EDPB tagit fram nya riktlinjer med exempel på personuppgiftsincidenter som ska anmälas

Den europeiska dataskyddsstyrelsen EDPB har tagit fram riktlinjer med exempel på vad som är personuppgiftsincidenter som ska anmälas. Riktlinjerna syftar till att ge mer tydlighet i hantering av personuppgiftsincidenter och vilka faktorer som ska beaktas i riskanalysen av dessa.

Offentligt samråd tom 2 mars

Riktlinjerna innehåller en översikt över de vanligaste kategorierna av personuppgiftsincidenter som ska anmälas till de olika nationella tillsynsmyndigheterna. Till exempel diskuteras ransomware, obehörig datafiltrering och stulna eller förlorade enheter och dokument. Riktlinjerna finns ute för offentligt samråd till och med den 2 mars.

Läs mer här.

Datatilsynet DK publicerar ny vägledning för att fastställa administrativa sanktionsavgifter av GDPR

Den danska dataskyddsmyndigheten har i samarbete med rikspolisen och riksadvokaten i Danmark utarbetat en vägledning för beräkning av sanktionsavgifterna för fall där organisationer bryter mot dataskyddsförordningen, GDPR.

Vägledningen ska bidra till ökad transparens kring hur bland annat tillsynen avgör storleken på sanktionsavgifterna som åläggs organisationer.

Användas som praxis nationellt och inom EU

Det handlar om ett levande dokument som kontinuerligt kommer att utvidgas i takt med att tillsynsmyndigheten med flera hanterar ärenden om sanktionsavgifter. Vägledningen kommer även att fungera som praxis både nationellt och inom EU.

Läs mer här.

IMY lämnar över sin första integritetsrapport till regeringen

Integritetsskyddsmyndigheten (IMY) har i uppdrag från regeringen att löpande följa utvecklingen inom integritetsskydd och vart fjärde år ska myndigheten rapportera om den mest aktuella och betydelsefulla utvecklingen som påverkar den personliga integriteten till regeringen. Förra veckan överlämnade IMY första integritetsrapporten.

Digitaliseringspolitiken behöver kompletteras

IMY skriver vidare att Sverige har en ambitiös digitaliseringspolitik och som nu behöver kompletteras med konkreta mål och åtgärder för att säkerställa att utvecklingen är hållbar ur ett integritetsperspektiv. Vidare berättar Lena Lindgren Schelin, generaldirektör IMY, att Sverige riskerar att bygga in sig i en storskalig insamling och användning av data som är oetisk, olaglig eller på ett allvarligt sätt inskränker våra mänskliga rättigheter.

Det framgår i rapporten att det är både enklare och billigare än någonsin att samla in, bearbeta och analysera stora mängder data, detta genom bland annat mobiltelefoner och smarta prylar i hemmet.

Tydligare integritetspolitik

IMY poängterar att Sverige kan säkerställa människors rätt till privatliv och rätten till självbestämmande genom en tydligare integritetspolitik. Avslutningsvis förklarar Lena Lindgren Schelin ”Som ett led i att stärka enskildas rättigheter kommer IMY under 2021 att bedriva mer tillsyn än tidigare baserat på klagomål från enskilda. På så sätt verkar vi för ett tryggt informationssamhälle.”

Läs mer här.

Elander-koncernen har fått sina företagsbestämmelser godkända av IMY

Integritetsskyddsmyndigheten (IMY) meddelade i pressmeddelande förra veckan att Elander-koncernen fått sina bindande företagsbestämmelser godkända av myndigheten så att koncernen ska kunna överföra personuppgifter till sina koncernbolag utanför EU.

Bindande företagsbestämmelser

Bindande företagsbestämmelser är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Syftet med bindande företagsbestämmelser är att förenkla för koncerner att överföra personuppgifter till koncernbolag utanför EU.

Gedigen granskningsprocess

IMY har tillsammans med ett par andra medgranskande europeiska dataskyddsmyndigheter genomfört en granskning av koncernens förlag till bindande företagsbestämmelser. Myndigheten har också yttrat sig över dem. Dessa granskningar resulterade i att de bindande företagsbestämmelserna godkändes.

Läs mer här.

Dejtingappen Grindr kan komma att få administrativ sanktionsavgift om 100 miljoner norska kronor

Norska dataskyddsmyndigheten, Datatilsynet, har fattat ett preliminärt beslut om sanktioner om 100 miljoner norska kronor till dejtingappen Grindr till följd av ett klagomål till Datatilsynet från norska Konsumentrådet.

Grindr är en dejtingapp för homosexuella och bisexuella män, transpersoner och queerpersoner. År 2020 lämnade Konsumentrådet in ett klagomål mot Grindr till Datatilsynet eftersom appen i marknadsföringssyfte delade information om GPS-placering, information från användarprofilerna och att personen i fråga är en Grindr-användare eller inte till flera tredje parter. Tredje parterna har sedermera möjlighet att dela dessa uppgifter vidare. Myndigheten utgår även ifrån att spårning av olika webbplatser, tjänster eller enheter för marknadsföringssyfte i normalt kräver samtycke.

Grindrs samtycke ej giltigt

Datatilsynets slutsats är att Grindr behöver samtycke för att dela ovannämnda personuppgifter och att de samtycken som Grindr inhämtat inte varit giltiga. Myndigheten anser även att uppgiften om att personen är en Grindr-användare eller inte är en känslig personuppgift eftersom den anger personens sexuella läggning. Den integritetspolicy som personen behöver godkänna för att bli användare av appen frågar inte specifikt om samtycke till utlämnande av personuppgifter till tredje part, vilket myndigheten anser strider mot GDPR.

Avskräckande effekt

Den preliminärt meddelade sanktionsavgiften om 100 miljoner norska kronor är den hittills högsta avgiften från det norska Datatilsynet även om vi inte vet om det beloppet står sig när Datatilsynet fattar slutligt beslut i ärendet. Myndigheten menar att administrativa sanktionsavgifter enligt GDPR måste vara effektiva och stå i rimlig proportion till överträdelsen men även ha en avskräckande effekt. Grindr har en tidsfrist för att lämna in synpunkter till senast den 15 februari.

Läs mer här.

Aquateknikk AS bötfälls med 100 000 norska kronor

Efter att klagomål kommit in till norska Datatilsynet från en person gällande en kreditbedömning utan en rättslig grund bötfälls Aquateknikk AS med 100 000 norska kronor. Det handlar om att företaget utfört kreditbedömning på en person som inte har någon kundrelation eller annan anknytning till företaget.

Saknas rättslig grund

Enligt Datatilsynet saknas rättslig grund till den genomförda kreditbedömningen och Aquateknikk har inte haft ett välgrundat intresse av att bedöma klagandes kreditbetyg. Datatilsynet poängterar även att kreditinformation är en typ av personlig information som är särskilt viktigt att skydda. Vidare förklarar Datatilsynet att eftersom en kreditbedömning innehåller uppgifter om personlig ekonomi kan enskilda uppleva det som ett intrång i den personliga integriteten när ett företag använder informationen utan rättslig grund.

Aquateknikk har tre veckor på sig att överklaga.

Läs mer här.

Danska Datatilsynets fokusområden 2021

Danmarks dataskyddsmyndighet, Datatilsynet, är en central och oberoende myndighet som övervakar efterlevnaden av de gällande reglerna för dataskydd. Deras arbetsområde är brett och varierat, det sträcker sig från vägledning och rådgivning till behandling av klagomål men myndigheten hanterar även ansökningar om tillstånd att behandla personuppgifter. Utöver detta utför de även olika typer av tillsynsaktiviteter varje år. Slutligen har myndigheten en deltagande roll i europeiskt samarbete om dataskydd.

Följande punkter utgör myndighetens fokusområden 2021:

  • Kreditupplysningsföretag och kreditupplysningar
  • Inkassobyråers skyldighet att tillhandahålla information och radering
  • Bankernas processer vid begäran om registerutdrag
  • Kamerabevakning
  • Myndigheters offentliggörande av medborgares personnummer
  • Forskning
  • Behandling av personuppgifter om webbplatsbesökare (cookies)
  • Säkerhet för personuppgifter, inkl. brott mot regler i dataskyddslagstiftningen om säkerheten
  • Kontroll av personuppgiftsbiträden
  • Överföring av personuppgifter till tredjeländer
  • Behandling av personuppgifter i Europeiska storskaliga informationssystem
  • PNR-lag (en lag som bland annat reglerar insamling och användning av information om flygpassagerare)
  • Lag om brottsbekämpning

Läs mer här.

Egenskaper och risker med Internet of Bodies (IoB)

Den spanska dataskyddsmyndigheten (AEPD) publicerade den 11 januari 2021 ett pressmeddelande om egenskaper och risker som är förknippade med Internet of Bodies (IoB), vilket har vuxit fram genom framväxten av sakernas internet, på engelska Internet of Things (IoT). Pressmeddelandet förklarar särskilt att begreppet IoB har skapats som ett resultat av tillkomsten av anslutna enheter som används för att övervaka olika parametrar i vår kropp, vilket i sin tur resulterat i bearbetning av biometrisk och hälsodata med risker för användarens integritet. 

Tre generationer

I pressmeddelandet presenteras även tre nivåer för implementering eller generationer av IoB:

  • Första generationen: enheter utanför kroppen som mäter fysisk aktivitet, exempelvis smarta klockor;
  • Andra generationen: enheter inuti kroppen, såsom enheter för medicinska ändamål (t.ex. pacemaker, cochleaimplantat eller organ som utvecklats genom 3D-utskrift) och digitala piller; och
  • Tredje generationen: kroppssmälta enheter. Denna generation är fortfarande i utveckling och söker föreningen mellan människokroppen och tekniken för att kunna uppnå ett kommunikationsgränssnitt som gör det möjligt att tolka och agera på biologiska element.

Kvarstår en del frågor kring IoB

Av pressmeddelandet framhävs även att det uppstår en del frågor kring IoB, bland annat att skyddet mot cyberattacker måste vara så hög som möjligt. Det behövs även implementera principer för dataskydd som standard men även tillämpa säkerhetsåtgärder för att undvika sårbarheter.

Du kan läsa pressmeddelandet, endast tillgängligt på spanska, här.

Läs mer om IoB här och här.

notebooksbilliger.de bötfälls med 10,4 miljoner euro

Dataskyddsmyndigheten i Niedersachsen, Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen), har bötfällt notebooksbilliger.de AG med 10,4 miljoner euro för brott mot artiklarna 5 och 6 i dataskyddsförordningen (GDPR). Det är den högsta administrativa sanktionsavgiften som myndigheten hittills har utfärdat.

Kamerabevakning utan rättslig grund

Det framgår i LfD Niedersachsens pressmeddelande att notebooksbilliger.de har kamerabevakat sina anställda utan rättslig grund. Kamerabevakningen har skett under en period om två år och kameror har varit uppsatta i olika utrymmen, bland annat i gemensamma utrymmen och försäljningsområden. Syftet med kamerabevakningen var att förebygga och utreda brott men även att spåra flödet av varor i företagets lager.

Endast tillåtet vid misstanke om brott

LfD Niedersachsen påpekar att situationen innefattar ett allvarligt fall av kamerabevakning av anställda och lägger till att företag måste förstå att de med en så intensiv kamerabevakning massivt kränker de anställdas rättigheter. För att förhindra stölder i affärslokaler menar myndigheten att företag behöver överväga andra metoder än kamerabevakning, exempelvis slumpmässiga väskkontroller när anställda lämnar lokalerna. Myndigheten poängterar att kamerabevakning endast är tillåten om det finns en rimlig misstanke om brottslig handling och om så är fallet är det tillåtet för företag att övervaka specifika personer genom kamerabevakning under en begränsad tid. Den kamerabevakning som skett i företagets lokaler har varken varit tidsbegränsad eller varit riktad mot specifika anställda, den har inte varit proportionerlig och den strider mot artiklarna 5 och 6 i GDPR.

Läs pressmeddelandet, endast tillgängligt på tyska, här.

Norska Datatilsynet bötfäller Lindstrand Trading med 100 000 norska kronor

Lindstrand Trading bötfälls med 100 000 norska kronor på grund av att de har utfört fyra kreditbedömningar utan rättslig grund. Det handlar om en person som har lämnat in klagomål till Datatilsynet. Bakgrunden till klagomålet var att personen hade varit föremål för kreditbedömningar utan att ha någon kundrelation eller annan koppling till företaget. Enligt gällande dataskyddsregler krävs att all behandling av personuppgifter har en rättslig grund.

Måste finnas rättslig grund

En kreditbedömning innehåller detaljer om personlig ekonomi och enligt Datatilsynet kan det upplevas som ett intrång när ett företag använder informationen utan rättsligt grund. Information om en enskild firma är ju också personuppgifter, pekar ut en fysisk person som driver ett företag, och i detta fall företagarens, personens, ekonomiska situation. Enligt Datatilsynet innebär det att det måste finnas en rättslig grund för att bedöma kreditvärdigheten för ett en enskild firma.

Kreditbedömningarna som har utförts i detta fall anser Datatilsynet har gjorts för privata ändamål helt utanför näringsverksamheten och därmed drar Datatilsynet slutsatsen att kreditbedömningarna gjordes utan att kravet på rättslig grund har uppfyllts.

Tillsynet ser allvarligt på den här typen av regelbrott

I beslutet lyfter Datatilsynet särskilt skyldigheten avseende internkontroll och att alla verksamheter har ett ansvar för att kunna påvisa att de behandlar personuppgifter i enlighet med dataskyddsförordningen (artikel 24 respektive artikel 5 punkt 2 avseende ansvarsskyldigheten). Beroende på behandlingsaktiviteterna behöver verksamheter implementera interna riktlinjer till skydd för uppgifterna.

Överträdelserna har i det här fallet begåtts av verksamhetschefen, som ansetts ha endast begränsad kunskap om de kraven i dataskyddsförordningen som behöver vara uppfyllda för att få behandla informationen i kreditupplysningar. Eftersom dataskyddsförordningen förutsätter en stark förankring hos ledningen anses den här omständigheten, och även den omständigheten att verksamheten varken hade på plats tekniska eller organisatoriska åtgärder i form av skriftliga rutiner för att säkra regelefterlevnaden, av Datatilsynet utgöra försvårande omständigheter som påverkar den administrativa sanktionsavgiften i höjande riktning.

Beslutet är överklagat av Lindstrand Trading.

Läs mer här.

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart