Behandling av biometriska personuppgifter med fokus på situationer där den registrerade befinner sig i beroendeställning mot den personuppgiftsansvarige

Vilka personuppgifter är biometriska?

I GDPR definieras biometriska personuppgifter på följande sätt: ”personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter”. Tillsammans med bland annat uppgifter om hälsa och etniskt ursprung utgör biometriska uppgifter känsliga personuppgifter enligt art. 9 GDPR, vilket i sin tur innebär att GDPR erbjuder ett starkare skydd för dessa personuppgifter och ställer högre krav för att få behandla dem.

Vilka krav ska vara uppfyllda för behandling av biometriska personuppgifter?

För att behandla känsliga personuppgifter, som biometriska uppgifter, finns det tre förutsättningar som ska vara uppfyllda:

  1. Personuppgiftsbehandlingen följer de grundläggande principerna i art. 5 GDPR
  2. Det ska finnas en lämplig rättslig grund enligt art. 6 GDPR
  3. Det ska finnas ett undantag från huvudregeln om förbud mot behandling av känsliga personuppgifter enligt art. 9 GDPR

När det kommer till den tredje punkten ligger fokus på att det som huvudregel är förbjudet att behandla känsliga personuppgifter och att något av undantagen måste vara tillämpligt. Ett sådant undantag kan vara samtycke i form av en viljeförklaring som är frivillig, specifik, informerad och otvetydig. Samtycket kan dock inte användas som rättslig grund när det finns en alltför stor obalans i maktförhållanden mellan den registrerade och den personuppgiftsansvarige.

Arbetsgivares behandling av arbetstagares personuppgifter och varför samtycke inte passar som rättslig grund

Eftersom en obalans i maktförhållanden ofta råder mellan en arbetsgivare och en arbetstagare är det därför svårt för den pesrsonuppgiftsansvarige att använda samtycke som rättslig grund. Den personuppgiftsansvarige måste därför hitta en annan rättslig grund som är lämplig. Andra rättsliga grunder som kan aktualiseras i en sådan situation är stöd i lag eller i kollektivavtal som gäller mellan parterna. Vidare måste även proportionalitetsprincipen beaktas och det ska alltså inte finnas något sätt att uppnå samma syften på ett mindre integritetskänsligt sätt.

Samtycke som rättslig grund i fråga om ansiktsigenkänning för närvarokontroll underkänns av IMY

Integritetskyddsmyndigheten, IMY, har utfärdat en sanktionsavgift på 200 000 kr mot en gymnasieskola i Skellefteå som använde ansiktsigenkänning för att registrera elevernas närvaro. Gymnasieskolan uppgav att samtycke var den lämpliga rättsliga grunden, men detta underkändes av IMY eftersom elever befann sig i en beroendeställning till gymnasieskolan. IMY konstaterade vidare att det fanns andra, mindre ingripande sätt som gymnasieskolan skulle kunna ha använt sig av för att registrera närvaro.

Läs mer:

Höga krav för att få använda ansikts­igenkänning

Här kan du läsa om arbetsgivares behandling av biometriska uppgifter, till exempel ansiktsigenkänning och fingeravtryck.

Biometriska uppgifter ur ett dataskyddsperspektiv

Sanktionsavgift för ansikts­igen­känning i skola

European Data Protection Supervisor är orolig för missbruk av modern spionprogramvara

European Data Protection Supervisor (EDPS) vars uppgift är att agera som rådgivare till EU-politiker om hur de bör reglera teknik som påverkar integriteten, är oroad över den senaste generationen statliga spionprogram. I ett PM som publicerades den 15 februari 2022 gör EDPS några preliminära iakttagelser om spionprogrammet Pegasus.

Pegasus är ett hackerverktyg av militär standard avsett att användas av brottsbekämpande myndigheter men som enligt uppgift också missbrukats för att spionera på journalister, politiska rivaler och advokater. Enligt andra källor har även vissa länders statschefer olovligen avlyssnats.

Enligt EDPS ska PM:et ses som myndighetens bidrag till en pågående offentlig diskussion om huruvida en programvara som Pegasus kan accepteras i ett demokratiskt samhälle.

Vad är Pegasus?

EDPS PM, hänvisar till en artikel i the Guardian från juli 2021 som avslöjade att Pegasus (en programvara som utvecklats av företaget NSO-group med säte i Israel) är ett hackningsverktyg som kan göra mer än att bara avlyssna en telefon. Angriparen får fullständig kontroll över telefonen. Denne kan slå på sensorer som GPS, kameror och mikrofoner men kan även utföra åtgärder som att skicka meddelanden.

Enligt EDPS är Pegasus för kraftfullt jämfört med traditionella brottsbekämpningsverktyg. Annorlunda uttryckt: Om polisen endast får läsa information / avlyssna och använder verktyg med starkare funktioner som låter polisen överskrida sina juridiska befogenheter blir övervakningen för långtgående, olaglig och kränker mänskliga rättigheter. Programmet kan nämligen också missbrukas, angriparen kan även kapa den avlyssnades identitet menar EDPS.

