Sanktioner i Sverige “snart”

Förra veckan släppte Datainspektionen myndighetens första nationella integritetsrapport. Företrädare för Datainspektionen redogjorde vid en konferens i Stockholm bl a för rapporten och för tillsynsverksamheten.

De tillsynsärenden som inletts rör stora aktörer som ägnar sig åt omfattande behandling som kan få konsekvenser för många människor, berättade Nazli Pirayehgar, som talade om det pågående tillsynsärendet mot Googlevid ett av Forum för dataskydds seminarier tidigare i år. 

Utöver Google granskas bl a utvecklare av mobila operativsystem, inkassoföretag, delar av rättsväsendet samt aktörer inom skolvärlden, detaljhandeln och hälso- och sjukvård – inklusive en internetbaserad vårdtjänst. Utöver detta följer Datainspektionen utvecklingen inom maskininlärning, ansiktsigenkänning och blockkedjeteknik.

Det första beslutet om sanktioner enligt dataskyddsförordningen kommer fattas “snart”, meddelade generaldirektör Lena Lindgren Schelin.

Sms-utskick inför valet anmäls till Datainspektionen

Fler än en halv miljon mottagare ska under helgen ha mottagit sms med uppmaningar om att rösta på Socialdemokraterna. Utskicket har lett till diskussion i sociala medier, där många nu frågar sig om behandlingen är förenlig med dataskyddsförordningen.

Information från politiska partier betraktas typiskt sett som samhällsinformation, se t ex Etiska nämnden för direktmarknadsföring för mer information. Samhällsinformation omfattas ninte av reglerna i marknadsföringslagen, vilken förbjuder exempelvis kommersiella sms-utskick utan inhämtande av samtycke. Behandling kan ske med annan laglig grund än samtycke enligt dataskyddsförordningen, däremot ställs krav på bl a informationsgivning till den registrerade.

– I nuläget går det inte att slå fast att det har skett ett regelbrott. Men det är ett problem och en brist att man inte har lämnat någon information. Mottagarna har ingen möjlighet att kontrollera vad det är för register de befinner sig i eller för vilka syften informationen behandlas och det är något man har rätt att få, säger Forum för dataskydds ordförande Caroline Olstedt Carlström i en kommentar till Aftonbladet.

Liknande sms har skickats ut med Vänsterpartiet och Alternativ för Sverige som avsändare. Alternativ för Sverige, som uppger att mottagarna utvalts slumpmässigt, har anmälts till Datainspektionen.

Läs också:
Oproportionerlig ansträngning informera registrerade via brev?
Väljare har fått mass-sms från flera partier (Dagens Nyheter)

Kommentaren till dataskyddsförordningen är här

Norstedts Juridik har nu släppt Dataskyddsförordningen (GDPR) m.m. – En kommentar. Det 880 sidor långa verket är författat av Sören Öman, dataskyddsexpert och ordförande i Arbetsdomstolen, som även skrev kommentaren till personuppgiftslagen tillsammans med Datainspektionens chefsjurist Hans-Olof Lindblom.

Verket innehåller utöver kommentarer till förordningen även kommentarer till dataskyddslagen och bestämmelsen om dataskyddssekretess i OSL.

Sören Öman berättar om arbetet med kommentaren vid Forum för dataskydds sommarmingel i Stockholm den 13 juni. Läs mer och anmäl dig här.

Läs mer om kommentaren hos Norstedts Juridik.

Oproportionerlig ansträngning informera registrerade via brev?

För snart ett år sedan inledde Polens dataskyddsmyndighet tillsyn avseende Bisnode Polens upplysningar om sole proprietors (motsv. enskilda näringsidkare). Information om näringsidkarna hämtas från Bolagsverket i Polen. Näringsidkarna lägger själva in uppgifter om sitt bolag, och inkluderar grundläggande företrädaruppgifter som namn och adress. 

Bisnode uppger att företaget har mailat information enligt dataskyddsförordningens artikel 14 till de sole proprietors man haft mailadresser till. I övrigt hänvisas till information på företagets hemsida och till att informationsgivning via brev är att betrakta som oproportionerlig ansträngning.

Dataskyddsmyndigheten bedömer att företaget borde ha skickat brev till samtliga registrerade, närmare sju miljoner personer. Bisnode menar att beslutet kan få stora konsekvenser för alla företag som erbjuder bolagsupplysningstjänster om europeiska företag:

– Det spelar, om man hårddrar det, enligt den polska dataskyddsinspektionen inte någon roll att uppgifterna enbart utgör begränsad och grundläggande företrädarinformation som redan är publikt tillgänglig, och det spelar heller inte någon roll att det skulle medföra enorma kostnader samt koldioxidutsläpp om alla bolag som tillhandahåller bolagsinformationstjänster i Europa skulle börja skicka hundratals miljoner brev för denna typ av personuppgiftshantering, säger Magnus Sjögren (bilden), Group General Counsel vid Bisnode.

Bisnode har överklagat beslutet. 

FEDMA uttryckte nyligen i ett paper stöd för uppfattningen att publikt tillgänglig information bör vara undantagen artikel 14 (5)(b) och att det kan utgöra en oproportionerlig ansträngning att kontakta registrerade om andra kontaktuppgifter än postadress saknas. 

Se paneldiskussionen om harmonisering och tillsyn med Magnus Sjögren, Albine Vincent (CNIL), Eija Warma (Castrén & Snellman) och Viljar Peep (Justitiedepartementet, Estland) från Nordic Privacy Arena 2018 här. Vi återkommer till ämnet vid årets konferens , läs mer här.

Fredrik Svärd
fredrik.svard@dpforum.se

Ny kammarrättsdom om incidentrapporter och sekretess

En person har begärt att få information om antalet anmälningar om personuppgiftsincidenter Datainspektionen tagit emot från Region Jönköpings län under en viss period. Personen har anfört att begäran inte omfattar innehållet i rapporterna och att själva uppgiften om antalet rapporter inte kan anses utgöra känslig information.

Datainspektionen avslog begäran med hänvisning till bl a 18 kap 8 § 3 OSL, prop. 2003/04:93 s 82 samt SOU 2017:36 s.247-257. Datainspektionen uttalade liksom i tidigare liknande ärenden att incidentrapportering enligt dataskyddsförordningen kan innebära en upplysning om att ett IT-system är sårbart. 

Kammarrätten i Stockholm uttalar nu att anmälan och uppgift om anmälans förekomst borde kunna lämnas ut om den inte innehåller känsliga uppgifter, och konstaterar att de aktuella anmälningarna ”till stora delar” inte omfattar några sådana uppgifter. Vidare uttalar domstolen att anmälningar som inte innehåller känsliga uppgifter inte lämnar upplysning om brister i säkerhetsåtgärder. 

Enligt domstolen är det inte tillräckligt att göra en generell bedömning för att sekretessbelägga samtliga anmälningar. Kammarrätten undanröjer beslutet och återförvisar målet till Datainspektionen för ny sekretessprövning enligt 2 kap 15 § tryckfrihetsförordningen. 

Datainspektionen har tidigare rekommenderat regeringen att stärka sekretessen (läs mer här). Medlemmar kan också ta del av vårt seminarium om incidentrapportering och offentlighet från den 15 oktober 2018 under medlemssidorna.

Fredrik Svärd
fredrik.svard@dpforum.se

Teknik för ansiktsigenkänning möter motstånd

2015 sjösatte Kina ett projekt med ambitionen att kunna identifiera medborgare med 90 procents tillförlitlighet inom tre sekunder. Idag uppger utvecklare som kinesiska SenseTime att de tangerar 100 procents träffsäkerhet och att systemen är bättre än människor på att identifiera individer.

ICO utreder pilotprojekt i London

Men på andra håll varnar kritiker för att enskilda kan komma att pekas ut felaktigt. I London använder polisen ett system med kameror kopplade till en “watch list” på prov i samband med exempelvis julhandeln, fotbollsmatcher och andra större sammankomster. Systemet ska ha identifierat oskyldiga som brottslingar. ICO inledde ett tillsynsärende i december:

– There may be significant public safety benefits to enable the police to apprehend offenders and prevent crimes from occurring. But how facial recognition technology is used in public spaces can be particularly intrusive. It’s a real step change in the way law-abiding people are monitored as they go about their daily lives, säger kommissionär Elisabeth Denham i en kommentar.

– There is a lack of transparency about its use and a real risk that the public-safety benefits derived from the use of FRT will not be gained if public trust is not addressed.

Nej till ansiktsigenkänning i San Francisco

San Francisco har nu som första stad i USA beslutat att förbjuda polisens och andra myndigheters användning av teknik för ansiktsigenkänning. Användning av övervakningsutrustning ska föregås av ett ansökningsförfarande. Flygplatser och hamnar omfattas inte av reglerna.

Flera delstater har lagt fram liknande lagförslag, och i Washington DC har republikanska senatorn Roy Blunt föreslagit att privata aktörer inte ska tillåtas använda teknik för ansiktsigenkänning utan inhämtande av samtycke.

Utvecklingen i Sverige

I Sverige utvecklar polisen ett nytt nationellt kameraövervakningssystem med stöd för ansiktsigenkänning som ska kunna hantera bildmaterial från såväl fasta kameror som kroppskameror och kameror monterade på drönare. I Göteborg tar polisen under året 300 nya fast monterade kameror i bruk, och i Stockholm pågår ett pilotprojekt med mindre och mer moderna kroppsburna kameror.

Datainspektionen har tidigare rekommenderat regeringen att reglera användningen av kroppsburna kameror och även förelagt polisen att ta fram riktlinjer och rutiner. I slutet av förra året inleddes en granskning av Stockholms Lokaltrafiks användning av liknande kameror. Datainspektionen har också begränsat Tullverkets användning av smarta kameror i arbetet med fordonskontroller. Tullverket har fått tillstånd att automatiskt fotografera registreringsskyltar, men Datainspektionen har beslutat att endast registreringsnummer – inte hela kamerabilder – ska få skickas till den centrala databasen. Beslutet har överklagats till domstol.

Parallellt med detta levererar företag som Indivd och Deep North teknik till gallerior, butiker och andra som vill kunna analysera kundbeteenden, enligt uppgift utan behandling av personuppgifter.

Sedan den 1 augusti 2018 gäller den nya kamerabevakningslagen som bl a innehåller skärpta krav på informationsgivning. Vi tar upp frågeställningar kring polisens användning av kameror och ny teknik vid årets Nordic Privacy Arena (Stockholm 23-24 september). Hör bl a företrädare för svensk och dansk polis, digitaliseringsminister Anders Ygeman och en rad dataskyddsmyndigheter. Se också Gemma Gordon Clavells keynote om smarta städer från Nordic Privacy Arena 2017 här.

Fredrik Svärd
fredrik.svard@dpforum.se

Texten uppdaterad 19-05-16
Läs också:

Ny bok varnar för bias i myndigheters algoritmer
Nya regler om kamerabevakning

Nordiska dataskyddsmyndigheter stärker samarbetet

De nordiska dataskyddsmyndigheterna har enats om ett antal samarbetsåtgärder. Myndigheterna ska bl a skapa ett nätverk för informationsutbyte och arrangera en fördjupande workshop.

– Dataskyddsmyndigheterna i Norden har sedan länge ett nära samarbete men nu med dataskyddsförordningen, GDPR, är det viktigare än någonsin, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Lena Lindgren Schelin talar bl a om det nordiskas samarbetet och om Datainspektionens nationella integritetsrapport vid Nordic Privacy Arena i september.

Forum för dataskydd kommenterar insamlingen av persondata via appar

Forum för dataskydds ordförande Caroline Olstedt Carlström kommenterar den senaste tidens rapportering om hur personuppgifter samlas in via appar och säljs vidare av datamäklare.

I en intervju med Svenska YLE varnar hon för att oförsiktig hantering av personuppgifter kan leda till att enskilda blir mer negativt inställda till digitaliseringen.

– Det är så viktigt att den tekniska utvecklingen vi vill ha fungerar. Det förutsätter ju att vi användare har tilltro till tjänsterna. 

Hon efterfrågar också mer information och utbildning kring dataskyddsfrågor, exempelvis i grundskolan. Läs artikeln här.

Finland utser biträdande dataombudsmän

Den 1 maj tillträder Anu Talus och Jari Råman som biträdande dataombudsmän i Finland. Anu Talus kommer närmast från en tjänst vid justitieministeriet och ska bl a leda de ärenden som omfattas av dataskyddsförordningen. Jari Råman, som arbetat med dataskyddsfrågor vid finska polisen under många år, ska bl a arbeta med ärenden som omfattas av dataskyedsdirektivet och utöver detta med verksamhetsutveckling och samordning av tillsynspolitiken.

Medlemsrabatter på litteratur från Hart Publishing

I veckan släpps The Right to be Forgotten, en ny bok om GDPR, rätten att bli glömd, Google Spain-målet samt Storbritanniens Data Protection Act och Brexit. Boken är skriven av Paul Lambert, författare till bl a The Data Protection Officer: Profession, Rules and Role.

Vi kan i samarbete med Hart Publishing erbjuda Forum för dataskydds medlemmar 20 procents rabatt på boken och på sju andra titlar, däribland Brendan McGurks nysläppta bok om profilering och försäkringsrätt. Missa inte heller Legal Tech – A Practicioner’s Guide, som innehåller ett kapitel skrivet av Forum för dataskydds Fredrik Svärd.

Rabattkoden hittar du under medlemssidorna och i vårt nyhetsbrev. Läs mer om titlarna här:

The Right to be Forgotten, Paul Lambert
Data Profiling and Insurance Law, Brendan McGurk
Collisions in the Digital Paradigm – Law and Rule Making in the Internet Age, David John Harvey
Protecting Personal Information – The Right to Privacy Reconsidered, Andrea Monti & Raymond Wacks
Data Protection and Privacy – The Internet of Bodies, Ronald Leenes, Rosamunde van Brakel, Serge Gutwirth & Paul De Hert
Liability for Artificial Intelligence and the Internet of Things, Sebastian Lohsse, Reiner Schulze, Dirk Staudenmayer
Surveillance, Privacy and Trans-Atlantic Relations, David Cole, Federico Fabbrini & Stephen Schulhofer
Legal Tech – A Practicioner’s Guide, Markus Hartung, Micha-Manuel Bues & Gernot Halbleib

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart