1 Välkomna!
Lena Lindgren-Schelin Generaldirektör, Datainspektionen 2
Ett år med Dataskyddsreformen
Ett tryggt informationssamhälle tillsammans värnar vi den personliga integriteten
Skriv text här Personuppgifter - det nya guldet 5
En välkänd myndighet med stort förtroende
Hur står det till med den personliga integriteten i Sverige idag?
och när kommer de första sanktionsavgifterna i Sverige? 8
Ett tryggt informationssamhälle tillsammans värnar vi den personliga integriteten
Karin Lönnheden Stabschef, Datainspektionen Christina Thorell Omvärldsanalytiker, Datainspektionen 10
Nationell integritetsrapport 2019 11
Integritet och dataskydd - ur medborgarnas perspektiv 12
Dataskyddsförordningen är välkänd 85 % känner till GDPR och att förordningen ger specifika rättigheter Kunskap finns om att personuppgifter samlas in och används 90 % känner till att internetvanor registreras och kan användas för riktad reklam 80 % känner till att appar i mobilen kan innebära att företag kan följa hur en person fysiskt förflyttar sig 30 % har god kunskap om uppgifterna används Leder till att många känner en viss oro 13
Oro för hur personuppgifter används Någon form av oro 76% 58% 24% 13% 5% 14 Ingen oro Viss oro Ganska stor oro Mycket stor oro BAS: Samtliga (n=1003)
Trots oro delar många med sig av personuppgifter Integritetsparadoxen Finns medvetenhet om att värna sina personuppgifter Hälften avstår ibland eller ofta från att använda en digital tjänst Hälften vidtar aktiva åtgärder Demografiska skillnader avseende kunskap om hur personuppgifter används, oro och hur man skyddar sig 15
Finansiell information och hälsouppgifter känsligast Känsliga uppgifter Finansiella uppgifter och hälsouppgifter Insamling via digital teknik som ansiktsigenkänning Personliga fotografier och filmer Störst oro för Olagligt intrång via hackare, kriminella eller andra obehöriga Att inte ha kontroll över sina personuppgifter Att internetvanor registreras och säljs vidare för anpassad reklam 16
Stora skillnader i förtroende 60 % känner förtroende för Vården Myndigheter Banker 5-10 % har förtroende för Nyhetsmedier Sökmotorer Sociala medier 17
Var sjätte medborgare har använt en GDPR-rättighet 16 procent av medborgarna har använt minst en rättighet Ytterligare 18 procent har funderat på att använda någon rättighet 18
Engagerade medborgare ställer frågor och klagar 16 000 frågor 3 000 klagomål Är det okej att använda mina personuppgifter för att skicka reklam till mig, utan att jag har samtyckt? Kan man ta bort resultat av sökningar på mitt namn på internet? Jag jobbar inom hemtjänsten. Min arbetsgivare har GPS i bilarna. Får de ha det? Jag har köpt en vara från ett företag för flera år sedan, men finns kvar i deras register. Kan jag begära att de tar bort mina uppgifter? Jag tycker att det är konstig att det behövs bank-id för att logga in på Mina sidor hos vissa myndigheter. Varför är det så? Jag blir så arg när jag ser att mina personuppgifter hängs ut på det här sättet på sajter med utgivningsbevis. Det kan inte vara lagligt! Jag vill klaga på att ett företag fortsätter skicka reklam till mig, trots att jag sagt att jag inte vill ha. Fotbollsklubben sparar mitt personnummer, vilket jag tycker är obefogat. Det räcker väl med att de har namn och adress. 19
Medborgare Medvetenhet, kunskap och aktiva åtgärder för integritetsrisker och skydd
Integritet och dataskydd ur verksamheternas perspektiv 21
Dataskyddsombuden - implementeringen har gått bra Bra 73% 57% Inte bra 10% 16% 16% 7% 2% 1% Mycket bra Ganska bra Varken eller Mindre bra Inte alls bra Vet ej 22 BAS: Samtliga (n=1687)
Majoriteten har en grundläggande struktur på plats 72% 25% 2% 1% 23 Ja Delvis Nej Vet ej BAS: Samtliga (n=1687)
Dataskyddsarbetet kan bli mer systematiskt Hälften av dataskyddsombuden anser att organisationerna arbetar kontinuerligt och systematiskt med integritet- och dataskydd det är lätt att få gehör hos ledningen integritet och dataskydd är en prioriterad fråga för ledningen medarbetarna har förståelse för, tycker att arbetet är viktigt och efterlever regelverket 24
Olika branscher har kommit olika långt Kommuner och regioner Småföretag Transport Hotell- och restaurang Bank- och finans It- och telekom Privata vård- och omsorgsföretag Utbildningsföretag 25
Varierade förutsättningar för dataskyddsombuden Stor majoritet av dataskyddsombuden Rapporterar direkt till högsta ledningen Kan få stöd av andra anställda eller dataskyddsombud Cirka hälften av dataskyddsombuden Anser att de har för lite tid avsatt för frågorna Arbetar deltid varav hälften sätter av tid efter behov Får inte den kompetensutveckling som krävs Upplever uppdraget som otydligt 26
Stort behov av vägledning och stöd 8 000 frågor första året med dataskyddsförordningen Vi behöver hjälp med att reda ut vilket ansvar vår underleverantör har när det gäller personuppgiftsbehandlingen. Vi har behov av att kamerabevaka eleverna i skolan under skoltid, för att skapa lugn. Är det tillåtet? Hur ska vi rent tekniskt skydda personuppgifter i våra mejl? En kund vill att vi tar bort dennes personuppgifter ur vårt kundregister, men enligt bokföringslagen ska personuppgifterna sparas i sju år. Vad gäller? 27
Verksamheter Medvetenhet, kunskap och efterlevnad av dataskyddsförordningen 28
Arbetet framåt - slutsatser Grundläggande strukturer på plats nästa steg skapa kontinuitet och systematiskt arbete Kommuner, regioner och småföretag riskerar att halka efter Medarbetare behöver fortsatt utbildning i dataskydd Dataskyddsombuden Framgångsfaktor med tillräcklig tid avsatt Behöver stöd i rollen som ombud Utbildning och kompetensutveckling 29
Vill du läsa hela rapporten? https://www.datainspektionen.se/om-oss/integritetsrapport/ Prata gärna med oss i pausen! 30
Ett tryggt informationssamhälle tillsammans värnar vi den personliga integriteten
Aktuella frågor - vad pågår just nu? Nazli Pirayehgar Alli Abdulla Nils Henckel Frida Orring 32
33 Aktuell tillsyn
Vad har hänt på tillsynsområdet? 34 Tillsynspolicy och tillsynsplan Prioriterade rättsområden Personuppgiftsansvarig eller personuppgiftsbiträde Samtycke som rättslig grund Gränsdragning mellan betaltjänstlagen och kreditupplysningsverksamhet Specifika branscher och verksamheter Hälso och sjukvården Skolan Kamera Rättsväsendet Arbetsgivares behandling av anställdas personuppgifter Mobila operativsystem Detaljhandeln Betalningsförmedlare VIS Inkassoverksamhet Nya företeelser Ansiktsigenkänning Maskininlärning Automatiserade beslut Profilering Blockkedjor
Utveckling 35
Hur går en tillsyn till? 36
Mer information om tillsyn www.datainspektionen.se/tillsyn Fråga mig under pausen! 37
Personuppgiftsincidenter
Vad har hänt på området personuppgiftsincidenter? Facebook, Marriott och 1177 m.fl. Drygt 65 000 personuppgiftsincidenter inom EU (april 2019) Cirka 4 300 personuppgiftsincidenter mottagna av Datainspektionen (maj 2019) Cirka 350-400 anmälningar i månaden till Datainspektionen under 2019 39
40 Vad har hänt på området personuppgiftsincidenter?
41 Vad har hänt på området personuppgiftsincidenter?
42 Vad har hänt på området personuppgiftsincidenter?
Frågor och utmaningar Svårigheter vid bedömning av risker På vilket sätt bidrar anmälningsskyldigheten till skyddet för den personliga integriteten? Hur ska Datainspektionen fånga upp rapporteringspliktiga incidenter som inte anmäls? 43
Vad gör Datainspektionen för att bemöta dessa frågor och utmaningar? Utbildningsinsatser: Bedömning av risker Koppling mellan personuppgiftsincidenter och GDPR-arbetet i övrigt Anmälningsskyldigheten bidrar till skyddet för den personliga integriteten. EU:s riktlinjer om personuppgiftsincidenter uppdateras Utvecklingsarbete utökad vägledning 44
Hur ser det ut i andra länder? Nederländerna 2000-2300/månad Nordiska länderna Majoriteten av incidenterna är obehöriga röjanden Skillnader vid bedömning av risken Hacking, Phishing och Malware 45
Mer information om personuppgiftsincidenter www.datainspektionen.se/personuppgiftsincident GDPR: Artiklar: 33, 34 Skäl: 75, 85-88 Artikel 29-gruppens riktlinjer om personuppgiftsincidenter EDPB Opinion 5/2019 om förhållandet mellan GDPR och eprivacydirektivet ENISA European Union Agency for Network and Information Security Fråga mig under pausen! 46
Kamerabevakning
Vad har hänt på kameraområdet? Ny nationell och europeisk lagstiftning - tillståndsplikten som försvann Datainspektionens nya roll som tillstånds- och tillsynsmyndighet Ett nytt sätt att se på kamerabevakning Helt normal (jättesnabb) teknikutveckling Granskning av kroppsburna kameror och ansiktsigenkänning Granskning av grannar som bevakar grannar 48
Frågor och utmaningar Ny teknik ansiktsigenkänning i fokus Många vill kamerabevaka få är säkra på om de får Massivt tillsynsansvar lång väntan på tillstånd 49
Ny teknik ansiktsigenkänning i fokus
Statistik för kamerabevakningsärenden 1800 1600 1400 1200 1000 800 600 400 200 0 Tillstånd Frågor Klagomål Pågår Avslutade 51
Vad gör Datainspektionen för att bemöta dessa frågor och utmaningar? Informations- och utbildningsinsatser Tillsynsarbete med fokus på nya teknikområden EU-samarbete för att ta fram riktlinjer 52
Hur ser det ut i andra länder? Liknande frågor och utmaningar som i Sverige Delvis olika syn på kamerabevakning inom EU EU-riktlinjer är under framtagande 53
Mer information om kamerabevakning https://www.datainspektionen.se/kamera Fråga mig under pausen! 54
EU-samarbetet
Vad är syftet? 56
Europeiska dataskyddsstyrelsen (EDPB) EDPB SA StrategicAdvisory CSC Coordinated Supervisory Committee Key Provisions Cooperation Enforcement Technology International Transfers Financial Matters BTLE Borders, Travel, Law Enforcement Compliance, E-gov, Health Fining Task Force IT Users Social Media Europol SIS (Schengen) Eurodac (asyl) VIS (visum) CIS (tull) 57
Vad har hänt på EU-nivå? Bl.a. antagna gemensamma ställningstaganden om avtal som rättslig grund, GDPR:s geografiska räckvidd, undantag för överföring till tredje land, när en konsekvensbedömning ska göras förhållandet mellan GDPR och eprivacy-direktivet Samtycke utformande och krav Transparens och information till den enskilde På gång: Kamerabevakning, de-listing (rätten att bli glömd), gränsdragning 58 PuA/PuB, uppkopplade bilar, inbyggt dataskydd, blockkedjor m.m.
Vilka sanktionsavgifter har andra länder utfärdat? Frankrike 50 miljoner euro Portugal 400 000 euro Polen 220 000 euro Danmark 160 000 euro (rekommenderat) Italien 50 000 euro Tyskland 20 000 euro Österrike - 4 800 euro 61
Vilka frågor och utmaningar har Datainspektionen sett inom EU-samarbetet? Växtvärk ett nytt maskineri som är i färd att oljas upp för en snabbare och smidigare framfart 62
Vad gör Datainspektionen för att bemöta dessa frågor och utmaningar? Engagemang ger stort utslag riktade resurser Håller i pennan Gränsdragning personuppgiftsansvarig/personuppgiftsbiträde Riktad marknadsföring i sociala medier Kamerabevakning Vid pågående tillsyn, ändrat huvudsakligt verksamhetsställe inom EU Ökat nordiskt samarbete 63
Mer information om EU-samarbetet https://www.datainspektionen.se/eu EDPBs webbplats: https://edpb.europa.eu EDPSs webbplats: https://edps.europa.eu/ Eller fråga mig under pausen! 64
Ett tryggt informationssamhälle tillsammans värnar vi den personliga integriteten