Uppskattat nätverksmöte om GDPR

Pernilla Norman pratar GDPR

Pernilla Norman, Advokatfirman LexIT. Foto: Alf Kjeller

Det var ett uppskattat nätverksmöte i november Nätverket för telekomanvändare – NTK arrangerade. Föreläsare var min sedan länge kollega inom telekombranschen –  Pernilla Norman från Advokatfirman LexIT. Temat för mötet var denna gång hade GDPR i fokus. NTKs generalsekreterare Alf Kjeller sammanfattade lite från mötet. Dock finns det inga möjligheter att sammanfatta hela mötet – det var alldeles för många diskussioner.

Pernilla tog upp vad som hänt under första halvåret med GDPR och vad händer nu. Hon pratade dessutom mycket upp kring vad företag och organisationer har gjort för att anpassa sig till GDPR och vad behöver man göra. Framförallt pratade vi lite extra om hur GDPR hanteras i telekom- och voice-lösningar. Det är ju kanske mer personuppgifter som lagras och hanteras än vi tror. Bland det vi diskuterade var om vi kunde fortsätta använda frånvaroorsaker som ”Sjukdom” och ”Vård av barn”.

Så vad har hänt?

Sedan EU:s Dataskyddsförordning infördes i maj har bland annat har följande hänt:

Fyra anmälningar gjordes mot Facebook, Instagram, Whatsapp & Google Android – av ”None Of Your Business” (grundad av Max Schrems) för “framtvingat samtycke”. Anmälningar mot Apple, Amazone, LinkedIn, Facebook & Google, inkl Gmail, YouTube och Sök) – av ”La Quadrature du Net” för ”framtvingat samtycke”. Coca-Cola har meddelat ca 8.000 anställda att man i september 2017 råkat ut för en incident i form av att en tidigare anställd har stulit en extern hårddisk.

Datainspektionen har bland annat slutfört en granskning av att Dataskyddsombud finns på plats på 400 myndigheter och företag. Bland annat teleoperatörer. De upptäckte brister i 16% av de granskade verksamheterna och har utfärdat 57 reprimander. De har också en pågående granskning av personuppgiftsbiträdesavtal samt gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

Utblick i Europa

I Portugal har deras motsvarighet till Datainspektionen bötfällt sjukhus på 400 000 Euro för bristfällig hantering av behörigheter i patientjournalsystem

Franska motsvarigheten till Datainspektionen har agerat mot två start-ups inom reklambranschen. Båda företagen hade utvecklat sk ”tracking tools” som kartlägger användarnas geografiska positioner redan innan något samtycke gavs. Dessutom fordrades samtycke för att man skulle kunna ladda ner App:en.

Holländska motsvarigheten till Datainspektionen har ådömt Uber 600 000 Euro i böter och Brittiska motsvarigheten till Datainspektionen har utfärdat böter på 385.000 pund för att Uber år 2016 inte ha rapporterat en incident i tid. Incidenten påverkade 174.000 holländare, 2,7 miljoner britter och 57 miljoner “world wide”.

British Airways var utsatt för hackerattack i september 2018. Minst 600 000 kunder kan ha fått uppgifter om namn, faktureringsadress, kortnummer och säkerhetskod stulna. Ytterligare 108.000 personer har fått uppgifter förutom CVV-nummer stulna. BA har meddelat alla berörda.

På Irland har deras motsvarighet till Datainspektionen undersökt exakt hur mycket data Twitter samlar in om sina användare via sitt förkortningssystem för länkar.

Vad säger företagen då?

Man upplever regelverket som krångligt och inte ändamålsenligt. Dt finns en rädsla för att behöva sluta behandla uppgifter. Inledningsvis har det varit stort fokus på Personuppgiftsbiträdesavtal och på samtycke. Det har också varit stort fokus på info om integritetspolicys, cookie-hantering och liknande.

Det finns en stor osäkerhet om vad som ska anmälas till Datainspektionen som incident. I september hade det kommit in ca 1 100 anmälningar. Företagen upplever att de fått färre begäran om information, radering etc än de väntade.

Över lag finns det fortfarande stor osäkerhet, mycket bestämda uppfattningar och mycket mytbildningar kring förordningen.

Om GDPR

I maj började EU:s Dataskyddsförordning (vanligen kallad GDPR efter den engelska benämningen General Data Protection Regulation) tillämpas. Det nya regelverket ställer stora krav på hur personuppgifter hanteras.
EU:s Dataskyddsförordning har två stora syften som man kanske glömmer bort. Bland annat är ett av syftena fri rörlighet – att ta bort hinder mot fri rörlighet av data inom EU. Ett annat syfte är mänskliga rättigheter – att tillförsäkra en hög nivå av skydd för personlig integritet

Om Pernilla Norman

Nätverksmötet leddes av Pernilla Norman, advokat på Advokatfirman LexIT. Pernilla har lång erfarenhet av juridiken kring IT och telekommunikation och enligt mig den vassaste advokaten kring just telekom. Vid sidan av advokatyrket forskar Pernilla i EU-rätt på Stockholms universitet. Hon har också skrivit ett antal böcker och artiklar, främst om upphandling och avtalsreglering av IT och telekommunikation.

Mer information

Om du vill veta mer om NTK kontakta dem direkt eller skicka mig ett mail så kan jag lotsa dig.

Text: Alf Kjeller