Det var ett uppskattat nätverksmöte i november då min sedan länge kollega inom telekombranschen –  Pernilla Norman från Advokatfirman LexIT besökte Nätverket för telekomanvändare – NTK. Temat för mötet var denna gång hade GDPR i fokus. Sammanfattade lite om vad som hon tog upp. Dock finns det inga möjligheter att sammanfatta hela mötet – det var alldeles för många diskussioner 🙂

Det Pernilla tog upp var vad som hänt under första halvåret med GDPR och vad händer nu. Pernilla pratade dessutom mycket upp kring vad företag och organisationer har gjort för att anpassa sig till GDPR och vad behöver man göra. Framförallt pratade vi lite extra om hur GDPR hanteras i telekom- och voice-lösningar. Det är ju kanske mer personuppgifter som lagras och hanteras än vi tror. Bland det vi diskuterade var om vi kunde fortsätta använda frånvaroorsaker som “Sjukdom” och “Vård av barn”.

Så vad har hänt? 

Bland annat har följande hänt sedan EU:s Dataskyddsförordning infördes i maj:

Fyra anmälningar gjordes mot Facebook, Instagram, Whatsapp & Google Android – av ”None Of Your Business” (grundad av Max Schrems) för “framtvingat samtycke”. Anmälningar mot Apple, Amazone, LinkedIn, Facebook & Google, inkl Gmail, YouTube och Sök) – av ”La Quadrature du Net” för ”framtvingat samtycke”. Coca-Cola har meddelat ca 8.000 anställda att man i september 2017 råkat ut för en incident i form av att en tidigare anställd har stulit en extern hårddisk.

Datainspektionen har bland annat slutfört en granskning av att Dataskyddsombud finns på plats på 400 myndigheter och företag. Bland annat teleoperatörer. De upptäckte brister i 16% av de granskade verksamheterna och har utfärdat 57 reprimander. De har också en pågående granskning av personuppgiftsbiträdesavtal samt gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

Utblick i Europa

I Portugal har deras motsvarighet till Datainspektionen bötfällt sjukhus på 400 000 Euro för bristfällig hantering av behörigheter i patientjournalsystem

Franska motsvarigheten till Datainspektionen har agerat mot två start-ups inom reklambranschen. Båda företagen hade utvecklat sk ”tracking tools” som kartlägger användarnas geografiska positioner redan innan något samtycke gavs. Dessutom fordrades samtycke för att man skulle kunna ladda ner App:en.

Holländska motsvarigheten till Datainspektionen har ådömt Uber 600 000 Euro i böter och Brittiska motsvarigheten till Datainspektionen har utfärdat böter på 385.000 pund för att Uber år 2016 inte ha rapporterat en incident i tid. Incidenten påverkade 174.000 holländare, 2,7 miljoner britter och 57 miljoner “world wide”.

British Airways var utsatt för hackerattack i september 2018. Minst 600 000 kunder kan ha fått uppgifter om namn, faktureringsadress, kortnummer och säkerhetskod stulna. Ytterligare 108.000 personer har fått uppgifter förutom CVV-nummer stulna. BA har meddelat alla berörda.

På Irland har deras motsvarighet till Datainspektionen undersökt exakt hur mycket data Twitter samlar in om sina användare via sitt förkortningssystem för länkar.

Vad säger företagen då?

Man upplever regelverket som krångligt och inte ändamålsenligt. Dt finns en rädsla för att behöva sluta behandla uppgifter. Inledningsvis har det varit stort fokus på Personuppgiftsbiträdesavtal och på samtycke. Det har också varit stort fokus på info om integritetspolicys, cookie-hantering och liknande.

Det finns en stor osäkerhet om vad som ska anmälas till Datainspektionen som incident. I september hade det kommit in ca 1 100 anmälningar. Företagen upplever att de fått färre begäran om information, radering etc än de väntade.

Över lag finns det fortfarande stor osäkerhet, mycket bestämda uppfattningar och mycket mytbildningar kring förordningen.

Om GDPR

I maj började EU:s Dataskyddsförordning (vanligen kallad GDPR efter den engelska benämningen General Data Protection Regulation) tillämpas. Det nya regelverket ställer stora krav på hur personuppgifter hanteras.
EU:s Dataskyddsförordning har två stora syften som man kanske glömmer bort. Bland annat är ett av syftena fri rörlighet – att ta bort hinder mot fri rörlighet av data inom EU. Ett annat syfte är mänskliga rättigheter – att tillförsäkra en hög nivå av skydd för personlig integritet

Om Pernilla Norman

Nätverksmötet leddes av Pernilla Norman, advokat på Advokatfirman LexIT. Pernilla har lång erfarenhet av juridiken kring IT och telekommunikation och enligt mig den vassaste advokaten kring just telekom. Vid sidan av advokatyrket forskar Pernilla i EU-rätt på Stockholms universitet. Hon har också skrivit ett antal böcker och artiklar, främst om upphandling och avtalsreglering av IT och telekommunikation.

Mer information

Om du är intresserad av att få ta del av det som presenterades eller om vad NTK är så hör av dig. Jag är både medlem och generalsekreterare i NTK.