Want to see the software before you decide? Book a demo and we will show you how it works.

OnePartnerGroup var tidiga med visselblåsarfunktion

thumbnail_Onepartnergroup.png

Onepartnergroup.png

 OnePartnerGroup was early with GDPR and whistleblowing

GDPR står för General Data Protection Regulation och är en dataskyddsförordning utfärdad av EU. GDPR trädde i kraft 2018 och syftet är att stärka skyddet av EU-medborgares personuppgifter. Förordningens ikraftträdande innebär bland annat att det föregående EU-direktivet, som genom PUL implementerades i svensk lag, upphörde att gälla och därmed även PUL. En EU-förordning blir direkt tillämplig i alla EU-länder och behöver således inte implementeras genom ny nationell lagstiftning.

The GDPR stands for the General Data Protection Regulation. It was issued by the EU and entered into force in 2018. The purpose of the GDPR is to strengthen the protection of EU citizens' personal data. This means, among other things, that the previous EU directive, which was implemented in Swedish law through PUL, ceased to apply and thus also PUL. Since an EU regulation is directly applicable in all EU countries it does not need to be implemented through national legislation.

Som företag behöver ni uppfylla kraven som ställs i dataskyddsförordningen (GDPR). Det innebär bland annat att följa de grundläggande principerna, att se till att all behandling av personuppgifter har en rättslig grund och att informera de registrerade om hur ni behandlar deras personuppgifter.

As a company, you need to meet the requirements set out in the GDPR. This means, among other things, to follow the general principles, ensuring that all processing of personal data has a legal basis and informing the data subjects about how you process their personal data.

Om ett företag sedan tidigare lever upp till PUL är tröskeln inte lika hög för att uppnå kraven i GDPR. Dock är det en hel del nyheter som måste ses över och på ett lämpligt sätt implementeras i företagets rutiner, dokument, system och arbetssätt.

If a company already lives up to PUL, the threshold for achieving the requirements of the GDPR is not as high. However, there is a lot of things that needs to be reviewed and implemented in an appropriate way in the company's routines, documents, systems, and methods.

Om man bryter mot GDPR riskerar man omfattande sanktionsavgifter. Hur stora avgifter bedöms från fall till fall, men maxtaket är 20 miljoner euro eller fyra procent av verksamhetens globala årsomsättning, beroende på vilket belopp som är högst. Detta för att även kunna få de stora globala koncernerna att leva upp till bestämmelserna.

If you violate the GDPR, you can receive a large fine. How big is estimated case by case, but the maximum is 20 million Euros or four percent of the global annual revenues, whichever is the highest amount. This is to also be able to make the large global groups live up to the regulations.

Alla verksamheter som behandlar personuppgifter måste följa dataskyddsförordningen (GDPR). Den gäller för företag, föreningar, organisationer, myndigheter och (i vissa fall) privatpersoner.

All businesses that process personal data must comply with the GDPR. It applies to companies, associations, organizations, authorities, and (in some cases) natural persons.

GDPR anger två situationer då ett personuppgiftsbiträdesavtal behöver ingås. Första situationen rör när ett personuppgiftsbiträde behandlar personuppgifter åt den personuppgiftsansvariga. Den andra situationen rör när ett personuppgiftsbiträde anlitar ett underbiträde som ska utföra en specifik behandling, på den personuppgiftsansvarigas vägnar. I bägge situationerna behöver bindande biträdesavtal ingås.

GDPR states two situations where a data processing agreement needs to be entered into. The first situation concerns when a processor processes personal data for the controller. The second situation concerns when a processor hires a sub-processor to perform a specific processing, on behalf of the controller. In both situations, binding data processing agreements need to be entered into.

En personuppgift är en uppgift som kan användas för att identifiera en fysisk person. Till exempel personnummer, adress, namn, kontonummer osv. Men även flera uppgifter i kombination, som var för sig inte räcker för att identifiera en individ, anses vara personuppgifter.

Personal data is all data that can be used to identify a living person. For example, social security number, address, name, account number, etc. Also several data in combination, which individually is not enough to identify an individual, are considered personal data.

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Oavsett om det har skett oavsiktligt eller med avsikt är det personuppgiftsincidenter.

A personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed.

Ett dataskyddsombud (DSO) är en utsedd person, antingen internt eller externt, som har stor kunskap om dataskyddsförordningen och agerar kontaktperson både för Integritetsskyddsmyndigheten (IMY) och för de registrerade vars uppgifter behandlas. Kontakta oss på Qnister om du vill anlita ett externt dataskyddsombud.

A Data Protection Officer (DPO) is a designated person, either internally or externally, who has extensive knowledge of the GDPR and acts as a contact person both for Integritetsskyddsmyndigheten (IMY) and for the subjects whose data is processed. Contact Qnister if you want to hire an external Data Protection Officer.

Med behandling av en personuppgift avses i princip allt man kan göra med personuppgifterna. Det kan till exempel vara att samla in, lagra, flytta, radera eller skriva ut uppgifterna.

Processing is basically everything you can do with the personal data. This could be, for example, collecting, storing, moving, deleting, or printing the data.

Varje behandling av personuppgifter i er verksamhet måste ni stödja på någon av de rättsliga grunderna. Utan en rättslig grund är behandlingen av personuppgifter inte laglig. De sex rättsliga grunderna är:

*   Avtal med den registrerade
*   Rättslig förpliktelse
*   Intresseavvägning
*   Skydda grundläggande intresse
*   Uppgift av allmänt intresse eller myndighetsutövning
*   Samtycke

You must support any processing of personal data in your business on one of the legal basis. Without a legal basis, the processing of personal data is not legal. The six legal basis are:

*   A contract with the data subject
*   Legal obligation
*   Legitimate interest
*   Protect vital interests
*   Task of the public interest or in the exercise of official authority
*   Consent

Samtycke är en vanlig rättslig grund på vilken företag baserar sin behandling av personuppgifter. Det är dock viktigt att samtycket är giltigt. För det krävs att frågan om samtycke ska vara skild från övrig information (alltså inte gömd i något finstilt), den ska ställas på ett klart och begripligt språk anpassat efter den som ska ge sitt samtycke och det ska dessutom vara lika enkelt att återkalla samtycket vid ett senare tillfälle.

Consent is a common legal basis on which companies base their processing of personal data. However, it is important that the consent is valid. Being valid contains that the question of consent must be separate from other information (i.e. not hidden in other text), be set in a clear and comprehensible language adapted to the person who is to give their consent and it must also be just as easy to revoke the consent at a later date.

Ett personuppgiftsbiträde är den som för personuppgiftsansvariges räkning och enligt den personuppgiftsansvariges instruktioner behandlar personuppgifter. Det kan till exempel vara en leverantör av en molntjänst eller en extern IT-supportfunktion.

A data processor is the person who processes personal data on behalf of the personal data controller. It can for example be a provider of a cloud service or an external IT support function.

Känsliga personuppgifter omfattar uppgifter som är av särskilt känslig art. Det kan vara uppgifter om ras eller etniskt ursprung, sexuell läggning, religiös eller filosofisk övertygelse, politiska åsikter, medlemskap i fackförening, genetiska uppgifter eller uppgifter om hälsa som entydigt kan identifiera en person. Uppgifter om hälsa kan till exempel vara sjukfrånvaro, läkarbesök eller graviditet. Det är förbjudet att behandla känsliga personuppgifter om inte något undantag gäller, exempelvis att någon annan lag, till exempel inom arbetsrätten, ger stöd för behandlingen.

Sensitive personal data or special categories of personal data means data that is of a particularly sensitive nature. It can be data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation Information about health can be, for example, sick leave, doctor appointments and pregnancy. It is prohibited to process sensitive personal data unless an exception applies, e.g. that another law makes it mandatory, for example in labor law.

Den personuppgiftsansvarige är skyldig att vid personuppgiftsincident inom 72 timmar anmäla incidenten till Integritetsskyddsmyndigheten (IMY). Undantag från denna skyldighet gäller om det är osannolikt att incidenten medför en risk för fysiska personers rättigheter och friheter. Beslutet att inte anmäla måste då dokumenteras inför en eventuell kontroll.

The person responsible for personal data, the data controller, is obliged to report any personal data breach to the supervisory authority, in Sweden Integritetsskyddsmyndigheten (IMY), within 72 hours. The exception to this obligation is if it is unlikely that the data breach entails a risk to the rights and freedoms of the data subjects. The decision not to report must be documented, in case of an inspection.

En av de registrerades grundläggande rättigheter är rätten att få sina uppgifter raderade, eller med andra ord, ”bli bortglömd”. Om en registrerad begär att få sina personuppgifter raderade är utgångspunkten att ni ska radera dessa. Det finns dock några undantag när uppgifterna inte ska raderas. Undantagen blir ofta tillämpliga om den personuppgiftsansvariga är en myndighet eller utför en uppgift av allmänt intresse. Ni kan bland annat neka den registrerade radering om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet,  
för att uppfylla en rättslig förpliktelse eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Oavsett om ni ska radera uppgifterna eller har ett skäl att behålla dem, ska ni återkomma till den registrerade utan onödigt dröjsmål, det vill säga senast inom en månad efter att ni har fått begäran.

One of the fundamental rights of data subjects is the right to have their data deleted, or in other words, to be "forgotten". If a data subject makes a request of its’ personal data to be deleted, the main rule is that you must delete them. However, there are some exceptions when the data is not to be deleted. The exceptions often apply if the person responsible for personal data is an authority or performs a task of general interest. You can, among other things, refuse the data subject deletion if it is necessary to maintain other important rights, such as the rights to freedom of speech or information, to fulfill a legal obligation, or to be able to establish, assert or defend legal claims. Regardless of whether you delete the information or have a reason to keep it, you must reply to the data subject without undue delay, i.e. no later than one month after you have received the request.

Personuppgiftsansvarig är den som beslutar om att uppgifter ska samlas in samt till vilket ändamål de ska användas. I ett aktiebolag är det den juridiska personen, själva bolaget, som är personuppgiftsansvarig. Om det däremot handlar om en enskild firma eller en privatperson som hanterar uppgifter på ett sätt som faller inom ramarna för förordningen så är det den fysiska personen som är personuppgiftsansvarig.

The person responsible for personal data is the person who decides that data is to be collected and for what purpose it is to be used. It is usually a company or organization, but can in some cases be an individual. The person responsible for personal data is called a data controller.

EU anser att dess medborgares personuppgifter ska skyddas i största möjliga mån även utanför EU:s gränser. Därför omfattar lagen all behandling av EU-medborgares personuppgifter, oavsett om företaget eller organisationen som genomför behandlingen är lokaliserad inom EU eller inte. En e-handel i Kina som vänder sig till EU-medborgare omfattas således av GDPR på samma sätt som ett företag i Sverige.

The EU considers that the personal data of its citizens should be protected as far as possible, even outside the borders of the Union. Therefore, the law covers all processing of EU citizens' personal data, regardless of whether the company or organization carrying out the processing is located within the EU or not. An e-commerce in China aiming for EU citizen customers is thus covered by the GDPR in the same way as a company in Sweden.

Har du frågor eller vill boka demo? Vi står redo att hjälpa dig vidare mot en enklare vardag.

When a new employee at the company was given access to her email account, she discovered she had access to another employee´s inbox. Consequently, she had access to all emails received and sent by the other employee. The employee given the faulty access reported this to the AEPD. After an investigation, the AEPD concluded that the incident occurred because of a faulty configuration of the email account. Therefore, the AEPD found that the company had not implemented appropriate technical and organizational measures, which is a breach of the principle of integrity and confidentiality in the GDPR.

**Read more:** [**https://www.aepd.es/es/documento/ps-00581-2021.pdf**](https://www.aepd.es/es/documento/ps-00581-2021.pdf)

Sanktion på grund av bristande konfigurering av e-postkonto

Fine issued following faulty configuration of email account

On September 16, 2022, the Swedish Court of Appeals issued the judgement regarding the size of the penalty fee to Stockholms Stad in a case of several violations of the GDPR. The violations regarded deficiencies in a school platform. IMY appealed the decision of the Swedish Administrative Court (förvaltningsrätten) regarding a 3 million SEK sanction fee and demanded the upholding of IMY’s previous decision (4 million SEK sanction fee).

The deficiencies in the platform meant that it was possible for teachers and parents to access information that one should not have access to. The processing regarded several hundred thousand of people, the majority of whom were students and guardians.  The information included sensitive personal data as well as data with high protectional value, such as student reviews and confidential personal data. The violations were found to be of a serious nature and relatively long-lasting.

The Swedish Court of Appeal examined the presence of mitigating and aggravating circumstances. The court found that the fact that no previous violations had occurred was not to be considered as a mitigating factor, and that it therefore should not affect the size of the penalty fee. Neither the cooperation of the municipal council was to be viewed as a mitigating circumstance in this case since the cooperation did not reduce the occurred damages. Furthermore, the court found that the nature of the processing and the protectional value of the personal data amounts to high demands regarding the security of the system. The fact that it required a certain technical knowledge to exploit the deficiencies in the system was not considered to affect the degree of responsibility that the municipal council had as personal data controller. The court held that the violations in question justified a penalty fee of at least 4 million SEK. Therefore, the decision of IMY was upheld.

**Read more:** [Kammarrätten i Stockholms dom den 2022-09-16 i mål nr 7837-21](https://techlaw.se/wp-content/uploads/2022/09/KR7837-21.pdf)

Kammarrätten fastställer IMY:s beslut mot Stockholms stad

Court of Appeals upholds the decision of the Swedish Supervisory Authority

The investigation is based on a received complaint regarding the monitoring of bus drivers. The scope of the investigation is to overview Nobina’s compatibility of the key principles of the GDPR, the legal basis of the processing as well as the duty to inform the data subjects. As part of the investigation, IMY asks several questions that Nobina must answer as data controller. Nobina must, for example, answer whether the purpose with the processing could have been achieved with less invasive measures.

**Read more:** [**https://www.imy.se/tillsyner/nobina-europe-ab/**](https://www.imy.se/tillsyner/nobina-europe-ab/)

IMY inleder granskning av Nobinas övervakning av busschaufförer 

Swedish Supervisory Authority initiates review of Nobina’s monitoring of bus drivers 

Den 13 september publicerades beslut efter Integritetsskyddsmyndighetens (IMY) granskning av företaget Verifiera. Verifieras verksamhet går ut på att tillhandahålla abonnemangstjänster för en digital rättsdatabas som bland annat innehåller avgöranden i mål om tvångsvård på grund av psykisk ohälsa eller missbruk. Verifiera har ett s.k. frivilligt utgivningsbevis, och en av frågorna vid granskningen har varit huruvida personuppgiftsbehandlingen av denna anledning omfattas av grundlagsskydd.

Publicering av material på internet faller som huvudregel utanför Yttrandefrihetsgrundlagens (YGL) ändamål, vilket innebär att dataskyddsförordningen vanligtvis är tillämplig. Ett undantag från detta gäller genom möjligheten att ansöka om ett utgivningsbevis för databaser, vilket innebär ett s.k. frivilligt grundlagsskydd (1 kap. 4 § YGL). Genom ett sådant utgivningsbevis ges ett skydd för yttranden som sker genom att information tillhandahålls ur en databas. I ett sådant fall är dataskyddsförordningen inte tillämplig vid personuppgiftshanteringen i den utsträckning som det skulle strida emot YGL (se 1 kap. 7 § dataskyddslagen).

IMY prövade om Verifieras uppgiftssamling träffas av undantaget i YGL (1 kap. 20 § YGL) som innebär att bestämmelserna i YGL inte hindrar att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter om bland annat hälsa. Enligt IMY ska en helhetsbedömning av frågan göras utifrån bland annat syftet med uppgiftssamlingen, typen av uppgifter som tillhandahålls och vilka sök- och sammanställningsfunktioner som finns.

IMY bedömde att Verifieras uppgiftssamling rörde en omfattande insamling av rättsliga avgöranden som innehåller mycket integritetskänslig information. Vidare beskrevs uppgiftsbehandlingen kunna leda till kännbara konsekvenser för de registrerade eftersom ett av syftena med uppgiftssamlingen var användning vid bakgrundskontroller, såsom rekryteringar. Inga åtgärder hade vidtagits av Verifiera för att exkludera, maska eller begränsa möjligheten att söka efter uppgifter som kan hänföras till fysiska personer. IMY framhöll även att Verifieras söktjänst ligger långt ifrån de värden som grundlagarna syftar till att skydda.

IMY kom i bedömningen fram till att undantaget i YGL (1 kap. 20 § YGL) är tillämpligt på Verifieras offentliggörande av domar och beslut i psykiatri- och LVM-mål och behandlingen omfattas därmed inte av grundlagsskydd.

Med anledning av att uppgiftssamlingen inte bedömdes omfattas av grundlagsskydd förklarades dataskyddsförordningen vara tillämplig på Verifieras behandling av personuppgifter i den del som avser offentliggörande av domar och beslut i psykiatri- och LVM-mål. IMY konstaterade vidare att behandlingen av känsliga personuppgifter har stått i strid med artikel 9 dataskyddsförordningen. IMY utfärdade därför en reprimand och förläggande om att Verifiera ska vidta åtgärder så att det inte längre är möjligt genom sökning på en person att ta del av uppgift om den eftersökta personen förekommer i dom eller beslut i psykiatri- och LVM-mål.

IMY utfärdar reprimand och föreläggande mot Verifiera

Swedish Supervisory Authority issues reprimand and order to Verifiera

Previously, the Austrian SA and others have disallowed the use of Google Analytics. The Italian SA started an investigation of the Italian company Caffeina Media S.r.l’s use of Google Analytics after a complaint from the interest group NOYB (None of Your Business). The SA found that visitors to the company’s website got their personal data transferred to the US without supplementary measures in addition to the Standard Contractual Clauses. Therefore, the SA concluded that American authorities could access the personal data. The company has got 90 days to make the use of Google Analytics compliant with the GDPR or otherwise the company’s use of Google Analytics will be prohibited.

**Read more:** [Italian SA bans use of Google Analytics: no adequate safeguards for data transfers from Caffeina Media S.r.l. to the U.S. | European Data Protection Board (europa.eu)](https://edpb.europa.eu/news/national-news/2022/italian-sa-bans-use-google-analytics-no-adequate-safeguards-data-transfers_en)

Italienska tillsynsmyndigheten förbjuder användandet av Google Analytics

Italian supervisory authority prohibits use of Google Analytics

By collecting images from websites, social media and videos, the Clearview AI company has created an image bank that they market as an image search engine. Using facial recognition, the search engine can find a person based on their photograph and a "biometric template", that is, a digital representation of a person's physical characteristics (the face in this case). Many data subjects in the image bank are unaware of this and of the possibility of identifying them using the biometric template. According to the CNIL, the processing lacks a legal basis as the company has not obtained consent from the data subjects and cannot be considered to have a legitimate interest in the processing. The CNIL attaches particular importance to the fact that the processing poses very serious risks to the data subjects' fundamental rights.

After Clearview AI did not stop processing the data after the CNIL called on them to do so, the CNIL has now decided to fine the company 20 million euros. The CNIL also announced that Clearview AI must cease all illegal collection and processing of French citizens' personal data. The company is given two months to delete all personal data already collected and for each day that passes these two months, the penalty fee is increased by 100,000 euros.

**Source:** [Facial recognition: 20 million euros penalty against CLEARVIEW AI | CNIL](https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai)

CNIL har utfärdat en sanktionsavgift på 20 miljoner euro mot Clearview AI 

CNIL has issued a penalty fine of 20 million euros against Clearview AI

For example, the new framework contains requirements that signals intelligence activities shall only be conducted with the aim of achieving established national security objectives and that they shall only be conducted when necessary to further an intelligence activity that has been confirmed and prioritised. These commitments have not yet been accepted as sufficient by the European Commission, which must consider if the commitments are enough to combat the problems which lead to the invalidation of Privacy Shield through Schrems II. The European Commission will now prepare a draft adequacy decision and then launch its adoption procedure.

**Source:** [Questions & Answers: EU-U.S. Data Privacy Framework (europa.eu)](https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_6045)

Biden undertecknar en presidentorder som ska möjliggöra datadelning mellan EU och USA

Biden signs an Executive Order to enable data sharing between the EU and the US

The Swedish Data Protection Authority (IMY) will now review Vklass' handling of the personal data breach in the learning platform, in Vklass’ role as a data processor. Questions addressed to Vklass are centered around the GDPR roles (controller and processor), the personal data breach and security measures.

**Source:** [tillsynsskrivelse-vklass.pdf (imy.se)](https://www.imy.se/globalassets/dokument/ovrigt/tillsynsskrivelse-vklass.pdf)

IMY inleder tillsyn av Vklass efter ett 60-tal anmälningar

IMY begins supervision of Vklass after about 60 reports

Cookies on websites are used to collect statistics and gain access to information that is stored on, for example, a user's mobile or computer. Data may be stored or retrieved provided that the user gives their consent and has access to clear and complete information about the purpose of the processing. PTS has chosen to review Swedbank, the Public Health Agency (_sv. Folkhälsomyndigheten_), the Swedish Consumer Agency (_sv. Konsumentverket_) and Tele2 in their first review but points out that reviews concerning other organisations will be initiated in the future. Initially, PTS has requested information from the supervised objects, which will then be reviewed.

**Source:** [PTS granskar om webbplatsinnehavare följer kakreglerna | PTS](https://www.pts.se/sv/nyheter/internet/2022/pts-granskar-om-webbplatsinnehavare-foljer-kakreglerna/)

PTS inleder granskning av efterlevnaden av kakregler

PTS is starting a review of compliance with cookie-rules

Do you have any questions or want to book a demo? We are ready to guide you through the compliance jungle.

EDPB states that data controllers often provide users with various alternatives in cookie banners where the consent boxes are pre-ticked. EDPB’s taskforce emphasizes that such pre-ticked boxes do not lead to valid consent as this violates recital 32 in the GDPR.

In addition, the report deduces that data controllers inaccurately classifies cookies as “essential” even though these are not necessary to uphold the functionality of the website. The task force highlights the practical difficulties associated with establishing a general classification of cookies to determine which ones that are necessary due to the changing nature of cookies. Thus, this prevents the EDPB to create a reliable list of all necessary cookies. Moreover, the report discusses potential solutions where companies can use digital tools to scan their website and subsequently establish a list of the cookies used on the webpage. The taskforce argues that such list can lay the foundation for the company to prove which cookies that could be justified to be labelled as “essential”.

**Source:** https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

EDPB belyser brister i hanteringen av cookies i ny rapport

New report shines light on deficient cookie banners

The Court accentuates the importance of a DPO’s independence and concludes that the DPO must not participate in any decisions regarding the methods or objectives of the processing of personal data.

**Source:** https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

EU-domstolen tydliggör vad som bedöms vara intressekonflikt för dataskyddsombud

CJEU declares ruling on conflict of interests for DPOs

In 2022, IMY has changed its approach to become more focused on incoming complaints from data subjects. Consequently, IMY has investigated more complaints than the year before. As a result, the authority has concluded three times more supervisions in 2022 than in 2021. Five supervisions resulted in issued administrative fines, totaling 9 720 000 SEK.

In the annual report, Lena Lindgren Schelin, Director-General, states that data protection and cyber security goes hand in hand and that the need for this interrelation has strengthened due to the troubled international situation. Hence, the authority argues that everyone must participate and work actively with data protection.

Finally, the Director-General expresses an ambition to further accelerate the work of IMY considering the increased budgetary allocation. Hence, Lindgren Schelin hopes that the authority will shorten its administrative processing time as well as improve the organization’s efficiency.

**Source:** https://www.imy.se/globalassets/dokument/arsredovisningar/imy-arsredovisning-2022.pdf

 IMY avslutade tre gånger fler tillsynsärenden 2022 som året innan

Threefold increase in the number of concluded supervisions in 2022

Personuppgiftshanteringen blev inte längre en djungel

I den tidigare personuppgiftslagen (PUL) fanns den så kallade missbruksregeln. Den innebar att behandling av personuppgifter som förekom i ostrukturerat format, till exempel i e-post, på internet eller i enklare listor, föll under enklare regler. Detta undantag för ostrukturerat material försvann när GDPR ersatte PUL.

Finland tillsynsmyndighet slår ner på skolors användning av Office 365

IMY granskar Östersunds användning av Google Workspace

Italiens tillsynsmyndighet släpper på förbudet av ChatGPT

Kungälvs kommun förbjuds övervaka vissa allmänna platser

Tester i samband med rekrytering? Här är några GDPR-aspekter

Dataskyddstips för dig som hjälper andra med marknadsföring

Dataskydd och datasäkerhet bör iakttas i samband med due diligence

Förvaltningsrätten avslår Klarnas överklagande

Kroatiens tillsynsmyndighet kräver att placeringen av övervakningskameror ändras

Irlands tillsynsmyndighet höjer sanktioner mot Meta

Italiens dataskyddsmyndighet utfärdar sanktion efter otillåten användning av fingeravtryckssystem

Kammarrätten upphäver IMY:s beslut om sanktionsavgift

Den danska tillsynsmyndigheten granskar kommuners användning av Google Workspace

 Tysk tillsynsmyndighet varnar för olagliga dataöverföringar

Rapport belyser att svenska myndigheter har mycket kvar att göra inom dataskydd

IMY fastslår att förvaltarskap är en känslig personuppgift

 Ny rapport visar på brister i organisationers hantering av dataskyddsombud

Känsliga personuppgifter skickades i oskyddad e-post

IMY inleder tillsyn av Moderaterna

IMY inleder en granskning av Region Uppsala

IMY utfärdar sanktion mot Region Dalarna

IMY fastslår att de registrerades rätt till tillgång kan ske på ”mina sidor”

EDPB publicerar tre nya riktlinjer efter konsultation med allmänheten

Apotea behöver informera bättre om sin kameraövervakning

Företag bötfälls efter felaktig integritetspolicy

Österrikes tillsynsmyndighet slår ner på ”pay or okay”- lösning

Italiens dataskyddsmyndighet stoppar ChatGPT

GDPR

Varför är visselblåsning uppmärksammat just nu?

(Nästan) Allt du behöver veta om visselblåsarlagen!

Articles

Artiklar

Qnister

Prenumerera på vårt nyhetsbrev och få nyheter, artiklar och erbjudanden rakt i din inkorg.

Subscribe to our newsletter and get news, articles and offers straight to your inbox.

thumbnail_Kontakta oss personer i konferensrum.jpg

Kontakta oss personer i konferensrum.jpg

**The French data protection authority (CNIL) has fined the company Clearview AI 20 million euros due to their collection of over 20 billion images from web sites and social media platforms.**

Genom att samla in bilder från webbplatser, sociala medier och videos har företaget Clearview AI skapat en bildbank som de marknadsför som en sökmotor för bilder. Med hjälp av ansiktsigenkänning kan sökmotorn hitta en person baserat på deras fotografi och en ”biometrisk mall”, det vill säga en digital representation av en persons fysiska egenskaper (ansiktet i detta fall). Majoriteten av registrerade som finns i bildbanken är omedvetna om detta och om möjligheten att identifiera dem med hjälp av den biometriska mallen. Enligt CNIL saknar behandlingen laglig grund då företaget inte inhämtat samtycke från de registrerade och inte heller kan anses ha ett berättigat intresse för behandlingen. CNIL lägger särskild vikt vid att behandlingen utgör mycket allvarliga risker för de registrerades grundläggande rättigheter.

Efter att Clearview AI inte upphört med behandlingen sedan CNIL uppmanat dem att göra det har CNIL nu beslutat att bötfälla företaget med 20 miljoner euro. CNIL meddelade också att Clearview AI måste upphöra med all olaglig insamling och behandling av franska medborgares personuppgifter. Företaget får två månader på sig att radera alla personuppgifter som redan samlats in och för varje dag som passerar dessa två månader utökas sanktionsavgiften med 100 000 euro.

**Källor:** [Facial recognition: 20 million euros penalty against CLEARVIEW AI | CNIL](https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai)

**The learning platform Vklass was recently affected by personal data breaches when someone downloaded students' and teachers' personal data from the platform.**

Integritetsskyddsmyndigheten (IMY) ska nu granska Vklass hantering av personuppgiftsincidenten i läroplattformen, utifrån Vklass roll som personuppgiftsbiträde. Frågor som riktas till Vklass är centrerade kring GDPR-rollerna (personuppgiftsansvarig respektive personuppgiftsbiträde), personuppgiftsincidenten och säkerhetsåtgärder.

**Källor:** [tillsynsskrivelse-vklass.pdf (imy.se)](https://www.imy.se/globalassets/dokument/ovrigt/tillsynsskrivelse-vklass.pdf)

**Following the disclosure of a data breach, an investor demanded the acquisition of a majority stake in the affected company Vastaamo to be rescinded due to lack of disclosures during the due diligence process.**

Under år 2018 och 2019 drabbades psykoterapikliniken Vastaamo av dataintrång som resulterade i att cirka 30 000 patienters patientjournaler läcktes. Dataintrånget rapporterades till den finska tillsynsmyndigheten först år 2020, vilket sedan mynnade ut i en sanktionsavgift på 608 000 euro. Företaget hade vidtagit knapphändiga säkerhetsåtgärder, inte rapporterat dataintrånget till tillsynsmyndigheten och i övrigt saknat nödvändig dokumentation. Tillsynsmyndigheten ansåg därför att företaget försummat sina skyldigheter enligt GDPR.

Under perioden efter att dataintrånget inträffade (men innan intrånget hade rapporterats till tillsynsmyndigheten) hade en investerare förvärvat en majoritetsandel i Vastaamo. Då dataintrånget slutligen rapporterades och intrångets allvar avslöjades för allmänheten krävde investeraren att förvärvet skulle hävas. Investeraren menade att underlåtenheten att informera om dataintrånget innebar bristande avslöjanden under due diligence-processen. Förvärvet hävdes sedermera.

**Källor:** [Administrative fine imposed on psychotherapy centre Vastaamo for data protection violations | Data Protection Ombudsman’s Office (tietosuoja.fi)](https://tietosuoja.fi/en/-/administrative-fine-imposed-on-psychotherapy-centre-vastaamo-for-data-protection-violations)

Data protection and data security should be considered during due diligence

**On October 7, 2022, US President Joe Biden signed an Executive Order on enhancing safeguards for US signals intelligence activities. The Executive Order sets out the steps the US will take to implement its commitments under the EU-US Data Protection Framework.**

Det nya ramverket ska bland annat innehålla krav på att signalspaningsverksamhet endast ska bedrivas i syfte att uppnå fastställda nationella säkerhetsmål och att den endast ska bedrivas när det är nödvändigt för att främja ett bekräftat och prioriterat underrättelsearbete. Dessa åtaganden har ännu inte godtagits som tillräckliga av EU-kommissionen som måste beakta huruvida åtgärderna löser den problematik som ledde till ogiltigförklarandet av Privacy Shield i samband med Schrems II. EU-kommissionen ska upprätta ett utkast till beslut om tillräcklighet och sedan inleda ett antagandeförfarande.

**The Swedish Post and Telecommunications Authority (PTS) will review whether a number of selected website owners comply with the rules on cookies on their websites.**

Kakor används på webbplatser bland annat för att samla statistik och få åtkomst till information som finns lagrad på exempelvis en användares mobil eller dator. Uppgifter får lagras eller hämtas förutsatt att användaren ger sitt samtycke och får tillgång till tydlig och fullständig information om behandlingens ändamål. PTS har valt att inledningsvis granska Swedbanks, Folkhälsomyndighetens, Konsumentverkets och Tele2:s användning av kakor, men påpekar att granskning av ytterligare organisationer kommer att initieras framöver. Inledningsvis har PTS begärt in information från tillsynsobjekten som därefter ska granskas.

**Källa:** [PTS granskar om webbplatsinnehavare följer kakreglerna | PTS](https://www.pts.se/sv/nyheter/internet/2022/pts-granskar-om-webbplatsinnehavare-foljer-kakreglerna/)

**Dataskyddsförordningen har funnits vara tillämplig på delar av Verifieras personuppgiftsbehandling trots förekomsten av ett frivilligt utgivningsbevis. Uppgiftssamlingen har inte ansetts vara omfattad av grundlagsskydd och behandlingen har skett utan laglig grund.**

Den 13 september publicerades beslut efter Integritetsskyddsmyndighetens (IMY) granskning av företaget Verifiera. Verifieras verksamhet går ut på att tillhandahålla abonnemangstjänster för en digital rättsdatabas som bland annat innehåller avgöranden i mål om tvångsvård på grund av psykisk ohälsa eller missbruk. Verifiera har ett s.k. frivilligt utgivningsbevis, och en av frågorna vid granskningen har varit huruvida personuppgiftsbehandlingen av denna anledning omfattas av grundlagsskydd.

Publicering av material på internet faller som huvudregel utanför Yttrandefrihetsgrundlagens (YGL) ändamål, vilket innebär att dataskyddsförordningen vanligtvis är tillämplig. Ett undantag från detta gäller genom möjligheten att ansöka om ett utgivningsbevis för databaser, vilket innebär ett s.k. frivilligt grundlagsskydd (1 kap. 4 § YGL). Genom ett sådant utgivningsbevis ges ett skydd för yttranden som sker genom att information tillhandahålls ur en databas. I ett sådant fall är dataskyddsförordningen inte tillämplig vid personuppgiftshanteringen i den utsträckning som det skulle strida emot YGL (se 1 kap. 7 § dataskyddslagen).

IMY prövade om Verifieras uppgiftssamling träffas av undantaget i YGL (1 kap. 20 § YGL) som innebär att bestämmelserna i YGL inte hindrar att det i lag meddelas föreskrifter om förbud mot offentliggörande av personuppgifter om bland annat hälsa. Enligt IMY ska en helhetsbedömning av frågan göras utifrån bland annat syftet med uppgiftssamlingen, typen av uppgifter som tillhandahålls och vilka sök- och sammanställningsfunktioner som finns.

IMY bedömde att Verifieras uppgiftssamling rörde en omfattande insamling av rättsliga avgöranden som innehåller mycket integritetskänslig information. Vidare beskrevs uppgiftsbehandlingen kunna leda till kännbara konsekvenser för de registrerade eftersom ett av syftena med uppgiftssamlingen var användning vid bakgrundskontroller, såsom rekryteringar. Inga åtgärder hade vidtagits av Verifiera för att exkludera, maska eller begränsa möjligheten att söka efter uppgifter som kan hänföras till fysiska personer. IMY framhöll även att Verifieras söktjänst ligger långt ifrån de värden som grundlagarna syftar till att skydda.

IMY kom i bedömningen fram till att undantaget i YGL (1 kap. 20 § YGL) är tillämpligt på Verifieras offentliggörande av domar och beslut i psykiatri- och LVM-mål och behandlingen omfattas därmed inte av grundlagsskydd.

Med anledning av att uppgiftssamlingen inte bedömdes omfattas av grundlagsskydd förklarades dataskyddsförordningen vara tillämplig på Verifieras behandling av personuppgifter i den del som avser offentliggörande av domar och beslut i psykiatri- och LVM-mål. IMY konstaterade vidare att behandlingen av känsliga personuppgifter har stått i strid med artikel 9 dataskyddsförordningen. IMY utfärdade därför en reprimand och förläggande om att Verifiera ska vidta åtgärder så att det inte längre är möjligt genom sökning på en person att ta del av uppgift om den eftersökta personen förekommer i dom eller beslut i psykiatri- och LVM-mål.

**Källor:** [Beslut efter tillsyn enligt dataskyddsförordningen – Verifiera AB (imy.se)](https://www.imy.se/globalassets/dokument/beslut/2022/beslut-tillsyn-verifiera.pdf)

**The Swedish Supervisory Authority (IMY) has started an investigation of Nobina’s personal data processing when monitoring bus drivers.**

Granskningen påbörjas  efter att ett klagomål rörande Nobinas personuppgiftsbehandling mottagits. IMY:s granskning avser personuppgiftsbehandlingens förenlighet med de grundläggande principerna i dataskyddsförordningen, personuppgiftsbehandlingens rättsliga grund samt Nobinas uppfyllande av informationsskyldigheten gentemot de registrerade. IMY har utifrån dessa punkter formulerat ett antal frågor som Nobina ska besvara i egenskap av personuppgiftsansvarig för behandlingen. Den personuppgiftsansvarige ska enligt frågorna exempelvis resonera kring huruvida ändamålen med behandlingen hade kunnat nås med mindre ingripande åtgärder.

**Källor:** [https://www.imy.se/tillsyner/nobina-europe-ab/](https://www.imy.se/tillsyner/nobina-europe-ab/)

**The Spanish data protection authority (AEPD) has issued a fine of 3 000 euro to the Spanish company Estudios Europeos De Postgrado Y Empresa Sl. as a consequence of their failure to comply with the GDPR.**

När en nyanställd person på företaget skulle få tillgång till sitt e-postkonto upptäckte personen att e-postkontot hon försetts med tillhörde en annan anställd. Den nyanställde kunde därmed ta del av all e-post som skickats och tagits emot av den andra anställde. Personen som felaktigt fick behörighet till e-postkontot anmälde sedermera detta till AEPD. Efter utredningen kunde AEPD konstatera att orsaken till händelsen berodde på att företaget hade konfigurerat e-postkontot felaktigt. AEPD fastställde att företaget inte hade genomfört lämpliga tekniska och organisatoriska säkerhetsåtgärder vilket innebär ett brott mot principen om integritet och konfidentialitet i dataskyddsförordningen.

**Källor:** [https://www.aepd.es/es/documento/ps-00581-2021.pdf](https://www.aepd.es/es/documento/ps-00581-2021.pdf)

**The Swedish Court of Appeals (kammarrätten) upholds the decision of the Swedish Supervisory Authority (IMY) regarding the size of a penalty fee to the Swedish municipality Stockholms Stad.**

Kammarrätten i Stockholm har meddelat dom i fråga om sanktionsavgiftsstorlek i ett fall gällande flertalet överträdelser av dataskyddsförordningen avseende Stockholms stads användning av Skolplattformen, ett IT-system för elevadministration. IMY hade överklagat förvaltningsrättens beslut om sanktionsavgiftens storlek (3 miljoner kr), och yrkade i första hand att IMY:s tidigare beslut om en sanktionsavgift om 4 miljoner kr skulle fastställas.

Överträdelserna utgjordes bland annat av bristande behörighetsstyrning vilket innebar att lärare och föräldrar kunde ta del av information utan att de hade behov av informationen. Uppgifterna inkluderade känsliga personuppgifter och andra särskilt skyddsvärda uppgifter, såsom skyddade personuppgifter och elevomdömen. Överträdelserna bedömdes vara av hög svårighetsgrad och hade vidare varit relativt långvariga.

Kammarrätten prövade förekomsten av förmildrande och försvårande omständigheter och fann, i likhet med IMY, att avsaknaden av tidigare överträdelser inte anses vara en förmildrande omständighet som ska påverka storleken av sanktionsavgiften i detta fall. Inte heller nämndens samarbete med IMY ansågs vara en förmildrande omständighet i detta fall, med anledning av att samarbetet inte inneburit en minskning av den uppkomna skadan. Vidare fann kammarrätten att behandlingens karaktär och uppgifternas skyddsvärde innebär höga krav på systemets säkerhet. Att det krävdes tekniskt kunnande för att utnyttja bristerna i systemet bedömdes därför inte påverka graden av ansvar som nämnden hade i egenskap av personuppgiftsansvarig. Mot denna bakgrund beslutade kammarrätten att de aktuella överträdelserna motiverade en sanktionsavgift om i vart fall 4 miljoner kr, varför IMY:s beslut fastställdes.

**Källor:** [Kammarrätten i Stockholms dom den 2022-09-16 i mål nr 7837-21](https://techlaw.se/wp-content/uploads/2022/09/KR7837-21.pdf)

**Another supervisory authority (SA) has struck down on the use of Google Analytics.**

Tidigare har, bland andra, den österrikiska tillsynsmyndigheten underkänt användningen av Google Analytics. Nu riskerar även det italienska företaget Caffeina Media att Google Analytics förbjuds att användas på deras hemsida. Efter ett klagomål från intresseorganisationen NOYB (None of Your Business) har den italienska tillsynsmyndigheten prövat och funnit att hemsidebesökarnas personuppgifter överförs till USA utan tillräckliga kompletterande skyddsåtgärder vid sidan av överföringsmekanismen EU-kommissionens standardavtalsklausuler (SCC). Myndigheten fann att amerikanska rättsvårdande myndigheter kan bereda sig åtkomst till personuppgifterna utan sådana skyddsåtgärder. Den italienska tillsynsmyndigheten har givit företaget Caffeina Media S.r.l. 90 dagar på sig att göra behandlingen laglig enligt GDPR, annars kommer användningen av Google Analytics att förbjudas.

**Källor:** [Italian SA bans use of Google Analytics: no adequate safeguards for data transfers from Caffeina Media S.r.l. to the U.S. | European Data Protection Board (europa.eu)](https://edpb.europa.eu/news/national-news/2022/italian-sa-bans-use-google-analytics-no-adequate-safeguards-data-transfers_en)

Whistleblowing

Sanctions

Solutions

News and articles

Safety

Knowledge

References

About us

Contact us

Career

Book a demo

Software for GDPR

Whistleblowing software

Search in sanctions lists

Fördjupa dig inom visselblåsning, GDPR och håll dig uppdaterad på det senaste inom regelefterlevnad. 

Prenumerera på vårt nyhetsbrev och får nyhetsbrev, artiklar och erbjudanden rakt i din inkorg.

Fördjupa dig inom visselblåsning, GDPR och håll dig uppdaterad på det senaste inom regelefterlevnad.

Nyheter och artiklar

Learn more about whistleblowing, GDPR and sustainability and keep updated on the latest in regulatory compliance.