Programvaror som Pegasus, bygger på avancerad skadlig kod. I detta fall är det en trojan som gör intrång i telefonen genom att runda dess säkerhetsskydd. Telefonen kan infekteras i hemlighet utan att användaren behöver göra någonting. De företag som står bakom denna typ av programvara har ekonomiska resurser för att anställa mycket duktiga programmerare som kan hitta sårbarheter som kan utnyttjas. Inte ens teknikjättar som Google och Apple kan hålla jämna steg med dem, så angriparen har hackningsmöjligheter i nivå med ledande underrättelsetjänster.

Oro kring Pegasus-liknande programvara

EDPS hänvisar vidare till medierapporter om att myndigheter i vissa EU-länder använt spionprogramvaran Pegasus för att hacka telefoner som tillhör journalister, politiker från oppositionen och advokater. EDPS anser att användningen av denna teknik innebär ett paradigmskifte inom elektronisk övervakning. EDPS anser att en programvara som Pegasus medför en hittills oöverträffad risk för skada på grundläggande mänskliga rättigheter, det demokratiska systemet och rättsstaten.

EDPS ifrågasätter också om användningen av Pegasus-liknande programvara är förenlig med EU-lagar och den europeiska rättsordningens grundprinciper. EDPS frågar sig därför också i vilken utsträckning bevis som samlats in med hjälp av programvaran, kan användas som bevis i domstol.

NSO-group tillbakavisar anklagelser

NSO-group anger i ett uttalande på sin hemsida från den 18e juli 2021 att de endast säljer sina produkter till brottsbekämpande myndigheter och underrättelsetjänster i länder som godkänts genom en tuff granskningsprocess. Enligt NSO-group får deras programvara bara användas för att fånga grova brottslingar som terrorister, knarkkarteller med mera och för att rädda människor i nöd. Programvaran körs på kundens egen utrustning och NSO-group uppger att de inte har tillgång till kundens data. Den 21 juli 2021 uppgav NSO-group att de inte längre kommer svara på medieförfrågningar, eftersom företaget menar att mediernas rapportering inte byggt på fakta.

The Times of Israel rapporterade i december 2021 att den israeliska regeringen, skärpte exportrestriktionerna för spionprogram. I artikeln intervjuas dock en advokat som jobbar med mänskliga rättigheter, denne dömer ut de nya åtgärderna som verkningslösa.  

EU och USA oroliga medan Ungerns dataskyddsmyndighet godkänner övervakning med Pegasus

Förra veckan rapporterade EU-observer att Europaparlamentet väntas inleda en officiell utredning om hur Pegasus har använts av EU:s regeringar för att övervaka journalister, advokater och politiker ur oppositionen. En sådan utredning kan kalla in vittnen och till och med skicka personer på utredningsuppdrag i medlemsstaterna. Den 15 februari 2022 hade parlamentet också en sittning i frågan.

Vidare rapporterar engelskspråkiga Hungary Today att den ungerska dataskyddsmyndigheten NAIH har utrett medieuppgifter rörande den ungerska regeringens övervakning av journalister, offentliga tjänstepersoner och den politiska oppositionen. Den 55-sidiga utredningen, liksom de juridiska motiveringarna till att NAIH ansåg att övervakningen i samtliga fall som utreddes var laglig, är dock hemlig till år 2050. Det verkar utifrån artikeln finnas tveksamheter om Europaparlamentet kommer få tillgång till det material som NAIH har.

Enligt Tech Crunch satte den amerikanska regeringen i november 2021 upp företaget NSO-group som har sitt säte i Israel på en lista med exportrestriktioner för amerikanska företag. Detta på grund av att programvaran även sålts till ”auktoritära regeringar”. Det finns också medieuppgifter om att vissa stater använt Pegasus för att avlyssna andra länders regeringschefer, däribland Frankrikes president men även Finska diplomater.

EDPS presenterar i PM:et en rad åtgärder, som bland annat innebär ett EU-förbud mot Pegasus-liknande programvara, import- och exportrestriktioner, effektivare kontroll av övervakningsåtgärder samt minimiregler för brottsutredningar på EU-nivå som gör det olagligt att samla in och använda bevis som erhållits med hjälp av liknande spionprogramvara. Avslutningsvis hävdar EDPS att de har en plikt att stödja civilsamhällets organisationer att lyfta dessa frågor. Det är enligt EDPS, tack vare civilsamhället, som missbruket av övervakningsverktyg mot politiker, journalister och människorättsaktivister ens kunnat avslöjas och ställas under demokratisk kontroll.

Läs mer

Europeiska datatillsynsmannens hemsidaArtikel i the Guardian från juli 2021

Artikel i the Guardian från juli 2021

NSO-groups uttalande den 18 juli 2021 där de tillbakavisar flera medieuppgifter om Pegasus

NSO-groups uttalden den 21 juli 2021 om att de inte längre kommer svara på medieförfrågningar.

