22.06.23 / News
Integritet & dataskydd; Schrems, EU Data Act, vårens tillsynsbeslut
NYHETBREV, JUNI 2022
Midsommar står för dörren och det har varit ännu en intensiv vår på dataskyddsområdet. MAQS Integritet & dataskyddsgrupp har samlat ett axplock av vårens viktigaste nyheter och blickat framåt mot hösten. De senaste åren har många stora nyheter kommit under sommaren, så vi väntar med spänning vad sommaren 2022 ska bjuda på.
Vi har under terminen sett ett ökat behov av rådgivning kopplat till vårens hetaste frågor. Vi får många frågor kring molntjänster (både konsekvensbedömningar liksom bedömningar kopplat till tredjelandsöverföringar) och uppdatering av informationstexter med anledning av Klarna-beslutet.
Vi ser även en ökad efterfrågan på löpande rådgivning inom integritet och dataskydd, både i uppdrag som extern DSO och som juridiskt stöd till affären.
Hör av dig om du vill veta mer om hur vi kan stötta just din verksamhet i dessa frågor.
Glad midsommar och trevlig läsning!
Anna Eidvall och Karin Schurmann
Ps. missa inte vår aktivitetskalender längst ned. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd här: LÄNK.
|
|
FRÅGOR ATT HA KOLL PÅ |
Vårens tillsynsbeslut är ett bittert uppvaknande för mångaInformationsgivning – höga krav på transparens och tydlighetI mars utfärdade IMY en sanktionsavgift mot Klarna om 7,5 miljoner kronor i samband med att IMY:s granskning visat att Klarna brustit i sina skyldigheter enligt GDPR. Mer specifikt handlade ärendet om hur Klarna informerat sina kunder om personuppgiftsbehandling under våren 2020. IMY fann i huvudsak fyra brister i hur Klarna informerade sina kunder om personuppgiftsbehandlingen:
Du ansvarar för dina anställdas initiativ – organisatoriska skyddsåtgärder inte alltid tillräckligtBara någon vecka innan Klarna-beslutet meddelade även IMY att de utfärdat en sanktionsavgift mot Tullverket om 300 000 kronor avseende en personuppgiftsincident som skett. Anställda hos Tullverket hade kopplat upp sina tjänstetelefoner till privata Google foto-konton vilket lett till att känsliga personuppgifter gällande brottsutredningar överförts till en molntjänst utanför EU/EES. Visserligen fanns det riktlinjer och rutiner på plats för att förebygga sådana läckor men IMY gjorde bedömningen att dessa åtgärder inte var tillräckliga. Utöver detta menade IMY att Tullverket även skulle ha infört erforderliga tekniska och organisatoriska säkerhetsåtgärder för att begränsa incidenter av detta slag. Utifrån beslutet går det att konstatera att arbetsgivarens ansvar för anställdas agerande går längre än att endast ha interna policys på plats. Det finns således goda skäl för arbetsgivare att se över sina rutiner i detta hänseende och säkerställa att det finns robusta tekniska och organisatoriska spärrar på plats, vad gäller till exempel tjänstetelefoner, i syfte att förebygga felaktigt användande av dessa. Skydda personuppgifter i e-postI två beslut från januari i år fann IMY att Region Uppsala brustit i sina säkerhetsåtgärder vad avser hanteringen av känsliga personuppgifter. Detta medförde att IMY utfärdade en sanktionsavgift om 1,9 miljoner kronor mot Region Uppsala. Granskningen visade att Region Uppsala inte krypterat e-postmeddelanden som innehöll känsliga patientuppgifter och personnummer. Dessutom konstaterar IMY att det inte heller vidtagits tillräckliga säkerhetsåtgärder vid lagringen av känsliga e-postmeddelanden. Vad avser meddelandena som skickats fanns i likhet med beslutet mot Tullverket interna riktlinjer, men de tekniska åtgärderna hade bedömts som otillräckliga. Intressant att notera är att det i detta fall faktiskt inte skett någon personuppgiftsincident som sådan, men att bristerna i säkerheten ändå fordrade att sanktionsavgift skulle utfärdas. Här bör det samtidigt belysas att behovet av tekniska och organisatoriska säkerhetsåtgärder enligt GDPR måste bedömas från fall till fall. I det här fallet rörde det sig om känsliga uppgifter, varför en hög grad av säkerhet bedömdes vara nödvändig. I andra fall, där det rör sig om mindre känsliga e-postmeddelanden är det inte säkert att kryptering krävs. Det är dock ändå viktigt för alla personuppgiftsansvariga samt biträden att överse säkerheten kring sina kommunikationskanaler för att försäkra sig om att de tillgängliga säkerhetsåtgärderna motsvarar känsligheten av de personuppgifter som meddelandena innehåller. Fler överklaganden av IMY:s beslut att vänta?I december 2020 meddelade IMY att de funnit brister i hur åtta vårdgivare i Stockholm hanterat sina journalsystem. IMY menade att vårdcentralerna inte gjort den behovs- och riskanalys som krävs under patientsäkerhetslagen innan personal getts tillgång till patientuppgifter. IMY beslutade om sanktionsavgifter mot sju av åtta vårdgivare. Efter att ha genomgått en förvaltningsrättsprocess under 2021 fick samtliga vårdgivare som överklagat IMY:s beslut rätt i Kammarrätten i år. Kammarrätten menade framför allt att det ställs höga beviskrav på IMY för att en sanktionsavgift ska få utfärdas. I och med att IMY inte lyckats bevisa att vårdgivarna brustit i sina skyldigheter enligt GDPR upphävdes alla beslut om sanktionsavgifter. Även alla förelägganden utom ett upphävdes. I juni överklagade IMY beslutet till HFD men prövningstillstånd har ännu inte meddelats. Det slutliga utfallet av domen kan ha stor betydelse inte bara för sjukvården, utan även IMY och alla de bolag de utövar tillsyn över. |
|