Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Datainspektionens dom: Google får betala 75 miljoner kronor

| Linda Kante

Datainspektionen utfärdar en sanktionsavgift på 75 miljoner kronor mot Google för att företaget bryter mot GDPR. Orsaken är att Google brister i sitt sätt att hantera rätten att få sökresultat borttagna.

Teckna din prenumeration på Aktuell Säkerhet här 

2017 blev Datainspektionen klar med en granskning av hur Google hanterar rätten för enskilda att få sökresultat borttagna från Googles sökmotor för sökningar som innehåller personens namn i fall då resultaten exempelvis är oriktiga, irrelevanta eller överflödiga. Datainspektionen förelade då Google att ta bort ett antal sökträffar. Året därpå inledde Datainspektionen en ny granskning av Google efter att ha fått indikationer på att flera av de resultat som skulle ha tagits bort fortfarande visades i sökningar. Nu är myndigheten klar med denna granskning och utfärdar en sanktionsavgift mot Google.

– Dataskyddsförordningen, GDPR, ökar kraven på organisationer som samlar in och hanterar personuppgifter och stärker enskildas rättigheter. En viktig sådan rättighet är möjligheten för enskilda att få sökresultat borttagna. Nu ser vi att Google brister i sitt sätt att hantera denna rättighet, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen.

Datainspektionen är kritisk till att Google inte har tagit bort två av de sökträffar som myndigheten beslutade om 2017. I det ena fallet har Google gjort en för snäv bedömning av vilka webbadresser som faktiskt ska tas bort från sökresultat. I det andra fallet har Google inte tagit bort ett sökresultat tillräckligt snabbt.

Läs även: Dubbelt så många personuppgiftsincidenter anmälda under 2019

När Google tar bort sökresultat meddelar företaget sajten ifråga om detta på ett sätt som gör att sajtägaren får reda på vilken webbsida det rör och vem som begärt att få sökresultat borttagna. Förfarandet gör det möjligt för sajtägaren att ompublicera webbsidan med en ny webbadress som kommer att visas vid Google-sökningar, något som i praktiken sätter rätten att få sökresultat borttagna ur spel.

– I sitt webbformulär för borttagande informerar Google om att meddelanden skickas till sajtägare, på ett sätt som kan få enskilda att avstå från att utnyttja sin rätt att begära borttagande, vilket också undergräver effektiviteten av denna rättighet, säger Olle Pettersson som är jurist på Datainspektionen och som deltagit i granskningen av Google.

Google har inget rättsligt stöd för att informera sajter när sökresultat tas bort och ger vilseledande information till enskilda som vill få sökresultat borttagna. Därför utfärdar Datainspektionen en sanktionsavgift även för detta och förelägger Google att upphöra med att skicka sådan information.

Dubbelt så många personuppgiftsincidenter anmälda under 2019

| Linda Kante

Datainspektionens rapport över de personuppgiftsincidenter som statliga myndigheter samt hälso- och sjukvården anmälde under 2019 visar att antalet fördubblats jämfört med 2018.

Teckna din prenumeration på Aktuell Säkerhet här 

Antalet anmälda personuppgiftsincidenter per vecka har ökat 2019 jämfört med 2018. Under 2019 fick Datainspektionen totalt in knappt 4 800 anmälningar om personuppgiftsincidenter, vilket motsvarar cirka 400 anmälda incidenter per månad. 2018 anmäldes cirka 320 incidenter per månad.

Offentlig sektor står för den största ökningen av anmälda incidenter, i synnerhet statliga myndigheter och hälso- och sjukvården. Båda dessa sektorer anmälde under 2019 dubbelt så många incidenter i snitt per månad jämfört med 2018.

– Vår bedömning är att ökningen av antalet anmälda incidenter i stor utsträckning beror på att rutinerna för att rapportera incidenter internt och anmäla dem till Datainspektionen blivit mer etablerade, i synnerhet inom offentlig sektor, säger Datainspektionens stabschef Karin Lönnheden.

Den vanligaste incidenten 2019 är, liksom föregående år, felskickade e-postmeddelanden eller brev, som utgör drygt en tredjedel av incidenterna. Den vanligaste orsaken till de anmälda incidenterna är den mänskliga faktorn, som uppges ha orsakat hälften av de anmälda incidenterna 2019.

Datainspektionen utreder om svenska myndigheter använder teknik från Clearview AI

| Linda Kante

Medieuppgifter har gjort gällande att den teknik för ansiktsigenkänning som tillhandahålls av det amerikanska företaget Clearview AI, som bygger på insamling av bilder som ligger öppet på internet, används av myndigheter inom EU. Datainspektionen har i dagsläget ingen kännedom om att svenska myndigheter använder tekniken.

Teckna din prenumeration på Aktuell Säkerhet här 

– Vi gör nu en granskning där vi skickar ett antal frågor till Polisen, Säkerhetspolisen, Kustbevakningen, Tullverket, Migrationsverket och ett antal andra svenska myndigheter. Vi vill veta om någon av myndigheterna använder Clearview AI och i sådana fall vilken rättslig grund de stödjer sig på, säger Elena Mazzotti Pallard, jurist på Datainspektionen och ansvarig för granskningen.

EU:s kamerariktlinjer anger tydligt vad som gäller för företag som använder teknik för ansiktsigenkänning. Huvudregeln är att det inte är tillåtet, om syftet är att identifiera en person.

Europeiska dataskyddsstyrelsen, EDPB, ska ta fram en vägledning om hur de brottsbekämpande myndigheterna ska förhålla sig till teknik för ansiktsigenkänning. Sverige är ett av de drivande länderna i arbetet.

Datainspektionen granskar polisens belastningsregister

| Linda Kante

Polisen har skickat ett antal utdrag ur belastningsregistret till enskilda personer som innehållit för få eller för många uppgifter. Totalt berörs 450 utdrag som skickats under perioden 19 november 2019 till och med 13 januari 2020. Orsaken till de felaktiga utdragen ska vara ett byte av IT-plattform.

Teckna din prenumeration på Aktuell Säkerhet här 

Polisen har anmält det inträffade som en personuppgiftsincident till Datainspektionen som nu inleder en granskning av händelsen.

– Det här är en allvarlig incident eftersom det rör uppgifter om lagöverträdelser. Det är viktigt att Polisen har vidtagit de åtgärder som behövs för att minimera riskerna med det som hänt och för att förhindra att felet uppstår igen, säger Linda Olander som leder Datainspektionens granskning.

Den som har fått anställning i exempelvis förskola, grundskola eller fritidshem måste begära ett registerutdrag från belastningsregistret och visa för arbetsgivaren.

Polisen uppger att alla berörda personer har underrättats om det inträffade

Yellow-belly får inte bedriva kreditupplysningsverksamhet

| Linda Kante

Yellow-belly har lämnat ut uppgifter till Mrkoll i strid med kreditupplysningslagen. Därför drar Datainspektionen nu företagets tillstånd att syssla med sådan kreditupplysningsverksamhet. 

Teckna din prenumeration på Aktuell Säkerhet här 

Datainspektionens granskning visar att Yellow-belly överlåtit sitt kreditupplysningsregister till Nusvar utan att först få ett medgivande från Datainspektionen, vilket innebär att företaget brutit mot kreditupplysningslagen.

– Handlingen är att betrakta som allvarlig eftersom vi sannolikt skulle ha avslagit en ansökan om medgivande om en sådan hade gjorts, säger Hans Kärnlöf, jurist på Datainspektionen.

– Att Yellow-belly lämnar ut kreditupplysningsuppgifter utan vårt medgivande tyder på att företagets verksamhet inte bedrivs på ett sakkunnigt och omdömesgillt sätt. Därför återkallar vi tillståndet för företaget att få bedriva kreditupplysningsverksamhet.

Nya europeiska riktlinjer för kamerabevakning

| Linda Kante

Den Europeiska dataskyddsstyrelsen har nu tagit fram riktlinjer som förtydligar och ger vägledning om kamerabevakning.

Teckna din prenumeration på Aktuell Säkerhet här 

De nya riktlinjerna för kamerabevakning och ansiktsigenkänning som tagits fram av den Europeiska dataskyddsstyrelsen, EDPB, finns att hitta på Datainspektionens hemsida.

– Dessa riktlinjer förtydligar och ger vägledning för alla som vill kamerabevaka. I riktlinjerna finns också många konkreta exempel på vad man bör tänka på vid olika typer av kamerabevakning, säger Frida Orring som är jurist på Datainspektionen och som deltagit som expert i den EU-arbetsgrupp som arbetat fram riktlinjerna.

Riktlinjerna ger bland annat rekommendationer för hur länge videomaterial kan sparas, hur man kan informera om bevakningen och när ansiktsigenkänning kan vara tillåten.

– Vi kan bland annat konstatera att det ställs krav på en ganska långtgående och omfattande information om bevakningen, som går längre än vad som har varit vanligt här i Sverige.

Datainspektionen publicerar rapport om vanligaste klagomålet

| Linda Kante

I dag är det Internationella dataskyddsdagen. I samband med detta låter Datainspektionen meddela att de publicerar en ny rapport som beskriver det enskilt vanligaste klagomålet som kommer in till myndigheten, nämligen det om sajter som masspublicerar personuppgifter. 

Teckna din prenumeration på Aktuell Säkerhet här 

Bland sajterna som medborgare klagar mest på finns bland annat Mrkoll, Merinfo och Ratsit. Sajterna publicerar stora mängder uppgifter som hämtats och sammanställts från svenska myndigheter. Somliga av sajterna publicerar information om personer förekommer i brottmål eller har fått strafföreläggande.

– Närmare var femte klagomål som Datainspektionen tagit emot sedan dataskyddsförordningen, GDPR, trädde i kraft rör personsöktjänster. Totalt rör det sig om över 750 klagomål, säger Julia Wågenberg som är jurist på Datainspektionen och som varit med och tagit fram rapporten.

Av klagomålen till Datainspektionen framgår att medborgare upplever personsöktjänster på internet som ett stort integritetsintrång. Även om uppgifterna är offentliga hos svenska myndigheter blir de betydligt mer lättillgängliga på personsöktjänsterna. Många som klagar är oroliga för att informationen ska utnyttjas av kriminella för att begå exempelvis id-kapning, bedrägerier eller inbrott.

Företagen bakom personsöktjänsterna publicerar uppgifterna med stöd av ett så kallat frivilligt utgivningsbevis, vilket gör att de till stora delar är undantagna från reglerna i dataskyddsförordningen.

– GDPR har förstärkt skyddet för den personliga integriteten. Många medborgare upprörs över att den omfattande publiceringen av personuppgifter på dessa sajter är möjlig trots den skärpta integritetslagstiftningen, fortsätter Julia Wågenberg.

Rapporten ingår som en del i Datainspektionens rapportserie där olika delar av ärendeinflödet till myndigheten beskrivs närmare.

Syftet med rapporten är att ge en fördjupad bild av hur medborgare beskriver risker, oro och konsekvenser kopplat till personsöktjänster med utgivningsbevis. I arbetet med rapporten har 300 klagomål analyserats.

Här hittar du rapporten i sin helhet

Lagändring ett måste för användning av ansiktsverifiering på flygplats

| Linda Kante

Polisen har begärt ett förhandssamråd med Datainspektionen med anledning av att man vill inleda en pilotverksamhet med ansiktsverifiering vid gränskontrollen på Skavsta flygplats.  Datainspektionen konstaterar nu att det behövs lagändringar för att det ska vara möjligt att utföra en central del i pilotverksamheten.

Teckna din prenumeration på Aktuell Säkerhet här 

Testverksamheten skulle gå till så att en kamera placeras vid gränskontrollen och tar en bild av passageraren. Med hjälp av biometrisk ansiktsverifiering jämförs bilden sedan med den biometriska bild som finns lagrad på en minneskrets i passagerarens pass.

I en första fas behöver polisen testa tekniken för att utveckla den programvara som används. I fas två ska tekniken användas av gränskontrollanter vid Skavsta flygplats. Polisen bedömer att testet är nödvändigt för att ansiktsverifieringen i skarp drift i fas två ska kunna göras på ett rättssäkert och icke-diskriminerande sätt.

– Vår bedömning är att polisen har ett tydligt behov av att få utföra det tänkta testet, men för att det ska bli möjligt krävs en ändring i lagstiftningen. Därför skickar vi vårt svar på polisens förhandssamråd för kännedom till regeringen, säger Elena Mazzotti Pallard som är jurist på Datainspektionen.

Datainspektionen ålägger mrkoll.se med sanktionsavgift

| Linda Kante

Sajten Mrkoll som publicerar uppgifter om alla svenskar över 16 år har bedrivit en kreditupplysningsverksamhet på ett sätt som inte är lagligt. Därför har Datainspektionen nu bedömt att sajten ska betala en sanktionsavgift på 35 000 euro.

Teckna din prenumeration på Aktuell Säkerhet här 

– Beslutet rör gränsen mellan kreditupplysningsverksamhet, dataskyddsfrågor och grundlagsskydd, säger Hans Kärnlöf som lett granskningen av sajten.

Mrkoll har ett så kallat frivilligt utgivningsbevis vilket ger den ett grundlagsskydd som normalt innebär att dataskyddsförordningen, GDPR, i stora delar inte gäller för verksamheten.

Sajten har dock publicerat uppgifter om att personer saknar betalningsanmärkningar. Uppgifter om betalningsanmärkningar räknas som kreditupplysningar. Det gör att sajten måste följa reglerna i kreditupplysningslagen och därmed även regler som följer av GDPR. Sajten har också publicerat uppgifter om att personer har begått lagöverträdelser. Sådana uppgifter innehåller GDPR särskilda regler om och får inte publiceras i kreditupplysningsverksamhet utan att Datainspektionen medgett det, vilket myndigheten inte har gjort för sajten ifråga.

– Sajter med utgivningsbevis behöver inte tillstånd från Datainspektionen för att bedriva kreditupplysningsverksamhet, men de måste följa reglerna i kreditupplysningslagen. Det har den här sajten inte gjort, säger Hans Kärnlöf.

Granskning av brottsbekämpande myndigheter utökas

| Linda Kante

Nu granskar Datainspektionen Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket för att ta reda på om myndigheterna har tillräckliga rutiner för att upptäcka och rapportera personuppgiftsincidenter.

Teckna din prenumeration på Aktuell Säkerhet här 

Åklagarmyndigheten är en av de myndigheter som Datainspektionen kommer att granska.

I juni inledde Datainspektionen en granskning av Polisen och Ekobrottsmyndigheten med syfte att undersöka om myndigheterna har tillräckliga rutiner för att upptäcka och hantera personuppgiftsincidenter.

Nu utökas granskningen med övriga brottsbekämpande myndigheter. De myndigheter som nu granskas är Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket.

– För att kunna leva upp till de nya skyldigheterna i brottsdatalagen som kom förra året är det viktigt att de brottsbekämpande myndigheterna har rutiner på plats för att kunna upptäcka, hantera, utreda och rapportera personuppgiftsincidenter. En incident som inte snabbt upptäcks och åtgärdas kan leda till risker för de medborgare som berörs. Ytterst syftar skyldigheten att anmäla personuppgiftsincidenter till att stärka integritetsskyddet, säger Paulo Zavala som är jurist på Datainspektionen och deltar i granskningen.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29