Tillbaka

22.06.23 / Nyhet

Integritet & dataskydd; Schrems, EU Data Act, vårens tillsynsbeslut

NYHETBREV, JUNI 2022

Midsommar står för dörren och det har varit ännu en intensiv vår på dataskyddsområdet. MAQS Integritet & dataskyddsgrupp har samlat ett axplock av vårens viktigaste nyheter och blickat framåt mot hösten. De senaste åren har många stora nyheter kommit under sommaren, så vi väntar med spänning vad sommaren 2022 ska bjuda på. 

Vi har under terminen sett ett ökat behov av rådgivning kopplat till vårens hetaste frågor. Vi får många frågor kring molntjänster (både konsekvensbedömningar liksom bedömningar kopplat till tredjelandsöverföringar) och uppdatering av informationstexter med anledning av Klarna-beslutet. 

Vi ser även en ökad efterfrågan på löpande rådgivning inom integritet och dataskydd, både i uppdrag som extern DSO och som juridiskt stöd till affären. 

Hör av dig om du vill veta mer om hur vi kan stötta just din verksamhet i dessa frågor.

Glad midsommar och trevlig läsning!
Anna Eidvall och Karin Schurmann

Ps. missa inte vår aktivitetskalender längst ned. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd här: LÄNK.

Schrems fortsätter att skrämmas – har du koll på dina tredjelandsöverföringar än?

Användning av Google Analytics ofta problematiskt

Kort efter Schrems II domen i juli 2020 anmälde Non of Your Business (NOYB) 101 företag runtom i Europa och menade att deras användning av Google Analytics stred mot GDPR eftersom Google Analytics överför personuppgifter till USA. Under våren har tillsynsmyndigheternas syn på saken tydliggjorts – både genom beslut och uttalanden. Såväl den österrikiska (DSB) som franska tillsynsmyndigheten (CNIL) har konstaterat att användning Google Analytics i dess nuvarande utformning strider mot GDPR. Myndigheterna har bland annat klargjort att IP-anonymisering inte är en tillräcklig åtgärd – dels eftersom andra identifierare ändå skickas över till USA, dels efter anonymiseringen sker först efter att IP adressen landat i USA.

Vi väntar nu spänt på IMY:s avgöranden i frågan. Troligtvis kommer de dock vara i samma riktning som dess systermyndigheters beslut.

MAQS har tidigare kommenterat användningen av Google Analytics, läs mer om det här.

I ett försök att rätta sig efter Schrems II-domen och den senaste tidens tillsynsbeslut lanserade Google i mars Google Analytics 4 som ersatte den äldre versionen av programmet. Den nya versionen ska inte längre spara enskildas IP-adresser. Trots detta har dock CNIL därefter kommenterat att de åtgärder som Google vidtagit för att säkerställa erforderligt dataskydd fortfarande inte är tillräckliga i sig.

NYA REGELVERK 

EU Data Act

Ett första förslag till Data Act presenterades av kommissionen i februari 2022. Syftet med förordningen är att underlätta användningen av och öka tillgången till data inom EU. Då kommissionen uppskattar att 80 procent av all industriell data idag förblir oanvänd, ämnar Data Act effektivisera marknaden på ett sätt som uppskattas skapa 270 miljarder euro i GDP till 2028.

Ett uttalat mål med lagstiftningen är att förstärka förhandlingspositionen för små och medelstora företag gentemot större företag avseende datadelningsavtal då det ansetts att den rådande obalansen mellan dessa aktörer gällande datatillgång hämmar marknadseffektiviteten inom EU. Den ökade tillgången till data är även avsedd att gynna myndigheter i behov av personuppgifter under särskilda nödsituationer. Data Act ska dessutom ge bättre möjligheter för användare att skydda sig mot olagliga dataöverföringar. 

FRÅGOR ATT HA KOLL PÅ

Vårens tillsynsbeslut är ett bittert uppvaknande för många 

Informationsgivning – höga krav på transparens och tydlighet

I mars utfärdade IMY en sanktionsavgift mot Klarna om 7,5 miljoner kronor i samband med att IMY:s granskning visat att Klarna brustit i sina skyldigheter enligt GDPR. Mer specifikt handlade ärendet om hur Klarna informerat sina kunder om personuppgiftsbehandling under våren 2020. IMY fann i huvudsak fyra brister i hur Klarna informerade sina kunder om personuppgiftsbehandlingen: 

  1. Klarna hade inte på ett tillräckligt tydligt sätt informerat kunderna om behandlingens ändamål eller vilken rättslig grund som behandlingen baserats på. 
  2. Klarna hade lämnat missvisande samt ofullständig information om vilka tredje parter som tagit del av personuppgifterna samt vilken typ av personuppgifter som delats till dessa. 
  3. Klarna hade även lämnat ofullständig information avseende de överföringar av personuppgifter som skett utanför EU/EES. 
  4. Klarna ansågs inte ha informerat sina kunder i tillräcklig utsträckning om deras rättigheter enligt GDPR. 
Beslutet tjänar som en påminnelse om hur viktigt det är för företag att upprätthålla gedigen transparens gentemot sina kunder vad avser personuppgiftsbehandling. Har du inte sett över din information sen 2018 är det på tiden att göra det nu. 
Du ansvarar för dina anställdas initiativ – organisatoriska skyddsåtgärder inte alltid tillräckligt 

Bara någon vecka innan Klarna-beslutet meddelade även IMY att de utfärdat en sanktionsavgift mot Tullverket om 300 000 kronor avseende en personuppgiftsincident som skett. Anställda hos Tullverket hade kopplat upp sina tjänstetelefoner till privata Google foto-konton vilket lett till att känsliga personuppgifter gällande brottsutredningar överförts till en molntjänst utanför EU/EES. Visserligen fanns det riktlinjer och rutiner på plats för att förebygga sådana läckor men IMY gjorde bedömningen att dessa åtgärder inte var tillräckliga. 

Utöver detta menade IMY att Tullverket även skulle ha infört erforderliga tekniska och organisatoriska säkerhetsåtgärder för att begränsa incidenter av detta slag. Utifrån beslutet går det att konstatera att arbetsgivarens ansvar för anställdas agerande går längre än att endast ha interna policys på plats. Det finns således goda skäl för arbetsgivare att se över sina rutiner i detta hänseende och säkerställa att det finns robusta tekniska och organisatoriska spärrar på plats, vad gäller till exempel tjänstetelefoner, i syfte att förebygga felaktigt användande av dessa. 

Skydda personuppgifter i e-post 

I två beslut från januari i år fann IMY att Region Uppsala brustit i sina säkerhetsåtgärder vad avser hanteringen av känsliga personuppgifter. Detta medförde att IMY utfärdade en sanktionsavgift om 1,9 miljoner kronor mot Region Uppsala. Granskningen visade att Region Uppsala inte krypterat e-postmeddelanden som innehöll känsliga patientuppgifter och personnummer. 

Dessutom konstaterar IMY att det inte heller vidtagits tillräckliga säkerhetsåtgärder vid lagringen av känsliga e-postmeddelanden.

Vad avser meddelandena som skickats fanns i likhet med beslutet mot Tullverket interna riktlinjer, men de tekniska åtgärderna hade bedömts som otillräckliga. Intressant att notera är att det i detta fall faktiskt inte skett någon personuppgiftsincident som sådan, men att bristerna i säkerheten ändå fordrade att sanktionsavgift skulle utfärdas. Här bör det samtidigt belysas att behovet av tekniska och organisatoriska säkerhetsåtgärder enligt GDPR måste bedömas från fall till fall. I det här fallet rörde det sig om känsliga uppgifter, varför en hög grad av säkerhet bedömdes vara nödvändig. I andra fall, där det rör sig om mindre känsliga e-postmeddelanden är det inte säkert att kryptering krävs. Det är dock ändå viktigt för alla personuppgiftsansvariga samt biträden att överse säkerheten kring sina kommunikationskanaler för att försäkra sig om att de tillgängliga säkerhetsåtgärderna motsvarar känsligheten av de personuppgifter som meddelandena innehåller. 

Fler överklaganden av IMY:s beslut att vänta? 

I december 2020 meddelade IMY att de funnit brister i hur åtta vårdgivare i Stockholm hanterat sina journalsystem. IMY menade att vårdcentralerna inte gjort den behovs- och riskanalys som krävs under patientsäkerhetslagen innan personal getts tillgång till patientuppgifter. IMY beslutade om sanktionsavgifter mot sju av åtta vårdgivare. Efter att ha genomgått en förvaltningsrättsprocess under 2021 fick samtliga vårdgivare som överklagat IMY:s beslut rätt i Kammarrätten i år. Kammarrätten menade framför allt att det ställs höga beviskrav på IMY för att en sanktionsavgift ska få utfärdas. I och med att IMY inte lyckats bevisa att vårdgivarna brustit i sina skyldigheter enligt GDPR upphävdes alla beslut om sanktionsavgifter. Även alla förelägganden utom ett upphävdes. I juni överklagade IMY beslutet till HFD men prövningstillstånd har ännu inte meddelats. Det slutliga utfallet av domen kan ha stor betydelse inte bara för sjukvården, utan även IMY och alla de bolag de utövar tillsyn över.

KALENDER

Händer i höst

Digitalt frukostseminarium:

En djupdykning i relevanta tillsynsärenden de senaste månaderna
Karin Schurmann och Anna Eidvall går igenom de senaste tillsynsärendena från tillsynsmyndigheter inom EU/EES.

I samarbete med Norstedts Juridik (avgiftsbelagd kurs)
Datum: 9 september
Läs mer på Norstedts Juridiks hemsida här
 

 

Digitalt frukostseminarium:

EDPB:s nya vägledningar
Välkommen på frukostseminarium med experterna Karin Schurmann och Anna Eidvall där vi fördjupar vi oss i de senaste vägledningarna från EDPB.

I samarbete med Norstedts Juridik (avgiftsbelagd kurs)
Datum: 7 oktober
Läs mer på Norstedts Juridiks hemsida här
 

Fysiskt & digitalt halvdagsseminarium:

Cookies och andra spårningstekniker - juridik och praktik
Med omfattande erfarenhet av juridiken som styr hantering av cookies och andra spårningstekniker föreläser Anna Eidvall och Karin Schurmann utifrån ett praktiskt perspektiv. Välkommen!

I samarbete med Norstedts Juridik (avgiftsbelagd kurs)
Datum: 7 oktober
Läs mer på Norstedts Juridiks hemsida här

 

Tredjelandsöverföringar - seminarium

I samarbete med Norstedts Juridik
Datum: 11 november 2022
Föreläsare: Anna Eidvall, Karin Schurmann
Info publiceras på Norstedts Juridiks hemsida inom kort.

 

Nordic Privacy Arena
Datum: 26-27 september 2022

LÄNK

Relaterade nyheter

Kontaktpersoner