Minnesanteckningar Integritetsforum 27 april 2018

Relevanta dokument
Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn över behandling av uppgifter

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Genomförd tillsyn avseende säker och konfidentiell kommunikation under 2017

(5)

Tillsyn över säkerhetsarbete hos underleverantör

Mötesanteckningar, Integritetsforum 13 november 2013, kl på PTS

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Tillsyn av förmågan att identifiera och internt rapportera integritetsincidenter.

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

PTS redovisar härmed sin utredning enligt förordning (2007:1244) om konsekvensutredning vid regelgivning avseende upphävandet av de allmänna råden.

Mötesanteckningar från Driftsäkerhetsforum

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

GDPR (General Data Protection Regulation) Dataskyddsförordningen

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Remissvar angående SOU 2019:14: Ett säkert statligt IDkort- med e-legitimation (dnr Ju2019/01281/L4)

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Exponerade fakturor på internet

Avbrott i bredbandstelefonitjänst

Tillsyn över dokumentation av tillgångar och förbindelser

Tillsynsrapport: Informationskrav vid ändring av avtal

Innehåll Dnr: (5)

Tillsyn över behandling av uppgifter och inhämtade av samtycke

(5) Vägledning för anmälan av anmälningspliktig verksamhet. 1. Inledning. 2. Anmälningsplikt Hur görs en anmälan?

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Information om dataskyddsförordningen

Beslut om ändring av telefoninummerplanen

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Allmänna råd. Datainspektionen informerar. Nr 2/2016

Remiss angående anmälningspliktig verksamhet och anmälningspliktig omsättning

Vår integritetspolicy

Tillsyn med anledning av integritetsincident rörande hemliga nummer

MISSIV. PTS har utarbetat ett nytt förslag till prisskyldighet som PTS nu efterfrågar synpunkter på från marknadens aktörer och Konkurrensverket.

Integritetspolicy. Med anledning av ny lagstiftning den 25/ GDPR. General Data Protection Regulation

Föreläggande om efterlevnad av skyldighet att lagra trafikuppgifter m.m. för brottsbekämpande ändamål

Konsekvensutredning avseende ändringar i Post- och telestyrelsens föreskrifter och allmänna råd (PTSFS 2013:3) om innehåll i avtal

Snabbare lagföring (Ds 2018:9)

Post- och telestyrelsen (PTS) har beretts tillfälle att yttra sig över rubricerad promemoria.

Beslut om avskrivning

Tillsyn avseende domännamnsregistret för den nationella toppdomänen.se

Överlämnande av nummer vid byte av tjänsteleverantör

Integritetspolicy SYFTE & BAKGRUND PERSONUPPGIFTER VI BEHANDLAR. Örebro BEHANDLING AV PERSONUPPGIFTER

Ändring av telefoninummerplanen

Beslut om ändring av telefoninummerplanen

GDPR. Hur ComFuture hanterar dina personuppgifter

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

Avgift för tvistlösning och tillsyn enligt utbyggnadslagen

Vägledning om skyldigheten att rapportera integritetsincidenter

INTEGRITETSPOLICY PIRELLIS HEMSIDA (UTAN KÖP AV PRODUKTER/TJÄNSTER) Denna Integritetspolicy uppdaterades senast den 29 oktober 2018.

Stockforsa Invest Koncern med dotterföretag, Policy för behandling av personuppgifter

Denna informationstext förklarar hur Bad & Fritid AB hanterar dina personuppgifter och vilka rättigheter du har. Informationen vänder sig till dig som

Underrättelse om misstanke om att Fast Communication Sweden AB inte informerat abonnenter om villkorsändring

Tredje samråd angående marknaden för mobil samtalsterminering (marknad 2)

Välkomna! Integritetsforum torsdagen den 23 april 2015

Remissvar angående anmälningspliktig verksamhet och anmälningspliktig omsättning

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

INTEGRITETSPOLICY FÖRETAGSKUNDER

Denna integritetspolicy ( Integritetspolicyn ) har tre syften:

INTEGRITETSPOLICY. Integritetspolicy Implementa Sol AB (6)

Hantering av nummerserierna 71xxx och 72xxx för SMS-innehållstjänster

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

AMF Fastigheters integritetspolicy

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Välkomna till Integritetsforum!

FÖRETAGSKUNDER Romelebydens Kabel-TV INTEGRITETSPOLICY

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Minnesanteckningar Driftsäkerhetsforum 3 maj 2017

GDPR NYA DATASKYDDSFÖRORDNINGEN

GDPR. Ulrika Harnesk 17 oktober 2018

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Utdrag ur protokoll vid sammanträde Lagring av trafikuppgifter för brottsbekämpande ändamål genomförande av direktiv 2006/24/EG

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Beslut om ändring av telefoninummerplanen

1. Behandling av personuppgifter... 2

Denna policy har upprättats för Alfred Nobel Science Park AB (fortsättningsvis kallat ANSP).

Amnesty International, svenska sektionens Integritetspolicy

GDPR EU har beslutat om en ny förordning som innehåller regler om hur man får behandla personuppgifter. Förordningen börjar gälla den 25 maj 2018 och

Ifylls fullständigt för en objektiv bedömning. Skriv gärna direkt i blanketten med datorn. Gatuadress: Postnr: Ort:

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

070 0XXXXXX, 076 0XXXXXX, 076 9XXXXXX Samtliga med 0+9 siffrors nummerlängd vilket ger 3 miljoner nummer

Störningar och avbrott i elektroniska kommunikationsnät och -tjänster

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

WHITE PAPER. Dataskyddsförordningen

Våra frågor Datainspektionen vill att ni svarar på följande frågor:

Transkript:

PROMEMORIA Datum Vår referens Sida 2018-06-27 Dnr: 1(5) Nätsäkerhetsavdelningen Minnesanteckningar Integritetsforum 27 april 2018 1. Inledning Mötet inleds med info om att inget nytt integritetsforum kommer att bokas upp till hösten då PTS funderar på att ev. ha ett annat upplägg ett säkerhetsforum som inkluderar integritet, driftsäkerhet och även andra säkerhetsfrågor. Vi återkommer med mer information senare under året. 2. Förhandlingarna om den nya förordningen om integritet och elektronisk kommunikation - Information från Näringsdepartementet Parlamentet har gjort en första läsning av förslaget och förhandlingar pågår i rådet men rådet och parlamentet har ännu inte inlett förhandlingar. Nästa möte i rådsarbetsgrupper är den 16-17 maj. Nya förslag från ordförandeskapet kommer väldigt sent hela tiden vilket är en av anledningarna till att det går långsamt. En annan faktor är att man avvaktar RIF-rådets förhandlingar och komplexiteten. RIF-rådet talar om datalagring och försöker skriva bort brottsbekämpning. Nästa teleråd är den 8 juni. Det skulle varit general approach men vid senaste rådsarbetsgruppen talade man om policy debate istället. Tidplanen: general approach i höst, kanske så sent som i början av december. Från början tänkte man att förordningen skulle vara klar samtidigt som ikraftträdandet av GDPR men det blir säkert inte förrän ett år senare. All tillsyn tänker man ska ligga på datainspektionen men diskussion är på hold om uppdelning. Vi får se hur det blir. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 A Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

Branschens påverkansmöjligheter är ju som störst i början. Förra året fick man lämna in synpunkter. Förhandlingen rör på sig och det kommer nya förslag och ändringar. Branschen är välkommen att lämna synpunkter när som helst. Viktiga frågor: - Datalagring. Olika departement på regeringskansliet har svårt att komma överens. - Huvudfrågan om OTT-tjänster ska täckas eller inte. Ja det ska de väl men man märker under resans gång att det blir problem. - Datainspektionen som tillsynsmyndighet. Kommissionen pekar på den myndighet som är för GDPR men vi vill inte att kommissionen ska bestämma det åt oss vi vill bestämma själva. - Art. 6 hur man ska få behandla data. Mest input har kommit från näringslivet så här långt. Stora internationella bolag vill ha med behandlingsgrunder och operatörerna pekar också på det. Mycket lobbying kring direktmarknadsföring men det finns de som vill att förbud ska harmoniseras. 3. EU:s dataskyddsförordning och LEK Flera regelverk relaterar till varandra och förhandlingar sker parallellt men har olika tidplaner för ikraftträdande. GDPR är antaget och träder i kraft 25 maj 2018. GDPR kommer att upphäva dataskyddsdirektivet och PuL. Förhandlingar kring e-privacy direktivet pågår fortfarande så de regler som finns i LEK kommer kvarstå. I viss mån kan det bli överlappningar mellan regelverken. Datainspektionen är ansvariga för de allmänna bestämmelserna och PTS är ansvariga för de sektorspecifika bestämmelserna. Se mer detaljer och förhållandet mellan regelverken i bifogad presentation. Vissa ändringar behöver göras i LEK 6 kap. på de paragrafer (1 och 2 ) som hänvisar till PuL. Begreppet samtycke i LEK ändras och kommer att ha samma innebörd som i art. 4 i GDPR. Nyheten i definitionen är att den registrerade antingen genom ett uttalande eller genom en entydig bekräftande handling godtar behandling av personuppgifter som rör hen. Samtycke måste vara frivilligt, specifikt, informerat och en otvetydig viljeyttring. Se detaljer i bifogad presentation. Läs mer i art. 29-gruppens vägledning Guidelines on consent under Regulation 2016/679 WP259 rev.01 och på Datainspektionens hemsida. Incidentrapportering ska ske antingen till DI eller PTS. Det kan dock bli vissa otydligheter och i vissa fall kanske man behöver rapportera till båda. Vi kan vägleda kring när incidenter ska rapporteras till PTS men det är även bra om ni har en dialog med DI för att utreda om en incident även behöver rapporteras till DI. Exempel på skillnader gällande incidentrapportering och underrättelser finns i bifogad presentation. 4. PTS rapport Operatörernas hantering av användarnas uppgifter Post- och telestyrelsen 2

Cookies vad händer med dem egentligen? Förra sommaren remitterade PTS allmänna råd och sedan har det inte blivit något mer. Det blir inga allmänna råd då det inte passar så bra just nu p.g.a. de ändringar vi talat om tidigare. Istället jobbar vi på att ta fram tips och råd i våra webbriktlinjer. Man kommer få råd om hur man kan ge info och hur man gör rutor men inte direkt om hur man samtycker. Rapporten Operatörernas hantering av användarnas uppgifter publicerads i februari i år. Operatörer har mycket information om tjänsternas användare och deras kommunikation. I samband med tillhandahållandet av telefoni och internet får operatörerna kännedom om bland annat vart användarna ringer, surfar och var deras mobiltelefoner befinner sig. Utöver den generella dataskyddslagstiftningen finns därför särskilda regler i LEK, med krav på hur operatörerna får behandla dessa uppgifter. I rapporten har PTS genom omvärldsbevakning granskat vilka förutsättningar som finns för operatörerna att på olika sätt dra nytta av användarnas uppgifter, bland annat för marknadsföringsändamål. PTS har tittat på svenska förhållanden samt gjort en internationell utblick. Vidare har myndigheten genom en konsumentstudie tagit reda på mer om vad användare av mobiltjänster i Sverige känner till och anser om hur deras uppgifter används och skulle kunna användas. I en genomgång av PTS egen tillsyn på integritetsområdet har myndigheten granskat vilka uppgifter om användarna som de stora svenska operatörerna behandlar och för vilka syften. Slutsatserna i rapporten är att operatörer i andra länder, främst USA, i viss utsträckning börjat hitta nya intäktsmöjligheter från uppgifterna de sitter på, och detta verkar vara en ökande trend. Också i Europa och Sverige finns tecken på att en sådan utveckling är på väg. Enligt många källor finns det stora pengar att tjäna. I dagsläget tycks dock svenska operatörer främst använda uppgifter om användarna för interna syften, såsom optimering av nät och tjänster. En mötesdeltagare undrar om folk förstår att när de säger nej till beteendebaserad reklam så kommer det att kosta på nätet. 5. PTS tillsynsarbete - Avslutad tillsyn I innevarande vecka avslutades en tillsyn som pågått ganska länge behandling av trafikuppgifter. Inom ramen för tillsynen granskades vilka trafikuppgifter bolaget i fråga behandlade, för vilka ändamål uppgifterna behandlades, på vilket sätt och hur länge uppgifterna lagrades samt för hur och när de gallrades och raderades. Lagring och behandling av trafikuppgifter skedde för att kunna avslöja obehörig användning, felsöka, hantera samtrafik, fakturera, göra affärs- och kundanalyser, marknadsföra tjänster, prissätta samt felsöka. PTS bedömde att stöd fanns i Post- och telestyrelsen 3

lagen om elektronisk kommunikation för den lagring och behandling av trafikuppgifter som bolaget hade redogjort för. Beslutet publiceras på vår webbplats förhoppningsvis under nästa vecka. Där kan ni se vad vi gjort för bedömningar. En annan tillsyn gällde skyddsåtgärder för behandlade uppgifter i kundtjänst. Anledningen till denna tillsyn var mobilabonnemang som flyttats av en person som inte var behörig/hade abonnemanget. Fokus har legat på vilka befogenheter kundtjänst har. Operatören införde krav på identifiering via bank- ID och begränsning av behörigheter. Tillsynen avslutades och beslutet finns publicerat på PTS webbsida. PTS ser allvarligt på den här typen av incidenter då det är möjligt att få tillgång till mycket känsliga uppgifter. Det är många incidenter i kundtjänst så därför har PTS sett behov av att inleda tillsyn av fler operatörer. PTS årliga tillsyn om incidentrapportering samt vidtagna åtgärder sett till inträffade integritetsincidenter avslutades nu i slutet av april. Det är sjätte året den genomförs. Numera är rapporterna bättre, rapporterna är förståeliga och operatörer har en bättre förmåga att internt upptäcka incidenter. I bifogad presentation finns en bild över antal rapporterade incidenter per operatör, vanliga orsaker till incidenter och operatörernas vidtagna skyddsåtgärder. Fråga: Är PTS säkra på att förmågan att upptäcka blivit bättre eller händer det mer än vad som rapporteras? Är statistiken relevant? Är det försämrat säkerhetsläge eller är det bara så att operatörerna blivit bättre? För ett par år sedan genomfördes en tematisk tillsyn av hantering av uppgifter i butiksmiljö och efter det har antalet incidenter minskat. Vi vet att utbildning av kundtjänstmedarbetare har blivit bättre. PTS tror att det finns ett mörkertal. Ju fler som upptäcks desto bättre. Vi har inte gjort någon analys. Där vi sett många incidenter förut och gjort insats finns inte lika många incidenter nu. Nya som kanske var svårare att upptäcka är det som kommer in det är vår känsla. En kort visning/genomgång av e-tjänsten för incidentrapportering följde. Anmälan till e-tjänsten görs via en blankett som skickas till PTS. Det är lättare att göra rätt om man använder e-tjänsten då det finns en mall för vad rapporten ska innehålla. - Pågående tillsyn Både händelsestyrd och planlagd tillsyn bedrivs. Den planlagda går ut till en bredare krets och tittar på en specifik fråga. Se bifogad presentation för pågående tillsynsaktiviteter. - PTS tillsynsplan Post- och telestyrelsen 4

PTS tar fram tillsynsplan årligen för de två kommande åren. Planen presenteras på vår webbsida. Se fokusområdena för 2018-2019 i bifogad presentation. 6. Övriga frågor - Eventuell föreskrift om lagring av trafikuppgifter (NAT) I delbetänkandet Datalagring brottsbekämpning och integritet (SOU 2017:75) föreslås att en bestämmelse införs i 39 p.1 FEK som anger att lagringen vid internetåtkomst, utöver användarens IP-adress, även ska innefatta annan uppgift som är nödvändig för att identifiera abonnent och registrerad användare. Ändringen syftar till att göra bestämmelsen teknikneutral och föranleds bl. a. av att vissa operatörer använder sig av NAT-teknik där flera abonnenter delar på en och samma ip-adress. Utredningen föreslår vidare att PTS i enlighet med 44 FEK ska få ett förtydligat mandat att utfärda närmare föreskrifter om vilka uppgifter som ska lagras enligt bestämmelsen. Utredningen föreslår att bestämmelsen ska träda i kraft den 1 april 2019. Utredningen har varit på remiss och för närvarande bereds remissvaren i regeringskansliet. Under förutsättning att ovanstående förändringar genomförs kommer PTS så småningom att kontakta ett urval operatörer för diskussioner kring tekniken m.m. inför ett kommande föreskriftsarbete. 7. Avslutning Vad beträffar nästa forum så nämndes ju i början av mötet att PTS ser över formerna så vi återkommer i höst med besked om det blir ett traditionellt integritetsforum eller säkerhetsforum istället. Post- och telestyrelsen 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss