Forum för dataskydd
www.dpforum.se
Forum för dataskydd
- Ett kompetensnätverk för både dig som dataskyddsexpert och dig som nybörjare inom dataskyddsfrågor
Vi har lokalavdelningar i Stockholm, Göteborg, Malmö, Växjö och Sundsvall och drygt 700 medlemmar.
Vi arbetar bl.a. med:
Seminarier DP Academy
Kunskapsspridning, debatt, remissvar, nyhetsbrev Nordic Privacy Arena 23-24 september 2019
Årets höjdpunkt – Nordic Privacy Arena
23-24 september 2019, med bl.a.
Antje Jackelén, ärkebiskop i Uppsala
Peter Fleischer, Global Privacy Counsel, Google Anders Ygeman, Energi- och digitaliseringsminister
Lena Lindgren Schelin, Generaldirektör, Datainspektionen Marit Hansen, DPC, Schleswig-Holstein
Reijo Aarnio, Dataskyddsombudsman, Finland UltanO’Carroll, Assistant DPC, Ireland
Se hela programmet på www.dpforum.se
Är du inte medlem än?
Som medlem får du bl.a.
o Fritt inträde på spännande seminarier
o Rabatter på litteratur, kurser och konferenser o Nyhetsbrev, afterworks, webbinarier m.m.
Ordinarie medlemskap: 1645 kr/år Student: 400 kr/år
Vi erbjuder även organisationsmedlemskap – för mer information kontakta cecilia.engstrom@dpforum.se
Lite kring praxis och utveckling under 2019
• Som dataskyddsombud eller GDPR-expert är en av våra viktigaste informationskällor praxis. Även om vi går på semester så gör varken tillsynsmyndigheterna runtom i Europa det eller domstolarna.
• Peter Nordbeck, partner på Advokatfirman Delphi och Michaela Hamilton,
jurist på Advokatfirman Delphi, kommer tillsammans att gå igenom utvalda
tillsynsbeslut och domstolspraxis.
Sommarresumé - Forum för dataskydd 7
• Mycket nyheter -
tillsynsmyndigheterna börjar komma igång ordentligt!
• Svårt att hänga med i all ny praxis!
• Tillsynsmyndigheterna börjar även
använda fler befogenheter, t.ex. i
UK har ICO genomsökt kontor hos
ett bolag de granskat
• Ett urval av nya beslut, tillsynsärenden och avgöranden
• Vi har valt ut tre områden:
• Ny teknik, säkerhetsåtgärder och efterlevnad
• Samtycken och information till individer
• Marknadsföring
• Ställ gärna frågor och kom med input!
• Datainspektionen tittar särskilt på ”nya företeelser” och på existerande teknik som används på nytt sätt
• Ett franskt bolag fick betala 20 000 euro i böter för olaglig övervakning av anställda, t.ex. för
fingeravtryckssystem samt för otillräckliga säkerhetsåtgärder vid anställdas arbetsplatser
Sommarresumé - Forum för dataskydd 11
• Fundera igenom val innan ny teknik eller nya lösningar används, t.ex.
innan ni köper nya IT-lösningar
• Dokumentera
• Behöver en konsekvensbedömning göras?
• Begränsa åtkomst
• Datainspektionen har tidigare inlett flera granskningar om kamerabevakning, t.ex. Nordic Tech House som planerat ansiktsigenkänning i butik
• Ett Rumänskt bolag fick betala 2 500 euro i böter då bolaget inte kunde bevisa att man informerat om behandlingen av
personuppgifter via kamerabevakning
Sommarresumé - Forum för dataskydd 13
• Kamerabevakningslagen och GDPR gäller
• Ibland krävs tillstånd enligt kamerabevakningslagen
• Får ni använda kamerabevakning?
Troligen behöver ni genomföra och dokumentera en intresseavvägning
• Ni behöver lämna information om bevakningen
• Dessutom behöver ni gallra etc.
• Ny vägledning från EDPB
• En skola som använt kamerabevakning med ansiktsigenkänning för att
kontrollera närvaro (biometrisk data)
• Samtycke är uteslutet eftersom
eleverna var i en beroendeställning
• Sanktionsavgift – 200 000 kr
• Datainspektionen gjorde en
avvägning mellan försvårande och
förmildrande omständigheter när
man bestämde beloppet
• Datainspektionen fokuserar särskilt på hur samtycken används
• Samtycke används fortfarande för ofta som laglig grund – ska vara sista
alternativet
• Enkelt att granska samtycken och därför enkelt att upptäcka brister
• Just nu ett mål om förikryssade rutor hos
• Frivilligt – det ska vara lika enkelt att tacka nej som att tacka ja
• Ett samtycke per ändamål
• Om tydlig information inte lämnas riskerar även samtycket vara otillåtet
• Just nu finns mål om aktivt och informerat samtycke hos EU-domstolen
Sommarresumé - Forum för dataskydd 17
• I Italien tilldelades Facebook 1 miljon euro i böter
• Facebook delade personuppgifter om ca. 200 000 personer baserat på att de var vänner till någon av de 57 personer som hade laddat ner
Thisisyourdigitallife
• Användarnas information och samtycken var otydlig
• Vännerna hade inte informerats och inte getts möjlighet att samtycka – de
kunde inte antas förstå att personuppgifterna skulle delas baserat på att
deras vänner använde applikationen
• Spanska tillsynsmyndigheten tilldelade LaLiga 250 000 euro i böter eftersom de använde sin app för att avlyssna vilka barer som sände matcher olagligen
• Användarna hade lämnat samtycke när de laddade ner appen men inte
uttryckligen informerats om att det innebar att mikrofon och geografisk plats skulle användas
• LaLiga la mycket resurser på att tekniskt anpassa appen efter GDPR
• Den som inte samtyckt använde appen utan avlyssningsfunktionen
• Appen lagrade enligt LaLiga ett särskilt ljudavtryck för att automatiskt göra diskussioner i baren till en binär kod och endast lagra ljudet från matcherna
Sommarresumé - Forum för dataskydd 19
• Användarna kan inte förutsättas komma ihåg exakt vad denne har samtyckt till vid
installationen
• Varje gång avlyssningsfunktionen och lokaliseringsfunktionen används borde information om detta synas, inte bara när appen laddas ner
• Informationen om appens funktioner var dessutom otydlig
• Ett grekiskt bolag (PWC Business Solutions) krävde att anställda samtyckte till att deras personuppgifter behandlades av arbetsgivaren
• Samtycke är inte möjligt – däremot är avtal det
• Sanktionsavgift – 150 000 euro
• Kom ihåg att dokumentera hur ni kommit fram till att en laglig grund kan användas!
Sommarresumé - Forum för dataskydd 21
• Cambridge Analytica, Google, Facebook m.m.
• Många granskningar har inletts – flera beslut och avgöranden kommer!
• Ofta oklarheter
• Tekniska lösningar och komplicerade
lösningar innebär att regelverket inte enkelt matchar vad som faktiskt görs
• T.ex. svårt att avgöra vem som ansvarar i olika skeden
Sommar resumé - Forum för dataskydd 23
• I juli kom EU-domstolens dom i frågan om ”socialt insticksprogram” (C-40/17)
• Fashion ID använde en Facebook ”Like-knapp” på sin hemsida som skickade information om hemsidebesökarnas IP-adress och surfhistorik till Facebook
• Detta skedde oavsett om användaren tryckte på ”Like-knappen” eller inte
• Genom denna plugin har Fashion ID kunnat optimera sin marknadsföring
• Vem ansvarar för personuppgiftsbehandlingen? Vem ska inhämta samtycken?
Vem ska informera?
• Fashion ID och Facebook ansvarar gemensamt för insamlingen och
överföringen• Trots att begreppet ”gemensamt ansvar” inte uttryckligen fanns enligt direktivet
• Trots att endast Facebook har tillgång till personuppgifterna och utför personuppgiftsbehandlingen
• Fashion ID ansvarar eftersom de möjliggör insamlingen och överföringen av personuppgifter och har väsentligt inflytande över den
• Facebook ansvarar själva för efterföljande behandling
• Fashion ID har mer betydande ansvar för de som inte har Facebookkonton
Sommarresumé - Forum för dataskydd 25
• Samtycke krävs för personuppgiftsbehandlingen
• Vem ska inhämta samtycke och informera? Den som har inlett behandlingen genom hemsidan, d.v.s. Fashion ID
• Obs! Även reglerna om cookies gäller
27
• Högsta GDPR-sanktionen som är utdömd än så länge
• Storbritannien
• 204 600 000 Euro
• British Airways
• Användartrafik från Brittish Airways webbplats hade vidarebefordrades till en annan olaglig webbplats
• Uppgifter om kunder, inklusive
betalkortsinformation, resebokningsinformation, namn och adresser
• Ca 500 000 kunder drabbades av detta intrång
• Storbritannien
• 110 390 200 Euro (Marriott International, Inc.)
• 88 841 Euro (Life at Parliament View, hotell)
• Frankrike
• 180 000 euro (Active Assurances)
• Rumänien
• 130 000 Euro (Unicredit Bank)
Sommar resumé - Forum för dataskydd 29
Partner / Advokat
Mobiltelefon: +46 709 25 25 01 E-post: peter.nordbeck@delphi.se
Associate
• Mobiltelefon: +46 767 72 00 30
• E-post: linus.larsen@delphi.se