorisering”. Båda remissinstanser vill förbjuda användningen av AI för att kategorisera individer baserat på egenskaper som omfattas av förbudet mot diskriminering i EU-stadgans artikel 21. EDPB och EDPS anser att förbudet bör omfatta både privata och offentliga aktörer.


För det fjärde föreslår EDPB och EDPS i motsats till EU-kommissionens förslag, ett förbud mot att brottsbekämpande myndigheter använder sig av prediktivt polisarbete. Det omfattar situationer där brottsbekämpande myndigheter använder profilering, analys av personlighet och personliga egenskaper eller tidigare brottsligt beteende för att förutspå om en individ kommer begå ett brott eller återfalla i brottslighet. Enligt remissvaret reducerar sådana klassificeringar personen till ett objekt utan fri vilja, vilket strider mot tanken om mänsklig värdighet.
Slutligen anser EDPB och EDPS att användningen av AI för att analysera en persons känsloläge är högst oönskvärt och bör förbjudas som huvudregel. Enligt remissvaret bör sådana analyser endast vara tillåtna i väldefinierade undantagssituationer inom områden som hälsa och forskning. Även i dessa situationer bör det enligt remissvaret finnas krav på att skyddsåtgärder används och att sedvanliga krav i dataskyddsregleringen såsom uppgiftsminimering efterlevs.

Läs mer här

IMY beslutar att ålägga SL med en administrativ sanktionsutgift på 16 miljoner kronor

Under måndagen den 21 juni beslutade Integritetsskyddsmyndigheten (IMY) att ålägga Storstockholms lokaltrafik (SL) med en administrativ sanktionsutgift på 16 miljoner kronor. Detta efter att IMY i samband med en tillsyn har konstaterat att SLs användning av kroppsburna kameror strider mot flera artiklar i dataskyddsförordningen.

SLs användning av kroppsburna kameror och IMYs bedömning
Enligt SL användes de kroppsburna kamerorna för tre ändamål:
1) För att förebygga hotfulla situationer riktade mot kontrollanter i samband med biljettkontroller
2) För att dokumentera inträffade incidenter
3) För att fast- och säkerställa identiteten på resenärer som åläggs tilläggsavgifter

IMY konstaterade inledningsvis att videoinspelning med kroppsburna kameror får användas för det första ändamålet eftersom det finns ett berättigat intresse – att skydda kontrollanter från hot. IMY ansåg däremot att videoklippens längd måste begränsas till maximalt 15 sekunder för att garantera att principerna om laglighet och uppgiftsminimering i artikel 5.1 a respektive c efterlevs.

Vidare uttryckte IMY att videoinspelning inte kan användas för att säkerställa resenärers identitet vid utfärdandet av en tilläggsavgift eftersom en sådan behandling av personuppgifter inte är nödvändig. Samma ändamål kan och bör därför uppfyllas genom mindre integritetskränkande åtgärder, exempelvis med hjälp av stillbilder.

Brister i information till de registrerade
De registrerade har rätt att bli meddelade om att en behandling av deras personuppgifter sker och ska informeras om syftet med behandling. IMY ställde sig kritisk till att endast resenären som ålagdes en tilläggsutgift fick information om personuppgiftsbehandlingen. De övriga passagerare som råkade befinna sig i närheten fick alltså ingen information på plats.

Övriga resenärer kunde läsa om personuppgiftsbehandlingen på SLs hemsida, men sådan information ansågs inte tillräcklig i ljuset av artikel 13 dataskyddsförordningen. Dessutom fanns det endast information om behandling av stilla och rörliga bilder samtidigt som information om ljudupptagning utelämnades. IMY anmärkte att detta var allvarligt eftersom ljudupptagning anses vara särskilt integritetskänsligt.

Läs mer här

IMY har fattat beslut om den s.k. 1177-läckan

Händelsen handlade i grunden om att en NAS-server (fillagringsserver) var felkonfigurerad som ledde till att obehöriga kunde få tillgång till inspelade telefonsamtal (enligt IMY 650 000 till 900 000 samtal) på servern. Kedjan av aktörer i personuppgiftsbehandlingen var lång, där det började i regioners sjukvårdsansvar, där Inera AB (Inera) förmedlade samtalen till leverantör åt regionerna. Regionerna Sörmland, Värmland och Stockholm anlitade vårdgivaren MedHelp AB (MedHelp) för att hantera samtal med patienter kopplat till tjänsten 1177.se. MedHelp i sin tur anlitade personuppgiftsbiträden för att stödja dem i deras hantering.


Otydlighet i fördelning av ansvar kopplat till personuppgifterna
Kopplat till händelsen inkom flertalet anmälningar av personuppgiftsincidenter, bl.a. från företagen Voice Integrate Nordic AB (Voice), MedHelp och MediCall Co Ltd (MediCall). IMY inledde tillsyn mot sex aktörer som kunde kopplas till incidenten; Voice, MedHelp, Inera, samt regionerna Stockholm, Värmland och Sörmland.


IMY fann flera brister i de olika aktörernas hantering.
• Mängden incidentrapporter ledde IMY till att tro att det fanns oklarheter kopplat till personuppgiftsansvaret.
• Det fanns flera brister i informationssäkerhetshanteringen hos flera aktörer.
• Det fanns flera brister i informationen till registrerade hos flera aktörer.