Artikel i the Times of Israel den 6 december 2021

Artikel i the EU-observer från 9 feb 2022 om att EU-parlamentets planer att tillsätta en utredning

Videoinspelning av EU-parlamentets sittning den 15 feb 2022

Artikel i Hungary Today från 15 feb 2022

Artikel i Tech Crunch den 3 nov 2021 om att USA regering satt tillverkaren av Pegasus, NSO-group på en lista över företag som omfattas av exportrestriktion

Artikel i Washington Post från 20 juli 2021 om att Frankrikes president och 13 andra statsöverhuvuden avlyssnats

Pressmeddelande från Finlands utrikesdepartement den 28 januari 2022 om utrett spionage med Pegasus

Grekiska telekombolag får betala cirka 90 miljoner svenska kronor i sanktionsavgifter efter ett nytt beslut från den grekiska tillsynsmyndigheten, The Hellenic Data Protection Authority (HDPA)

HDPA har utfärdat sanktionsavgifter till dotterbolaget COSMOTE till ett belopp av 5 850 000 EUR och moderbolaget OTE Group till ett belopp av 3 250 000 EUR. Detta efter ett dataintrång hos COSMOTE som ledde till att känsliga uppgifter i form av samtalsdata läcktes. OTE Group är en av de största aktörerna inom telekom på den grekiska marknaden.

COSMOTE bötfälls för ett dataintrång och en olaglig databehandling

COSMOTE anmälde en incident i form av ett dataintrång till HDPA, men skulle enligt HDPA ha varit mycket mer inblandade i utredningen. I samband med det aktuella dataintrånget läcktes samtalsdata från kundsamtal mellan 2 september 2020 och 5 september 2020.

Samtalsdatan sparades på COSMOTE:s server och flyttades sedan från servern till en IP-adress som tillhörde en värdleverantör i Litauen. En användare med samma IP-adress i Litauen lyckades även få administrativ åtkomst till ett av OTE Groups system genom att ange lösenordet för ett administratörskonto. Hackern kunde därmed ta sig in i OTE Groups system där Big Data lagrades och ladda ner filen med samtalsdata.

COSMOTE:s rutiner för lagring och behandling av samtalsdata stred mot GDPR

HDPA undersökte i samband med incidenten hur COSMOTE lagrar och behandlar samtalsdata. De fann då att sådan data vanligtvis sparas i 90 dagar från tidpunkten då ett samtal äger rum i syfte att kunna lösa eventuella problem och fel som kan rapporteras i efterhand. Dessutom anonymiseras data och sparas sedan i 12 månader för att dra statiska slutsatser avseende en optimal utformning av telefonnätet.

HDPA fann att COSMOTE bröt mot bland annat Artikel 35(7) i GDPR eftersom innehållet i Data Protection Impact Assessment (DPIA) var otillräckligt, särskilt med hänsyn till hur nödvändig och proportionerlig behandlingen av personuppgifter var. HDPA kritiserade även hur anonymiseringsprocessen sköttes och ansåg att COSMOTE bröt mot Artikel 25(1) i GDPR genom deras underlåtenhet att implementera lämpliga säkerhetsåtgärder för att garantera ett korrekt genomförande av anonymiseringsprocessen. Dessutom ansåg HDPA att COSMOTE bröt mot artikel 5(1)(a), 5(2), 13, 14, 26 och 28 GDPR.

Moderbolaget OTE Group bötfälls för otillräckliga säkerhetsåtgärder som ledde till dataintrånget

HDPA konstaterat att även OTE Group borde ha varit mer inblandat i utredningen avseende dataläckan. Dessutom fann HDPA att både Cosmote och OTE Group är ansvariga för fastställande av lämpliga säkerhetsåtgärder och att OTE Group därmed bröt mot artikel 32(1) GDPR genom att inte kunna garantera dessa.

Läs mer:

Här och Här

Google Analytics och andra externa webbplatsverktyg utmanas rättsligt

Den 22 december 2021 fattade den österrikiska dataskyddsmyndigheten ett tillsynsbeslut om Google Analytics. Beslutet fick stor uppmärksamhet den 13 januari 2022 efter att det publicerats av den ideella organisationen Noyb (None of your business). I beslutet drog den österrikiska dataskyddsmyndigheten slutsatsen att en österrikisk webbplats bröt mot dataskyddsförordningen GDPR genom att använda Google Analytics.

Advokatfirman Covington har skrivit en kort sammanfattning av den österrikiska dataskyddsmyndighetens bedömning att Googles standardavtalsklausuler och kompletterande åtgärder var otillräckliga. Så länge Google trots kryptering med mera kunde få tillgång till online-identifierare (indirekta personuppgifter) i klartext var de kompletterande åtgärderna inte effektiva enligt GDPR.

Den norska dataskyddsmyndigheten, Datatilsynet har varnat webbplatsägare för att det kan vara olagligt att använda Google Analytics (och många andra webbplatsverktyg). I många fall kan användarens IP-adress fortfarande komma kopplas till dennes konto via cookies.

– Många verktyg kan vara olagliga att använda, och då måste webbplatserna ta bort dem omedelbart. I allvarliga fall finns det risk för sanktioner från Datatilsynet, och eftersom det är så mycket uppmärksamhet kring dessa frågor nu förväntar vi oss att få fler klagomål, säger Tobias Judin, chef för Datatilsynets internationella sektion.

Som Tech Crunch rapporterar kritiserade Europeiska datatillsynsmannen Europaparlamentet i början av januari 2022. Datatillsynsmannen kritiserade parlamentets webbsida för bokning av Covid 19-tester. Sidan innehöll kod som integrerade Stripe (en betaltjänstleverantör) och Google Analytics, som alla överförde data till USA utan tillräckliga skyddsåtgärder. Anmärkningsvärt nog integrerades Stripe trots att webbplatsen inte krävde betalning för att boka tester. Stripe hade lagts till av en extern leverantör som hade kopierat koden från en testsida.

Även externa teckensnitt och nätverk för innehållsleverans ifrågasätts.

I ett nyligen publicerat fall från Tyskland framgår det att analysverktyg och betalningstjänster inte är de enda typer av externa webbresurser som kan komma ifrågasättas rättsligt.

The Register rapporterar att en domstol i München har beslutat att en webbplatsägare måste betala 100 euro i skadestånd till en besökare på en webbplats. Webbplatsen tvingade besökarens webbläsare att ladda ner typsnitt från Googles servrar för att kunna visa sidan.

Det är vanligt att webbplatser avsiktligt utformas så att delar av innehållet tillhandahålls av externa parter. En webbplats kan använda sig av kantmoln eller innehållsleveransnätverk för att webbplatsen ska laddas snabbare eller för att minska belastningen på webbservern. Ett exempel på detta är användningen av Vimeo eller liknande nätverk för att leverera videoinnehåll.

Vidare rapporterar The Register att denna webbplats använde Google Fonts, ett externt bibliotek med typsnitt som levererades via Googles nätverk för innehållsleverans. När någon besökte webbplatsen laddade webbläsaren ner typsnitten från Googles servrar, som registrerade besökarens IP-adress.

The Register nämner att omkring 50 miljoner webbplatser världen över använder Google Fonts som levereras via Googles innehållsnätverk. I artikeln konstateras att domstolen i München ansåg att denna praxis är oacceptabel enligt tysk lag och GDPR, eftersom typsnitten i Google Fonts biblioteket också kan levereras direkt av webbservern.

Dessa beslut visar att användningen av externa element/funktioner måste övervägas noga. Det kan också vara överraskande för många, när man ser hur många webbplatsverktyg, utöver externa analysverktyg och betalningsförmedlare, som faktiskt samlar in och överför personuppgifter.

Det kan vara bra att känna till att många WordPressteman är förinställda på att använda Google Fonts som servas från Googles servrar. En hemsideadministratör som infogar en karta eller CAPTCHA från Google eller en annan leverantör kan också behöva undersöka om det leder till att personuppgifter delas med leverantören.

Länkar:

Datatilsynet nyhet från 26 januari 2022

Advokatfirman Covingtons blogginlägg den 14 januari 2022

Tech Crunchs artikel 10 januari 2022

Artikel från The Register 31 januari 2022.

Google Maps FAQ

Ett IT-företag i Malta blev ålagt med en sanktionsavgift på €65 000 efter en omfattande dataläcka som påverkade två tredjedelar av Maltas befolkning

Tillsynsmyndigheten i Malta, Information and Data Protection Commissioner, IDPC, har ålagt IT-företaget C-planet med en sanktionsavgift på € 65 000, motsvarande cirka 675 000 svenska kronor. C-planet anlitades av Arbetarpartiet i Malta för att hantera privat information om maltesiska väljare. En tillsyn av företaget påbörjades på begäran av en oberoende valkandidat, Arnold Cassola.

Hur gick dataintrånget till och vilka personuppgifter var det fråga om?

Personuppgifter tillhörande 337 384 väljare offentliggjordes online i samband med en dataläcka i april 2020. Informationen kom ursprungligen från Arbetarpartiets databas där det fanns en intern lista under namnet ”Local Area Network” som innehöll väljares personuppgifter.

Personuppgifterna som röjdes i samband med läckan var namn, adresser, ID-korts uppgifter, telefonnummer och uppgifter om väljarnas avsikter. IDPC bekräftade att de sistnämnda uppgifterna identifierade de enskilda väljarnas politiska åsikt. De anses därför vara särskilt känsliga och tillsynsmyndigheten konstaterade att C-planet bröt mot GDPR genom att behandla dessa utan någon giltig laglig grund.

Utöver uppgifter som kom från sekretessbelagda röstlängder, innehöll listan antingen en etta eller en tvåa som stod bredvid väljarens namn. Ettan stod för att väljaren var att se som Arbetarpartiets anhängare, medan tvåan angav att väljaren sympatiserade med Nationalistpartiet. IDPC bekräftade att uppgifter som identifierade de enskilda väljarnas politiska åsikt ingick i databasen. Enligt uppgifter om Europeiska valresultat från Europaparlamentet fick Arbetarpartiet 54,29% av rösterna och Nationalistpartiet 37,9%.

Arbetarpartiet tog avstånd från intrånget och anser att deras användning av data är förenlig med GDPR.

Vad kom IDPC fram till?

IDPC konstaterade att C-planet, som identifierades som den personuppgiftsansvarige för informationen, behandlade personuppgifterna som offentliggjordes i samband med läckan, i strid med gällande dataskyddslagstiftning. Vidare framförde IDPC att C-planet har underlåtit att vidta lämpliga åtgärder för att garantera en lämplig säkerhetsnivå. C-planets underlåtande var enligt tillsynsmyndigheten det som ledde till intrånget.

Sen anmälan till dataskyddsombud och bristande information till de drabbade registrerade

Utöver det som nämndes ovan hade företaget underlåtit att anmäla incidenten inom den tidsfrist som föreskrivs i lagstiftningen. C-planet missade dessutom att informera de registrerade om att deras data har offentliggjorts i en dataläcka.

Läs mer Här

Källan till uppgifter om valresultat finns Här

EU:s dataskyddsmyndighet tvingar Europol att radera uppgifter om personer utan koppling till brott

Den 3 januari 2022 gav europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS) Europol ett föreläggande. Europol måste radera uppgifter om personer som inte tydligt har kopplats till brottslig verksamhet, inom sex månader. EDPS slår fast att Europol inte har rättsligt stöd för att lagra uppgifterna på obestämd tid.

Europol är Europeiska unionens (EU) byrå för polissamarbete. Europol bistår polismyndigheterna i EU:s medlemsstater. Europol hjälper dem att samordna polisinsatser och möjliggör lagring, utbyte och analys av uppgifter från brottsutredningar.

Europol behöver personuppgifter för att kunna utföra operativ och strategisk analys

Europols behandling av personuppgifter som rör brott, regleras av Europolförordningen (EU 2016/794). I denna förordning fastställs begränsningar: Europol får endast behandla personuppgifter om enskilda personer som har en tydlig koppling till brottslig aktivitet. En koppling föreligger om Europol anser att denna person är en potentiell misstänkt, vittne, offer eller liknande. Processen för att avgöra vilken av dessa kategorier en person tillhör, och därmed avgöra om Europol ens lagligen får analysera dem, kallas “kategorisering av registrerade”.

Enligt artikel 18.2 i Europolförordningen får Europol behandla personuppgifter för operativ och strategisk analys. Operativ analys innebär att man analyserar uppgifter för att lösa brottsfall. Strategisk analys handlar om att förstå brottslighet och brottstrender för att hjälpa staten att utvärdera effektiviteten i lagstiftning, förebyggande åtgärder eller sättet att utreda brott.

I april 2019 undersökte EDPS hur Europol använder Big Data för strategisk och operativ analys av personuppgifter som Europol har. EDPS avslutade tillsynen i september 2020 och kom fram till att behandlingen medförde en hög risk för de registrerade och hade en potentiellt allvarlig inverkan på deras grundläggande fri- och rättigheter.

Lagring av rå brottsdata utan slutdatum saknade rättslig grund

EDPS ansåg att Europol inte hade den nödvändiga rättsliga grunden för att på obestämd tid lagra rådata från brottsutredningar som överförs av medlemsstaterna. EDPS menade också att Europol inte heller får analysera uppgifterna innan de registrerade kategoriserats. I september 2020 ansåg EDPS att det var lämpligare att ge Europol uppgiften att utarbeta en handlingsplan än att beordra radering av uppgifterna.

Under de följande månaderna hade de två EU-organen en serie skriftväxlingar. Sammanfattningsvis tillhandahöll Europol en handlingsplan och statusrapporter. EDPS var fortfarande bekymrad över hanteringen av rådata från brottsutredningar. EDPS begärde att Europol skulle fastställa en maximal lagringsperiod. Europol vägrade och menade att en fastställd lagringsperiod allvarligt skulle begränsa pågående brottsutredningar. EDPS informerade Europol i juli 2021 om att de avsåg tvinga fram en lagringstid för uppgifter.

EDPS framhåller att lagens begränsning om vem som får registreras måste beaktas vid bedömningen av riskerna för de registrerade. När en nationell polismyndighet överför brottsuppgifter till Europol delas och samkörs dessa uppgifter också med brottsbekämpande myndigheter i andra länder. Enligt EDPS uppfattning ökar detta den potentiella omfattningen och riskerna för de registrerade utöver den risk som den nationella polisens databehandling medför.

EDPS beslut innebär att Europol måste införa en lagringstid på max 6 månader, för rådata där de registrerade inte kategoriserats. För rådata som samlats in före EDPS beslut ges dock en övergångsperiod på 12 månader.

Den 10 januari 2022 rapporterade tidningen the Guardian att EU-kommissionen föreslagit ändringar av Europolförordningen. Om lagförslaget antas kan det innebära att Europol inte behöver radera uppgifterna.

För mer information:

EDPS pressmeddelande med länk till beslutet och FAQ

The Guardians artikel den 10 januari 2022

Amedia, en stor mediekoncern i Norge, blev i slutet av december utsatt för ett allvarligt dataangrepp där flera centrala datasystem stängdes ner

Ett externt dataangrepp riktat mot Amedia skedde natten till tisdag den 28 december 2021. Till följd av dataangreppet slutade flera, men inte alla, system att fungera. Systemen som påverkades av angreppet ansvarade för utgivning av papperstidningar, annonser och hantering av prenumerationer. Detta ledde i sin tur till att inga papperstidningar kom ut på onsdagen den 29 december 2021. Som tur var kunde nyheter i alla fall fortsätta publiceras online.

Det finns fortfarande ingen detaljerad information om angreppet och vilka konsekvenser det kan komma att få framöver

Ännu finns tyvärr en begränsad mängd information om vad som var syftet med attacken och vem eller vilka som var ansvariga för den. VD:n för Amedia, Pål Nedregotten, uppgav i samband med en intervju att de jobbade på att begränsa skadorna för att återgå till normal drift så fort som möjligt.

Fick angripare tillgång till personuppgifter?

Det är fortfarande oklart om angripare fick tillgång till några personuppgifter i samband med angreppet. Ett av systemen som angreps, prenumerationssystemet, innehåller bland annat personuppgifter som namn, adress och telefonnummer. Lösenord, läshistorik och bankuppgifter påverkades dock inte av angreppet.

Var angreppet riktat mot pressen?

Biträdande generalsekreterare för Redaktörsföreningen, Reidun. K Nybø, uttryckte sin oro för att attackens möjliga motiv eftersom attacken var riktad mot redaktörskontrollerade medier Hon uppgav dock att det är för tidigt att svara på om attacken faktiskt riktade sig mot pressen, men att det är en fråga som aktualiseras när ett mediehus blir föremål för ett sådant angrepp.

Höjd beredskap efter attacken  

Mediekoncernen Schibsted höjer sin beredskap till högsta nivå efter attacken mot Amedia och var i dialog med Amedia för att få klarhet i vad som har inträffat. Säkerheten har även skärpts på Norsk Telegrambyrå, enligt uppgifter från chefredaktören Tina Flem.

Varningar om dataattacker under semestertider  

National Security Authority avstod från att kommentera händelsen, men uppgav att det inte är förvånande. Säkerhetsmyndigheten kom i början av december 2021 ut med en varning till norska företag om att risken för allvarliga datattacker var högre under ledigheter och semestertider. Norska företag uppmanades därför att höja sin säkerhet och beredskap under dessa tider. Detta eftersom de som står bakom attacker tar vara på lediga dagar med lägre beredskap.

Läs mer HÄR

Europeiska kommissionen godkänner överföring av personuppgifter till Sydkorea

Den 17 december 2021 beslutade Europeiska kommissionen att Sydkorea erbjuder en adekvat skyddsnivå. Beslutet gäller tillsvidare men kommer omprövas efter tre år och därefter vart fjärde år.

Europeiska kommissionen skriver i sin FAQ att Sydkorea år 2020 genomförde betydande reformer av sitt dataskydd. Reformerna gav den koreanska dataskyddsmyndigheten, Personal Information Protection Commission (PIPC) i Sydkorea, starkare utrednings- och tillsynsbefogenheter. Enligt Kommissionens uppfattning utgör sådana reformer där ett lands dataskyddsmyndighet garanteras en oberoende ställning, en nyckelkomponent i den nya globala standarden för moderna dataskyddslagar som håller på att växa fram. I FAQ:n anges också att beslutet om adekvat skyddsnivå kommer att stärka frihandelsavtalet mellan EU och Sydkorea, som för närvarande omsätter cirka 90 miljarder euro per år.

Beslutet innehåller få undantag

Koreas personuppgiftslag, Personal Information Protection Act (PIPA), som Europeiska kommissionen anser vara förenlig med EU:s lagstiftning, har ett brett tillämpningsområde. Den gäller både organisationer inom den privata och den offentliga sektorn. I beslutet om adekvat skyddsnivå förutsätts att även den behandling av överförda uppgifter som kan komma att utföras av brottsbekämpande organ och underrättelsetjänster i Korea uppfyller EU:s normer.

Det finns dock tre väldigt specifika undantag: Beslutet tillåter inte överföringar om uppgifterna ska användas i Korea när ett politiskt parti nominerar kandidater, i religiösa organisationers missionsverksamhet och av finansiella organisationer som omfattas av den koreanska finansinspektionens jurisdiktion. Dessa aktiviteter omfattas antingen av annan lag eller av mjukare PIPA-regler som inte uppfyller EU-rättens krav.

Europeiska kommissionen har undersökt de förpliktelser som PIPA innebär för privata organisationer och offentliga organ i Korea som behandlar personuppgifter som exporterats från Europa. Europeiska kommissionen anser att PIPA innehåller begränsningar som uppfyller de EU-rättsliga kraven på nödvändighet och proportionalitet samt mekanismer för tillsyn och rättslig prövning för EU-medborgare.

Bilaga II till beslutet om adekvat skyddsnivå innehåller information om det koreanska rättssystemet som de koreanska myndigheterna lämnat till Europeiska kommissionen. I denna bilaga anges det att skyddet av personuppgifter inte har någon egen bestämmelse i Koreas konstitution. Skyddet härleds ur de grundläggande mänskliga rättigheterna om mänsklig värdighet, att sträva efter lycka och att ha ett privatliv. Vidare förklarar de koreanska myndigheterna i bilagan att den koreanska författningsdomstolen har slagit fast att de grundläggande mänskliga rättigheterna även gäller för utlänningar. Det finns dock inget specifikt prejudikat om utlänningars grundlagsskyddade rätt till att ha ett privatliv.

Extra skydd för EU-data och fler beslut om adekvat skyddsnivå på gång

Den koreanska dataskyddsmyndigheten CIPC har också publicerat ett tillkännagivande till koreanska personuppgiftsansvariga, som har status som bindande offentlig rätt. Tillkännagivandet innehåller specialregler som kompletterar PIPA för uppgifter som överförs till Korea enligt Europeiska kommissionens beslut om adekvat skyddsnivå. Koreanska personuppgiftsansvariga som importerar uppgifter måste enligt dessa kompletterande regler under alla omständigheter informera den registrerade senast en månad efter det att uppgifterna importerats.

Avslutningsvis aviserar Europeiska kommissionen i FAQ:n att fler beslut om adekvat skyddsnivå kan vara på gång. För det första har förhandlingarna med USA om ett nytt arrangemang för laglig överföring av uppgifter dit intensifierats under senaste månaderna. För det andra utforskar kommissionen aktivt möjligheten till fler adekvansbeslut i dialog med länder i Asien och Latinamerika.

Vill du veta mer?

Läs det gemensamma pressmeddelandet från EU Kommisionen och Koreanska dataskyddsmyndigheten CIPC

Direktlänk till beslutet om adekvat skyddsnivå (inklusive bilagor)

Direktlänk till EU Kommissionens FAQ om beslutet

Den norska dataskyddsmyndigheten, Datatilsynet, har utfärdat sin högsta sanktionsavgift hittills

En sanktionsavgift på 65 miljoner norska kronor har utfärdats till Grindr, en dejtingplattform som riktar sig till hbtq-personer och använder en positionsbaserad teknik. Sanktionsavgiften skulle först vara 100 miljoner norska kronor, men beloppet har justerats efter att Datatilsynet har fått mer information om företagets ekonomi. Sanktionsavgiften är den största som Datatilsynet hittills har dömt ut.

Personuppgifter delades med tredje parter i marknadsföringssyfte

En tillsyn av Grindr påbörjades i samband med en anmälan från det norska konsumentverket, Forbrukerrådet. Av anmälan framgick att Grindr delade användarnas personuppgifter med tredje parter och att uppgifterna skulle användas i marknadsföringssyfte.

Personuppgifterna kunde kopplas till användare och bestod bland annat av användarnas platsinfo, ålder, IP-adress och kön samt faktumet att de använde Grindr – som avslöjade deras sexuella läggning. Dessutom kunde tredje parter som fick tillgång till personuppgifterna dela dem vidare.

En sådan personuppgiftshantering kräver ett uttryckligt samtycke från de registrerade vilket Grindr samlade in, men på grund av omständigheter som kommer att beröras nedan var samtycket ogiltigt.

Samtycket var ogiltigt

Enligt ett uttalande från Tobias Judin, sektionschef på Datatilsynet, kom myndigheten fram till att den rättsliga grunden för personuppgiftshanteringen var samtycke, men att samtycke om att personuppgifter skulle delas med tredje parter saknade verkan.

Samtyckets ogiltighet berodde på att användare var tvungna att godkänna samtliga villkor i integritetspolicyn för att kunna använda appen. De fick alltså ingen chans att ta ställning till att deras personuppgifter kunde användas i marknadsföringssyfte. Datatilsynet ansåg därför att ett giltigt samtycke saknades.

Vissa personuppgifter i frågan var särskilt känsliga

Uppgifter om användarnas sexuella läggning tillhör en speciell kategori av personuppgifter och anses vara extra känsliga. Att dessa uppgifter delades med tredje parter stred mot GDPR eftersom användarnas samtycke var ogiltigt på grunder som har berörts ovan.

Även platsdata kräver extra skydd. Personuppgifternas karaktär bidrog till att överträdelsen klassades som grov och till att sanktionsavgiften blev så hög.

Vad händer nu?

Beslutet om sanktionsavgiften kan överklagas av Grindr inom tre veckor från dagen då de tog emot beslutet. Tidsfristen kan komma att förlängas på grund av vissa omständigheter. Forbrukerrådet har efter beslutet inkommit med uppgifter om att Grindr har brutit mot några till bestämmelser i GDPR. Forbrukerrådet har även bett Datatilsynet att beordra Grindr att radera de personuppgifter som sanktionsavgiften hänför sig till. Med hänsyn taget till detta är det inte uteslutet att Datatilsynet vidtar fler åtgärder som riktar sig till Grindr.

Läs mer HÄR och HÄR

Diskriminerande databehandling ledde till nationell rekordsanktion för nederländskt skatteverk

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) offentliggjorde den 7 december 2021 att den utfärdat en sanktionsavgift på 28,2 miljoner kronor (2,75 miljoner euro) till den nederländska skattemyndigheten. Enligt hemsidan Enforcement Tracker, som kartlägger sanktionsavgifter i EU:s medlemsstater, är detta den hittills högsta sanktionsavgiften som utdelats i Nederländerna.

Den nederländska skattemyndigheten behandlade under olika former, personuppgifter på ett diskriminerande vis, åtminstone mellan åren 2016 och 2020. Myndigheten handlägger ansökningar om barnomsorgsbidrag som föräldrar använder för att betala daghemskostnader. I kampen mot bidragsfusk behandlade den nederländska skattemyndigheten olagligt sökandes personuppgifter genom:

1) Registrering av dubbelt medborgarskap.

2) Algoritmisk profilering för riskbedömning baserad på nationalitet.

3) Systematisk användning av nationalitet som sökkriterium i manuella databassökningar.

För det första fann AP att det bröt mot GDPR att i detta sammanhang registrera om någon är nederländsk medborgare och samtidigt medborgare i ett annat land. AP ansåg att skattemyndigheten endast behövde registrera att sökanden var nederländsk medborgare för att bedöma om denne var berättigad till barnomsorgsbidrag.

För det andra använde det nederländska skatteverket en algoritm för att riskbedöma sökande. En av riskindikatorerna var huruvida den sökande var utländsk medborgare eller hade dubbelt medborgarskap, vilket AP ansåg vara irrelevant för att utföra kontrollerna.

