Det här nyhetsbrevet är skapat av Advokatfirman Vinge och skickas kontinuerligt ut till dig som har visat intresse för frågor som rör EU:s allmänna dataskyddsförordning (GDPR).
Välkommen att kontakta oss om du har några frågor.
IMY utfärdar sanktionsavgift om 300 000
kronor på grund av utebliven konsekvensbedömning
Integritetsskyddsmyndigheten (”IMY”)
har utfärdat en sanktionsavgift om 300 000 kronor mot Barn- och utbildningsnämnden
i Östersunds kommun för att inte ha utfört en konsekvensbedömning innan de
införde den digitala skolplattformen Google Workspace på skolor.
Bakgrunden till beslutet var att
nämnden tidigare använt tjänsten Google Apps där en PUL-bedömning och
riskanalys gjordes år 2014. Nämnden valde att under 2020 använda en ny version
av tjänsten och migrera den till en egen domän. I samband med detta utfördes
aldrig en ny konsekvensbedömning.
Enligt IMY resulterade
implementeringen av en ny version i en ny personuppgiftsbehandling. Eftersom
behandlingen rörde barns behandling av personuppgifter i skolverksamhet samt att
det rörde sig om ett större antal registrerade skulle nämnden ha utfört en ny
konsekvensbedömning enligt GDPR.
EDPB antar bindande beslut
om Meta
Europeiska dataskyddsstyrelsen
(”EDPB”) har fattat ett
bindande beslut angående Metas behandling av personuppgifter för riktad reklam.
Bakgrunden till det bindande beslutet var att den norska datatillsynsmyndigheten
fattade ett tillfälligt beslut om att förbjuda Meta att behandla
personuppgifter för att visa riktad reklam till användare baserat på den
rättsliga grunden avtal eller intresseavvägning. EDPB:s bindande beslut innebär
att den norska tillsynsmyndighetens beslut nu gäller inom hela EU.
I det bindande beslutet noterar EDPB att Meta avser att använda sig av
samtycke som rättslig grund för riktad reklam och att den irländska
dataskyddsmyndigheten tillsammans med de berörda tillsynsmyndigheterna
utvärderar förfarandet. I sammanhanget kan noteras att organisationen None Of
Your Business (”NOYB”) har lämnat in ett formellt klagomål till
den österrikiska datastillsynsmyndigheten. Klagomålet rör Metas användande av
samtycke som rättslig grund i kombination med införandet av en avgift.
Nya riktlinjer om vilka spårningstekniker som
omfattas av artikel 5(3) i ePrivacy direktivet
EDPB har antagit nya riktlinjer
om vilka spårningstekniker som omfattas av artikel 5(3) ePrivacy direktivet. Riktlinjerna
är en utveckling av Artikel 29-arbetsgruppens yttrande 9/2014 om tillämpningen
av direktiv 2002/58/EG på digitala fingeravtryck. Syftet med de nya
riktlinjerna är att klargöra vilka tekniska åtgärder som omfattas av artikel
5(3) ePrivacy direktivet.
Riktlinjen analyserar följande
nyckelrekvisit i artikel 5(3) ePrivacy direktivet:
(a) information;
(b) abonnents eller användares
terminalutrustning;
(c) elektroniskt
kommunikationsnät; och
(d) få tillgång till och lagrad
information/lagring.
Vidare presenterar riktlinjerna
en icke-uttömmande lista på vanliga spårningstekniker som kan omfattas av artikel
5(3) ePrivacy direktivet, så som URL och pixel-spårning.
Riktlinjerna är föremål för
publik konsultation fram till och med den 28 december 2023, vilket innebär att
de kan komma att ändras.
IMY och Digg publicerar vägledning om dataskydd
och innovation
IMY och Myndigheten för digital förvaltning (”Digg”) har publicerat ett
metodstöd för dataskydd vid innovation. Metodstödet riktar sig till offentliga
aktörer som behöver stöd i dataskyddsfrågor vid arbete med innovation och digitalisering.
Syftet är att ge vägledning i hur dessa aktörer kan utforma en
personuppgiftsbehandling som är förenlig med GDPR.
IMY har publicerat en ny vägledning om kamerabevakning. Syftet med vägledningen är att underlätta och vara ett stöd i det praktiska arbetet med kamerabevakning.
Vägledningen är uppdelad i tre delar, där den första delen av vägledningen innehåller en generell beskrivning om vilka krav som gäller för kamerabevakning, en vägledning vid bedömning av rättslig grund och anpassning av bevakningen samt vilken arbetsgång aktörer ska ha vid kamerabevakningen.
Den andra delen innehåller en beskrivning av ansökningar som inkommit till IMY och en beskrivning av hur IMY fattat beslut i de olika ärendena. Av vägledningen framgår att var tredje ansökan har beviljats av IMY i sin helhet och att var fjärde ansökan delvis har beviljats. Endast i ett av tio fall har IMY avslagit ansökan helt.
Den tredje delen av rapporten består av en närmare beskrivning om ansökningar och beslut om kamerabevakning för specifika områden, så som för drönare, flerbostadshus eller skolor. Den tredje delen av rapporten redogör även för den praxis som finns på området angående kamerabevakning.
Vägledande domar om den registrerades rätt att
överklaga IMY:s beslut
Högsta Förvaltningsdomstolen (”HFD”)
har i två vägledande domar klargjort den registrerades rätt att överklaga IMY:s
beslut om att inte vidta någon åtgärd med anledning av ett klagomål.