Flera aktörer fick sanktioner
Regionerna Sörmland och Värmland informerade inte om personuppgiftshanteringen kopplat till telefonihanteringen, vilket ledde till att de fick sanktionsavgifter på 250 000 kr vardera.
Region Stockholm informerade inte heller om personuppgiftshanteringen kopplat till telefonihanteringen och samlade utöver regionerna Sörmland och Värmland in uppgifter från vårdgivaren, MedHelp, som de pseudonymiserade för att utveckla deras sjukvårdsrådgivning. För detta fick de en sanktion på 500 000 kr.
Inera agerade personuppgiftsbiträde till regionerna genom att koppla samtal till MedHelp, men hade inte någon koppling till inspelningen av telefonsamtalen. Det ledde till att de inte fick någon sanktionsavgift utan ärendet mot dem avskrevs.
MedHelp var personuppgiftsansvarig som vårdgivare kopplat till telefonsamtalen. De ansågs av IMY ha brutit mot bl.a. dataskyddsförordningen, patientdatalagen och socialstyrelsens föreskrifter. De fick 12 miljoner kr i sanktionsavgift för detta.
Voice hanterade NAS-servern för MedHelp:s räkning. Där ansvarade Voice för bl.a. säkerheten. Voice fick en sanktionsavgift på 650 000 kr eftersom de inte vidtagit tillräckliga säkerhetsåtgärder.

Läs mer om detta här

Lönebarometern 2020

HR Commitment har under flera år genomfört löpande löneundersökningar för Sveriges bolagsjurister, Sveriges Compliance Officers och Sveriges internrevisorer i samarbete med respektive yrkesgrupps intresseförening. Syftet med undersökningen är att ge en bild av löneläget och arbetsvillkor och att ge dig som arbetar med dataskyddsfrågor underlag inför kommande lönediskussioner, vare sig det gäller dig själv eller dina medarbetare. 

Forum för Dataskydd anlitade HR Commitment för att genomföra den årliga undersökningen för 2020, se länkar till resultatet nedan.

Resultatet av undersökningen finns på svenska här och på engelska här (in english).

IMY informerar och tipsar – Hur du skyddar din information i molnet!

Integritetsskyddsmyndigheten (IMY) har publicerat en vägledning om informationssäkerhet och molntjänster på sin webbplats med tips om vad du ska tänka på för att skydda din information i molnet.

Risker med molntjänster

Sociala medier, e-post och lagring av bilder och andra filer på nätet är exempel på molntjänster, där informationen laddas upp enkelt från en smartphone, surfplatta eller dator, skriver IMY på sin webbplats. Det finns flera risker med molntjänster, bland annat att den molntjänstleverantör som du använder kan lägga ner sin verksamhet eller bli uppköpt av ett annat företag och att din information som finns lagrad i molnet kan förstöras eller bli oåtkomlig.

Öka ditt skydd

För att öka skyddet för din information i en molntjänst är det viktigt att tänka på att du regelbundet uppdaterar listan över vilka du delar information med i molnet och ta bort de som inte längre ska ha behörighet till informationen. Ett annat sätt att öka skyddet för din information är att välja ett starkt och unikt lösenord så att ingen obehörig kan komma åt din information i dina molntjänster. Om möjligt ska du även aktivera tvåfaktorsautentisiering.

Läs mer här.

Italiensk vårdgivare i Emilia-Romagna får sanktionsavgift med 50 000 euro för brott mot GDPR

Den italienska dataskyddsmyndigheten Garante har utfärdat en sanktionsavgift enligt GDPR mot en italiensk vårdgivare efter att information om en patient överlämnats telefonledes till en anhörig.

Oavsiktligt lämnat ut information

Av Garantes beslut framkommer att sjukvårdspersonal på en gynekologmottagning i Emilia-Romagna oavsiktligt har kontaktat patientens man och delgett information om att patienten besökt mottagningen. Informationen har lämnats ut trots att patienten uttryckligen begärt att ingen tredje part eller familjemedlem skulle få ta del av den. Enligt vårdgivaren ska inte information om patientens hälsotillstånd lämnas ut.

Brott mot GDPR i flera avseenden

Garante har beslutat att utfärda en sanktionsavgift mot vårdgivaren om 50 000 euro eftersom denna typ av incident strider mot artiklarna 5.1 (a), (d) samt 9 i GDPR. Myndigheten anser även att vårdgivaren brutit mot artikel 32 (1) i GDPR eftersom vårdgivaren inte har vidtagit lämpliga säkerhetsåtgärder för att hantera patientjournaler och telefonnummer.

Läs mer här.

Flera svenska myndigheter skickar IP-adresser till Google trots att de utlovar anonymitet

En granskning som Sveriges radio Ekot gjort visar att ett åttiotal offentliga webbplatser lovar sina besökare anonymitet men skickar ändå besökarens personuppgifter till Google. Efter Ekots granskning har flera myndigheter anmält sig själva till Integritetsskyddsmyndigheten, bland annat Åklagarmyndigheten.

Ekot har granskat totalt 500 webbplatser

Informationen som skickats till Google är en IP-adress, som EU-domstolen klassar som en personuppgift för att den i förlängningen kan användas för att identifiera enskilda personer, skriver Ekot på sin webbplats. Ekot har granskat totalt 500 webbplatser varav över 150 offentliga webbplatser har skickat vidare IP-adresser utan att informera sina besökare. Utöver dessa webbplatser har drygt 80 webbplatser dessutom lovat användarna anonymitet men inte hållit det löftet.

Google erbjuder anonymisering

När Ekot pratar med Google berättar de att alla kunder erbjuds möjlighet till att anonymisera sina IP-adresser. De säger även att anonymiseringen sker automatiskt för alla som använder den senaste versionen av Googles analystjänst.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart