Det norska Datatilsynet inleder granskning av Jehovas vittnen
Det norska Datatilsynet har fått in flera klagomål och tips om behandling av personuppgifter av medlemmar i samfundet. Det handlar om att samfundet olagligt lagrat personlig information eller att personlig information inte raderats i enlighet med dataskyddsförordningen.
Frågor kring ansvar enligt sekretessreglerna
Inledningsvis har Datatilsynet skickat ett brev till den norska avdelningen för Jehovas vittnen i Enebakk där de ställer frågor för att klargöra om det är avdelningen eller de enskilda församlingarna som är personuppgiftsansvariga enligt dataskyddsregelverket. Därefter kommer myndigheten behandlar de enskilda klagomålen.
Samfundet har till den 4 mars 2021 på sig att svara på brevet.
Läs mer här.
Danska Datatilsynet riktar allvarlig kritik mot Region Syddanmark som sparat miljontals inkomna telefonsamtal sedan 2013
En dansk medborgare har lämnat in klagomål till Datatilsynet gällande inspelning av ett telefonsamtal mellan medborgaren och Region Syddanmark vilka vägrade att radera inspelningen. Efter granskning av verksamheten fann Datatilsynet att det spelats in och bevarats drygt 7,5 miljoner samtal sedan januari 2013.
Inte en del av en patientjournal
Region Syddanmark ansåg att inspelade telefonsamtal med medborgare bör betraktas som en del av patientjournalen och att de därför ska bevaras 10 år efter patientens sista vårdkontakt. Enligt Datatilsynet är telefonsamtalen inte en del av patientjournalen utan en lagringsperiod på upp till fem år är laglig. De betonar att syftet med att spela in telefonsamtal inom akutsjukvård är för att säkerställa dokumentation för användning kopplat till eventuella klagomål. Utifrån detta riktar Datatilsynet allvarlig kritik mot Region Syddanmark eftersom de sparat inspelningar av telefonsamtal i mer än fem år. De riktar även kritik för hur de hanterat klagomålet från medborgaren. Som del av beslutet från Datatilsynet ska Region Syddanmark radera alla inspelningar av telefonsamtal som är mer än fem år gamla.
Läs mer här.
Integritetsskyddsmyndigheten (IMY) har publicerat en brevmall för begäran om radering av personuppgifter
Enligt dataskyddsförordningen har du rätt att vända dig till verksamheter som behandlar dina personuppgifter och be att få dina uppgifter raderade, detta kallas även för rätten att bli bortglömd.
Rätt att bli bortglömd
Rätten att bli bortglömd eller rätt till radering gäller exempelvis om du avslutar ditt medlemskap på gymmet, du har lämnat samtycke till att delta i en marknadsundersökning men ångrar dig och återkallar ditt samtycke eller om du får nyhetsbrev från ett företag och du vill att det ska upphöra.
Läs mer och ta del av brevmallen här.
Global polisinsats oskadliggjort stort malwarenätverk
Europol meddelar i ett pressmeddelande att ett stort malwarenätverk avväpnats efter en global polisinsats. Polisinsatsen resulterade i att ett av världens mest betydelsefulla botnet, Emotet, nu har oskadliggjorts. Det handlar om ett samarbete, koordinerat av Europol och Eurojust, mellan polisen och flera myndigheter i bland annat Nederländerna, Tyskland, USA och Storbritannien.
Nytt och unikt tillvägagångsätt
Den infrastruktur som Emotet använt sig av har involverat flera hundra servrar runtom i världen, alla dessa har haft olika funktioner för att hantera datorerna för de infekterade offren. Genom en operativ strategi lyckades rättsväsendet att få kontroll över Emotets infrastruktur och ta ned den från insidan. Tillvägagångssättet som användes är unikt och nytt för att bekämpa denna slags brottslighet.
Som en del av den brottsutredningen upptäcktes en databas med e-postadresser, användarnamn och lösenord som stulits av Emotet.
Läs hela pressmeddelandet här.
Belgiens DPA har ålagt marknadsföringsbolaget Family Service böter om 50 000 euro för brott mot GDPR
Family Service är ett marknadsföringsbolag som distribuerar prover, specialerbjudanden och informationsblad till framtida föräldrar i rosa boxar.
Överfört personuppgifter utan giltigt samtycke
Efter att den belgiska dataskyddsmyndigheten, DPA, erhållit klagomål om att Family Service överfört personuppgifter till tredje part utan giltigt samtycke och dessutom utan tillräcklig information om överföringen till kunden inledde myndigheten en granskning av företaget. Granskningen visade att företaget lämnat ut och/eller sålt personuppgifter i marknadsföringssyfte. Att företaget delat personuppgifter med tredje part har inte nått kunderna på ett adekvat sätt.
50 000 euro rimligt belopp
De rosa boxarna med prover, specialerbjudanden och informationsblad delades dessutom ut av gynekologer och sjukhus vilket kan ha vilselett kunderna att tro att initiativet kommit ifrån den offentliga sektorn och inte från Family Service. Med beaktande bland annat av att företaget behandlar personuppgifter om 21,1 % av den belgiska befolkningen, däribland personuppgifter om barn, samt företagets storlek anser belgiske DPA att böter om 50 000 euro är ett rimligt belopp.
Läs mer här.
Det norska förlaget CyberBook AS bötfälls med 200 000 NOK
Norska Datatilsynet bötfäller CyberBook AS med 200 000 norska kronor för olaga vidarebefordran av e-post. Datatilsynet har fått in klagomål från en tidigare anställd som menar att företaget aktiverat en automatisk vidarebefordran av den anställdes personliga e-post. Vidarebefordran ska ha skett i fler månader utan att den tidigare anställde fick information om detta. Efter granskning av ärendet framkommer att företaget brutit mot reglerna om tillgång till e-postlådor och annat elektroniskt material.
Måste upprätta rutiner
Datatilsynet bedömer även att CyberBook AS har brutit mot dataskyddsförordningens krav på rättslig grund, information till den registrerade och skyldigheten att lyssna till den klagande, utöver kravet påa radering av personuppgifter. Med detta som grund beslutar Datatilsynet att företaget måste upprätta skriftliga rutiner för åtkomst till e-postlådor för anställda och tidigare anställda. Utöver detta bötfälls företaget med 200 000 norska kronor för den olovliga vidrebefordran.
CyberBook AS har tre veckor på sig att överklaga beslutet.
Läs mer här.
EDPB tagit fram nya riktlinjer med exempel på personuppgiftsincidenter som ska anmälas
Den europeiska dataskyddsstyrelsen EDPB har tagit fram riktlinjer med exempel på vad som är personuppgiftsincidenter som ska anmälas. Riktlinjerna syftar till att ge mer tydlighet i hantering av personuppgiftsincidenter och vilka faktorer som ska beaktas i riskanalysen av dessa.
Offentligt samråd tom 2 mars
Riktlinjerna innehåller en översikt över de vanligaste kategorierna av personuppgiftsincidenter som ska anmälas till de olika nationella tillsynsmyndigheterna. Till exempel diskuteras ransomware, obehörig datafiltrering och stulna eller förlorade enheter och dokument. Riktlinjerna finns ute för offentligt samråd till och med den 2 mars.
Läs mer här.
Datatilsynet DK publicerar ny vägledning för att fastställa administrativa sanktionsavgifter av GDPR
Den danska dataskyddsmyndigheten har i samarbete med rikspolisen och riksadvokaten i Danmark utarbetat en vägledning för beräkning av sanktionsavgifterna för fall där organisationer bryter mot dataskyddsförordningen, GDPR.
Vägledningen ska bidra till ökad transparens kring hur bland annat tillsynen avgör storleken på sanktionsavgifterna som åläggs organisationer.
Användas som praxis nationellt och inom EU
Det handlar om ett levande dokument som kontinuerligt kommer att utvidgas i takt med att tillsynsmyndigheten med flera hanterar ärenden om sanktionsavgifter. Vägledningen kommer även att fungera som praxis både nationellt och inom EU.
Läs mer här.
IMY lämnar över sin första integritetsrapport till regeringen
Integritetsskyddsmyndigheten (IMY) har i uppdrag från regeringen att löpande följa utvecklingen inom integritetsskydd och vart fjärde år ska myndigheten rapportera om den mest aktuella och betydelsefulla utvecklingen som påverkar den personliga integriteten till regeringen. Förra veckan överlämnade IMY första integritetsrapporten.
Digitaliseringspolitiken behöver kompletteras
IMY skriver vidare att Sverige har en ambitiös digitaliseringspolitik och som nu behöver kompletteras med konkreta mål och åtgärder för att säkerställa att utvecklingen är hållbar ur ett integritetsperspektiv. Vidare berättar Lena Lindgren Schelin, generaldirektör IMY, att Sverige riskerar att bygga in sig i en storskalig insamling och användning av data som är oetisk, olaglig eller på ett allvarligt sätt inskränker våra mänskliga rättigheter.
Det framgår i rapporten att det är både enklare och billigare än någonsin att samla in, bearbeta och analysera stora mängder data, detta genom bland annat mobiltelefoner och smarta prylar i hemmet.
Tydligare integritetspolitik
IMY poängterar att Sverige kan säkerställa människors rätt till privatliv och rätten till självbestämmande genom en tydligare integritetspolitik. Avslutningsvis förklarar Lena Lindgren Schelin ”Som ett led i att stärka enskildas rättigheter kommer IMY under 2021 att bedriva mer tillsyn än tidigare baserat på klagomål från enskilda. På så sätt verkar vi för ett tryggt informationssamhälle.”
Läs mer här.
Elander-koncernen har fått sina företagsbestämmelser godkända av IMY
Integritetsskyddsmyndigheten (IMY) meddelade i pressmeddelande förra veckan att Elander-koncernen fått sina bindande företagsbestämmelser godkända av myndigheten så att koncernen ska kunna överföra personuppgifter till sina koncernbolag utanför EU.
Bindande företagsbestämmelser
Bindande företagsbestämmelser är regler som en företagskoncern med bolag i flera olika länder kan ta fram för att reglera sin behandling av personuppgifter. Syftet med bindande företagsbestämmelser är att förenkla för koncerner att överföra personuppgifter till koncernbolag utanför EU.
Gedigen granskningsprocess
IMY har tillsammans med ett par andra medgranskande europeiska dataskyddsmyndigheter genomfört en granskning av koncernens förlag till bindande företagsbestämmelser. Myndigheten har också yttrat sig över dem. Dessa granskningar resulterade i att de bindande företagsbestämmelserna godkändes.
Läs mer här.