Det har tidigare varit oklart om
dataskyddslagen medför att den registrerade har rätt att överklaga tillsynsmyndighetens
beslut om att inte vidta någon åtgärd med anledning av ett klagomål. Enligt
förarbetena till dataskyddslagen har regeringen ansett att det varit upp till
domstolarna att ta ställning till vad som gäller.
I domarna klargör nu HFD att:
(i) ett beslut vars innebörd är att IMY inte kommer att
göra vad som begärts i ett klagomål är överklagbart enligt GDPR, och
(ii) ett beslut där utgången i ett tillsynsärende avviker
från vad som begärts i ett klagomål är
överklagbart enligt GDPR.
Domarna utgör ett efterlängtat
förtydligande som stärker den registrerades rätt till effektivt rättsmedel.
IMY utfärdar sanktionsavgift
om 500 000 kronor för felaktigt mailutskick
IMY har utfärdat en
sanktionsavgift om 500 000 kronor mot ett bolag som inte har säkerställt
en lämplig säkerhetsnivå i förhållande till riskerna med behandlingen av
personuppgifter.
Bakgrunden till beslutet var att
IMY hade mottagit klagomål gällande att bolaget hade skickat ut felaktiga
e-postmeddelanden till sina kunder. E-postmeddelandet innehöll en felaktig
Excel-fil innehållande uppgifter om kunders namn, personnummer, bank, namn på
bankrådgivare, vald risknivå, fördelning på fonder samt det senast inlästa
värdet av kundernas innehav i fonderna. Enligt bolaget berodde det felaktiga
utskicket på ett mänskligt fel, där en medarbetare råkat skicka med fel fil.
I beslutet anser IMY att behandlingen
har inneburit en hög risk, särskilt med tanke på att bolaget är underkastat
lagkrav om tystnadsplikt enligt lagen (2007:528) om värdepappersmarknaden –
vilket i sin tur ställer höga krav på personuppgifternas skyddsnivå. Enligt IMY har bolaget inte vidtagit
tillräckliga åtgärder för att skydda uppgifterna, dels då bolaget inte har
vidtagit tillräckliga tekniska eller organisatoriska åtgärder för att hindra
medarbetare från att skicka ut felaktiga e-postmeddelande, dels genom att
personuppgifterna inte har varit skyddade mot obehörig åtkomst såsom exempelvis
genom kryptering.
Vid beräkningen av
sanktionsavgiften konstaterar IMY att det inte är fråga om en mindre
överträdelse samt att det är moderbolagets årsomsättning som läggs till grund
för beräkningen av sanktionsavgiften.
IMY utfärdar sanktionsavgift
om 35 miljoner kronor för möjliggörandet av obehörig åtkomst till känslig
information
IMY har utfärdat en sanktionsavgift om 35
miljoner kronor mot Trygg-Hansa på grund av säkerhetsbrister som möjliggjort
att personuppgifter om 650 000 kunder varit åtkomliga för obehöriga
personer i över två år.
Bakgrunden
till beslutet var att IMY hade mottagit ett tips om att Moderna Försäkringar (som
sedan april 2022 är en del av Trygg-Hansa) möjliggjort åtkomst till personuppgifter
av känslig karaktär genom att bolaget hade skickat ut ett mail eller sms med en
länk till en offertsida till existerande eller nya potentiella kunder som
önskat att få en offert för försäkring innehållande dokument med
försäkringsinformation. Dokumenten hade i sin tur webbadresser som kunde
modifieras av genom att byta ut siffror, vilket gav åtkomst till andra kunders
dokument.
I beslutet konstaterar IMY
att Trygg-Hansas personuppgiftsbehandling har medfört höga krav på skyddsnivån,
eftersom det stora antalet registrerade tillsammans med den omfattande mängden
uppgifter om varje person – och den känsliga karaktären av uppgifterna – inneburit
en hög risk för fysiska personers rättigheter och friheter. Vidare konstaterar
IMY att det har funnits stora brister i skyddet av uppgifterna som har resulterat
i att det har varit enkelt för obehöriga att bereda sig tillgång till
uppgifterna – oberoende av hur många som faktiskt fått obehörig åtkomst till
uppgifterna. IMY anser dessutom att bristerna är av sådan grundläggande karaktär att Trygg-Hansa
borde ha haft möjlighet att upptäcka och åtgärda dem under tidsperioden. Mot bakgrund av ovan tilldelades Trygg-Hansa
en sanktionsavgift på 35 miljoner kronor.
IMY utfärdar sanktionsavgift om 350 000
kronor för brister i hantering av marknadsföring till enskilda
IMY har utfärdat en
sanktionsavgift om 350 000 kronor mot H&M på grund av att H&M genom att
inte utan onödigt dröjsmål har upphört att behandla personuppgifter för direktmarknadsföring,
även om de klagande invänt mot behandlingen.
IMY inledde en
granskning med anledning av klagomål från enskilda som mottagit oönskad
direktmarknadsföring från bolaget trots invändningar om detta. I beslutet
konstaterar IMY att H&M inte har haft tillräckliga system och rutiner på
plats för att underlätta för de klagande att utöva sin rätt att invända mot
direktmarknadsföring.
Kontaktpersoner
Emelie Svensäter Jerntorp
Delägare
Nicklas Thorgerzon
Technology & Data Protection Expert
Alexander Lindeberg
Advokat
Innehållet i detta nyhetsbrev är endast av allmän karaktär. Innehållet gör inte anspråk på att vara fullständigt och ska inte betraktas såsom juridisk rådgivning i enskilt ärende. Information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.
