Fler talare till Nordic Privacy Arena
Vår stora dataskyddskonferens Nordic Privacy Arena går av stapeln i Stockholm 12-13 november. Vi glada att kunna välkomna:
Annie Ståhl, head of business operations, Schibstedt Media
Aral Balkan, grundare Ind.ie
Daniel Bihary, juridisk expert vid RevealU– vinnare av årets Global Legal Hackathon
Egil Bergenlind, grundare av DPOrganizer
Eija Warma, partner vid advokatbyrån Castrén & Snellman
Johan Wullt, chef för avdelningen för informationsnätverk vid EU-kommissionens representation i Sverige
Leena Kuusniemi, legal adviser vid Leegal Oy
Lena Lindgren Schelin, generaldirektör vid Datainspektionen
Max Bleyleben, managing director och DPO vid SuperAwesome
Michaela Angonius, Group DPO, Telia Company
Nicolas de Bouville, privacy policy expert vid Facebook
Sarah van Hecke, legal design adviser vid advokatbyrån Houthoff
Sinan Akdag ,digital expert vid Sveriges Konsumenter
Tobias Bräutigam, senior counsel vid Bird&Bird
Vi är också glada över att se att intresset är stort för årets konferens. Biljetterna bokas upp snabbt – vi har utökat antalet platser och har även öronmärkt biljetter för forumets medlemmar. Vi kan dock inte lämna platsgaranti och rekommenderar därför medlemmar som vill besöka konferensen att boka så snart som möjligt.
Juristpodden möter Caroline Olstedt Carlström
Juristpodden besökte Forum för dataskydd vid vår strategikonferens i augusti. Se intervjun med vår ordförande Caroline Olstedt Carlström här:
Rätten att bli glömd åter till EU-domstolen
För fyra år sedan beslutade EU-domstolen (C-131/12) att Google skulle avindexera information om en spansk medborgare. Företaget har sedan dess varit involverat i en rad processer rörande den så kallade “rätten att bli glömd”.
Den franska tillsynsmyndigheten CNIL menar att Google måste avindexera information globalt, inte bara i lokala versioner av sökmotorn:
“The right to be delisted is derived from the right to privacy, which is a universally recognized fundamental right laid down in international human rights law. Only delisting on all of the search engine’s extensions, regardless of the extension used or the geographic origin of the person performing the search, can effectively uphold this right”.
Google har nu överklagat ett av CNIL:s beslut till EU-domstolen.
Albine Vincent vid CNIL medverkar som panelist vid årets Nordic Privacy Arena (Stockholm, 12-13 november).
Läs också:
Incidentrapporter och offentlighetsprincipen – hur ska vi ha det?
Datainspektionen har tidigare rekommenderat regeringen att se över bestämmelserna i offentlighets- och sekretesslagen. Kammarrätten i Stockholm har nu prövat ett mål om sekretess för uppgifter rörande incidentrapporter och gett en journalist rätt mot Datainspektionen. Vi menar i likhet med Datainspektionen att lagstiftaren bör staka ut vägen.
De incidentrapporter som lämnas till Datainspektionen blir offentliga om inte annat framgår av offentlighet- och sekretesslagen, OSL. Datainspektionen rekommenderade förra året regeringen att stärka sekretessen, bl a med hänvisning till att rapporter kan innehålla detaljerad information om säkerhetsbrister hos företag och myndigheter. Offentliggöranden kan uppmuntra attacker, menade myndighetens chefsjurist Hans-Olof Lindblom.
Sekretess enligt Datainspektionen
Datainspektionen har sedan dataskyddsförordningen började gälla i maj i år vid flera tillfällen beslutat att inte lämna ut rapporter med hänvisning till sekretess. När Forum för dataskydd begärde att ta få ta del av en incidentrapport i juli meddelade Datainspektionen att sådana handlingar omfattas av sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- och bevakningsåtgärd enligt 18 kap. 8 § 3 OSL, och hänvisade bl a till att incidentrapportering till Post- och telestyrelsen tidigare ansetts omfattas av sekretess enligt bestämmelsen. Sekretessen omfattar inte bara rapporter, utan även uppgifter om ingivarens identitet. Datainspektionen meddelade att en anmälan om en incident inkommit, men avslog begäran om att få ta del av handlingen.
Journalist fick rätt i kammarrätten
Datainspektionen beslutade i juni att inte lämna ut en handling till en journalist med samma motivering. Journalisten överklagade och fick i början av augusti bifall i kammarrätten. Journalisten gjorde gällande att Datainspektionen gjort tolkningen att varje incidentrapport avslöjar brister i IT-system och att myndigheten därmed inte prövar varje handling i förhållande till sekretessen.
Kammarrätten i Stockholm konstaterade att den incidentrapportering som ska ske till Datainspektionen kan innebära en upplysning om att ingivarens IT-system är sårbart för attacker. Den aktuella incidenten avsåg dock inte intrång eller brister i den personuppgiftsansvariges IT-system. Anmälan innehöll inte heller uppgifter som kan bidra till att avslöja att IT- eller säkerhetssystemet är sårbart för attacker. Domstolen beslutade därmed att handlingen ska lämnas ut.
Kommentar: Sekretessreglerna bör ses över
Dataskyddsreglerna bör så långt det medges tillämpas på samma sätt i medlemsstaterna. Offentlighetsprincipen syftar visserligen inte enbart till att ge medborgare insyn i den offentliga förvaltningen (prop 1975/76:160 s. 71), men sker inte utlämnanden av uppgifter om incidentrapporter med restriktion kan exempelvis multinationella företag komma att försöka göra anmälningar i andra jurisdiktioner. Även variationer mellan tillsynsmyndigheternas kapacitet kan utnyttjas, och en indirekt konsekvens av det aktuella avgörandet kan bli att Datainspektionen nu får lägga mer tid på sekretessprövningar.
Det är olyckligt om vi halkar in på ett alltför nationellt spår även om det formellt kan synas korrekt mot bakgrund av vår långtgående offentlighetsprincip. Det är därför angeläget att lagstiftaren omprövar och ser över sekretessbestämmelserna i enlighet med Datainspektionens tidigare rekommendation.
Fredrik Svärd
Generalsekreterare Forum för dataskydd
Ny undersökning: Så används privacy tech-verktygen
I kölvattnet av dataskyddsreformen har en rad startups, och även etablerade konsult- och teknikföretag, lanserat digitala verktyg riktade till experter som arbetar med dataskyddsfrågor. IAPP, som tidigare sammanställt aktörerna på “privacy tech”-området, har nu tillsammans med TrustArc genomfört en enkätundersökning bland 328 köpare av sådana verktyg.
Verktyg för data mapping, personal data discovery och privacy program assessments är populära, visar undersökningen. Färre tycks vara intresserade av verktyg för hantering av samtycke och avidentifiering av persondata. Läs rapporten här.
Finland: Morddömd har rätt att bli glömd
För drygt två år sedan överklagade Google ett beslut om att företaget skulle radera information om en man som avtjänat straff för ett mord han begick 2012.
Finlands dataskyddsombudsman Reijo Aarnio menade att integritetsskyddet gjorde sig särskilt starkt gällande då mannen led av en sjukdom, Google att integritetsskyddet fick vika för allmänhetens informationsintresse samt att beslutet innebar en inskränkning av yttrandefriheten.
Högsta förvaltningsdomstolen i Finland har nu beslutat att mannen har rätt att få informationen raderad. Domstolen konstaterat bland annat att informationen om mannens hälsotillstånd är av privat och känslig natur. Informationsintresset väger enligt domstolen inte tyngre än integritetsskyddet, även om det rör sig om ett mycket allvarligt brott.
AI hittade omfattande brister i nätföretagens integritetspolicies
Vi berättade tidigare i år om Polisis, ett AI-verktyg för tolkning och visualisering av privacypolicies utvecklat av forskare vid bl a Federal Institute of Technology i Lausanne. Ett liknande verktyg utvecklat av forskare vid European University Institute i Florens har nu använts för att utvärdera om användarvillkor är förenliga med GDPR.
Utvecklarna har låtit verktyget – Claudette – analysera 14 nätföretags, däribland Facebooks, Googles och Amazons, privacypolicies. Verktyget ska ha i identifierat otydligt språk i 401 och “potentiellt problematiska” klausuler eller otillräcklig information i 1 240 av sammanlagt 3 659 meningar.
BEUC, som stöttat projektet, konstaterar bl a att företagen inte alltid informerar användare om överföring av data till tredje part och att de använder språk som gör det svårt för konsumenter att förstå hur deras personuppgifter hanteras i praktiken. Läs BEUC:s Q&A här.
Vet Google vad du köper offline?
Google har tidigare anklagats för att på olika sätt ha kartlagd användares beteenden utanför den digitala miljön, bl a med hjälp av data insamlad av appen Google Maps.
Nya uppgifter gör gällande att företaget samarbetat med Mastercard för att samköra uppgifter om interaktioner med Googles annonser med korttransaktioner offline. Syftet ska ha varit att ta reda på vilka produkter användarna köper i fysiska butiker efter att ha exponerats för annonser på nätet. Enligt företagen har uppgifterna anonymiserats.
Möt JoAnn Stonier, Chief Data Officer för Mastercard worldwide, på Nordic Privacy Arena i Stockholm den 12-13 november. Vi diskuterar bl a data ethics, ad tech och spårning och konsumenters attityder till personuppgiftsbehandling.
Fler namn klara för Nordic Privacy Arena 2018
Finlands kommunikationsminister Anne Berner, Mastercards Chief Data Officer JoAnn Stonier och Mozillas head of EU public policy Raegan MacDonald är några av keynotetalarna vid årets Nordic Privacy Arena (Stockholm 12-13 november 2018).
Vi välkomnar också:
- Erik Dahlberg, marknadsexpert vid Kommerskollegium
- Jacob Dexe, forskare vid RISE SICS
- Leena Kuusniemi, rådgivare vid Fipra International
- Magnus Sjögren, Group General Counsel vid Bisnode
- Markus Bylund, IT-strateg vid Uppsala kommun
- Michael Hopp, partner vid Plesner
Samt Företrädare för bl a EDPS, Facebook, SuperAwesome, Karlstad universitet och Delphi.
Vi vill också passa på att tacka våra nytillkomna sponsorer Draftit och DPMS.
Boka din biljett till förra årets pris till och med den 1 augusti. Läs mer här.
Förhandsavgörande om Jehovas vittnens dörrknackning
Gästinlägg av Kave Noori, jur. stud. och medlem i Forum för dataskydd
År 2013 förbjöd finska datasekretessnämnden det kristna samfundet Jehovas vittnen i Finland från att samla in och behandla personuppgifter om enskilda som inte är medlemmar i samfundet utan att informera dem om personuppgiftsbehandlingen och att följa personuppgiftsreglerna i övrigt. Fallet gick till Högsta förvaltningsdomstolen i Finland som bad EU-domstolen klargöra hur EU:s dataskyddsdirektiv ska tolkas. Förra veckan kom EU-domstolens dom (C25/18).
Medlemmar i Jehovas vittnen knackar dörr hos okända människor för att sprida samfundets religion. Missionerande dörrknackning är en del av medlemmarnas utövande av sin religion och skyddas av religionsfriheten. Det har framkommit att missionerande Jehovas vittnen för anteckningar om personerna de pratar med och skriver upp deras namn, adress, familjeförhållanden och vad som sagts i samtalen, särskilt vilken religiös övertygelse den besökta personen har.
Detta kom EU-domstolen fram till:
Undantaget för verksamhet av rent privat natur och hushållsundantaget gäller inte
Med hänvisning till religionsfriheten argumenterade Jehovas vittnen för att det rörde sig om missionärernas personliga anteckningar och att dessa omfattades av undantaget för verksamhet av rent privat natur eller som har samband med missionärernas hushåll. EU-domstolen ansåg inte att undantaget gäller i det här fallet. Domstolen konstaterade att syftet med dörrknackningen var att sprida Jehovas budskap utanför missionärernas privata sfär och till ett obestämt antal personer som är okända för missionären och Jehovas vittnen. Dessutom förs åtminstone en del av personuppgifterna i anteckningarna vidare till samfundet Jehovas vittnen som använder personuppgifterna för att administrera listor över vilka personer som inte vill få hembesök. Därför är det inte en verksamhet av rent privat natur för missionären eller som har ett samband med dennes hushåll.
De handskrivna anteckningarna är tillräckligt strukturerade för att det ska vara ett manuellt personregister
Den andra frågan som prövades var om de manuella anteckningarna var tillräckligt strukturerade för att omfattas av personuppgiftsreglerna. Enligt DraftIt privacys handbok har tolkningen i svensk praxis enligt personuppgiftslagen varit att manuellt nedtecknade personuppgifter ska vara ordnade som i ett register så att det finns flera sökvägar.
Här menar EU-domstolen att en samling anteckningar som förs av ett religiöst samfund som innehåller uppgifter om de besöktas namn, adress och annan information är ett manuellt register med personuppgifter om det i praktiken är lätt att i efterhand hitta en viss person. EU-domstolen slår fast att det inte krävs något sökregister, förteckningar eller särskilda arrangemang för sökning för att det ska vara ett manuellt register.
Personuppgiftsansvaret är delat mellan missionärerna och Jehovas vittnen
Eftersom missionärernas personuppgiftsansvar inte ifrågasatts undersökte EU-domstolen endast om samfundet Jehovas vittnen kan anses vara medansvarigt. Dörrknackningen organiseras, samordnas och uppmuntras av Jehovas vittnen och utgör en viktig del av samfundets verksamhet. Samfundet administrerar utifrån anteckningarna också listor över vilka som inte vill få hembesök . Eftersom Jehovas vittnen är delaktiga i att bestämma ändamålen och medlen för databehandlingen har de ett delat personuppgiftsansvar tillsammans med missionärerna. Detta gäller även om det är missionärerna som samlar in personuppgifterna genom sina anteckningar. Det saknar enligt EU-domstolen betydelse om Jehovas vittnen själva har tillgång till anteckningarna. Vidare spelar det ingen roll huruvida Jehovas vittnen tagit fram några skriftliga riktlinjer eller instruktioner till sina dörrknackande medlemmar.
Nu är det upp till Högsta förvaltningsdomstolen i Finland att utifrån EU-domstolens tolkningsbesked kontrollera fakta i målet och avgöra tvisten.
Kave Noori