För det tredje visade AP:s utredning att 213 manuella databassökningar hade genomförts mellan maj 2018 och april 2019, som alla var baserade på nationalitet. När det skedde en förändring i inflödet av ansökningar från en viss nationalitet kunde det få skattemyndigheten att titta närmare på alla sökande i den gruppen i jakt på systematiskt bedrägeri. Till exempel omfattade två databassökningar alla sökande med medborgarskap från Ghana respektive Bulgarien.

AP fann att skattemyndigheten behandlade uppgifterna i strid med dataskyddsprinciperna i GDPR och utan rättslig grund. Vid beräkningen av sanktionsavgiften tog AP också hänsyn till att uppgifterna behandlades systematiskt och diskriminerande, i strid med grundläggande rättigheter och med sociala och ekonomiska konsekvenser för de registrerade. AP fastställde sanktionsavgiften till 28,2 miljoner kronor (2,75 miljoner euro).

Många drabbade fick sina liv förstörda och regeringen fick avgå

Dataskyddsförordningen syftar till att förebygga riskerna för de registrerade (se skäl 75). Detta fall kan ses som en bekräftelse på att dessa risker är allt annat än teoretiska.

The Guardian rapporterade i januari 2021 att den nederländska regeringen avgick efter att en parlamentarisk utredning kommit fram till att grundläggande rättsstatsprinciper hade kränkts. Tidningen rapporterar att 10 000 familjer, som felaktigt anklagades för att på falska grunder ha fått barnomsorgsbidrag, tvingades betala tillbaka bidraget, vilket enligt tidningen ledde till förödande konsekvenser för dem.

Nederländernas nationella statistikbyrå släppte i oktober 2021 siffror som avslöjade ytterligare konsekvenser för de drabbade familjerna, enligt Irish Times. Mer än 1 100 barn togs om hand av socialtjänsten mellan 2015 och 2020 efter att deras föräldrar blev ekonomiskt ruinerade. Artikeln i Irish Times fortsätter med att konstatera att skandalen ledde till en hel rad sociala, hälsomässiga och ekonomiska problem som i många fall vände upp och ned på de drabbades liv. Enligt nättidningen NL Times har regeringen avsatt 51,2 miljarder kronor (5 miljarder euro) för kompensation till de drabbade.

I ett blogginlägg (på nederländska) på AP:s webbplats reflekterar myndighetens styrelseordförande Aleid Wolfsen över vad som hände. Blogginlägget tar upp utmaningarna med att använda AI för riskbedömning inom den offentliga sektorn. Han varnar för risken för diskriminering, informerar om bristen på rättsligt skydd för offren i det här fallet och framhåller att medborgarna måste veta varför de blir utvalda för att kunna ta vara på sin rätt.

Händelserna i Nederländerna har fått Amnesty International att publicera en rapport om diskriminerande användning av algoritmer för riskbedömning i sociala trygghetssystem. De efterlyser effektivare tillsyn och övervakning av den offentliga sektorns användning av algoritmer och bättre tillgång till rättsmedel (lagliga vägar att få sin sak prövad) för individer och grupper vars rättigheter har kränkts.

Vill du fördjupa dig på egen hand i denna nyhet? Nedan kommer en hel lista på Engelska och Nederländska länkar.

Engelska källor:

Dataskyddsmyndigheten APs pressrelease på engelska, 8 dec 2021.

Artikel i Irish Times, 22 okt 2021.

Artikel i the Guardian, 15 januari 2021.

Amnesty Internationals uttalande 25 oktober 2021, om diskriminerande algoritmer med länk till deras rapport.

Direktlänk till Amnestys rapport om diskriminerande algoritmer.

Artikel i NL Times 29 oktober 2021.

Artikel i det kanadensiska nätmagasinet Vice, 1 mars 2021.

Artikel i Dutch News 15 januari 2021 med intervjuer av drabbade.

Artikel i Dutch News 20 oktober 2021 om statistiken över omhändertagna barn.

Inslag i BBC den 15 januari 2021.

Nederländska källor:

APs tillsynsbeslut om sanktionsavgiften, 7 dec 2021.

APs pressrelease om beslutet, 7 dec 2021.

Blogginlägg av styrelseordföranden i Nederländska dataskyddmyndigheten AP, 10 dec 2021.

Nederländska statistikbyråns fick ett regeringsuppdrag att ta fram statistik på omhändertagna barn med anledning av skandalen, de officiella siffrorna publicerades här den 18 oktober 2021.

Den parlamentariska utredningen som publicerades i december 2020.

Officiell reflektion från Nederländska ”högsta förvaltningsdomstolen”, 19 november 2021 om dess egen roll med en ursäkt till drabbade familjerna. ”Högsta förvaltningsdomstolens” ordförande är ångerfull inför att förvaltningsdomstolarna under lång tid konsekvent gick på skattemyndighetens linje och inte var mer kritiska. Reflektionen innehåller en lista på åtgärder som domstolen vill ska vidtas för att återställa förtroendet för förvaltningsdomstolarna.

(Nederländska Raad van State är ett statsorgan med två avdelningar. Ena avdelningen för förvaltningsrätt fungerar som högsta förvaltningsdomstol. Det är ordföranden för förvaltningsavdelningens som uttalar sig.  Den andra, rådgivningsavdelningen, yttrar sig över lagförslag och har en liknande roll som lagrådet i Sverige).

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart