Mötesanteckningar, Integritetsforum 13 november 2013, kl. 9-12 på PTS



Relevanta dokument
Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Konsekvensutredning avseende föreskrifter och allmänna råd om skyddsåtgärder för behandlade uppgifter

Datainspektionens beslut

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Tele2 Sverige AB

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Post- och telestyrelsen (PTS) har med utgångspunkt från myndighetens verksamhetsområde följande synpunkter.

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

BESLUT. Datum Dnr Sid

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Säkerhetsbrister i kundplacerad utrustning

Minnesanteckningar Integritetsforum 14 april 2016 kl. 9-12

Tystnadsplikt och utlämningsfrågor

Konsumentklagomål på telefoni och bredband. Kvartalsrapport januari - mars 2016

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Yttrande över betänkande Toppdomän för Sverige (SOU 2003:59)

Saken. PTS underrättelse

Minnesanteckningar Driftsäkerhetsforum 23 november 2016

Avtalens längd 5:15, a - max 24 mån för konsumenter och andra som begär det, krav på att erbjuda 12-månadersabonnemang.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Nummerserie Lediga Vilande Återlämnade 070 (1994/2007)

Årlig tillsyn rörande incidentrapportering och inträffade driftstörningar och avbrott

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Idéskrift. Avtalsuppföljning för transportköpare inom miljö och trafiksäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Uppföljande tillsyn avseende kontinuitetsplan för bredbandstelefoni

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Minnesanteckningar Integritetsforum 27 april 2018

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

(5) Anna Rappe Mötesanteckningar Integritetsforum, 18 mars 2010

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Efterlevnad av tillstånd avseende användning av nummer i 118-serien för nummerupplysningstjänster

(5)

Årlig tillsyn över incidentrapportering och inträffade incidenter Com Hem AB

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Informationsskyldighet vid tillhandahållande av Minicall-tjänst

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Information till registrerade enligt personuppgiftslagen

Yttrande över slutbetänkande Rätt information på rätt plats i rätt tid, SOU 2014:23

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Mötesanteckningar från Driftsäkerhetsforum

Återkallelse av såld utrustning samt ersättning för kostnader för provning av radioutrustning m.m.

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Kommunala lantmäteridagarna november 2015

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Anmälan om fördragsbrott av Sverige

Hantering av skyddade personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn med anledning av integritetsincident rörande hemliga nummer

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Polismyndighetens behandling av personuppgifter i signalementsregistret

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Tillsyn över säkerhetsarbete hos underleverantör

Omarbetade funktioner i NyA

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Detta gäller när jag blir sjukskriven

Handlingsplan för barn med skyddade personuppgifter inom Norrköpings kommuns förskolor

Kommentarer om Årsberättelse 2008 och tertialrapport 3 från SAMS

HANDLINGSPLAN AMT Arbete mot mobbning och annan kränkande behandling vid Bodals skola F-9

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Bättre överblick, ännu bättre vård.

Förslag på hur Sverige ska arbeta med de mänskliga rättigheterna

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Handbok för LEDARSAMTAL

Riktlinjer för behandling av personuppgifter vid webbpublicering

Konsumentklagomål på telefoni och bredband. Kvartalsrapport juli - september 2015

Standard, handläggare

Tillsyn över dokumentation av informationsbehandlingstillgångar

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Mobilen spårar dig överallt. måndag 28 mars Du registreras via mobilen dygnet runt, även när du sover. Uppgifterna lagras i ett halvår.

Att: Per Hemrin TeliaSonera Sverige AB Stab Juridik, Regulatoriska frågor FARSTA

Årlig tillsyn rörande incidentrapportering och åtgärder med anledning av inträffade störningar och avbrott av betydande omfattning Tele2 Sverige AB

Handlingsplan för barn med skyddade personuppgifter inom förskolan

Kommunernas användning av vetot mot vindkraft. Enkätundersökning bland Svensk Vindenergis medlemsföretag

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

81 familjer utav 108 tillfrågade deltog i enkäten. 75% svarade alltså på enkäten.

Datainspektionen informerar. Hur länge får personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Årlig tillsyn rörande incidentrapportering och inträffade incidenter

Uppföljning internkontroll (Bildningsnämnden)

Remiss: Tolkning och översättning vid straffrättsliga förfaranden (SOU 2012:49)

Transkript:

PROMEMORIA Datum Vår referens Sida 2013-12-16 1(6) Nätsäkerhetsavdelningen Gudrun Thelander 08-678 57 85 gudrun.thelander@pts.se Mötesanteckningar, Integritetsforum 13 november 2013, kl. 9-12 på PTS 1. Inledning Karin Lodin hälsade välkomna och en kort presentationsrunda av deltagarna följer samt genomgång av agendan. 2. Genomgång av status i pågående tillsynsärenden Tillsyn avseende samtycke (Karin Lodin, PTS) PTS ska granska hur operatörer inhämtar samtycken från användare vid t.ex. marknadsföringsändamål och behandling av trafik, om man t.ex. väljer att främja egna tjänster före andra. Ett antal frågor kommer att skickas ut till ett urval av operatörer. Än så länge är arbetet i en inledningsfas och inga frågor är klara ännu. Tillsynen ska resultera i ett klargörande av vad som krävs för att samtyckeskravet ska anses uppfyllt samt ökad medvetenhet om att samtycke krävs. Tillsyn avseende kakor (Staffan Lindmark, PTS) I LEK finns en regel, som gäller sedan 2011 när LEK ändrades, om att man måste informera om att man har kakor på sin webbplats. Målet med tillsynen är att ta reda på i vilken utsträckning den nya regeln följs och att hitta bra praktiska lösningar hur reglerna ska implementeras i praktiken. Transparensen ska ökas och användarna ska ges kontroll och en bättre förståelse för vad som sker när man besöker en webbplats. Tillsynen beräknas dra igång på den här sidan årsskiftet och ska fokusera på olika slags webbplatser inte operatörer. Post- och telestyrelsen Postadress: Besöksadress: Telefon: 08-678 55 00 Box 5398 Valhallavägen 117 Telefax: 08-678 55 05 102 49 Stockholm www.pts.se pts@pts.se

2(6) Tillsyn avseende gallring av uppgifter (Peder Cristvall, PTS) Det är den första tillsynen PTS gör sedan reglerna om trafikdatalagring infördes. Målet är att ta reda på vilka trafikuppgifter och lokaliseringsuppgifter som behandlas, hur länge och hur de lagras, hur säkerhetskopior hanteras och hur uppgifterna gallras och utplånas. Inriktningen blir på ca 5-6 operatörer som först får skriftliga frågor och sedan sker besök på plats då PTS kommer att tala med medarbetare. Arbetet rullar igång inom några veckor. 3. Status i föreskriftsarbetet (Staffan Lindmark, PTS) Arbetet med föreskrifterna påbörjades 2012. Kraven utmejslades under våren 2013 med stor hjälp av referensgruppen med operatörer och efter sommaren färdigställdes författningstext och konsekvensutredning där administrativa kostnader för PTS krav beskrivs. Föreskrifterna och konsekvensutredningen är för närvarande på remiss hos Regelrådet. Om Regelrådet inte har någon väsentlig synpunkt och deras svar kommer i slutet av november går remissen ut till alla som ska tillämpa föreskrifterna. Remissförfarandet kommer att löpa under resten av 2013 och i början av 2014 börjar PTS titta på de synpunkter som kommer in för att få möjlighet att fatta beslut på PTS styrelsemöte i februari. Tidigast 1 april skulle alltså föreskrifterna kunna träda i kraft. På fråga om driftsäkerhetsföreskrifterna svarade Karin Lodin att de tagit längre tid än beräknat då det är en större föreskrift med fler krav så PTS talar fortfarande med operatörer och internt. Med största sannolikhet blir de inte klara förrän till hösten 2014. 4. Tillitsundersökningen Det är tredje gången samma undersökning görs. Den som är intresserad kan läsa om undersökningen på PTS hemsida http://www.pts.se/sv/dokument/rapporter/internet/2013/konsum entundersokningom-internetsakerhet/ 5. Underrättelser till abonnenter vid integritetsincidenter (Karin Lodin, PTS) Vilka uppgifter ska underrättelsen innehålla Vilka eventuella problem ser ni med att underrätta i enlighet med reglerna? När det sker en incident ska abonnenten underrättas och en kopia ska skickas till PTS. I presentationen från dagens möte på http://www.pts.se/sv/bransch/internet/arrangemang-ochforum/integritetsforum/ finns detaljer vad underrättelsen ska innehålla liksom i vägledningen om incidentrapportering Post- och telestyrelsen 2

3(6) http://www.pts.se/sv/bransch/internet/integritet/regler/rapporteraintegritetsincidenter/ och föreskriften på PTS hemsida http://www.pts.se/sv/dokument/foreskrifter/tele/ptsfs-20121--- foreskrifter-och-allmanna-rad-om-underrattelse-om-integritetsincidenter-samtinnehallet-i-forteckning-over-integritetsincidenter/ Problemet som behöver diskuteras är att PTS får in ganska få rapporter och ofta måste ställa kompletterande frågor då uppgifterna om vad som ordagrant sagts till abonnenten inte är tillräckliga. Ofta får PTS bara kopia av talmanus som bara berättar att operatören sagt till abonnenten vad som hänt men PTS måste få veta att operatören informerat abonnenten om hur incidenten påverkar denne och vad abonnenten kan göra. Ibland får PTS ingen kopia alls. Även händelser som berör enstaka abonnenter ska rapporteras. Det finns också regler kring hur man ska förfara om man inte lyckas få tag på abonnenten, t.ex. annonsera. Staffan Lindmark vill att deltagarna tar med sig detta hem och informerar de medarbetare som sköter rapporteringen så PTS i framtiden slipper ställa alla dessa kompletterande frågor. 6. Information om PTS arbete med integritetsfrågor 2014 (Staffan Lindmark, PTS) Årets planering innehåller en del luft för att PTS ska ha utrymme för att ta hand om det som händer i verkligheten, så endast ett fåtal planlagda aktiviter finns än så länge, t.ex. Slutförande av de påbörjade planlagda tillsynerna. Färdigställande och ikraftträdande av föreskrifter om skyddsåtgärder. Tillsyn avseende incidenthantering interna rutiner och rapportering till PTS och berörda användare. Internationell samverkan. 7. Information om Kommissionens arbete med incidentrapportering och ev. information om ENISAs arbete (Staffan Lindmark, PTS) Incidentrapporteringsförordningen är implementerad i EU och ska tillämpas på ett likartat sätt i alla länder. Samarbetet inom Enisa är ett framgångsrikt exempel på detta och man har en förhoppning att något liknande kan komma till stånd gällande elektroniska förfaranden för rapportering av incidenter. PTS har för avsikt delta i samverkan även kring rapporteringen av integritetsincidenter. En intressant fråga gäller gränsöverskridande händelser som berör abonnenter i flera länder då är frågan vem/vilka myndigheter som ska utreda och rapportera. Post- och telestyrelsen 3

4(6) Både ENISA och den s.k. Artikel 29-gruppen arbetar med dessa frågor. Det är i nuläget lite oklart vilka frågor som ska hanteras av vem. ENISA pekas ut i den nya förordningen att vara inblandad när det gäller tekniska skyddsåtgärder. PTS kommer att verka för att samverkan sker i någon form och kommer hålla operatörerna informerade om vad PTS talar med kollegor i andra länder om. 8. Information om samrådet med Datainspektionen avseende registerutdrag enligt 26 PuL. (Peder Cristvall, PTS) PuL reglerar generellt hur personuppgifter får behandlas men för den som tillhandahåller elektroniska kommunikationstjänster gäller 6 kap. LEK i första hand. I januari fick PTS ett klagomål från en privatperson som hade begärt att få ett utdrag över hur personuppgifter behandlas hos en operatör. För att bringa klarhet i frågan om vad ett registerutdrag ska innehålla så har PTS ställt fyra frågor till Datainspektionen. Datainspektionen svarade att PTS är tillsynsmyndighet för operatörerna och att det därför är PTS som ska tolka 26 och 28 i PuL i det här fallet. På frågan om vilka uppgifter ett registerutdrag ska innehålla var svaret att de uppgifter som finns registrerade ska lämnas ut. På frågan om operatörens skyldighet att rätta felaktiga uppgifter sa Datainspektionen att rättelse handlar mer om att rätta statiska uppgifter som blivit fel än att gå in i en samtalslista och rätta om man ringt fel. Den fjärde och sista frågan gällde uppgifter som lagrats för brottsbekämpande ändamål och där sa Datainspektionen att det inte finns någon tystnadsplikt gentemot abonnenten och att även sådana uppgifter ska ingå i registerutdraget. Datainspektionen förefaller tycka att man som operatör inte ska behöva lämna ut alla uppgifter men om abonnenten återkommer och vill se allt ska man lämna ut det, inklusive de uppgifter som lagrats för brottsförebyggande ändamål. Staffan Lindmark frågade operatörerna hur det fungerar med utlämnanden enligt 26 PuL. PTS inställning är att det är problematiskt framförallt när det gäller uppgifter som lagrats för brottsbekämpande ändamål och PTS ser vissa problem med den tolkning Datainspektionen gjort. Några av kommentarerna från mötesdeltagarna: Om man ska göra tolkningen som Datainspektionen gjort skulle det behövas mycket personalinsatser för att hantera. Det blir jobbigt att ta bort B-nr i alla loggar då uppgifter som lämnas ut inte får innehålla uppgifter om någon annan än den som begär ut sina uppgifter. Datainspektionen har dock sagt att det inte går att vägra att lämna ut uppgifter p.g.a. att det är mycket jobb för den personuppgiftsansvarige. Kunderna är oftast ute efter att se om operatören skrivit knasig kund eller liknande. Post- och telestyrelsen 4

5(6) Det känns som det finns en lucka, PUL gäller i ena fallet och LEK idet andra Det positiva med det Datainspektionen säger är att PTS ska fatta de konkreta besluten. Om någon operatör säger stopp när någon begär ut uppgifter är det i sådana fall upp till PTS att avgöra inom ramen för tillsyn. Om PTS kommer fram till att nuvarande regler inte är rimliga kan myndigheten upplysa regeringen om att lagen behöver justeras. Det är ingen konkret situation som måste lösas nu men om vi kommer dit så aktualiseras frågan och PTS kommer då att kontakta Datainspektionen igen. Staffan låter det vara osagt om PTS lämnar skriftlig respons till Datainspektionen men vi kommer att meddela muntligt. 9. Övriga frågor Telia ville väcka frågan om det kanske borde finnas en branschgemensam hantering av ett önskat operatörsbyte eller en portering av nummer när det gäller personer med skyddad identitet. Det är inte ett akut problem men kommer att dyka upp med jämna mellanrum. Ska man tala om för tillträdande operatör att det är en skyddad identitet? Det är ett stort ansvar att ta emot en sådan kund och det är svårt att göra en bedömning i första led när en kund hoppar på ett erbjudande. De är särbehandlade i systemen och det finns bl.a. förbindelsenummer, telefonnummer på en delad ledning och överlämningsadress som är sådant kunden inte känner till men som kan lämnas ut till tillträdande operatör. Frågan har varit upp tidigare på integritetsforum, då Skatteverket var här och informerade om skyddad identitet. Några deltagare föreslår att nummerporteringsforum samt IT-telekomföretagen skulle kunna ta upp frågan till diskussion. Telia bad alla ta med sig frågan hem och diskutera hur/vad man ska göra och Staffan Lindmark sa att frågan kanske kan tas upp igen på nästa integritetsforum. En annan fråga som togs upp var hur det fungerar med integritetsincidentrapportering när telefonin går via t.ex. Skype. Staffan Lindmark sa att PTS är känner till att det finns skillnader mellan hur traditionella operatörer och s.k. over-the-top-leverantörer regleras. För operatörerna finns regler för hur abonnenterna och deras kommunikation får behandlas men för de som faller utan för regleringen i LEK gäller inte lika hårda krav. Det kan vara svårt att förstå denna skillnad, framförallt ur ett slutkundsperspektiv. Det finns dock lagförslag från EU-kommissionen som skulle kunna omfatta vissa av de som inte regleras idag, t.ex. enligt det föreslagna NIS-direktivet där väldigt många skulle kunna omfattas av krav på att rapportera Post- och telestyrelsen 5

6(6) incidenter. Staffan Lindmark sa att det handlar om att säkerställa integritetsskyddet för alla och det ligger nu i politikernas händer. På Telenors fråga om någon hört av Radiotjänst som vill ha ut uppgifter om t.ex. surfplattor, då kunderna angett att de har vid förfrågan från Radiotjänst, blev svaret nej. Operatören uppmanar också övriga att stå emot Skatteverkets begäran om att lämna ut uppgifter för brottsbekämpande ändamål. Polisen måste ha domstolsbeslut för att få ut dessa. I samband med att Snowden-affären uppdagades gick FICORA ( Finnish Communications Regulatory Authority) ut med frågor till alla operatörer och frågade om de har delar av sina tjänster som produceras utanför Finland och i så fall har funderat på hur de kan skyddas samt om man berättar för sina kunder om dessa tjänster. Staffan Lindmark har sett sammanställningen av svaren och 2/3 har tjänster som produceras utanför Finland. Däremot var det lite oklart om vad man svarade på om frågan om info till abonnenter. Det är inget nytt att signalspaning sker utan mer att man som kund kanske vill veta att trafiken passerar/produceras på annat ställe. Staffan frågade om operatörerna efter senaste tidens avslöjanden funderat på var deras tjänster produceras. Staffan Lindmark sa att PTS som regleringsmyndighet inte vet om tjänster köps i annat land, så det är nog svårt för allmänheten att veta. På Staffans fråga om operatörerna informerar sina kunder på något sätt blev svaren att konsumentkunder inte efterfrågar någon sådan information, huvuddelen verkar inte bry sig och det är osäkert vad man skulle informera om. Det är ju inga tjänster som är direkt dåliga för kunden att använda. 10. Avslutning och planering inför nästa möte Nästa möte kommer troligtvis bli i april. Besked om exakt datum kommer senare. Karin Lodin tackade alla deltagare och mötet avslutades. Post- och telestyrelsen 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss