Granskningar och sanktionsavgifter på flera håll i Europa

I slutet av maj inledde Datainspektionen en granskning för att undersöka om myndigheter och företag utsett dataskyddsombud. Enligt rapporten har brister konstaterats hos drygt 14 procent av de 412 företag och myndigheter som ingått i granskningen. Besluten stannar vid reprimander med hänvisning till den korta tid som förflutit sedan den allmänna dataskyddsförordningen började gälla som lag. Läs mer på Datainspektionens hemsida.

Datainspektionen planerar fler granskningar, bl a med fokus på gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde och på samtycke som rättslig grund. En första granskning enligt brottsdatalagen är också på gång.

Tillsynsärenden m.m. utomlands

I Österrike har DSB beslutat om sanktionsavgift om 4 800 euro i ett ärende rörande en installation av en kamera som inte bara övervakat ägarens byggnad utan även trottoaren utanför.

I Portugal har Comissão Nacional de Protecção de Dados förelagt ett sjukhus att betala sammanlagt 500 000 euro, bland annat för att ha tillgängliggjort patientuppgifter för andra än läkare. Utöver detta har sjukhuset haft närmare 1 000 aktiva användare med titeln läkare, mer än tre gånger så många som det faktiska antalet anställda läkare.

I Tyskland har tillsynsmyndigheterna i Bayern och Niedersachsen meddelat att de avser utföra slumpmässiga kontroller.

Danska Datatilsynet har publicerat ett antal frågeformulär som används i samband med granskningar.

I Storbritannien har matvarukedjan Morrisons förlorat ett mål om en incident rörande känslig information om omkring 100 000 anställda. Fler än 5 500 berörda stämde företaget efter att uppgifter om löner och bankkonton publicerats på nätet. En överdomstol fick nyligen, i likhet med underrätten, på kärandenas linje. Morrissons har meddelat att avgörandet kommer överklagas till Supreme Court:

– Morrisons has not been blamed by the courts for the way it protected colleagues’ data, but they have found that we are responsible for the actions of that former employee, even though his criminal actions were targeted at the company and our colleagues, säger en representant för företaget.

Japans Personal Information Protection Commission har nyligen meddelat Facebook att företaget behöver stärka skyddet för användares personuppgifter. Detta med anledning av Cambridge Analytica-skandalen tidigare i år.

Video: Incidentrapportering med Delphi och Datainspektionen

Missade du måndagens seminarium om incidentrapportering och offentlighet? Se hela seminariet här. Med Karl-Fredrik Björklund, vice ordförande i Forum för dataskydd, Kian Rozi, informationssäkerhetsexpert, Delphis Peter Nordbeck och Ängla Eklund samt Alli Abdulla från Datainspektionen.

Vi återkommer till ämnet vid Nordic Privacy Arena i november (Stockholm 12-13 november), då med hjälp av bl a Durgesh Gupta vid Nasdaq i New York.

Karl-Fredrik Björklund, Carler och Forum för dataskydd: 0:00
Peter Nordbeck och Ängla Eklund, Delphi: 9:12
Kian Rozi, informationssäkerhetsexpert: 44:20
Alli Abdulla, Datainspektionen: 1:05:29

Presentationer från seminariet hittar du under medlemssidorna. Där hittar du också merparten av våra seminarier framöver. Vi börjar också inom kort med webbinarier.

 

Video: Insamling av personuppgifter på nätet

Missade du vårt seminarium om ad tech, trackers, pixlar m.m. i september? Se första delen här:

Hela seminariet kommer att publiceras på Conzentio.com.

 

 

Är framtidens DPO en jurist?

Fredrik Svärd, generalsekreterare för Forum för dataskydd, pratar med Sharp Recruitment om dataskyddsbranschen och DPO-rollen. Läs mer här.

Medlemmar kan ta del av vårt seminarium om kompetensförsörjning på dataskyddsområdet från i våras under medlemssidorna.

Fler talare till Nordic Privacy Arena

Vår stora dataskyddskonferens Nordic Privacy Arena går av stapeln i Stockholm 12-13 november. Vi glada att kunna välkomna:

Annie Ståhl, head of business operations, Schibstedt Media
Aral Balkan, grundare Ind.ie
Daniel Bihary,
juridisk expert vid RevealU– vinnare av årets Global Legal Hackathon
Egil Bergenlind, grundare av DPOrganizer
Eija Warma, partner vid advokatbyrån Castrén & Snellman
Johan Wullt, chef för avdelningen för informationsnätverk vid EU-kommissionens representation i Sverige
Leena Kuusniemi, legal adviser vid Leegal Oy
Lena Lindgren Schelin, generaldirektör vid Datainspektionen
Max Bleyleben, managing director och DPO vid SuperAwesome
Michaela Angonius, Group DPO, Telia Company
Nicolas de Bouville, privacy policy expert vid Facebook
Sarah van Hecke, legal design adviser vid advokatbyrån Houthoff
Sinan Akdag ,digital expert vid Sveriges Konsumenter
Tobias Bräutigam, senior counsel vid Bird&Bird

Vi är också glada över att se att intresset är stort för årets konferens. Biljetterna bokas upp snabbt – vi har utökat antalet platser och har även öronmärkt biljetter för forumets medlemmar. Vi kan dock inte lämna platsgaranti och rekommenderar därför medlemmar som vill besöka konferensen att boka så snart som möjligt.

Läs mer om konferensen här.

Juristpodden möter Caroline Olstedt Carlström

Juristpodden besökte Forum för dataskydd vid vår strategikonferens i augusti. Se intervjun med vår ordförande Caroline Olstedt Carlström här:

 

Rätten att bli glömd åter till EU-domstolen

För fyra år sedan beslutade EU-domstolen (C-131/12) att Google skulle avindexera information om en spansk medborgare. Företaget har sedan dess varit involverat i en rad processer rörande den så kallade “rätten att bli glömd”.

Den franska tillsynsmyndigheten CNIL menar att Google måste avindexera information globalt, inte bara i lokala versioner av sökmotorn:

“The right to be delisted is derived from the right to privacy, which is a universally recognized fundamental right laid down in international human rights law. Only delisting on all of the search engine’s extensions, regardless of the extension used or the geographic origin of the person performing the search, can effectively uphold this right”.

Google har nu överklagat ett av CNIL:s beslut till EU-domstolen.

Albine Vincent vid CNIL medverkar som panelist vid årets Nordic Privacy Arena (Stockholm, 12-13 november).

Läs också:

Google förlorar mål om rätten att bli glömd

Finland: Morddömd har rätt att bli glömd

Incidentrapporter och offentlighetsprincipen – hur ska vi ha det?

Datainspektionen har tidigare rekommenderat regeringen att se över bestämmelserna i offentlighets- och sekretesslagen. Kammarrätten i Stockholm har nu prövat ett mål om sekretess för uppgifter rörande incidentrapporter och gett en journalist rätt mot Datainspektionen. Vi menar i likhet med Datainspektionen att lagstiftaren bör staka ut vägen.

De incidentrapporter som lämnas till Datainspektionen blir offentliga om inte annat framgår av offentlighet- och sekretesslagen, OSL. Datainspektionen rekommenderade förra året regeringen att stärka sekretessen, bl a med hänvisning till att rapporter kan innehålla detaljerad information om säkerhetsbrister hos företag och myndigheter. Offentliggöranden kan uppmuntra attacker, menade myndighetens chefsjurist Hans-Olof Lindblom.

Sekretess enligt Datainspektionen

Datainspektionen har sedan dataskyddsförordningen började gälla i maj i år vid flera tillfällen beslutat att inte lämna ut rapporter med hänvisning till sekretess. När Forum för dataskydd begärde att ta få ta del av en incidentrapport i juli meddelade Datainspektionen att sådana handlingar omfattas av sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- och bevakningsåtgärd enligt 18 kap. 8 § 3 OSL, och hänvisade bl a till att incidentrapportering till Post- och telestyrelsen tidigare ansetts omfattas av sekretess enligt bestämmelsen. Sekretessen omfattar inte bara rapporter, utan även uppgifter om ingivarens identitet. Datainspektionen meddelade att en anmälan om en incident inkommit, men avslog begäran om att få ta del av handlingen.

Journalist fick rätt i kammarrätten

Datainspektionen beslutade i juni att inte lämna ut en handling till en journalist med samma motivering. Journalisten överklagade och fick i början av augusti bifall i kammarrätten. Journalisten gjorde gällande att Datainspektionen gjort tolkningen att varje incidentrapport avslöjar brister i IT-system och att myndigheten därmed inte prövar varje handling i förhållande till sekretessen.

Kammarrätten i Stockholm konstaterade att den incidentrapportering som ska ske till Datainspektionen kan innebära en upplysning om att ingivarens IT-system är sårbart för attacker. Den aktuella incidenten avsåg dock inte intrång eller brister i den personuppgiftsansvariges IT-system. Anmälan innehöll inte heller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. Domstolen beslutade därmed att handlingen ska lämnas ut.

Kommentar: Sekretessreglerna bör ses över

Dataskyddsreglerna bör så långt det medges tillämpas på samma sätt i medlemsstaterna. Offentlighetsprincipen syftar visserligen inte enbart till att ge medborgare insyn i den offentliga förvaltningen (prop 1975/76:160 s. 71), men sker inte utlämnanden av uppgifter om incidentrapporter med restriktion kan exempelvis multinationella företag komma att försöka göra anmälningar i andra jurisdiktioner. Även variationer mellan tillsynsmyndigheternas kapacitet kan utnyttjas, och en indirekt konsekvens av det aktuella avgörandet kan bli att Datainspektionen nu får lägga mer tid på sekretessprövningar.

Det är olyckligt om vi halkar in på ett alltför nationellt spår även om det formellt kan synas korrekt mot bakgrund av vår långtgående offentlighetsprincip. Det är därför angeläget att lagstiftaren omprövar och ser över sekretessbestämmelserna i enlighet med Datainspektionens tidigare rekommendation.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd

Ny undersökning: Så används privacy tech-verktygen

I kölvattnet av dataskyddsreformen har en rad startups, och även etablerade konsult- och teknikföretag, lanserat digitala verktyg riktade till experter som arbetar med dataskyddsfrågor. IAPP, som tidigare sammanställt aktörerna på “privacy tech”-området, har nu tillsammans med TrustArc genomfört en enkätundersökning bland 328 köpare av sådana verktyg.

Verktyg för data mapping, personal data discovery och privacy program assessments är populära, visar undersökningen. Färre tycks vara intresserade av verktyg för hantering av samtycke och avidentifiering av persondata. Läs rapporten här.

 

Finland: Morddömd har rätt att bli glömd

För drygt två år sedan överklagade Google ett beslut om att företaget skulle radera information om en man som avtjänat straff för ett mord han begick 2012.

Finlands dataskyddsombudsman Reijo Aarnio menade att integritetsskyddet gjorde sig särskilt starkt gällande då mannen led av en sjukdom, Google att integritetsskyddet fick vika för allmänhetens informationsintresse samt att beslutet innebar en inskränkning av yttrandefriheten.

Högsta förvaltningsdomstolen i Finland har nu beslutat att mannen har rätt att få informationen raderad. Domstolen konstaterat bland annat att informationen om mannens hälsotillstånd är av privat och känslig natur. Informationsintresset väger enligt domstolen inte tyngre än integritetsskyddet, även om det rör sig om ett mycket allvarligt brott.

 

 

 

 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart