Nyheter

EU: EBF ger svar på EDPB:s riktlinjer för förhållandet mellan GDPR och PSD2

Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat riktlinjer för förhållandet mellan dataskyddsförordningen (“GDPR”) och det andra betaltjänstdirektivet (“PSD2”). European Banking Federation (“EBF”) har nu publicerat ett svar på EDPB:s riktlinjer. EBF välkomnar EDPB:s ansträngningar att försöka klargöra de…

Tyskland: BSI varnar för cyberattacker kopplade till svaghet i Citrix VPN-produkter

Tysklands statliga myndighet för informationssäkerhet, Das Bundesamt für Sicherheit in der Informationstechnik (“BSI”), har kommit med en varning för en svaghet kallad CVE-2019-19781 i Citrix Systems VPN-produkter. Enligt BSI har svagheten varit känt sedan januari 2020 och har kunnat utnyttjas för cyberattacker. BSI har…

Webbinarium: Personuppgiftsansvarig eller personuppgiftsbiträde?

De senaste årens tekniska utveckling har lett till en ökad komplexitet vid behandling av personuppgifter. Det händer allt oftare att flera olika aktörer deltar i en och samma personuppgiftsbehandling som till exempel i samband med användning av molntjänster, sociala medier och insticksprogram på webbplatser…

Österrike: Dataskyddsmyndighet avslår klagomål mot streamingtjänsten Flimmit avseende rätten till tillgång

Organisationen noyb har i januari 2019 lämnat in åtta klagomål mot streamingtjänsterna Amazon Prime, Apple Music, DAZN, Flimmit, Netflix, SoundCloud, Spotify och YouTube, för att företagen inte uppfyller reglerna om rätten till tillgång enligt artikel 15 i dataskyddsförordningen…

Spanien: 3 000 euro i böter för otillåten kamerabevakning

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Grupo Carolizan Sociedad Limitada med 3 000 euro för brott mot artikel 5.1 (c) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Grupo Carolizan installerat bevakningskameror i ett arkadområde tillhörande en anläggning. Bevakningskamerorna…

Spanien: 10 000 euro i böter för publicering på offenlig anslagstavla

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Comunidad de Propietarios R.R.R. med 10 000 euro för brott mot dataskyddsförordningen (“GDPR”). Av beslutet framgår att Comunidad de Propietarios publicerat en registrerads namn, adress, våning, dörrnummer och det skuldbelopp den…

Storbritannien: Positiva provsvar publicerade på webbsida

Folkhälsomyndigheten i Wales har meddelat att myndigheten drabbats av en personuppgiftsincident då de av misstag laddat upp 18 105 invånares provsvar som hade testat positivt för COVID-19 till en offentlig server. Händelsen inträffade på eftermiddagen den 30 augusti 2020 och uppgifterna togs bort av myndigheten på morgonen den 31 augusti 2020…

EU: Europaparlamentet publicerar rapport om Schrems II-målet

Europaparlamentet har publicerat en rapport om EU-domstolens beslut i Schrems II-målet. Rapporten ger en sammanfattning av domen och de första reaktionerna från bland annat EU:s dataskyddsmyndigheter. Därutöver lyfter rapporten Schrems II-målets konsekvenser för internationella relationer, liksom domens påverkan på alla tredjeländer som utför…

Irland: Hösta domstolen har beviljat Facebook en domstolsprövning

Organisationen noyb rapporterar att Irlands Hösta domstol har beviljat Facebook en prövning (ärende nr 2020/617 JR) av den irlänska dataskyddsmyndigheten Data Protection Commissions (“DPC”) preliminära beslut som innebär att Facebook inte längre kan använda EU-kommissionens standardavtalsklausuler…

Kurs: Nytt kurstillfälle för distanskursen GDPR – Intensivkurs i dataskyddsförordningen

Vår webbaserade distanskurs GDPR – Intensivkurs i dataskyddsförordningen blev snabbt fullbokad varför vi lägger in ytterligare ett kurstillfälle under hösten. Tisdagen den 10 november 2020, kl. 09.00-16.00 ger vi dig en grundlig genomgång av reglerna i dataskyddsförordningen…

Norge: Datatilsynet varnar Bodø Kommunale Pensjonskasse om utlämnande av hälsodata för funktionshindrade pensioner

Den norska dataskyddsmyndigheten Datatillsynet har skickat en preliminär varning till Bodø Kommunale Pensjonskasse (“BKP”) efter ett klagomål om att BKP bland annat haft tillgång till onödiga medicinska intyg samt delat statistik som innehåller känsliga personuppgifter i samband…

Danmark: Datatilsynet uttrycker allvarlig kritik mot myndighetens egna dataintrång

Den danska dataskyddsmyndigheten Datatilsynet har slutfört granskningen av den personuppgiftsincident som inträffat i tillsynsmyndighetens egna lokaler i Valby. Den aktuella personuppgiftsincidenten gällde bristande hantering vid bortskaffandet av pappersmaterial som innehöll konfidentiell och…

Spanien: 1 500 euro i böter för att skicka e-post utan ett samtycke

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt det politiska partiet VOX España med 1 500 euro för brott mot artikel 6.1 (a) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att VOX España fortsatt att skicka e-postmeddelanden till den registrerade mot dennes vilja. Den registrerade hade tidigare begärt att VOX España…

Irland: Den irländska dataskyddsmyndigheten beordrar Facebook att sluta skicka personuppgifter till USA

The Wall Street Journal rapporterar att den irlänska dataskyddsmyndigheten Data Protection Commission (“DPC”) har utfärdat ett preliminärt beslut som innebär att Facebook måste sluta med att överföra EU-användares personuppgifter till USA. Beslutet kommer med anledning…

Norge: 3 miljoner norska kronor i böter för Bergen kommun

Den norska dataskyddsmyndigheten Datatillsynet har bötfällt Bergen kommun med 3 miljoner norska kronor för att inte ha vidtagit lämpliga säkerhetsåtgärder för att säkerställa skyddet av personuppgifter. Av beslutet framgår att Bergen kommun tagit fram verktyget Vigilo som skulle användas för kommunikation mellan hem och skola. Vigilo hade bland annat en modul…

Norge: Datatilsynet efterlyser ytterligare utredning efter anmälan om personuppgiftsincident

Den norska dataskyddsmyndigheten Datatilsynet har uttalat sig om Sykehuset Innlandes anmälan om inträffad personuppgiftsincident från den 23 augusti 2020. Enligt Datatilsynet har intrånget påverkat sjukhusets datorsystem varför sjukhuset bör undersöka händelsen ytterligare…

Polen: 50 000 PLN i böter för otillräckliga tekniska och organisatoriska åtgärder

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (“UODO”) har bötfällt Warszawa universitet med 50 000 PLN för brott mot artikel 32 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Warszawa universitet anmält en personuppgiftsincident avseende stöld av en anställds bärbara dator. På grund av…

Storbritannien: 130 000 pund i böter för oönskade direktmarknadsföringssamtal utan giltigt samtycke

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt CPS Advisory Ltd med 130 000 pund för brott mot direktivet om integritet och elektronisk kommunikation (“e-Privacy-direktivet”). Av beslutet framgår att CPS Advisory gjort fler än…

Norge: 400 000 norska kronor i böter till Statens vegvesen

Den norska dataskyddsmyndigheten Datatillsynet har bötfällt Statens vegvesen med 400 000 norska kronor för brott mot principen om ändamålsbegränsning och för att inte ha raderat kamerabilder efter sju dagar. Av beslutet framgår att Statens vegvesen samlat in personuppgifter från fasta vägkameror i stor utsträckning och använt dessa uppgifter för att övervaka…

Rumänien: 9 671 RON i böter för otillräckliga säkerhetsåtgärder

Den rumänska dataskyddsmyndigheten Autoritatea Națională de Supraveghere (“ANSPDCP”) har bötfällt Sanatatea Press Group SRL med 9 671,40 RON (ca 2 000 euro) för brott mot artiklarna 5.1 (f) och 32 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Sanatatea Press Group inte vidtagit lämpliga säkerhetsåtgärder enligt…

Italien: 15 000 euro i böter för kränkning av rätten till tillgång

Den italienska dataskyddsmyndigheten Garante har bötfällt Mapei SpA med 15 000 euro för brott mot artiklarna 5.1 (a-d), 12, 13 och 15 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Mapei misslyckats med att svara på en registrerads begäran om tillgång, samt att Mapei hållit en registrerads e-postkonto aktivt, med samma åtkomstmöjligheter, trots att…

Danmark: Datatilsynet riktar allvarlig kritik mot NCC:s hantering av anställds personuppgifter

Den danska dataskyddsmyndigheten Datatilsynet har uttryckt allvarlig kritik mot att NCC Danmark A/S behandling av personuppgifter inte utförts i enlighet med reglerna i dataskyddsförordningen (“GDPR”) om laglig behandling av personuppgifter och känsliga personuppgifter, och att NCC inte…

Spanien: 3 000 euro i böter för olaglig delning av anställdas personuppgifter

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Barcelona Airport Security Guard Association (“AVSAB”) med 3 000 euro för brott mot artikel 5.1 (f) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att en medlem i AVSAB:s säkerhetskommitté skickat meddelanden via…

EU: EDPB har publicerat riktlinjer för användare av sociala medier

Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat riktlinjer för användare av sociala medier. Användare av sociala medier kan involvera en mängd olika aktörer som exempelvis leverantörer, användare och aktörer som är inblandade i processen att välja ut målgrupper för exempelvis marknadsföring. Vikten av att korrekt kunna identifiera de olika aktörernas roller och…

EU: EDPB har publicerat riktlinjer om personuppgiftsansvariga och personuppgiftsbiträden

Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat riktlinjer om personuppgiftsansvariga och personuppgiftsbiträden enligt dataskyddsförordningen (“GDPR”). Enligt EDPB spelar begreppen personuppgiftsansvarig, gemensamt personuppgiftsansvarig och personuppgiftsbiträde en avgörande roll…

Polen: McDonald’s utreds för dataintrång

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (“UODO”) har inlett en utredning avseende en personuppgiftsincident som inträffat på McDonald’s Poland Sp. Zoo. Enligt UODO gäller personuppgiftsincidenten obehörig tillgång till information om anställda som funnits med i ett verktyg som används för att visa arbetsscheman på McDonalds restauranger…

EU: Europaparlamentet ger vägledning om AI

Europaparlamentet har publicerat en vägledning om artificiell intelligens (“AI”). Enligt Europaparlamentet kan AI definieras som en maskins förmåga att visa mänskliga egenskaper såsom resonerande, lärande, planering och kreativitet. Europaparlamentet betonade också att AI är centralt för den digitala omvandlingen av samhället och har blivit ett prioriteringsområde…

Kunskap: Vad är automatiserat beslutsfattande?

Det blir allt vanligare att offentliga och privata verksamheter automatiserar beslutsfattande exempelvis vid kreditprövningar eller ansökan om föräldrapenning. Någonting som regelbundet glöms bort är att dataskyddsförordningen (”GDPR”) innehåller strikta regler för automatiserat beslutsfattande och att bristande regelefterlevnad kan leda till höga sanktionsavgifter…

EU: EDPB bildar arbetsgrupper efter Schrems II-målet

Den Europeiska dataskyddsstyrelsen (“EDPB”) har bildat en arbetsgrupp för att hantera inkomna klagomål efter EU-domstolens beslut i mål C-311/18 (Schrems II-målet). Klagomålen har gjorts av organisationen noyb rörande företag i 30 olika EU- och EES-länder som fortfarande överför uppgifter om webbplatsbesökare till Google och Facebook (läs mer om detta här). EDPB kommer…

Spanien: 75 000 euro i böter för behandling utan rättslig grund

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Telefónica Móviles España, SAU med 75 000 euro för brott mot artikel 6.1 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Telefónica Móviles España behandlat en registrerads personuppgifter utan rättslig grund och att den registrerade fått 534 oönskade…

Spanien: 100 000 euro i böter för fortsatt kommunikation trots begäran om radering

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Vodafone España, SAU med 100 000 euro för brott mot artikel 6 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Vodafone España fortsatt att skicka e-postmeddelanden till den registrerade, trots att individen tidigare…

Kunskap: Vad är profilering?

Profilering används i allt flera offentliga och privata verksamheter som till exempel banker, försäkringar, myndigheter, vårdgivare och sociala nätverk. Någonting som regelbundet glöms bort är att dataskyddsförordningen (”GDPR”) innehåller strikta regler för profilering och att bristande regelefterlevnad kan leda till höga sanktionsavgifter. Enligt artikel 4.4 i GDPR avser profilering automatiserad behandling av…

Polen: UODO:s beslut om att bötfälla borgmästaren i Aleksandrów Kujawski var korrekt

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (“UODO”) meddelar att myndighetens beslut om att bötfälla borgmästaren i staden Aleksandrów Kujawski med 40 000 PLN för brott mot artiklarna 5.1 (a), 5.1 (b) och 5.1 (f) i dataskyddsförordningen (“GDPR”) varit…

Sverige: Datainspektionen och PTS tecknar överenskommelse om samverkan

Datainspektionen meddelar att myndigheten tecknat en överenskommelse om samverkan med Post- och telestyrelsen (“PTS”). Enligt de båda myndigheternas generaldirektörer har Datainspektionen och PTS närliggande uppdrag och gemensamma utmaningar, varför de nu fördjupar sitt samarbete…

Frankrike: CNIL uttalar sig om Pulse Secures dataintrång

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har publicerat ett uttalande efter Pulse Secure LLC:s anmälan om inträffad personuppgiftsincident som orsakats av en ransomware-attack på företagets virtuella nätverksprodukter. Enligt CNIL har angriparna utnyttjat att företaget…

Spanien: 5 000 euro i böter för Federación de Baloncesto Castilla y León

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Federación de Baloncesto Castilla y León med 5o 000 euro för brott mot artikel 6.1 och 5.1 (f) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att basketförbundet olovligen delat en registrerads personuppgifter med…

Spanien: 50 000 euro i böter för brott mot principen om ändamålsbegränsning

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Bankia SA med 5o 000 euro för brott mot artikel 5.1 (b) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Bankia behållt en registrerads personuppgifter i mer än 16 år trots att personen inte längre var kund hos banken…

Danmark: Datatilsynet godkänner Velliv, Pension & Livsforsikrings svar på begäran om rätten till tillgång

Den danska dataskyddsmyndigheten Datatilsynet har fattat ett beslut om att försäkringsbolaget Velliv, Pension & Livsforsikring A/S svarat korrekt på en registrerads begäran om rätten till tillgång enligt artikel 15 i dataskyddsförordningen (”GDPR”). Av beslutet…

Frankrike: CNIL varnar arbetsgivare för användning av fotografier vid övervakning av personalens arbetstid

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har utfärdat formella varningar till offentliga och privata organisationer för att säkerställa att arbetsgivarans användning av fotografier för övervakning av personalens arbetstid följer…

Danmark: Datatilsynet uttrycker allvarlig kritik mot Høje-Taastrup kommun för misslyckand radering

Den danska dataskyddsmyndigheten Datatilsynet har i ett beslut uttryckt allvarlig kritik mot Høj-Taastrup kommun i ett ärende som rör radering då det tog nästan ett år innan kommunens personuppgiftsbiträde raderat en medborgares uppgifter. Bakgrunden till beslutet avser en…

Tyskland: BSI uppdaterar sina rekommendationer för kryptering och kvantdatorer

Tysklands statliga myndighet för informationssäkerhet, Das Bundesamt für Sicherheit in der Informationstechnik (“BSI”), har uppdaterat sina rekommendationer för kryptering och kvantdatorer. Rekommendationerna innehåller åtgärder för att minimera hot mot befintliga krypteringsalgoritmer som kommer med…

Danmark: Datatilsynet utreder IT-fel vid Udrejsecenter Kærshovedgård

Den danska dataskyddsmyndigheten Datatilsynet inleder ett ärende angående ett IT-fel vid Udrejsecenter Kærshovedgård, en händelse som nämnts i flera medier. Enligt mediatäckningen har felet inträffat i samband med loggning av webbplatsens invånare. Felet kan ha resulterat i att avvisade asylsökande dömdes…

Tyskland: Tysk dataskyddsmyndighet överklagar beslut om tolkning av begreppet hälsouppgifter

Dataskyddsmyndigheten i Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”), har i ett pressmeddelande meddelat att myndigheten överklagat ett beslut som fattats av Hamburgs förvaltningsdomstol (nedan kallad…

Analys: Säkerhetsåtgärder vid användning av Office 365

Microsoft Office 365 har blivit en populär molntjänst bland myndigheter, regioner, kommuner och andra offentliga verksamheter. Men användning av Office 365 kan leda till säkerhetsrisker om tjänsten används i sin standardkonfiguration. Samtidigt ställer dataskyddsförordningen (“GDPR”) och annan lagstiftning höga krav på säkerhetsåtgärder…

Tyskland: Tysk dataskyddsmyndighet publicerar vägledning efter Schrems II-målet

Dataskyddsmyndigheten i Baden-Württemberg, Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (“LfDI Baden-Württemberg”), har publicerat en vägledning avseende tredjelandsöverföringar och användningen av EU-kommissionens standardavtalsklausuler (“SCC”) efter…

Danmark: Tillsyn över att informationsskyldigheten efterlevs

Den danska dataskyddsmyndigheten Datatilsynet har genomfört fem planerade tillsynsinspektioner av tre offentliga myndigheter respektive två privata företag med fokus på att kontrollera om informationsskyldigheten mot anställda har efterlevts. Inspektionerna inriktades även på huruvida myndigheternas och företagens…

Tyskland: Tysk dataskyddsmyndighet begär information om Clearview AI:s behandling av biometriska uppgifter

Dataskyddsmyndigheten i Hamburg, Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (“HmbBfDI”), har i ett pressmeddelande meddelat att myndigheten skickat en formell begäran till Clearview AI, Inc…

Storbritannien: Grupptalan mot hotellgruppen Marriott International

En grupptalan har väckts mot hotellgruppen Marriott International. Talen gäller den personuppgiftsincident som pågick under perioden juli 2014 och september 2018 och som omfattade cirka 500 miljoner gästers personuppgifter runt om i världen, inklusive cirka 30 miljoner invånare i EU. Den aktuella grupptalan…

Analys: Google Analytics kräver ett samtycke enligt GDPR

Google Analytics är en kostnadsfri tjänst som Google tillhandahåller webbplatsinnehavare. Verktyget gör det möjligt att samla in uppgifter om webbplatsbesökarnas beteende som till exempel vilka sidor som besöks mest, hur besökare klickar sig genom webbplatsen och orten där besökarna befinner sig. Beroende på tjänstens konfiguration är det även möjligt att kartlägga…

Danmark: Personuppgiftsincident hos danska Datatilsynet

I början av augusti fick den danska dataskyddsmyndigheten Datatilsynet kännedom om att ett dataintrång inträffat i myndighetens egna lokaler i Valby. Händelsen gäller fysiska dokument som kan ha innehållit konfidentiell och känslig information om bland annat medborgare och anställda. De fysiska dokumenten lagras normalt elektroniskt…

Tyskland: Tidningars användning av spårningsteknologi granskas

Dataskyddsmyndigheten i Baden-Württemberg Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (“LfDI”) har i ett pressmeddelande meddelat att myndigheten, i samarbete med andra regionala dataskyddsmyndigheter i Tyskland, kommer att undersöka användningen av spårningstekniker på olika tidningars webbplatser…

Webbinarium: Office 365 – rättsliga krav och risker

Microsoft Office 365 är en populär molntjänst för kontorsstöd bland företag, myndigheter och andra organisationer. De fördelar som ofta anförs med Office 365 är sänkta kostnader, högre säkerhet och ökad effektivitet genom bättre funktioner för samarbete. Samtidigt finns det ett flertal rättsliga krav vid användning av Office 365 och regelbrott kan leda till höga sanktionsavgifter…

Sverige: Förvaltningsrätten avslår överklagande om ansiktsigenkänning

Förvaltningsrätten har den 14 augusti 2020 beslutat att avslå gymnasienämnden i Skellefteå kommuns överklagande av Datainspektionens beslut i fråga om ansiktsigenkänning på en skola (läs mer om Datainspektionens beslut här). Datainspektionen beslutade den 20 augusti 2019 att gymnasienämnden i Skellefteå kommun…

Spanien: 1 500 euro i böter för oönskade marknadsföringssamtal

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Tour & People Max S.L. med 1 500 euro för brott mot artikel 48.1 (b) i lag 9/2014, av den 9 maj 2014, om telekommunikation. Av beslutet framgår att en registrerad, trots att denne spärrat sitt telefonnummer från marknadsföringssamtal, fått ett samtal från Tour & People Max…

Spanien: 75 000 euro i böter för olaglig behandling av telefonnummer efter begäran om radering

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Vodafone España SAU med 75 000 euro för brott mot artikel 6.1 i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Vodafone España olagligt behandlat en registrerads telefonnummer för… 

Sverige: Datainspektionen godkänner BCR för Tetra Pak-koncernen

Datainspektionen meddelar att de för första gången som ansvarig dataskyddsmyndighet godkänt bindande företagsbestämmelser (Binding Corporate Rules, “BCR”) enligt EU:s dataskyddsförordning (“GDPR”). BCR är regler som multinationella koncerner kan ta fram för att reglera sin behandling av personuppgifter…

Spanien: 5 000 euro i böter för brott mot principen om ändamålsbegränsning

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Socialistpartiet i Katalonien med 5 000 euro för brott mot artikel 5.1 (b) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att Socialistpartiet i Katalonien använt uppgifter från en läkare för att skicka brev till registrerades…

Österrike: noyb har lämnat in 101 klagomål på överföringar mellan EU och USA

Organisationen noyb har gjort en snabb analys av källkoden tillhörandes flera stora företags webbsidor inom EU. Granskningen visar  visar att många företag fortfarande använder Google Analytics eller Facebook cirka en månad efter EU-domstolens beslut i mål C-311/18 (Schrems II-målet), trots att både Google och Facebook…

Analys: Facebook Custom Audiences kräver ett samtycke enligt GDPR

Facebook Custom Audiences är en populär tjänst för direktmarknadsföring som används av många företag och andra organisationer. Enligt dataskyddsförordningen (“GDPR”) krävs ett samtycke för användning av tjänsten. Facebook Custom Audiences (anpassade målgrupper på svenska) är en tjänst för anpassad…

Nederländerna: The Privacy Collective har inlett en grupptalan mot Oracle och Salesforce

Den nederländska organsiationen The Privacy Collective har stämt teknikjättarna Oracle och Salesforce för att ha åsidosatt dataskyddsförordningens (“GDPR”) krav för företagens behandling och delning av personuppgifter för direktmarknadsföringsändamål. The Privacy…

Kunskap: Anonymisering och pseudonymisering av personuppgifter

Dataskyddsförordningen (“GDPR”) gäller endast för uppgifter som direkt eller indirekt kan användas för att identifiera en individ. Anonym information omfattas således inte av GDPR. Inte heller personuppgifter som anonymiserats på ett sådant sätt att individer inte längre är identifierbara omfattas av GDPR. Utveckling av nya produkter…

Sverige: Regeringen föreslår en ny lag om tystnadsplikt för privata tjänsteleverantörer

Regeringen föreslår en ny lag om tystnadsplikt för privata tjänsteleverantörer. Lagen ska gälla när en myndighet, eller ett organ eller en verksamhet som jämställs med en myndighet, genom utkontraktering uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter. Så kan exempelvis vara fallet vid…

Storbritannien: 100 000 pund i böter för direktmarknadsföring utan samtycke

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt Koypo Laboratories Limited med 100 000 pund för brott mot direktivet om integritet och elektronisk kommunikation (“e-Privacy-direktivet”). Av besluten framgår att Koypo Laboratories Limited med 100 000 pund för brott mot…

Finland: Euroclear beordras att inte lämna ut information om för direktmarknadsföring

Den finska dataskyddsmyndigheten Tietosuojavaltuutetun toimisto (“Dataombudsmannens byrå”) har beordrat Euroclear Finland Oy att anpassa sin verksamhet i fråga om offentliggörande av en aktieägarförteckning efter reglerna i dataskyddsförordningen (“GDPR”)…

Analys: Office 365 och sekretessbelagda uppgifter

Microsoft Office 365 har blivit en populär molntjänst bland myndigheter, regioner, kommuner och andra offentliga verksamheter. Men användning av Office 365 ökar risken för att sekretessbelagda uppgifter röjs i strid med offentlighets- och sekretesslagen (”OSL”). Myndigheter och andra offentliga verksamheter hanterar vanligtvis stora mängder…

Danmark: Datatilsynet uppdaterar vägledning om register över behandling enligt artikel 30 i GDPR

Den danska dataskyddsmyndigheten Datatilsynet har uppdaterat sin vägledning om register över behandling enligt artikel 30 i dataskyddsförordningen (“GDPR”). Vägledningen har uppdaterats för att klargöra att en lista över behandlingar måste ange vilka kategorier av registrerade den aktuella informationen…

Storbritannien: 80 000 pund i böter för oönskad direktmarknadsföring

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har bötfällt Rain Trading Ld med 80 000 pund för brott mot direktivet om integritet och elektronisk kommunikation (“e-Privacy-direktivet”). Av beslutet framgår att Rain Trading, mellan 1 januari 2018 och 29 november 2018, gjort 270 774 oönskade direktmarknadsföringssamtal till abonnenter…

Norge: Datatilsynet fattar beslut om rättelse av betyg

Den norska dataskyddsmyndigheten Datatilsynet har fattat beslut om att International Baccalaureate Organization (“IBO”) har behandlat personuppgifter på ett orättvist sätt och att årets betygsättning är felaktig. Av beslutet framgår att elever, utan förklaring, fått betydligt lägre betyg än de räknat med. Anledningen till att betygen…

EU: EU-kommissionen och det amerikanska handelsdepartementet inleder diskussioner efter Schrems II-målet

EU-kommissionen och U.S. Department of Commerce (amerikanska handelsdepartementet) har inlett diskussioner för att utvärdera möjligheterna avseende ett nytt förbättrat Privacy Shield-ramverk med anledning av EU-domstolens beslut i…

Analys: Krävs ett samtycke för användning av Office 365?

För att det ska vara lagligt att behandla personuppgifterna måste det antingen finnas ett samtycke från den registrerade eller någon annan legitim grund som definieras i GDPR. Utan en rättslig grund är personuppgiftsbehandlingen inte laglig. Det finns sex olika rättsliga grunder för behandling av vanliga…

Analys: Vilka cookies kräver ett samtycke?

I dagsläget är det nästintill omöjligt att driva en webbplats utan att använda cookies eller liknande teknologier (“cookies”) som pixlar eller digitala fingeravtryck. Men kräver användning av cookies per automatik att man måste hämta in ett samtycke från webbplatsbesökarna? Det korta svaret på denna fråga är nej…

Världen: ITA uppdaterar FAQ om Privacy Shield

The U.S. Department of Commerce’s International Trade Administration (“ITA”) har uppdaterat sin webbplats med svar på vanligt ställda frågor (“FAQ”) om EU-domstolens beslut i Schrems II-målet (C-311/18) och Privacy Shield-ramverket. ITA betonar att företag som tagits upp på ITA:s lista inte befrias från sina skyldigheter enligt Privacy Shield…

Rumänien: 9 680 RON i böter för otillräckligt svar på begäran om radering

Den rumänska dataskyddsmyndigheten Autoritatea Națională de Supraveghere (“ANSPDCP”) har bötfällt operatören SCON Viva Credit IFN SA med 9 680 RON (ca 2 000 euro) för brott mot artikel 17 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Viva Creditinte inte tillräckligt svarat på…

Rumänien: 9 686,60 RON i böter för otillräckliga säkerhetsåtgärder

Den rumänska dataskyddsmyndigheten Autoritatea Națională de Supraveghere (“ANSPDCP”) har bötfällt Romanian Post National Company med 9 686,60 RON (ca 2 000 euro) för brott mot artikel 32 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Romanian Post implementerat otillräckliga tekniska och organisatoriska… 

Analys: Office 365, GDPR och OSL – rättsliga krav och risker

Microsoft Office 365 har blivit en populär molntjänst för kontorsstöd bland företag, myndigheter och andra organisationer. De fördelar som ofta anförs med Office 365 är sänkta kostnader (till följd av att färre resurser behövs för drift samt att on-premise-licenser blir allt dyrare), högre säkerhet (eftersom det är svårt att tävla med ledande företag…

EU: EFPIA betonar vikten av internationella överföringar inom hälsosektorn

The European Federation of Pharmaceutical Industries and Associations (“EFPIA”) har publicerat ett uttalande om EU-domstolens beslut i Schrems II-målet (C-311/18). EFPIA uppmanar de europeiska myndigheterna att samarbeta med amerikanska myndigheter för att hitta en långsiktig lösning på…

EU: EDPS om kvantdatorers konsekvenser för den personliga integriteten

Den Europeiska Datatillsynsmannen (“EDPS”) har publicerat ett inlägg om kvantdatorer och kryptering. Av inlägget framgår att kvantdatorer kan vara mycket fördelaktiga för den vetenskapliga utvecklingen på grund av det nya, snabba sättet att lösa specifika problem, men att det också finns…

Spanien: 3 000 euro i böter för bristande information om cookies

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Grow Beats, SL med 3 000 euro för brott mot direktivet om integritet och elektronisk kommunikation (“e-Privacy-direktivet”). Av beslutet framgår att Grow Beats publicerat en cookiepolicy på sin webbplats, där det första lagret…

Spanien: 3 000 euro i böter för brott mot e-Privacy-direktivet

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Just Landed, SL med 3 000 euro för brott mot direktivet om integritet och elektronisk kommunikation (“e-Privacy-direktivet”) och artikel 13 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att en av Just Landeds webbplatser…

Sverige: Individer ska få ökad insyn och kontroll över sina personuppgifter

Regeringen ger Arbetsförmedlingen, E-hälsomyndigheten, Myndigheten för digital förvaltning och Skatteverket ett gemensamt uppdrag att genomföra en omvärldsanalys för att hitta de bästa lösningarna för att individer ska kunna få ökad insyn i, och när det är möjligt, kontroll över den data som finns om individen inom den offentliga…

Sverige: Undantag från tillstånd för kamerabevakning i kollektivtrafiken

Från och med den 1 augusti 2020 kan aktörer i kollektivtrafiken i vissa fall slippa att ansöka om tillstånd för kamerabevakning, skriver Datainspektionen på sin webbplats. Undantaget gäller när bevakningen ska ske i brottsförebyggande syfte eller för att förhindra eller upptäcka störningar av allmän ordning och säkerhet eller olyckor…

Storbritannien: ICO uppdaterar information inför Brexit

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har uppdaterat myndighetens information för att hjälpa företag och andra organisationer att förbereda sig inför Storbritanniens formella utträde ur EU den 31 december 2020. Materialet innehåller information hur företag och organisationer…

Storbritannien: ICO publicerar vägledning om AI och dataskydd

Den brittiska dataskyddsmyndigheten The Information Commissioner’s Office (“ICO”) har publicerat vägledning om artificiell intelligens (“AI”) och dataskydd. Simon McDougall (Deputy Commissioner – Regulatory Innovation and Technology, ICO) skriver i ett blogginlägg om vikten med vägledning gällande AI och dataskydd…

Danmark: Datatilsynet uttrycker kritik mot MaCom för att ha överlämnat gymnasieelevers provsvar

Den danska dataskyddsmyndigheten Datatilsynet har fattat ett beslut i ett fall där tre högskolor anmält ett dataintrång till den danska dataskyddsmyndigheten angående MaCom A/S som, i egenskap av personuppgiftbiträde, vidarebefordratlämnat ut delar av…

Spanien: 60 000 euro i böter för behandling utan registrerades samtycke

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Vodafone España, SAU med 60 000 euro för brott mot artikel 6 i dataskyddsförordningen (”GDPR”). Av beslutet framgår enskilda individer fått ett meddelande från Vodafone España som tackat…

Finland: 7 000 euro i böter för direktmarknadsföring och bristande efterlevnad av registrerades rättigheter

Den finska dataskyddsmyndigheten Tietosuojavaltuutetun toimisto (“Dataombudsmannens byrå”) har beslutat att bötfälla Acc Consulting Varsinais-Suomelle (“Independent Consulting Oy”) med 7 000 euro…

Danmark: Användning av fingeravtryck godkänns i syfte att identifiera anställda

Den danska dataskyddsmyndigheten Datatilsynet har fattat ett beslut i ett fall där ett fackförbund på uppdrag av en föreningsmedlem klagat över att ett företag behandlat fingeravtryck för att unikt identifiera när anställda kommer och lämnar arbetsplatsen. Enligt företaget motiverades…

Danmark: Datatilsynet uttrycker allvarlig kritik för underlåtenhet att utföra riskbedömning av IT-system

Den danska dataskyddsmyndigheten Datatilsynet uttrycker allvarlig kritik mot Region Syddanmark för att inte ha genomfört nödvändig riskbedömning och testning vid utveckling av ett nytt IT-system, vilket lett till obehörig åtkomst av gravida kvinnors namn, personnummer…

Rumänien: 24 180 RON i böter för otillräckliga säkerhetsåtgärder

Den rumänska dataskyddsmyndigheten Autoritatea Națională de Supraveghere (“ANSPDCP”) har bötfällt flygbolaget SC Cntar Tarom SA med 28 180 RON (ca 5 000 euro) för brott mot artikel 32 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Tarom implementerat otillräckliga tekniska och organisatoriska… 

Frankrike: 250 000 euro i böter för Spartoo för brott mot GDPR

Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt Spartoo SAS med 250 000 euro för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att Spartoo, vid bearbetning av data för utbildning av anställda och bedrägeribekämpning, brutit mot principen om uppgiftsminimering…

EU: EU-kommissionen inleder utredning av Googles förvärv av Fitbit

EU-kommissionen har inlett en djupgående utredning av Google LLC:s föreslagna förvärv av Fitbit Inc. EU-kommissionen framhöll särskilt en oro för att det föreslagna förvärvet ytterligare kommer att stärka Googles position på marknaden för onlineannonsering genom att öka mängden…

Danmark: 1 100 000 danska kronor i böter för att inte ha raderat kundprofiler

Den danska dataskyddsmyndigheten Datatilsynet har bötfällt Arp-Hansen Hotel Group A/S med 1 100 000 danska kronor för brott mot artikel 5.1 (e) i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Datatilsynet vid ett tillsynsbesök i Arp-Hansen Hotel Group granskat ett antal system…

Danmark: 150 000 danska kronor i böter bristande säkerhetsåtgärder

Den danska dataskyddsmyndigheten Datatilsynet har polisanmält PrivatBo AmbA och rekommenderar böter på 150 000 danska kronor för brott mot artikel 32 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att PrivatBo, som förvaltningsbolag, bistått en bostadsfond med en planerad försäljning av tre fastigheter. Inför försäljningen…

Analys: Behandlas personuppgifter i Office 365?

Ett vanligt förekommande påstående är att man kan använda Office 365 utan att behandla personuppgifter. Men detta stämmer inte. Tittar man närmare på vilken data som behandlas i Office 365 inser man snabbt att all användning av Office 365 innebär en behandling av personuppgifter. I denna artikel förklarar vi varför…

EU: EU-kommissionen inleder samråd om AI-lag

EU-kommissionen har inlett ett samråd om ett förslag till lag för artificiell intelligens (”AI”). Enligt EU-kommissionen är det övergripande politiska målet med en reglering av AI att säkerställa laglig och pålitlig utveckling och utnyttjande av AI över hela den inre europeiska marknaden genom att skapa ett ekosystem av förtroende…

Spanien: 5 000 euro i böter för olagligt inhämtande av samtycke

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt El Real Sporting de Gijón S.A.D. med 5 000 euro för brott mot artikel 7 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att El Real Sporting de Gijón skickat sina medlemmar ett formulär för inhämtande av samtycke för…

Ungern: Google bötfälls med 10 000 HUF för brott mot rätten till tillgång

Den ungerska dataskyddsmyndigheten Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH”) har bötfällt Google Ireland Ltd med 10 000 HUF för brott mot artiklarna 12.3 och 15 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Google åsidosatt en registrerads rätt att få tillgång till de personuppgifter…

Spanien: 5 000 euro i böter för bristande samarbete med tillsynsmyndighet

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Xfera Móviles SA med 5 000 euro för brott mot artikel 58.1 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att AEPD efter ett klagomål från en registrerad beordrat…

Norge: Datatilsynet har publicerat frågor och svar angående Schrems II-målet

Den norska dataskyddsmyndigheten Datatilsynet har publicerat frågor och svar om EU-domstolens beslut i mål C-311/18 (“Schrems II-målet”). Datatilsynet ger rekommendationer för vad som gäller vid överföring av personuppgifter till USA och andra tredjeländer, vilka skyldigheter mottagare av personuppgifter…

Analys: PimEyes Face Search – slutet för vår personliga integritet?

Det polska företaget PimEyes har tagit fram en gratistjänst för ”Face Search” som gör det möjligt för dig att identifiera vem som helst (och för vem som helst att identifiera dig). Allt som krävs är du att laddar upp en bild av den person som ska identifieras. Den bakomliggande teknologin för tjänsten är ansiktsigenkänning som…

Kurs: Uppdaterat kursinnehåll med anledning av Schrems II-målet

Med anledning av EU-domstolens beslut har vi omarbetat innehållet i vår kurs GDPR – Molntjänster i privat & offentlig sektor som erbjuds på distans under hösten. Under kursen tittar vi närmare på hur molntjänster ska hanteras enligt reglerna i dataskyddsförordningen (“GDPR”), men vi kommer också beröra andra regelverk…

EU: EU-kommissionen publicerar EU-strategi för säkerhetsunionen 2020–2025

EU-kommissionen publicerade den 24 juli en ny EU-strategi för säkerhetsunionen för perioden 2020–2025 (“strategin”) med inriktning på prioriterade områden där EU kan ge stöd till medlemsstaterna för att främja säkerheten för alla som bor i Europa. Strategin fokuserar på att bekämpa terrorism…

Kunskap: Vad är Foreign Intelligence Surveillance Act (FISA)?

Foreign Intelligence Surveillance Act (“FISA”) är en amerikansk lag som introducerades 1978 och som har uppdaterats flera gånger sedan 11 september-attackerna. FISA reglerar insamling av ”foreign intelligence information” för ändamål som är relaterade till nationell säkerhet. Metoderna som får användas av amerikanska myndigheter…

Spanien: 55 000 euro i böter för olaglig hantering av telefonabonnemang

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Telefónica Móviles España SAU med 70 000 euro för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att Telefónica Móviles España behandlat en enskild…

Spanien: 70 000 euro i böter för olaglig fakturering

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Telefónica Móviles España SAU med 70 000 euro för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att Telefónica Móviles España debiterat en enskild person för två…

EU: EDPB har publicerat vägledande kommentarer i Schrems II-målet

Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat vägledande kommentarer i form av en FAQ om EU-domstolens beslut i Schrems II-målet (C-311/18). EDPB:s kommentarer syftar i huvudakt till att ge svar på några vanliga frågor som kommit in från olika tillsynsmyndigheter…

Kunskap: Vilka är EDPB?

Europeiska dataskyddsstyrelsen (European Data Protection Board, “EDPB”) är ett oberoende europeiskt organ som bidrar till en enhetlig tillämpning av dataskyddsregler i hela Europeiska unionen (“EU”) och främjar samarbete mellan EU:s dataskyddsmyndigheter. EDPB strävar efter att säkerställa en enhetlig tillämpning av GDPR…

Spanien: 75 000 euro i böter för nummerportering utan samtycke

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Telefónica Móviles España SAU med 75 000 euro för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att Telefónica Móviles España utfört nummerportering…

Spanien: 10 000 euro i böter för brott mot rätten till radering

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Periódico de Catalunya, S.L.U. med 10 000 euro för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att El Periódico de Catalunya, efter en begäran om radering…

Kunskap: Vad är en molntjänst?

Det finns olika definitioner för begreppet molntjänst. En vedertagen definition som har tagits fram av NIST är följande: en molntjänst är en modell för att vid behov möjliggöra allmänt tillgänglig och behändig nätverksaccess till en delad och gemensam mängd av konfigurerbara datorresurser (exempelvis nätverk, servrar, datalagring, datorprogram och tjänster) som snabbt kan göras tillgängliga och frigöras med…

Spanien: 1 500 euro i böter för otillräcklig information i samband med kamerabevakning

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Comercial Vigobrandy, SL. med 1 500 euro för brott mot dataskyddsförordningen (”GDPR”). Comercial Vigobrandy har tillhandahållit otillräcklig…

Spanien: 80 000 euro i böter för olaglig aktivering av telefonavtal

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Orange Espagne S.A.U. med  80 000 euro för brott mot dataskyddsförordningen (”GDPR”). Orange Espagne hade olagligt aktiverat flera telefonavtal med hjälp av den registrerades…

Spanien: 24 000 euro i böter för behandling utan rättslig grund

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Banco Bilbao Vizcaya Argentaria, SA (”BBVA”) med  24 000 euro för brott mot artikel 6.1 i dataskyddsförordningen (”GDPR”). BBVA behandlade en registrerads kreditinformation…

EU: EDPB har tagit fram information om bindande företagsbestämmelser (BCR) efter Brexit

Den Europeiska Dataskyddsstyrelsen (“EDPB”) har tagit fram information om vilka åtgärder som måste vidtas av de företag som har eller har haft Storbritanniens dataskyddsmyndighet Information Commissioner’s Office (“ICO”) som ansvarig…

EU: EDPB har publicerat riktlinjer för förhållandet mellan GDPR och PSD2

Den Europeiska dataskyddsstyrelsen (“EDPB”) har publicerat riktlinjer för förhållandet mellan dataskyddsförordningen (“GDPR”) och det andra betaltjänstdirektivet (“PSD2”). Det är möjligt att lämna synpunkter på förslaget fram till den 16 september 2020. Payment Service Directive, eller PSD2 är ett EU-direktiv med syfte att utveckla marknaden…

Analys: Överföring av personuppgifter till Storbritannien efter Schrems II-målet och Brexit

Hittills har mycket av diskussionerna om förra veckans beslut från EU-domstolen i Schrems II-målet (C-311/18) fokuserat på konsekvenserna vid överföring av personuppgifter till USA och andra tredjeländer. En intressant fråga i sammanhanget…

Kunskap: Vad är CLOUD Act?

US CLOUD Act (Clarifying Lawful Overseas Use of Data Act eller kort Cloud Act) är en amerikansk lag som antogs 2018 av USA:s kongress. Lagen gör det möjligt för amerikanska myndigheter att begära ut data som lagras utanför USA:s territorium från tjänsteleverantörer som omfattas av USA:s jurisdiktion. Syftet med lagen är att underlätta…

EU: Tillsynsmyndigheters uttalanden om Schrems II-målet

EU-domstolen ogiltigförklarar beslut 2016/1250 om huruvida adekvat skyddsnivå kan säkerställs genom Privacy Shield vid överföring till USA. Däremot konstaterar domstolen att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden…

Tyskland: Tysk dataskyddsmyndighet avråder från molntjänstleverantörer i USA

Berlins tillsynsmyndighet Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (“BlnBDI”) uppmanar alla personuppgiftsansvariga etablerade i Berlin, och som lagrar personuppgifter i USA, att ta tillbaka personuppgifterna till Europa. BlnBDI påpekar särskilt att personuppgifter…

Belgien: 600 000 euro i böter för Google

Den belgiska dataskyddsmyndigheten DPA har bötfällt Google med 600 000 euro, myndighetens högsta böter hittills, för att inte ha respekterat en belgisk medborgares rätt att bli bortglömd. Den belgiska medborgaren, som är en offentlig person i Belgien, bad Google Belgien att ta bort sökresultat…

Tyskland: Matleveransföretaget Foodora utsatt för dataintrång

Matleveransföretaget Foodora har utsatts för ett dataintrång där en databas med över 480.000 kunder läckt. Av dessa finns 25.000 svenskar med bland de drabbade. Databasen som läckt från Foodora innehåller bland annat e-postadresser. Även lösenord finns med men i en form som är krypterad…

Spanien: 70 000 euro i böter för felskickad faktura

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Xfera Móviles SA med 70 000 euro för brott mot artikel 5.1 ( f) i den allmänna dataskyddsförordningen (“GDPR”). Av beslutet framgår att en av Xfera Móviles kunder mottagit…

Spanien: 40 000 euro i böter för brott mot rätten till tillgång

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt företaget Iberia Lae SA Operadora Unipersonal med 40 000 euro för brott mot rätten till tillgång i den allmänna dataskyddsförordningen (“GDPR”). Av beslutet framgår att Iberia Lae inte gett en…

Analys: Risk för böter vid användning av molntjänster från USA

Förra veckan slog EU-domstolen fast att personuppgifter inte länge kan överföras till USA med stöd av Privacy Shield mot bakgrund av den omfattande lagstiftning för övervakning som finns i USA (C-311/18, “Schrems II-målet”). Domen påverkar alla verksamheter som använder…

Kunskap: Vad menas med adekvat skyddsnivå enligt GDPR?

Genom dataskyddsförordningen (GDPR) har alla EU:s medlemsstater ett likvärdigt skydd för personuppgifter och personlig integritet. Detta gäller även EES-länderna. Därför kan personuppgifter föras över fritt inom området utan begränsningar. Utanför EU/EES däremot finns inga generella…

Italien: 16.7 miljoner euro i böter för olaglig direktmarknadsföring

Den italienska dataskyddsmyndigheten Garante har bötfällt Wind Tre S.p.A. (Wind Tre) med 16,7 miljoner euro för olaglig direktmarknadsföring. Garante meddelade den 13 juli 2020 att myndigheten hade utfärdat ett beslut om att bötfälla Wind Tre för flera olagliga personuppgiftsbehandlingar…

Spanien: 10 000 euro i böter för olaglig användning av cookies

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Esplora Proyectos S.L. med 10 000 euro olaglig hantering av cookies. Av beslutet framgår att Esplora Proyectos tre webbplatser installerat cookies på användarnas enheter utan att förtaget informerat…

EU: EU-domstolen ogiltigförklarar Privacy Shield i Schrems II-målet

EU-domstolen ogiltigförklarar beslut 2016/1250 om huruvida adekvat skyddsnivå kan säkerställs genom Privacy Shield vid överföring till USA. Däremot konstaterar domstolen att kommissionens beslut 2010/87 om standardavtalsklausuler för överföring av personuppgifter till personuppgiftsbiträden…

Italien: 200 000 euro i böter för olaglig direktmarknadsföring

Den italienska dataskyddsmyndigheten Garante har bötfällt Wind Tre S.p.A. (Wind Tre) med 16,7 miljoner euro för olaglig direktmarknadsföring. Garante meddelade den 13 juli 2020 att myndigheten hade utfärdat ett beslut om att bötfälla Wind Tre för flera olagliga personuppgiftsbehandlingar…

EU: EU-kommissionen ger vägledning inför Brexit

EU-kommissionen har tagit fram material om hur medborgare, myndigheter och företag ska förbereda sig inför att Storbritannien lämnar EU den 1 januari 2021. Av materialet framgår bland annat att överföringar av personuppgifter till Storbritannien kan fortsätta, men att de måste följa dataskyddsförordningens…

Webbinarium: Schrems II-målets praktiska konsekvenser på tredjelandsöverföringar till USA

EU-domstolen meddelade den 16 juli 2020 dom i mål C-311/18 (Schrems II-målet) att personuppgifter inte längre lagligen kan överföras till USA med stöd av Privacy Shield-ramverket. EU-domstolen meddelande även EU-kommissionens…

Italien: 800 000 euro i böter för brott mot GDPR

Den italienska dataskyddsmyndigheten Garante meddelade den 13 juli 2020 att de utfärdat ett beslut som bötfäller Iliad Italia SpA med 800 000 euro för brott mot artiklarna 5 och 25 i den allmänna dataskyddsförordningen GDPR, samt förordning (EU) 2016/679 som innehåller bestämmelser…

Nederländerna: 830 000 euro i böter för otillräckliga rutiner

Den nederländska dataskyddsmyndigheten AP har bötfällt Bureau Krediet Registration med 830 000 euro för otillräckliga rutiner för registrerades rätt till tillgång av personuppgifter enligt dataskyddsförordningen (GDPR). AP meddelade den 6 juli 2020 sitt beslut att bötfälla…

Norge: 500 000 norska kronor i böter till Rælingen kommun

Den norska dataskyddsmyndigheten Datatillsynet har bötfällt Rælingen kommun med 500 000 norska kronor. Avgiften ges efter att hälsoinformation om barn på en anpassad avdelning behandlats i den digitala inlärningsplattformen Showbie. Överträdelsen involverar 15 elever…

Tyskland: GDPR-checklista för digitala möten och videokonferenser

Berlins motsvarighet till svenska Datainspektionen (Berliner Beauftragte für Datenschutz und Informationsfreiheit) har nyligen publicerat en checklista för användningen av tjänster för digitala möten och videokonferenser. Myndigheten rekommenderar följande tillvägagångssätt…

Kunskap: När får jag överföra personuppgifter till tredjeländer?

Överföring av personuppgifter till tredjeland är både vanligt och önskvärt för många företag och organisationer. Det beror inte minst på att verksamheter idag ofta använder sig av till exempel molnlagringstjänster som inte sällan är placerade utanför EU/EES. I dataskyddsförordningen (“GDPR”)…

Tyskland: Tysk dataskyddsmyndighet sågar digitala mötestjänster

Berlins motsvarighet till svenska Datainspektionen (Berliner Beauftragte für Datenschutz und Informationsfreiheit) har i dagarna publicerat en granskningsrapport av mer än 15 digitala mötestjänster. Bland de tjänster som granskats finns bland annat Zoom, Microsoft Teams, Cisco…

Kunskap: Vad är en överföring till tredjeland enligt GDPR?

Dataskyddsförordningen (GDPR) förbjuder överföring av personuppgifter till tredjeländer utan laglig grund. Ett företag, myndighet eller annan organisation som överför personuppgifter till ett tredjeland utan laglig grund riskerar höga sanktionsavgifter. Men vad räknas egentligen som…

Danmark: 50 000 danska kronor i böter för Lejre kommun

Den danska dataskyddsmyndigheten Datatilsynet har bötfällt Lejre kommun med 50 000 danska kronor för att inte ha fullgjort sina skyldigheter som personuppgiftsansvarig och implementerat lämpliga säkerhetsåtgärder enligt dataskyddsförordningen (GDPR). Lejre kommuns avdelning Center…

EU: EDPS har granskat hur olika EU-myndigheter använder Microsoft

Den Europeiska Datatillsynsmannen (EDPS) har granskat hur olika EU-myndigheter använder produkter och tjänster från Microsoft. I rapporten har EDPS bland annat lämnat kritik på licensavtalen mellan EU:s och Microsoft, innehållet i de personuppgiftsbiträdesavtal som ingåtts…

Norge: 300 000 norska kronor i böter för olaglig kreditupplysning

Det norska dataskyddsmyndigheten Datatillsynet har bötfällt Odin Flissenter AS med 300 000 norska kronor. Ärendet gäller en otillåten kreditupplysning av ett enskilt företag. Det enskilda företaget kreditvärderades utan att det fanns någon form av kundrelation eller annan anknytning till Odin…

EU: Nytt förslag på e-Privacy-förordningen

Förra veckan presenterade en hög representant av det tyska ekonomidepartementet en ny färdplan för e-Privacy-förordningen som ska genomföras under det tyska EU-ordförandeskapet som började den 1 juli 2020. Enligt Stefan Schnorr, chef av avdelningen för digitaliserings- och innovationspolitisk…

Tyskland: 1,24 miljoner euro i böter för försäkringsbolag

Den tyska tillsynsmyndigheten för dataskydd i delstaten Baden-Württemberg har utfärdat sanktionsavgifter om 1,24 miljoner euro (motsvarande nästan 13 miljoner kronor) mot ett tyskt försäkringsföretag som tillhandahåller sjukförsäkringar. Företaget hade samlat in…

EU: Internationella överföringar av personuppgifter utmanas

Det är nu klart att EU-domstolen kommer att meddela sin dom om giltigheten av standardavtalsklausulerna den 16 juli 2020 (mål C-311/18). Domen kommer att avgöra huruvida standardavtalsklausulerna även fortsättningsvis kan användas som laglig grund för överföring av…

Sverige: Datainspektionen inleder granskning av ABB

Datainspektionen har tagit emot ett klagomål som rör hur ABB hanterar personuppgifter om arbetssökande och har nu inlett en granskning av företaget. I ett första steg ska tillsynsmyndigheten utreda om den är behörig att granska ABB som är en internationell koncern. Beroende på resultatet från den inledande granskningen…

Norge: 1,2 miljoner NOK i böter för otillräckliga säkerhetsåtgärder på sjukhuset Østfold HF

Den norska dataskyddsmyndigheten Datatilsynet har bötfällt sjukhuset Østfold HF med 1 200 000 norska kronor för brott mot artikel 32 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att Østfold HF under perioden 2013-2019 lagrat patientdata, inklusive känsliga uppgifter, som orsaken till sjukhusinläggning…

Sverige: 20 000 kr i böter för bostadsrättsförening

Datainspektionen har granskat hur en bostadsrättsförening använder kamerabevakning i sin fastighet och konstaterar att föreningen har gått för långt som spelat in ljud och kamerabevakat både entré och trapphus. Datainspektionens granskning visar att föreningen har totalt fyra bevakningskameror…

Finland: 100 000 euro i böter för bristande information

Den finska tillsynsmyndigheten Tietosuojavaltuutetun toimisto har beslutat att det ledande post- och logistikföretaget Posti Oy ska betala 100 000 euro i böter för sina brister med att tillhandahålla information till de registrerade i samband med Postis byte av adresstjänster…

Finland: 16 000 euro i böter för underlåtenhet att genomföra en konsekvensbedömning

Den finska tillsynsmyndigheten har beslutat att vattenförsörjnings- och vattenförvaltningsföretaget Kymen Vesi Oy ska betala böter på 16 000 euro då företaget underlåtit att genomföra en konsekvensbedömning avseende dataskydd och då de inte uppfyllt kraven på Privacy by Design och Privacy by Default…

Sverige: 120 000 kr i böter för felaktig publicering av känsliga personuppgifter på webben

Datainspektionen har utfärdat en sanktionsavgift på 120 000 kr mot Hälso- och sjukvårdsnämnden i Region Örebro län för felaktig publicering av känsliga personuppgifter på webben. Hälso- och sjukvårdsnämnden har publicerat känsliga personuppgifter om en patient som är intagen på rättspsykiatrisk klinik publicerats på regionens webbplats…

Belgien: 50 000 euro i böter för fel i valet av dataskyddsombud

Den belgiska dataskyddsmyndigheten har bötfällt ett företag med 50 000 euro för att företaget inte uppfyllde kraven för utnämning av dataskyddsombud. Det var under en utredning av en personuppgiftsöverträdelse som myndigheten upptäckte att chefen för företagets compliance, riskkontroll och internrevision var utsedd till dataskyddsombud…

Sverige: 200 000 kr i böter för sen anmälan om personuppgiftsincident

Datainspektionen har utfärdat en sanktionsavgift på 200 000 kr mot Statens servicecenter för att ha dröjt med att underrätta om en personuppgiftsincident. Datainspektionen har tagit emot flera anmälningar om en personuppgiftsincident som rör en felaktighet i Statens servicecenters system för lönehantering…

Webbinarium: Dataskyddskollen – senaste nytt på dataskyddsområdet

Att hålla sig uppdaterad inom området dataskydd och personlig integritet kan vara både svårt och tidskrävande. För att underlätta ditt arbete delar vi regelbundet med oss av aktuella nyheter och uppdateringar som sker inom dataskyddsområdet. Webbinariet ges löpande under året, så håll utkik efter nya datum. Välkommen att anmäla dig till vårt kostnadsfria webbinarium Dataskyddskollen – senaste nytt på dataskyddsområdet…

Sverige: Danska biträdesavtal kan användas i Sverige

Att ta fram och teckna biträdesavtal kan vara komplicerat och resurskrävande. Datainspektionen har därför meddelat att de standardavtalsklausuler som den danska dataskyddsmyndigheten har tagit fram också kan användas av verksamheter i Sverige. Verksamheterna väljer själva ifall de vill använda sig av klausulerna eller teckna egna biträdesavtal.

Webbinarium: GDPR, OSL och molntjänster – vad gäller?

I en värld som blir allt mer digitaliserad är det allt fler offentliga verksamheter som väljer att flytta sin behandling av data från det lokala datacentret till en molntjänst. Det finns många komplexa frågor kring molntjänster och de rör olika rättsområden som till exempel dataskyddsförordningen…

Sverige: 75 miljoner kronor i böter mot Google

Datainspektionen har bötfällt Google LLC med 75 miljoner kronor för brott mot dataskyddsförordningen (”GDPR”). Av beslutet framgår att Datainspektionen 2017 blev klar med en granskning av hur Google hanterar rätten för enskilda att få sökresultat borttagna från Googles sökmotor för sökningar som innehåller personens…

EU: Överföring av personuppgifter till Storbritannien med anledning av Brexit

Storbritanniens utträde ur Europeiska unionen trädde i kraft den 1 februari 2020. Detta innebär att Storbritannien inte längre medlem i EU och att Storbritannien bland annat upphört att vara medlem i Europeiska dataskyddsstyrelsen (EDPB). I och med utträdet inleddes en övergångsperiod som…

Webbinarium: Dataskyddskollen – senaste nytt på dataskyddsområdet

Att hålla sig uppdaterad inom området dataskydd och personlig integritet kan vara både svårt och tidskrävande. För att underlätta ditt arbete delar vi regelbundet med oss av aktuella nyheter och uppdateringar som sker inom dataskyddsområdet. Webbinariet ges löpande under året, så håll utkik efter nya datum. Välkommen att anmäla dig till vårt kostnadsfria webbinarium Dataskyddskollen – senaste nytt på dataskyddsområdet…

Webbinarium: Vad är Privacy by Design?

Dataskyddsförordningen (GDPR) innehåller ett uttryckligt krav på inbyggt dataskydd eller privacy by design. Den europeiska dataskyddsstyrelsen (EDPD) gör de sista förberedelserna inför antagandet av de nya riktlinjerna för deras bindande vägledning på området (riktlinjerna förväntas antas inom kort)…

Sverige: 35 000 euro i böter för sajten Mrkoll

Datainspektionen har bötfällt Nusvar AB som driver sajten Mrkoll med 35 000 euro för brott mot kreditupplysningslagen och dataskyddsförordningen (”GDPR”). Av beslutet framgår att företaget Nusvar som driver sajten Mrkoll som masspublicerat uppgifter om alla svenskar som är 16 år eller äldre…

Tyskland: 1 200 euro i skadestånd för brott mot den medicinska sekretessen

Den regionala domstolen Oberlandesgericht Frankfurt am Main (“OLG”) har tilldelat en registrerad 1 200 euro i skadestånd för brott mot den medicinska sekretessen. Av beslutet framgår att en vårdgivare skickat en påminnelse om en bokad tid för en botox-behandling via fax till den registrerades arbetsgivare…

Tyskland: 1.1 miljoner euro i böter för otillräckliga säkerhetsåtgärder för att förhindra obehörig åtkomst till kunddata

Den tyska dataskyddsmyndigheten Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (“BfDI”) har bötfällt operatören 1 & 1 Telecom GmBH med 1,1 miljoner euro för brott mot artikel 32 i dataskyddsförordningen (”GDPR”). Av beslutet framgår att 1 & 1 inte implementerat tillräckliga tekniska…

Webbinarium: Dataskyddskollen – senaste nytt på dataskyddsområdet

Att hålla sig uppdaterad inom området dataskydd och personlig integritet kan vara både svårt och tidskrävande. För att underlätta ditt arbete delar vi regelbundet med oss av aktuella nyheter och uppdateringar som sker inom dataskyddsområdet. Webbinariet ges löpande under året, så håll utkik efter nya datum. Välkommen att anmäla dig till vårt kostnadsfria webbinarium Dataskyddskollen – senaste nytt på dataskyddsområdet…

Polen: 40 000 PLN i böter för olaglig behandling av personuppgifter

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (“UODO”) har bötfällt borgmästaren i staden Aleksandrów Kujawski med 40 000 PLN för brott mot artiklarna 5.1 (a), 5.1 (b) och 5.1 (f) i dataskyddsförordningen (“GDPR”). Av beslutet framgår att borgmästaren i Aleksandrów Kujawski inte ingått ett…

Webbinarium: Dataskyddsrevisioner – vad, hur & varför?

Dataskyddsrevisioner är det viktigaste verktyget för att säkerställa din verksamhets efterlevnad av dataskyddsförordningen (GDPR). Interna revisioner hjälper dig med att upptäcka brister i god tid och gör det möjligt för dig att agera. Regelbundna revisioner hjälper dig dessutom med att kunna visa…

Webbinarium: Dataskyddskollen – senaste nytt på dataskyddsområdet

Att hålla sig uppdaterad inom området dataskydd och personlig integritet kan vara både svårt och tidskrävande. För att underlätta ditt arbete delar vi regelbundet med oss av aktuella nyheter och uppdateringar som sker inom dataskyddsområdet. Webbinariet ges löpande under året, så håll utkik efter nya datum. Välkommen att anmäla dig till vårt kostnadsfria webbinarium Dataskyddskollen – senaste nytt på dataskyddsområdet…

Webbinarium: GDPR, OSL och molntjänster – vad gäller?

I en värld som blir allt mer digitaliserad är det allt fler offentliga verksamheter som väljer att flytta sin behandling av data från det lokala datacentret till en molntjänst. Det finns många komplexa frågor kring molntjänster och de rör olika rättsområden som till exempel dataskyddsförordningen…

EU: Cookies kräver ett aktivt samtycke

EU-domstolen slår fast att användning av cookies kräver ett aktivt samtycke från webbplatsbesökare (dom i mål C-673/17, 1-10-2019). En på förhand ikryssad ruta räcker alltså inte. Domen innebär att de flesta webbplatserna i Sverige måste se över hur de hämtar in webbplatsbesökares samtycke för cookies…

Webbinarium: Cookies – behöver du ett samtycke?

EU-domstolen har nyligen slagit fast att användning av cookies kräver ett aktivt samtycke från webbplatsbesökare (dom i mål C-673/17, 1-10-2019). En på förhand ikryssad ruta räcker alltså inte. Domen innebär att de flesta webbplatserna i Sverige måste se över hur de hämtar in webbplatsbesökares samtycke…

Åland: Datainspektion påpekar brister i elektroniskt val

Datainspektion på Åland inledde den 19 juni 2019 en granskning av personuppgiftsbehandlingen i samband med det elektroniska valet (”I-valet”) till lagtinget i oktober. Datainspektionen har nu utfärdad en varning till Landskapsregeringen i syfte att upplysa dem om riskerna som identifierats i samband med granskningen samt de risker som den pågående konsekvensbedömningen…

Tyskland: 200 000 euro i böter för leveranstjänst

Berlins tillsynsmyndighet för dataskydd har i augusti utfärdat en sanktionsavgift på nästan 200 000 euro för en leveranstjänst (Delivery Hero) på grund av flera brott mot de registrerades fri- och rättigheter enligt dataskyddsförordningen (GDPR). Detta är de högsta sanktionsavgifterna som hittills har dömts ut i Tyskland…

Analys: Myndighet granskar Facebooks reklamverktyg

Datainspektionen i den tyska delstaten Bayern (BLDA) tycker att det är problematisk att webbplatser samlar in uppgifter om användare och delar dessa med Facebook utan att varken informera om insamlingen eller hämta in ett samtycke. BLDA har därför nyligen öppnat ett tillsynsärende mot en webbplats som bedriver en blodgivningscentral som tillhandahålls…

Sverige: 200 000 kr i böter för ansiktsigenkänning i skola

Datainspektionen har utfärdat en sanktionsavgift mot en aktör som har brutit mot reglerna i dataskyddsförordningen (GDPR). Ärendet gäller en gymnasieskola i Skellefteå som på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektionerna. Försöket har pågått under tre veckor och berört 22 elever…

Analys: Tillsyn av Googles språkassistent med forum shopping

Att använda en smart assistent som Siri, Alexa eller Google Assistent kan leda till stora risker för den personliga integriteten. Nu utmanas IT-jättarnas användning av sådana assistenter i Tyskland. Hamburgs tillsynsmyndighet för dataskydd har öppnat ett tillsynsärende mot Google…

EU: Webbplatsinnehavare är personuppgiftsansvariga för tredje parts plugins

En ny dom från EU-domstolen ställer nu hårdare krav på webbplatsinnehavare som använder sig av tredje parts plugins. Enligt målet C-40/17 som publicerades den 29 juli 2019 är webbplatsinnehavare som använder sig av tredje parts plugins på webbsidor gemensamt personuppgiftsansvariga med plugin-leverantören…

Storbritannien/Frankrike: Tydligare regler för samtycke till cookies

Den brittiska tillsynsmyndigheten ICO och den franska tillsynsmyndigheten CNIL har uppdaterat sina vägledningar avseende cookies och liknande teknologier som pixels och flash-cookies (sammanfattningsvis ”cookies” nedan). Uppdateringarna förtydligar bland annat vilka typer av cookies som kräver ett samtycke…

Nederländerna: 260 000 euro i böter till sjukhus för dataintrång

Den nederländska tillsynsmyndigheten Autoriteit Persoonsgegevens har beslutat om administrativa sanktionsavgifter om 460 000 euro för en säkerhetsincident där anställda läst information i en kändis patientjournal. För att tvinga sjukhuset att höja säkerheten ålades dessutom sjukhuset att inom 15 veckor styrka att tvåfaktorautentisering…

Analys: CLOUD Act kan göra Office 365 olaglig

Diskuterar man molntjänster så händer det allt oftare att samtalet landar i CLOUD Act. CLOUD Act är en lag en amerikansk lag som, mycket förenklat sagt, ger amerikanska myndigheter möjligheten komma åt uppgifter som lagras i molnet. Det spelar ingen roll vart uppgifterna lagras, så länge molntjänstleverantören omfattas av lagen…

Analys: Användning av Office 365 otillåten på tyska skolor

Datainspektionens motsvarighet i den tyska delstaten Hessen (HBDI) konstaterar att det strider mot gällande dataskyddslagstiftning att använda Office 365 i skolor, även om uppgifterna lagras i tjänstens europeiska infrastruktur. Enligt HBDI är problemet att en skola som offentlig verksamhet inte får lagra personuppgifter…

Analys: Användning av molntjänster hotas av EU-mål

Max Schrems, en dataskyddsaktivist från Österrike, utmanar den irländska tillsynsmyndigheten för dataskydd (DPC) inför EU-domstolen (mål C-311/18). Max Schrems hävdar att vissa typer av överföringar av personuppgifter till USA som baseras på standardavtalsklausuler är lagstridiga eftersom klausulerna är ogiltiga i dessa fall.

Storbritannien: Miljardböter för personuppgiftsincidenter

Den brittiska tillsynsmyndigheten för dataskydd (ICO) har för avsikt att bötfälla British Airways och Marriott International med 183 respektive 99 miljoner pund (drygt 2,1 respektive 1,1 miljarder kronor). I båda fallen döms böterna ut i samband med inträffade personuppgiftsincidenter…

Sverige: Datainspektionen inleder granskning mot vårdgivare

Datainspektionen ska undersöka hur fyra universitetssjukhus, tre stora privata vårdgivare och en nätläkare styr personalens åtkomst till huvudjournalsystemen och om journalsystemens loggar innehåller tillräcklig information för att det ska gå att upptäcka om någon obehörig tar del av patientuppgifterna…

EU: ePrivacy-direktivet och GDPR

På Europeiska dataskyddsstyrelsens senaste möte antogs ett yttrande om ePrivacy-direktivets förhållande till dataskyddsförordningen i syfte att klargöra vad som gäller när behandling av personuppgifter omfattas av båda regelverken. I yttrandet framhåller EDPB att personuppgiftsbehandling…

Sverige: Datainspektionens planerade granskningar 2019-2020

Datainspektionen har fattat beslut om sin tillsynsplan 2019–2020. Tillsynsplanen anger prioriterade granskningsområden för de närmaste två åren. Bland de verksamheter som ska granskas finns hälso- och sjukvård, skolan och detaljhandeln. De prioriterade områden som ska granskas har identifierats…

Video: Molntjänster – risk eller möjlighet för offentliga verksamheter?

Det händer allt oftare att offentliga verksamheter använder molntjänster för att genomföra sina uppgifter. Medans det kan finnas goda skäl för att anlita en molntjänst finns det även vissa risker som varje verksamhet måste beakta. Dessa risker härrör från att offentliga verksamheter hanterar…

EU: Statusuppdatering för ePrivacy-förordningen

ePrivacy-förordningen är en ny lagstiftning som inte har trätt i kraft än (mer om detta länge ned). Förordningen är ett komplement till dataskyddsförordningen (GDPR) och kommer att upphäva och ersätta det så kallade ePrivacy Direktivet (2002/58/EG) som gäller i dagsläget. I samband…

Video: När behövs en konsekvensbedömning?

Planerar ni att inleda en behandling av personuppgifter som kan leda till en hög risk för de registrerade? Då måste ni göra en så kallad konsekvensbedömning avseende dataskydd. Välkommen att titta på TechLaws inspelning om När behövs en konsekvensbedömning? Under inspelningen kommer…

Video: Överföring till tredje land

I dataskyddsförordningen (GDPR) finns ett förbud mot att överföra personuppgifter till tredje land (land utanför EU/EES). Det finns dock vissa undantag från förbudet. Välkommen att titta på TechLaws inspelning om Överföring till tredje land. Under inspelningen kommer vi att svara på frågor som bland annat…

Video: Ansvarig eller biträde?

I samband med att den nya dataskyddsförordningen trädde i kraft den 25 maj 2018 förändrades och utökades kraven för utformning av biträdesavtal. Men hur vet du egentligen att en leverantör ett personuppgiftsbiträde? Välkommen att titta på TechLaws inspelning om Ansvarig eller biträde? Under inspelningen…

Sverige: Första GDPR-granskningen klar

Enligt dataskyddsförordningen (GDPR) är alla myndigheter och även vissa företag skyldiga att utse ett dataskyddsombud. Dataskyddsombudet ska kontrollera att den egna organisationen följer bestämmelser och interna styrdokument om dataskyddsfrågor och informera och ge råd…

Portugal: 400 000 euro i böter för säkerhetsbrister

Den portugisiska motsvarigheten till Datainspektionen, CNPD, har bötfällt ett sjukhus i Portugal med ca 400 000 euro för brott mot GDPR. Bötesbeloppet, som motsvarar ungefär 4 millioner kronor, är en av de första bötesbeloppen som dömts ut enligt den nya lagstiftningen. Enligt lokaltidningen Público bötfälldes…

Sverige: Datainspektionen inleder fler granskningar

Datainspektionen inleder flera större granskningar av olika delar av dataskyddsförordningen (GDPR). Syftet med granskningarna är bland annat att skapa vägledning gällande de nya dataskyddsreglerna. Ett av tillsynsprojekten fokuserar på samtycke som rättslig grund för att samla in och använda…

Video: Introduktion till dataskyddsförordningen (GDPR)

EU har i april 2016 beslutat om ett nytt regelverk för behandling av personuppgifter som ska börja tillämpas i medlemsstaterna i maj 2018. Regelverket innebär en hel del förändringar för de som behandlar personuppgifter. Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen…

Storbritannien: 120 00 pund i böter för tappat USB-minne

Den brittiska tillsynsmyndigheten för dataskydd (ICO) har bötfällt Heathrow Airport Limited (HAL) med 120 000 pund (ungefär 1.4 miljoner kronor) för brister i HAL:s nätverk. I oktober 2017 hittade en medborgare ett USB-minne som hade tappats av en av HAL:s medarbetare. USB-minnet…

Sverige: Datainspektionen inleder ny granskning av Google

Förra året blev Datainspektionen klar med en granskning av hur Google hanterar “rätten att bli glömd”, det vill säga rätten för en person att få sökresultat borttagna för sökningar som innehåller personens namn i fall resultaten är oriktiga, irrelevanta, inte längre relevanta eller överflödiga. Datainspektionen förelade…

Kunskap: Skillnaden mellan personuppgiftsansvarig och personuppgiftsbiträde

Enligt Dataskyddsförordningen (GDPR), så behöver varje företag, myndighet eller annan organisation förstå skillnaden mellan bregeppen personuppgiftsansvarig och personuppgiftsbiträde. Beroende på vilken typ din verksamhet faller under så sätter GDPR skyldigheter och begränsningar för vad du kan göra…

Sverige: Datainspektionen inleder granskning enligt GDPR

Datainspektionen inleder sin första granskning enligt dataskyddsförordningen (GDPR). Det som ska kontrolleras är att de företag och myndigheter som är skyldiga att utse ett dataskyddsombud, har gjort det. Vid Datainspektionens granskning väljs ett antal organisationer ut för kontroll…

Kunskap: Vad är Privacy Shield?

Privacy Shield är en överenskommelse om skydd för personuppgifter mellan EU och USA som träffades 2016. Överenskommelsen innefattar dels ett antal särskilda principer om hur personuppgifter som förs över från EU till USA ska hanteras, dels olika slags översynsmekanismer för att…

EU: EU-kommissionen granskar Privacy Shield

Av EU-kommissionens webbsida framgår följande: EU-kommissionen har publicerat sin första årsrapport om EU/USA:s Privacy Shield. Syftet med Privacy Shield är att skydda personuppgifter som överförs från EU till företag i USA för kommersiella ändamål. Kommissionen står helt och fullt bakom arrangemanget för integritetsskydd…

Storbritannien: Forskningssamarbete bröt mot brittisk dataskyddslag

Den brittiska datainspektionen (“ICO”) har konstaterat att förvaltaren av ett sjukhus i London, NHS Royal Free Foundation Trust (”Royal Free”), har brutit mot Storbritanniens personuppgiftslag genom att ge Google DeepMind (“DeepMind”) tillgång till 1,6 miljoner patientjournaler. ICO kräver nu…

Sverige: Förslag på ny kamerabevakningslag

Regeringen har tagit emot betänkandet på en ny kamerabevakningslag. I betänkandet föreslås att dagens kameraövervakningslag ersätts av en ny lag, kamerabevakningslagen, som är anpassad till kommande EU-reglering på dataskyddsområdet. Den nya lagen ska ge ökade möjligheter till kamerabevakning…

Sverige: Förslag på ny dataskyddslag

Idag publicerades betänkandet från Dataskyddsutredningen (Ju 2016:04). Utredningens uppdrag har varit att föreslå en ny nationell reglering om personuppgiftsbehandling som på ett generellt plan kompletterar den nya dataskyddsförordningen som har beslutats inom EU. I betänkandet föreslår utredningen…

EU: Vägledning om konsekvensbedömningar

Artikel 29-gruppen publicerar ny vägledning om konsekvensbedömningar avseende dataskydd. Vägledningen syftar främst till att klargöra innebörden av behandling som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter och att ta fram kriterier för när en konsekvensbedömning avseende dataskydd…

Kunskap: Vad menas med Privacy by Design?

Privacy by Design är ett av årets hetaste ämnen. Det framgår i synnerhet av det stora antalet aktörer som marknadsför produkter och tjänster med inbyggt dataskydd eller, på engelska Privacy by Design. Några it-leverantör säljer även ”försäkringar” som, enligt dem, gör verksamhetens behandling av personuppgifter…

Analys: Varför är Privacy by Design viktigt?

Har du någonsin känt dig övervakad online? Den där obehagliga känslan som kom krypande när du först letat efter flygbiljetter till Thailand, för att därefter få annonser på hotell i Bangkok i din Facebook-feed? I mitt fall visade det sig vara över 100 företag som spårade mina rörelser online (gör en egen…

EU: Fler vägledningar från Artikel 29-gruppen

I ett pressmeddelande från 16 januari 2017 meddelade Artikel 29-gruppen ytterligare information om gruppens handlingsplan för 2017. Planen anger arbetsgruppens prioriteringar och mål i samband med genomförandet av den allmänna dataskyddsförordningen (GDPR). Handlingsplanen omfattar följande huvudpunkter…

EU: Ny e-Privacy-förordning

Den nya e-Privacy förordningen ska modernisera de gällande reglerna och utvidga dem till att omfatta alla leverantörer av elektroniska kommunikationstjänster som t.ex. WhatsApp och Skype. Förslaget ska också skapa nya möjligheter att behandla kommunikationsdata och skapa bättre förutsättningar för stärkt konsumentförtroende…

EU: Vägledningar från Artikel 29-gruppen

Artikel 29-gruppen har tagit fram tre vägledningar som rör den kommande dataskyddsförordningen. Vägledningarna tar upp: dataportabilitet, dataskyddsombud och ansvarig tillsynsmyndighet. Artikel 29-gruppen består av representanter från samtliga Europas dataskyddsmyndigheter…

Irland: Privacy Shield utmanas inför EU-domstolen

Organisationen Digital Rights Ireland har väckt talan mot Privacy Shield-regelverket hos EU-domstolen. Den förväntade rättsliga prövningen kommer bara två månader efter att Privacy Shield trätt i kraft. Privacy Shield är en ny överenskommelse om skydd för personuppgifter mellan EU och USA…

EU: Privacy Shield är godkänd av EU-kommissionen

EU-kommissionen har antagit reglerna om integritetsskydd mellan EU och USA. Den nya ramen skyddar de grundläggande rättigheterna för alla invånare i EU vars personuppgifter överförs till USA och skapar rättslig klarhet för företag som är beroende av transatlantiska dataöverföringar. Reglerna om integritetsskydd…

Vill du ha vårt nyhetsbrev?

Vi skickar regelbundet ut fullmatade nyhetsbrev med tips, erbjudanden och det senaste inom dataskydd och personlig integritet.