GDPR och telekomsystem

Pernilla Norman, Advokatfirman LexIT.

Pernilla Norman, Advokatfirman LexIT. Foto: Alf Kjeller

Vi båda är engagerade i Nätverket för telekomanvändare – NTK  och i november arrangerade de ett nätverksmöte kring GDPR. Föreläsare var en av de enligt oss bästa advokaterna inom telekombranschen –  Pernilla Norman på Advokatfirman LexIT. Alf har i sin roll som generalsekreterare för NTK skrivit en kort sammanfattning från mötet. Vi väljer att publicera den här också eftersom det berör telekom och många av oss har nog inte full koll på hur mycket GDPR påverkar oss.

Pernilla tog upp vad som hänt under första halvåret med GDPR och vad händer nu. Hon pratade dessutom mycket upp kring vad företag och organisationer har gjort för att anpassa sig till GDPR och vad behöver man göra. Framförallt pratade vi lite extra om hur GDPR hanteras i telekom- och voice-lösningar. Det är ju kanske mer personuppgifter som lagras och hanteras än vi tror. Bland det vi diskuterade var om vi kunde fortsätta använda frånvaroorsaker som “Sjukdom” och “Vård av barn”.

Så vad har hänt?

Sedan EU:s Dataskyddsförordning infördes i maj har bland annat har följande hänt:

Fyra anmälningar gjordes mot Facebook, Instagram, Whatsapp & Google Android – av ”None Of Your Business” (grundad av Max Schrems) för “framtvingat samtycke”. Anmälningar mot Apple, Amazone, LinkedIn, Facebook & Google, inkl Gmail, YouTube och Sök) – av ”La Quadrature du Net” för ”framtvingat samtycke”. Coca-Cola har meddelat ca 8.000 anställda att man i september 2017 råkat ut för en incident i form av att en tidigare anställd har stulit en extern hårddisk.

Datainspektionen har bland annat slutfört en granskning av att Dataskyddsombud finns på plats på 400 myndigheter och företag. Bland annat teleoperatörer. De upptäckte brister i 16% av de granskade verksamheterna och har utfärdat 57 reprimander. De har också en pågående granskning av personuppgiftsbiträdesavtal samt gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

Utblick i Europa

I Portugal har deras motsvarighet till Datainspektionen bötfällt sjukhus på 400 000 Euro för bristfällig hantering av behörigheter i patientjournalsystem

Franska motsvarigheten till Datainspektionen har agerat mot två start-ups inom reklambranschen. Båda företagen hade utvecklat sk ”tracking tools” som kartlägger användarnas geografiska positioner redan innan något samtycke gavs. Dessutom fordrades samtycke för att man skulle kunna ladda ner App:en.

Holländska motsvarigheten till Datainspektionen har ådömt Uber 600 000 Euro i böter och Brittiska motsvarigheten till Datainspektionen har utfärdat böter på 385.000 pund för att Uber år 2016 inte ha rapporterat en incident i tid. Incidenten påverkade 174.000 holländare, 2,7 miljoner britter och 57 miljoner “world wide”.

British Airways var utsatt för hackerattack i september 2018. Minst 600 000 kunder kan ha fått uppgifter om namn, faktureringsadress, kortnummer och säkerhetskod stulna. Ytterligare 108.000 personer har fått uppgifter förutom CVV-nummer stulna. BA har meddelat alla berörda.

På Irland har deras motsvarighet till Datainspektionen undersökt exakt hur mycket data Twitter samlar in om sina användare via sitt förkortningssystem för länkar.

Vad säger företagen då?

Man upplever regelverket som krångligt och inte ändamålsenligt. Dt finns en rädsla för att behöva sluta behandla uppgifter. Inledningsvis har det varit stort fokus på Personuppgiftsbiträdesavtal och på samtycke. Det har också varit stort fokus på info om integritetspolicys, cookie-hantering och liknande.

Det finns en stor osäkerhet om vad som ska anmälas till Datainspektionen som incident. I september hade det kommit in ca 1 100 anmälningar. Företagen upplever att de fått färre begäran om information, radering etc än de väntade.

Över lag finns det fortfarande stor osäkerhet, mycket bestämda uppfattningar och mycket mytbildningar kring förordningen.

Om GDPR

I maj började EU:s Dataskyddsförordning (vanligen kallad GDPR efter den engelska benämningen General Data Protection Regulation) tillämpas. Det nya regelverket ställer stora krav på hur personuppgifter hanteras.
EU:s Dataskyddsförordning har två stora syften som man kanske glömmer bort. Bland annat är ett av syftena fri rörlighet – att ta bort hinder mot fri rörlighet av data inom EU. Ett annat syfte är mänskliga rättigheter – att tillförsäkra en hög nivå av skydd för personlig integritet.

Mer information

Om du vill veta mer om NTK eller kanske bli medlem eller besöka något av deras nätverksmöten så hör av dig till Alf. Det är alltid bra att träffa andra och NTK ger dig möjlighet att träffa nya kollegor i branschen.

X