Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Ny EU-vägledning sätter gränser för ansvariga och biträden

| Linda Kante

Den Europeiska dataskyddsstyrelsen har nu tagit fram en vägledning som klargör gränsdragningen mellan personuppgiftsansvariga och personuppgiftsbiträden och som tydliggör vilka följderna blir av att ha en av dessa roller.

Dataskyddsförordningen, GDPR, skiljer mellan organisationer som är personuppgiftsansvariga och organisationer som är personuppgiftsbiträden. Den organisation som bestämt varför och hur en viss hantering av personuppgifter ska ske, är ansvarig. Den organisationen kan dock ta hjälp av någon annan för den faktiska hanteringen. Den organisationen är då personuppgiftsbiträde. Beroende på om en organisation är ansvarig eller biträde följer olika skyldigheter och rättigheter.

Teckna din prenumeration på Aktuell Säkerhet här

– I praktiken, med dagens allt mer komplexa IT-system och flöden av personuppgifter, kan det dock vara svårt att bedöma vilken organisation som faktiskt är personuppgiftsansvarig och vilken som är biträde. Det har funnits ett stort behov av vägledning på det här området, säger Elisabeth Jilderyd, jurist och internationell samordnare på Datainspektionen.

Den Europeiska dataskyddsstyrelsen, EDPB, har nu publicerat en vägledning med fokus på just gränsdragningen mellan personuppgiftsansvarig och biträde. Vägledningen beskriver också vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan den organisation som är ansvarig för en viss behandling av personuppgifter och det biträde som utför behandlingen på uppdrag av den ansvariga organisationen.

– GDPR innehåller en tydlig och grundläggande ansvarsprincip för de som hanterar personuppgifter. Det åligger i första hand den personuppgiftsansvarige, det vill säga den som bestämmer varför och hur en behandling av personuppgifter ska ske, att se till att GDPR följs. En nyhet i GDPR är att det nu även finns speciella skyldigheter även för personuppgiftsbiträden, alltså den som utför en personuppgiftsbehandling på uppdrag av en personuppgiftsansvarig. Därför är det viktigt att klart och tydligt  definiera dessa roller mellan de aktörer som är involverade i en viss behandling.

Datainspektionen granskar ABB

| Linda Kante

Datainspektionen ska i ett första steg ta reda på om den är behörig att granska ett klagomål som rör ABB som är en internationell koncern.

Datainspektionen har tagit emot ett klagomål som rör hur ABB hanterar personuppgifter om arbetssökande och har nu inlett en granskning av företaget. I ett första steg ska myndigheten utreda om den är behörig att granska ABB som är en internationell koncern.

Teckna din prenumeration på Aktuell Säkerhet här

– Beroende på resultatet från den här inledande granskningen kan vi exempelvis fortsätta med en egen fördjupad granskning eller lämna över ärendet till någon systermyndighet i Europa, säger Albin Brunskog som är jurist på Datainspektionen.

Datainspektionen ställer nu ett antal frågor till ABB för att bland annat ta reda på i vilka länder som personuppgifter av det slag som nämns i klagomålet hanteras i samband rekryteringar och i vilket land beslutet fattades att hantera personuppgifter på det sättet.

Datainspektionen avslutar granskning av polisens belastningsregister

| Linda Kante

Efter att polisen under en period skickat ut felaktiga utdrag ur sitt belastningsregister har Datainspektionen granskat det inträffade för att ta reda på vad som hänt och vilka åtgärder polisen vidtagit.

Polisen har rapporterat en personuppgiftsincident till Datainspektionen. Enligt incidentanmälan har polisen under en period skickat ett antal utdrag ur belastningsregistret till enskilda personer som innehållit för få eller för många uppgifter.

Teckna din prenumeration på Aktuell Säkerhet här

Datainspektionen har granskat det inträffade och konstaterar att polisen vidtagit flera åtgärder efter incidenten. Bland annat har polisen publicerat ett pressmeddelande med generell information om det inträffade samt underrättat samtliga enskilda som fått ett felaktigt utdrag. Vidare har korrekta utdrag skickats ut till de berörda och de felaktiga utdragen har begärts in för att förhindra att dessa används. Polisen har även åtgärdat det tekniska problem i registerutdragstjänsten som orsakade de felaktiga registerutdragen. De felaktiga utdragen skickades under en begränsad period och när polisen upptäckte detta stoppades tjänsten medan felet åtgärdades. Polisen anmälde dessutom händelsen omgående till Datainspektionen.

– Polisens sammantagna åtgärder i samband med incidenten gör att vi avslutar ärendet och inte kommer att vidta några ytterligare åtgärder, säger Agneta Runmarker som är jurist på Datainspektionen.

Incident hos Tullverket granskas av Datainspektionen

| Linda Kante

Personal på Tullverket har använt en app på sina mobiltelefoner som laddat upp personuppgifter i en molntjänst. Uppgifterna har på så sätt spritts utanför verket. Nu ska Datainspektionen granska händelsen.

– Därför inleder vi nu en granskning av Tullverket för att bland annat ta reda på vad som faktiskt hänt och hur Tullverket använder mobiltelefoner i sin brottsbekämpande verksamhet, säger Max Blidberg som leder Datainspektionens granskning.

Teckna din prenumeration på Aktuell Säkerhet här

Datainspektionen kommer även att ställa frågor om vilka interna föreskrifter, handböcker eller andra styrdokument som reglerar hur Tullverkets personal får använda mobiltelefoner och vilka åtgärder som vidtagits efter incidenten för att något liknande inte ska inträffa igen.

Nästan var tionde incident är ett IT-angrepp

| Linda Kante

Datainspektionen publicerade idag en rapport som analyserar inrapporterade personuppgiftsincidenter som orsakats av olika former av IT-angrepp.

– Nästan var tionde incident som rapporterats till oss under 2019 har orsakats av ett IT-angrepp, säger Christina Torell som är analytiker på Datainspektionen.

Teckna din prenumeration på Aktuell Säkerhet här

Av de totalt knappt 4 800 anmälningar om personuppgiftsincidenter som anmäldes till Datainspektionen under 2019, utgjordes över 400 stycken, 8,7 procent, av incidenter som uppges bero på IT-angrepp.

Det är vanligt att de anmälda IT-angreppen har genomförts genom breda nätattacker utan specifik mottagare. En vanlig metod för att komma åt information är nätfiske som innebär att mottagarna via ett mejl klickar på en länk och leds till en falsk webbplats, där de uppmanas att ange uppgifter.

– Av anmälningarna framgår att många mottagare faktiskt klickar på länkar i den typen av mejl, vilket understryker behovet av organisatoriska skyddsåtgärder som utbildning, information och löpande påminnelser om hur vanliga IT-angrepp går till.

Datainspektionen inleder granskning av kamerabevakning i hyreshus

| Linda Kante

Myndigheten ska undersöka hur ett kommunalt bostadsbolag i Uppsala gjort den rättsliga bedömning som krävs för att få kamerabevaka i trapphus.

Teckna din prenumeration på Aktuell Säkerhet här

Datainspektionen har tagit emot ett klagomål mot ett kommunalt bostadsbolag i Uppsala. Klagomålet gör gällande att bolaget satt upp en bevakningskamera i trapphuset som är direkt riktad mot klagandens ytterdörr.

– Det ska till tungt vägande skäl för ett bostadsbolag att sätta upp en bevakningskamera på ett sätt som gör det möjligt att kartlägga en boende och dennes besökare. Därför inleder vi nu en granskning av bostadsbolaget för att se hur den aktuella kameran används och hur bolaget gjort den rättsliga bedömningen, säger Gustav Linder, jurist på Datainspektionen.

Typiskt sett behöver bostadsbolag och bostadsrättsföreningar inte ansöka om tillstånd för att kamerabevaka i ett trapphus. Däremot måste den som tänkt kamerabevaka alltid bedöma att det finns rättsligt stöd som motiverar bevakningen, till exempel en intresseavvägning eller att bevakningen är nödvändig för att utföra en uppgift av allmänt intresse.

Fel att publicera känsliga uppgifter på regionens webb

| Linda Kante

Hälso- och sjukvårdsnämnden i Region Örebro län  publicerade känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik. Något som Datainspektionen bedömer var en felhantering. 

Teckna din prenumeration på Aktuell Säkerhet här

– Vår granskning av det inträffade visar att känsliga personuppgifter felaktigt publicerats och har legat öppna på kommunens webbplats, säger Elin Hallström, jurist på Datainspektionen.

Av Datainspektionens granskning framgår att det inte finns några skriftliga rutiner som rör publicering av handlingar och personuppgifter på webbplatsen. Rutiner kring publiceringen delges muntligt. I detta fall har de muntliga rutinerna inte följts och handlingen publicerades av misstag, vilket tyder på att nämnden inte har vidtagit tillräckliga organisatoriska åtgärder för att säkerställa att personuppgifter skyddas från att felaktigt publiceras på regionens webbplats.

– Därför förelägger vi nu nämnden att ta fram skriftliga instruktioner och införa rutiner som säkerställer att den som publicerar personuppgifter på webben gör det enligt de instruktionerna.

I sitt beslut konstaterar Datainspektionen även att nämnden vad gäller publiceringen varken haft ett berättigat ändamål, en laglig grund eller en anledning till undantag från förbudet i dataskyddsförordningen mot att hantera känsliga personuppgifter.

Datainspektionen förelägger nämnden att åtgärda de brister som upptäckts och utfärdar även en administrativ sanktionsavgift på 120 000 kronor mot nämnden.

Statens servicecenter erlagd med sanktionsavgift

| Linda Kante

Datainspektionen utfärdar nu en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter för att ha dröjt med att underrätta såväl Datainspektionen som berörda myndigheter om en personuppgiftsincident.

Teckna din prenumeration på Aktuell Säkerhet här

Datainspektionen har granskat Statens servicecenter efter att ha tagit emot flera anmälningar om en personuppgiftsincident som rör en felaktighet i Statens servicecenters system för lönehantering. Felaktigheten innebar att obehöriga kunde komma åt dels personuppgifter från myndigheter som anlitar servicecentret för sin lönehantering, dels personuppgifter som rörde servicecentrets egen personal.

– Vår granskning visar att Statens servicecenter dröjt för länge med att underrätta de berörda myndigheterna samt att för egen del göra en incidentanmälan till Datainspektionen. Dessutom var dokumentationen av incidenten som drabbade den egna personalen otillräcklig, säger Elin Hallström som lett Datainspektionens granskning.

Datainspektionen konstaterar att servicecentret dröjt närmare fem månader med att underrätta de berörda myndigheterna om incidenten och närmare tre månader med att rapportera personuppgiftsincidenten till  Datainspektionen.

– När en incident av det här slaget upptäcks är det viktigt att snarast informera de personuppgiftsansvariga, så att de i sin tur kan göra en anmälan till Datainspektionen och vidta eventuella åtgärder för att minimera riskerna med incidenten. Här har servicecentret brustit.

Datainspektionen ska granska polisens utskick av mejl

| Linda Kante

I brottsdatalagen finns en skyldighet för brottsbekämpande myndigheter att rapportera incidenter som rör personuppgifter till Datainspektionen. Polismyndigheten har anmält personuppgiftsincidenter som rör mejl som oavsiktligt hamnat hos fel mottagare.

Teckna din prenumeration på Aktuell Säkerhet här

– Mejl som skickas till och från Polisen kan innehålla extra skyddsvärda personuppgifter. Därför inleder vi nu en tillsyn för att granska Polisens rutiner för utskick av e-post före och efter incidenterna. Vi ska  även undersöka vilka organisatoriska och tekniska säkerhetsåtgärder som  Polisen vidtagit för att minimera riskerna för felaktiga utskick, säger Paulo Zavala som är jurist på Datainspektionen och som leder granskningen.

Inledningsvis ställs ett antal skriftliga frågor som Polisen ska besvara. Beroende på svaren kan det även bli aktuellt med fördjupade frågor till Polisen eller granskningar av andra myndigheter som varit i mejlkontakt med Polisen.

Datainspektionens dom: Google får betala 75 miljoner kronor

| Linda Kante

Datainspektionen utfärdar en sanktionsavgift på 75 miljoner kronor mot Google för att företaget bryter mot GDPR. Orsaken är att Google brister i sitt sätt att hantera rätten att få sökresultat borttagna.

Teckna din prenumeration på Aktuell Säkerhet här 

2017 blev Datainspektionen klar med en granskning av hur Google hanterar rätten för enskilda att få sökresultat borttagna från Googles sökmotor för sökningar som innehåller personens namn i fall då resultaten exempelvis är oriktiga, irrelevanta eller överflödiga. Datainspektionen förelade då Google att ta bort ett antal sökträffar. Året därpå inledde Datainspektionen en ny granskning av Google efter att ha fått indikationer på att flera av de resultat som skulle ha tagits bort fortfarande visades i sökningar. Nu är myndigheten klar med denna granskning och utfärdar en sanktionsavgift mot Google.

– Dataskyddsförordningen, GDPR, ökar kraven på organisationer som samlar in och hanterar personuppgifter och stärker enskildas rättigheter. En viktig sådan rättighet är möjligheten för enskilda att få sökresultat borttagna. Nu ser vi att Google brister i sitt sätt att hantera denna rättighet, säger Lena Lindgren Schelin, generaldirektör för Datainspektionen.

Datainspektionen är kritisk till att Google inte har tagit bort två av de sökträffar som myndigheten beslutade om 2017. I det ena fallet har Google gjort en för snäv bedömning av vilka webbadresser som faktiskt ska tas bort från sökresultat. I det andra fallet har Google inte tagit bort ett sökresultat tillräckligt snabbt.

Läs även: Dubbelt så många personuppgiftsincidenter anmälda under 2019

När Google tar bort sökresultat meddelar företaget sajten ifråga om detta på ett sätt som gör att sajtägaren får reda på vilken webbsida det rör och vem som begärt att få sökresultat borttagna. Förfarandet gör det möjligt för sajtägaren att ompublicera webbsidan med en ny webbadress som kommer att visas vid Google-sökningar, något som i praktiken sätter rätten att få sökresultat borttagna ur spel.

– I sitt webbformulär för borttagande informerar Google om att meddelanden skickas till sajtägare, på ett sätt som kan få enskilda att avstå från att utnyttja sin rätt att begära borttagande, vilket också undergräver effektiviteten av denna rättighet, säger Olle Pettersson som är jurist på Datainspektionen och som deltagit i granskningen av Google.

Google har inget rättsligt stöd för att informera sajter när sökresultat tas bort och ger vilseledande information till enskilda som vill få sökresultat borttagna. Därför utfärdar Datainspektionen en sanktionsavgift även för detta och förelägger Google att upphöra med att skicka sådan information.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29