Tusla Child and Family Agency bötfälls med 75 000 euro.

Den irländska motsvarigheten till Datainspektionen, Data Protection Commission (DPC), ålägger Tusla Child and Family Agency böter på 75 000 euro.

Det handlar om tre fall av personuppgiftsöverträdelser som Tusla själva anmält till DPC. De tre fallen handlar om att Tusla har överlämnat dokument som innehållit personuppgifter till tredje part. Det första tillfället lämnade de över en fostervårdsadress till två fosterbarns biologiska far. Den andra gången gav Tusla en person som anklagats för sexuella övergrepp mot barn hem- och skoladress till det berörda barnet. Det tredje fallet handlar även detta om att Tusla gett ut ett fosterbarns adress och kontaktuppgifter till en släktning. Alla tre fallen ska ha skett oavsiktligt från Tuslas sida.

Beslut

I beslutet konstaterades att Tusla har överträtt artikel 32.1 i GDPR genom att inte genomföra lämpliga organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för den risk som utgörs av dess behandling av personuppgifter med avseende på dess delning av dokument med tredje part. Det konstaterades också att Tusla överträdde artikel 33.1 i GDPR genom att inte underrätta DPC om den tredje överträdelsen utan onödigt dröjsmål.

Läs mer här.

Folksam har delat personuppgifter med bla Facebook – anmäler sig själva till Datainspektionen

På försäkringsbolaget Folksams hemsida rapporterar de idag om att de anmäler sig själva till Datainspektionen efter att de vid en intern kontroll upptäckt att cirka en miljon personers uppgifter har delats med bolagets digitala samarbetspartners. Vissa uppgifter som delats kan klassas som känsliga, skriver de på hemsidan. Delningen är stoppad och Folksam har begärt att få uppgifterna raderade hos partnerföretagen.

Kan väcka oro hos kunder

Vidare går det att läsa att Folksam förstår att detta kan väcka oro hos deras kunder och att de ser allvarligt på det inträffade. I nuläget finns det inte några uppgifter som tyder på att informationen har använts av tredje part på något otillbörligt sätt, skriver Folksam.

Bland de företag som har mottagit uppgifter från Folksam finns Facebook, Google, Microsoft, LinkedIn och Adobe.

Läs mer här.

Utredning av klagomål gällande rätten till registerutdrag och radering

Datainspektionen inleder utredningar av klagomål från enskilda personer gällande rätten till registerutdrag och radering.

I oktober rapporterade vi om att Datainspektionen publicerat en rapport gällande de vanligaste förekommande klagomålen som inkommit till myndigheten sedan GDPR infördes i maj 2018. Det framkom i rapporten att rätten till radering och rätten till registerutdrag var de vanligaste skälen till klagomål hos Datainspektionen.

Utredning inleds

Nu inleder Datainspektionen utredningar av ett antal av de klagomål som inkommit gällande enskilda personers rätt till radering och registerutdrag.

Läs mer här.

Går det att radera en avliden släktings sociala mediekonto?

Den franska dataskyddsmyndigheten CNIL har utfärdat riktlinjer för radering av personuppgifter om avlidna personer med avseende sociala nätverkskonton. I riktlinjerna beskrivs till exempel vart man kan vända sig och på vilket sätt man kan uppdatera eller radera en avliden släktings sociala mediekonto.

Rätt att uppdatera den avlidnes profil

När en person avlidit fortsätter ofta dennes profil på sociala medier att existera om inte någon släkting eller arvinge kontaktar plattformen och ber dem att uppdatera eller radera profilen. Enligt artikel 85 i dataskyddslagen, som rör skyddet av personuppgifter, har en släkting eller arvinge rätt att uppdatera eller radera den avlidne släktingens profil.

Riktlinjerna innehåller även specifik information om vilka formulär på vilken social medieplattform som ska fyllas i och länkar till dessa. Bland plattformarna finns Facebook, Google, Instagram, LinkedIn, Microsoft/Outlook, Twitter och Yahoo.

Läs mer här.

Finsk psykiatrimottagning utsatt för dataintrång och utpressning

I helgen framkom det att det finländska psykoterapicentret Vastaamos utsatts för dataintrång, rapporterar Dagens Nyheter och Svenska Yle. Det handlar om ett intrång i mottagningens kundregister där personlig information så som namn, adress och annan känslig information om patienterna finns registrerade. Det sägs att utpressaren innehar detaljerade patientberättelser på tiotusentals patienter som utpressaren hotar att publicera på darknet.

Lösensumma på 200-500 euro i bitcoin

Flera av de som finns registrerade i kundregistret har blivit kontaktade av ”hackaren” via e-post där utpressaren krävt klienten att betala hundratals euro i bitcoin.  Om inte betalningen sker hotar utpressaren med att läcka ut känsliga patientuppgifter. Summan det rör sig om är i första hand 200 euro i bitcoin som ska betalas inom 24 timmar men om ingen betalning sker höjs summan till 500 euro i bitcoin som då ska betalas inom 48 timmar.

Oklart om samma person står bakom dataintrånget och utpressningen

Enligt kriminalkommissarie Tero Muurman vid Centralkriminalpolisens central för bekämpning av IT-brott går det inte med säkerhet att säga att det rör sig om samma person som genomfört dataintrånget och utpressningen.

Läs mer här och här.

EDPB publicerar riktlinjer gällande inbyggt dataskydd och dataskydd som standard

Under sin 40:e plenarsession har EDPB antagit en slutlig version av riktlinjerna för inbyggt dataskydd och dataskydd som standard (Data Protection by Design & Default). Riktlinjerna fokuserar på skyldigheterna enligt artikel 25, GDPR, som avser inbyggt dataskydd och dataskydd som standard. Detta innebär att personuppgiftsansvariga måste genomföra lämpliga tekniska och organisatoriska åtgärder och vidta nödvändiga skyddsåtgärder, utformade för att säkerställa dataskyddsprinciper i praktiken samt för att skydda de registrerades rättigheter och friheter. Dessutom bör organisationer kunna visa att de genomförda åtgärderna är effektiva. 

De slutliga riktlinjerna innehåller även juridiska resonemang avsedda att hantera de kommentarer och den återkoppling har som mottagits under den publika konsultationen av riktlinjerna.

Samordnat ramverk

EDPB har beslutat att inrätta ett samordnat ramverk, Coordinated Enforcement Framework (CEF), vilken tillhandahåller en struktur för samordning av återkommande årliga aktiviteter av EDPB:s tillsynsmyndigheter. Målet med CEF är att underlätta gemensamma åtgärder på ett flexibelt och samordnat sätt, allt från gemensam medvetenhetshöjning och informationsinsamling till sanktioner och gemensamma utredningar. Syftet med detta är att främja efterlevnad, att ge registrerade möjlighet att utöva sina rättigheter och att öka medvetenheten. 

Läs mer här.

Datainspektionen publicerar en rapport gällande hantering av personuppgifter

Sedan GDPR infördes i maj 2018 har Datainspektionen tagit emot omkring 3000 klagomål per år gällande hantering av personuppgifter. Enligt Datainspektionen tyder detta på att medborgarnas medvetenhet om och förväntan på att personuppgifter ska hanteras korrekt har ökat.

Rätten till radering

I rapporten framkommer att de vanligaste förekommande klagomålen som har inkommit till Datainspektionen handlar om rätten till radering, oftast om att personuppgifter inte har raderats trots begäran om radering. Rätten till registerutdrag kommer på andra plats, där begäran om utdrag över vilka personuppgifter en verksamhet hanterar inte har erhållits.

Rapporten ingår i en rapportserie som Datainspektionen gjort där syftet bland annat är att redogöra för generella mönster och iakttagelser från inflödet till myndigheten.

Läs mer här och ta del av rapporten i pdf-format här.

Den irländska motsvarigheten till Datainspektionen granskar Instagram

Data Protection Commissioner, DPC, inleder granskning av fotoapplikationen Instagram mot bakgrund av att plattformen eventuellt misslyckats med att skydda data rörande personer under 18 år. Skyddet av barns data är ett område som är mycket viktigt för DPC och i dagens digitala värld vet man att ett stort antal barn är aktiva på sociala medier. Därför är det viktigt att personuppgiftsansvariga uppfyller sina skyldigheter enligt GDPR när det handlar om hantering av barns personuppgifter på deras plattformar.

Problem i behandling av personuppgifter

Instagram är en social medieplattform som används i stor utsträckning av barn på Irland och över hela Europa. DPC har aktivt övervakat klagomål från individer inom detta område och har identifierat potentiella problem i samband med behandling av barns personuppgifter på Instagram. Därför krävs det ytterligare granskning av plattformen som ägs och tillhandahålls av Facebook Ireland Limited (“Facebook”) tillika personuppgiftsansvariga över de personuppgifter som behandlas via Instagram.

Granskning i två delar

Granskningen kommer att genomföras genom två förfrågningar där en handlar om Facebooks behandling av personuppgifter på Instagramplattformen generellt. Den andra förfrågningen kommer mer specifikt att ha fokus på applikationens kontoinställningar och lämpligheten av dessa inställningar för barn.

Läs mer här.

ICO bötfäller British Airways med 20 miljoner pund

En granskning som ICO har gjort visar att flygbolaget British Airways har hanterat en mängd personuppgifter på ett icke adekvat sätt. Det handlar om personlig och ekonomisk information om över 400 000 av flygbolagets kunder.

Cyberattack

Under 2018 blev British Airways måltavla för en cyberattack där angriparen antas ha fått tillgång till 429 612 kunders och anställdas personuppgifter. Dessa personuppgifter innefattade namn, adresser, betalkortsnummer och CVV-nummer avseende 244 000 kunder. Flygbolaget upptäckte dock aldrig attacken själv utan en tredje part varnade flygbolaget om det inträffade. När varningen kom hade det gått över två månader sedan cyberattacken hade inträffat.

Brister i IT-säkerhet

Granskningen visar att flygbolaget har haft brister i IT-säkerheten vid tiden för cyberattacken vilket ICO anser borde ha varit identifierad och löst innan attacken inträffade. ICO menar vidare att attacken inte hade varit genomförbar om IT-säkerheten hade varit adekvat. ICO påtalar att det inte är säkert om eller när flygbolaget själva skulle ha identifierat attacken och detta anser de vara ett allvarligt misslyckande.

Attacken kunde ha förhindrats

Det fanns flera åtgärder som kunde ha vidtagits för att mildra eller förhindra attacken, bland annat begränsa åtkomst till applikationer, data och verktyg, genomföra rigorösa tester i form av att simulera en cyberattack på företagets system samt att skydda anställdas- och tredjepartskonton med autentisering på olika sätt.

Läs mer här.

Norska Datatilsynet bötfäller Bergen kommun med 3 miljoner norska kronor

I oktober 2019 underrättades Datatilsynet om ett brott mot personuppgiftslagen gällande kommunens nya kommunikationsverktyg Vigilo. Vigilo innehåller en modul som gör det möjligt för skola och föräldrar att kommunicera via en portal eller applikation. Bergen kommun har dock inte fastställt eller kommunicerat ut nödvändiga riktlinjer innan verktyget togs i bruk.

Sekretessbelagd information

Datatilsynet informerade Bergen kommun om böter i våras och nu har det slutgiltiga beslutet om böter tagits. I beslutet betonas att kommunen inte har fastställt eller kommunicerat ut de nödvändiga riktlinjerna för att information om barn ska behandlas med högsta grad av sekretess och särskilt barn som registrerats med särskild sekretess. Det har framkommit att information om barn med särskild sekretess istället varit tillgänglig för obehöriga och i ett fall har en kontaktlista med personlig information distribuerats till obehöriga.

Läs mer här.  

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart