Integritetsskyddsmyndigheten ålägger Polismyndigheten en administrativ sanktionsavgift på 2,5 miljoner kronor

I februari 2020 uppmärksammades Integritetsskyddsmyndigheten (IMY) genom uppgifter i media att brottsbekämpande myndigheter i Sverige kan ha använt sig av den amerikanska appen Clearview AI för ansiktsigenkänning.

Anställda använt Clearview AI utan att tillhandahållit appen av Polismyndigheten  

Under våren 2020 framgår det i yttranden från Polismyndigheten att appen använts av några anställda inom myndigheten vid ett antal tillfällen utan att myndigheten tillhandahållit de anställda appen. Enligt IMY har polismyndigheten brustit i flera avseenden i sitt personuppgiftsansvar vid användningen av appen. Polismyndigheten har en tydlig lagstiftning kring hur personuppgifter ska behandlas, särskilt inom den brottsbekämpande verksamheten. De har ett ansvar att säkerställa att personalen känner till vilka regler som gäller, skriver IMY på sin webbplats.

Anställda vid Nationella Operativa Avdelningen och region Syd

Enligt Polismyndigheten har appen använts av totalt sex anställda varav fem av dem använt appen i operativ verksamhet vid några tillfällen under perioden hösten 2019 till och med 3 mars 2020. Det är anställda vid Nationella Operativa Avdelningen (NOA) samt region Syd som använt appen. När användandet av appen blev känt i media gick Polismyndighetens dataskyddsombud ut med en rekommendation om att Nationellt Forensiskt Centrum och NOA skulle klargöra och sprida att sådan användning inte var tillåten.

Administrativ sanktionsavgift på 2 500 000 kronor

Med stöd av 6 kap. 1 § brottsdatalagen ålägger IMY Polismyndigheten en administrativ sanktionsavgift på 2 500 000 kronor. De åläggs även att informera de personer vars uppgifter matats in i appen, när sekretessbestämmelser så tillåter, samt, om möjligt, radera de inmatade personuppgifterna från appen.

Läs mer här.

Integritetsskyddsmyndighetens (IMY) har beslutat om 150 miljoner kronor i sanktionsavgifter under 2020

I ett pressmeddelande från Integritetsskyddsmyndigheten (IMY) framgår att myndigheten har beslutat om sanktionsavgifter om 150 miljoner kronor år 2020. Avgifterna har framförallt delats ut till företag som inte följt dataskyddsförordningen, GDPR.

Halverat handläggningstiden

Av pressmeddelandet framgår att myndigheten har inlett 52 tillsynsärenden och avslutat 53. I 15 tillsynsärenden fattade myndigheten beslut om sanktionsavgifter på totalt 150 miljoner kronor. Myndigheten har under 2020 tagit emot 4 600 anmälningar om personuppgiftsincidenter, 3 200 klagomål från enskilda och fattat beslut i över 1 000 ärenden om kamerabevakning. Det framkommer även av pressmeddelandet att myndigheten har halverat handläggningstiden för tillstånd samt att de har utvecklat samverkan med flera myndigheter och organisationer.

Slutligen meddelar myndigheten att de kommer “att utreda alla klagomål och inleda tillsyn i betydligt högre grad än tidigare.”

Ta del av hela pressmeddelandet här och årsredovisningen i pdf-format här.

Ett polskt spa-företag har använt sig av föråldrad programvara vilket resulterat i dataintrång

Den 17 februari 2021 utfärdade den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) en varning till ett spa-företag för att de använt sig av föråldrad programvara. Användningen av programvaran resulterade i ett dataintrång.

Inte testat sårbarhet för hot

UODO betonar att företagets personuppgiftsansvarig inte valt effektiva åtgärder för att skydda företagets IT-system. Man har heller inte på ett adekvat sätt testat IT-systemens sårbarhet för olika typer av hot. Företaget har endast testat mjukvarornas prestanda och dess motstånd för olika typer av fel. Det framkom även att företaget inte använt lämpliga tekniska och organisatoriska mätparametrar vid testerna.

Måste regelbundet testa, mäta och utvärdera IT-systemen

Den slutsats som UODO kommit fram till är att överträdelsen inte lett till någon större risk för de drabbade eftersom dataintrånget inträffade under en period eftersom spa-företaget hade stängt på grund av COVID-19-pandemin. Vidare meddelar UODO att företaget regelbundet måste testa, mäta och utvärdera IT-systemen och att detta också ska dokumenteras.

Ta del av pressmeddelandet här och beslutet här.

Den nederländska vårdgivaren OLVG åläggs sanktion om 440 000 euro för otillräcklig datasäkerhet

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) meddelar på sin webbplats att Amsterdam-sjukhuset OLVG har ålagts sanktionsavgift om 440 000 euro eftersom vårdgivaren inte har vidtagit tillräckliga åtgärder för att säkerställa att obehöriga inte haft tillgång till patientjournaler. Detta har möjliggjort att arbetande studenter och andra anställda har haft åtkomst till patientjournaler utan att det varit nödvändigt för deras arbete.

Utredningen inleddes efter ett tips från en berörd medborgare, vissa signaler från media och två incidentrapporter från OLVG.

Brister i journalåtkomst

Efter den granskning som AP genomfört framkom att sjukhuset har haft brister i kontrollen av vem som har åtkomst till vilka patientjournaler. Det framkom även att vårdgivaren inte använt sig av tvåfaktorsautentisering vid inloggning i sjukhusets it-system. Efter AP:s granskning har OLVG infört strukturella kontroller av inloggningar på sjukhuset samt implementerat tvåfaktorsautentisering.

Sjukhuset uppger att man inte avser invända mot eller överklaga sanktionerna.

Läs mer här.

Det norska Datatilsynet inleder granskning av Jehovas vittnen

Det norska Datatilsynet har fått in flera klagomål och tips om behandling av personuppgifter av medlemmar i samfundet. Det handlar om att samfundet olagligt lagrat personlig information eller att personlig information inte raderats i enlighet med dataskyddsförordningen.

Frågor kring ansvar enligt sekretessreglerna

Inledningsvis har Datatilsynet skickat ett brev till den norska avdelningen för Jehovas vittnen i Enebakk där de ställer frågor för att klargöra om det är avdelningen eller de enskilda församlingarna som är personuppgiftsansvariga enligt dataskyddsregelverket. Därefter kommer myndigheten behandlar de enskilda klagomålen.

Samfundet har till den 4 mars 2021 på sig att svara på brevet.

Läs mer här.

Danska Datatilsynet riktar allvarlig kritik mot Region Syddanmark som sparat miljontals inkomna telefonsamtal sedan 2013

En dansk medborgare har lämnat in klagomål till Datatilsynet gällande inspelning av ett telefonsamtal mellan medborgaren och Region Syddanmark vilka vägrade att radera inspelningen. Efter granskning av verksamheten fann Datatilsynet att det spelats in och bevarats drygt 7,5 miljoner samtal sedan januari 2013.

Inte en del av en patientjournal

Region Syddanmark ansåg att inspelade telefonsamtal med medborgare bör betraktas som en del av patientjournalen och att de därför ska bevaras 10 år efter patientens sista vårdkontakt. Enligt Datatilsynet är telefonsamtalen inte en del av patientjournalen utan en lagringsperiod på upp till fem år är laglig. De betonar att syftet med att spela in telefonsamtal inom akutsjukvård är för att säkerställa dokumentation för användning kopplat till eventuella klagomål. Utifrån detta riktar Datatilsynet allvarlig kritik mot Region Syddanmark eftersom de sparat inspelningar av telefonsamtal i mer än fem år. De riktar även kritik för hur de hanterat klagomålet från medborgaren. Som del av beslutet från Datatilsynet ska Region Syddanmark radera alla inspelningar av telefonsamtal som är mer än fem år gamla.

Läs mer här.

Integritetsskyddsmyndigheten (IMY) har publicerat en brevmall för begäran om radering av personuppgifter

Enligt dataskyddsförordningen har du rätt att vända dig till verksamheter som behandlar dina personuppgifter och be att få dina uppgifter raderade, detta kallas även för rätten att bli bortglömd.

Rätt att bli bortglömd

Rätten att bli bortglömd eller rätt till radering gäller exempelvis om du avslutar ditt medlemskap på gymmet, du har lämnat samtycke till att delta i en marknadsundersökning men ångrar dig och återkallar ditt samtycke eller om du får nyhetsbrev från ett företag och du vill att det ska upphöra.

Läs mer och ta del av brevmallen här.

Global polisinsats oskadliggjort stort malwarenätverk

Europol meddelar i ett pressmeddelande att ett stort malwarenätverk avväpnats efter en global polisinsats. Polisinsatsen resulterade i att ett av världens mest betydelsefulla botnet, Emotet, nu har oskadliggjorts. Det handlar om ett samarbete, koordinerat av Europol och Eurojust, mellan polisen och flera myndigheter i bland annat Nederländerna, Tyskland, USA och Storbritannien.

Nytt och unikt tillvägagångsätt

Den infrastruktur som Emotet använt sig av har involverat flera hundra servrar runtom i världen, alla dessa har haft olika funktioner för att hantera datorerna för de infekterade offren. Genom en operativ strategi lyckades rättsväsendet att få kontroll över Emotets infrastruktur och ta ned den från insidan. Tillvägagångssättet som användes är unikt och nytt för att bekämpa denna slags brottslighet.

Som en del av den brottsutredningen upptäcktes en databas med e-postadresser, användarnamn och lösenord som stulits av Emotet.

Läs hela pressmeddelandet här.

Belgiens DPA har ålagt marknadsföringsbolaget Family Service böter om 50 000 euro för brott mot GDPR

Family Service är ett marknadsföringsbolag som distribuerar prover, specialerbjudanden och informationsblad till framtida föräldrar i rosa boxar.

Överfört personuppgifter utan giltigt samtycke

Efter att den belgiska dataskyddsmyndigheten, DPA, erhållit klagomål om att Family Service överfört personuppgifter till tredje part utan giltigt samtycke och dessutom utan tillräcklig information om överföringen till kunden inledde myndigheten en granskning av företaget. Granskningen visade att företaget lämnat ut och/eller sålt personuppgifter i marknadsföringssyfte. Att företaget delat personuppgifter med tredje part har inte nått kunderna på ett adekvat sätt.

50 000 euro rimligt belopp

De rosa boxarna med prover, specialerbjudanden och informationsblad delades dessutom ut av gynekologer och sjukhus vilket kan ha vilselett kunderna att tro att initiativet kommit ifrån den offentliga sektorn och inte från Family Service. Med beaktande bland annat av att företaget behandlar personuppgifter om 21,1 % av den belgiska befolkningen, däribland personuppgifter om barn, samt företagets storlek anser belgiske DPA att böter om 50 000 euro är ett rimligt belopp.

Läs mer här.

Det norska förlaget CyberBook AS bötfälls med 200 000 NOK

Norska Datatilsynet bötfäller CyberBook AS med 200 000 norska kronor för olaga vidarebefordran av e-post. Datatilsynet har fått in klagomål från en tidigare anställd som menar att företaget aktiverat en automatisk vidarebefordran av den anställdes personliga e-post. Vidarebefordran ska ha skett i fler månader utan att den tidigare anställde fick information om detta. Efter granskning av ärendet framkommer att företaget brutit mot reglerna om tillgång till e-postlådor och annat elektroniskt material.

Måste upprätta rutiner

Datatilsynet bedömer även att CyberBook AS har brutit mot dataskyddsförordningens krav på rättslig grund, information till den registrerade och skyldigheten att lyssna till den klagande, utöver kravet påa radering av personuppgifter. Med detta som grund beslutar Datatilsynet att företaget måste upprätta skriftliga rutiner för åtkomst till e-postlådor för anställda och tidigare anställda. Utöver detta bötfälls företaget med 200 000 norska kronor för den olovliga vidrebefordran.

CyberBook AS har tre veckor på sig att överklaga beslutet.

Läs mer här.  

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart