Välkomna! Integritetsforum torsdagen den 12 november 2015

Relevanta dokument
Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Dataskyddsförordningen

Svensk författningssamling

Nämnden är starkt kritisk till hur ärendet har hanterats.

Dataskyddsförordningen (GDPR)

Svensk författningssamling

Välkomna! Integritetsforum torsdagen den 23 april 2015

Dataskyddsförordningen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

PuL och GDPR en översiktlig genomgång

Välkomna till Integritetsforum!

Dataskyddsförordningen GDPR - General Data Protection Regulation

Årlig tillsyn rörande incidentrapportering och inträffade integritetsincidenter;

Utdrag ur protokoll vid sammanträde

Dataskyddsförordningen

Dataskyddsförordningen

EU:s dataskyddsförordning

Riktlinjer för att tillvarata enskildas rättigheter

Tillsyn över behandling av uppgifter och inhämtade av samtycke

För att tillvarata medlemmarnas enskildas rättigheter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Välkomna till kurs i den nya dataskyddsförordningen

Instruktion för att tillvarata enskildas rättigheter

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

GDPR- Seminarium 2017

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn över dokumentation av informationsbehandlingstillgångar

Svensk författningssamling

LRF Konsult AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

Integritetsskydd - igår, idag, imorgon. Professor Cecilia Magnusson Sjöberg

Betänkandet SOU 2015:31 Datalagring och integritet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Dataskyddsförordningen

Svensk författningssamling

Du kan alltid kontakta oss vid frågor om integritets- och dataskydd genom att skicka ett e-postmeddelande till

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Svensk författningssamling

Tillsyn efter inträffad integritetsincident i fakturasystem

Personuppgiftslagen konsekvenser för mitt företag

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Tegehalls revisionsbyrå och dataskyddsförordningen

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Dataskyddsförordningen

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

BlueStep Banks AB (publ) Integritetspolicy

Information om behandling av personuppgifter

Snabbare lagföring (Ds 2018:9)

Integritetspolicy för Bernhold Ortodonti

GDPR. Behandling av personuppgifter för forskningsändamål. Ulrika Harnesk 11 december 2017

Datum Vår referens Sida Dnr: (10)

Svensk författningssamling

Vägledning om skyldigheten att rapportera integritetsincidenter

Kommittédirektiv. Genomförande av EU:s direktiv om skydd av personuppgifter vid brottsbekämpning, brottmålshantering och straffverkställighet

Regeringens proposition 2011/12:55

Yttrande över betänkandet Datalagring och integritet (SOU 2015:31)

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Lag (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område

Policy för behandling av personuppgifter

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Vad är en personuppgift och vad är en behandling av personuppgifter? Vilka personuppgifter samlar vi in om dig och varför?

Tillsyn över behandling av uppgifter

Version INTEGRITETSPOLICY. gällande rekrytering av personal, volontärer och praktikanter Enligt Dataskyddsförordningen

Så behandlar vi dina personuppgifter

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

BESKRIVNING AV DOKUMENTET

GDPR. Dataskyddsförordningen 27 april Emil Lechner

EU:s allmänna dataskyddsförordning - hur förbereder man sig? SNS 8 april Elisabeth Wallin, Jurist, Datainspektionen

PERSONUPPGIFTSBITRÄDESAVTAL

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Dataskyddspolicy för Svensk Hypotekspension AB i enlighet med dataskyddsförordningen (EU (2016/679)

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Årlig tillsyn över incidentrapportering och inträffade integritetsincidenter Telia Company AB

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Personuppgiftsansvarig: Alpklyftan AB, Företrädare: Anna Wiklund, Administrativ chef,

GDPR. Dataskyddsförordningen

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Vi bryr oss om dina personuppgifter

Årlig tillsyn över incidentrapportering och inträffade incidenter Hi3G Access AB

Allmänna råd. Datainspektionen informerar. Nr 2/2016

GDPR. Datalag Personuppgiftslag Dataskyddsförordning - maj Dataskyddslag - maj 2018

Temporents Integritetspolicy. Komprimerad information

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

INTEGRITETSPOLICY Tikkurila Sverige AB

Transkript:

Välkomna! Integritetsforum torsdagen den 12 november 2015

Inledning Agenda Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete, Anna Backman, tf enhetschef Datainspektionen berättar om den nya förordningen (GDPR) och Safe Harbor-avgörandet, Eva Maria Broberg, jurist Paus, ca 15-20 min

Forts. agenda PTS avslutade och pågående tillsyner Samtycke beslut och vägledning på området Kundplacerad utrustning (CPE) Ersättning vid trafikdatalagring Aktuella frågor Art 4 - incidentrapportering och underrättelser Övrigt Avslutning och nästa möte torsdagen den 14 april 2016

Säkerhets- och integritetsskyddsnämnden, SIN, och dess arbete Anna Backman, tf enhetschef

Säkerhets- och integritetsskyddsnämndens arbete Integritetsforum den 12 november 2015 Säkerhets- och integritetsskyddsnämnden

Bakgrund Utökade möjligheter att använda hemliga tvångsmedel (2007/2008) Europadomstolens praxis (2006) Sverige fälls i målet Segerstedt-Wiberg m.fl. mot Sverige (Säkerhetspolisens register) Säkerhets- och integritetsskyddsnämnden

Bakgrund forts. Skyldighet för åklagaren att underrätta enskild om hemlig tvångsmedelsanvändning införs Säkerhets- och integritetsskyddsnämnden (SIN) inrättades (2008) Syfte - att skapa ett fristående och självständigt tillsynsorgan med uppgift att värna rättssäkerheten och skyddet för den personliga integriteten inom den brottsbekämpande verksamheten Säkerhets- och integritetsskyddsnämnden

SIN:s tillsynsområden Polismyndighetens och Säkerhetspolisens personuppgiftsbehandling (känsliga personuppgifter) Polismyndighetens och Säkerhetspolisens användning av kvalificerade skyddsidentiteter Brottsbekämpande myndigheters användning av hemliga tvångsmedel och därmed sammanhängande verksamhet Säkerhets- och integritetsskyddsnämnden

SINS:s tillsynsområden forts. Brottsbekämpande myndigheter som omfattas av tillsynen Åklagarmyndigheten Ekobrottsmyndigheten Tullverket Säkerhetspolisen Polismyndigheten Säkerhets- och integritetsskyddsnämnden

Myndighetens organisation Säkerhets- och integritetsskyddsnämnden (10 ledamöter) Registerkontrolldelegationen (5 ledamöter) 2012 Skyddsregistreringsdelegationen (5 ledamöter) Kansli (Säkerhetspolisen) Kansli - Hemliga tvångsmedel/ skyddsidentiteter - Personuppgiftsbehandling Säkerhets- och integritetsskyddsnämnden

Ärendeslag Kontroll på begäran av enskild ärenden som inleds på begäran av enskild Initiativärenden ärenden som inleds på nämndens eget initiativ Säkerhets- och integritetsskyddsnämnden

Kontroll på begäran av enskild Enskild kan begära att SIN ska kontrollera om han eller hon i strid med lag har utsatts för brottsbekämpande myndigheters användning av hemliga tvångsmedel eller varit föremål för polisens personuppgiftsbehandling Förekomstförfrågan görs hos åklagarkammare (RB) samt Polismyndigheten, Säkerhetspolisen och Tullverket (IHLärenden) Säkerhets- och integritetsskyddsnämnden

Kontroll på begäran av enskild forts. Kontroll av underrättelser om IHL-beslut som inkommit till SIN Vid träff företas en fördjupad kontroll Remiss vid oklarheter eller felaktigheter Nämnden ska underrätta den enskilde när kontrollen har utförts Den enskilde får normalt inte veta om denne har utsatts för hemliga tvångsmedel Säkerhets- och integritetsskyddsnämnden

Kontroll på begäran av enskild forts. Sanktionsmöjligheter - Anmälan till behörig myndighet (Justitiekanslern och Åklagarmyndigheten) Säkerhets- och integritetsskyddsnämnden

Initiativärenden Tillsynens inriktning Fokusområden och tillsynsplaner: Uppdrag från regeringen, riskanalys, spridning av tillsynen, media, enskilda ärenden Metoder - skrivbordsgranskningar, inspektioner, stickprov, intervjuer, enkäter Säkerhets- och integritetsskyddsnämnden

Initiativärenden och sanktionsmöjligheter SIN beslutar om uttalanden - behov av förändringar i verksamheten, brister i regleringen Sanktionsmöjligheter - inga skarpa verktyg - uppföljande granskning och skyldighet/möjlighet anmäla till Åklagarmyndigheten och Justitiekanslern Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel på teleområdet Underrättelseverksamhet = Verksamhet inriktad på att avslöja om en viss, inte närmare specificerad, brottslighet har ägt rum, pågår eller kan antas komma att begås Lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (IHL) Förundersökning 27 kapitlet rättegångsbalken (RB) Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt RB Hemlig avlyssning av elektronisk kommunikation (27 kap. 18 RB (HAK) Innebär att meddelanden, som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer, eller annan adress, i hemlighet avlyssnas eller tas upp genom ett tekniskt hjälpmedel för återvinning av innehållet i meddelandet Ett tillstånd till HAK ger också rätt att vidta sådana åtgärder som kan vidtas inom ramen för ett tillstånd till hemlig övervakning Huvudregel: Minimum fängelse i två år, försök, förberedelse eller stämpling till sådant brott Finns även en straffvärdesventil Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt RB forts. Hemlig övervakning av elektronisk kommunikation (27 kap. 19 RB) (HÖK) Innebär att uppgifter i hemlighet hämtas in om meddelanden som i ett elektroniskt kommunikationsnät överförs eller har överförts till eller från ett telefonnummer eller annan adress, vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område eller i vilket geografiskt område en viss elektronisk utrustning finns eller har funnits HÖK ger inte tillgång till uppgifter om innehållet i meddelanden utan de uppgifter som kan hämtas in är i stället trafikuppgifter och lokaliseringsuppgifter Huvudregel: Minimum fängelse i sex månader, försök, förberedelse eller stämpling till sådant brott Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt RB forts. Tillstånd till HAK och HÖK prövas av rätten på ansökan av åklagaren (27 kap. 21 första stycket RB) I brådskande fall kan dock åklagaren meddela tillfälliga tillstånd till HÖK och HAK (27 kap. 21 a första stycket RB) Utan dröjsmål anmälas till rätten Om beslutet inte har hunnit verkställas kan rätten upphäva beslutet Om beslutet hunnit verkställas och rätten vid sin prövning finner att det saknats skäl för åtgärden får de inhämtade uppgifterna inte användas till nackdel för den som avlyssnats/övervakats Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt RB forts. Ett tillstånd till HAK och HÖK får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet (27 kap 21 andra stycket) Tiden kan förlängas genom förnyade beslut Huvudregeln är att en enskild som har varit utsatt för hemliga tvångsmedel enligt RB ska underrättas om det. Om viss sekretess gäller har åklagaren dock möjlighet att först skjuta upp och senare underlåta att lämna en sådan underrättelse Åklagaren är skyldig att underrätta Säkerhets- och integritetsskyddsnämnden om sitt beslut att underlåta underrättelse Säkerhets- och integritetsskyddsnämnden

Tillsyn hanteringen av hemliga tvångsmedel enligt RB Kontinuerlig granskning av underrättelser om underlåtna underrättelser Inspektioner m.m. vid åklagarkammare Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt IHL Vilka uppgifter som får hämtas in regleras i 1 IHL Uppgifter om meddelanden som har överförts till eller från ett telefonnummer eller annan adress (första punkten). Får endast avse historiska uppgifter (historisk HÖK) Uppgifter om vilka elektroniska kommunikationsutrustningar som har funnits inom ett visst geografiskt område (andra punkten). Får endast avse historiska uppgifter (basstationstömning) Uppgifter om i vilket geografiskt område en viss elektronisk kommunikationsutrustning finns eller har funnits (tredje punkten). Får avse såväl historiska uppgifter som realtidsuppgifter (positionering) Säkerhets- och integritetsskyddsnämnden

Hemliga tvångsmedel enligt IHL forts. 5 IHL Tiden får inte bestämmas längre än nödvändigt och får, när det gäller tid som infaller efter beslutet, inte överstiga en månad från dagen för beslutet. 1 lagen (1930:173) om beräkning av lagstadgad tid Då enligt lag eller särskild författning tid skall räknas efter vecka, månad eller år, varde den dag för slutdag ansedd, som genom sitt namn i veckan eller sitt tal i månaden motsvarar den, från vilken tidräkningen börjas. Finnes ej motsvarande dag i slutmånaden, varde den månadens sista dag ansedd för slutdag. Säkerhets- och integritetsskyddsnämnden

Förutsättningar för inhämtning av uppgifter enligt IHL Åtgärden ska vara av särskild vikt för att förebygga, förhindra eller upptäcka brottslig verksamhet som innefattar brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år (2 första punkten). Kravet på att åtgärden ska vara av särskild vikt innefattar, enligt förarbetena, både ett kvalitetskrav på de upplysningar som åtgärden kan ge och ett krav på behovet av inhämtningen i det enskilda fallet (Prop. 2011/12:55 s. 121) Bedömningen får inte bygga enbart på spekulationer eller allmänna antaganden utan måste grundas på faktiska omständigheter Nämndens uttalande den 16 oktober 2015 (dnr 119-2015) Säkerhets- och integritetsskyddsnämnden

Förutsättningar för inhämtning av uppgifter enligt IHL forts. Skälen för åtgärden måste uppväga det intrång eller men i övrigt som åtgärden innebär för den som åtgärden riktar sig mot eller för något annat motstående intresse (2 andra punkten) För vissa särskilt angivna brott som t.ex. sabotage och spioneri finns undantag från kravet på straffminimum (3 ) Säkerhets- och integritetsskyddsnämnden

Vem får fatta beslut? Beslut fattas av myndigheten myndighetschefen kan delegera till anställd som har den särskilda kompetens, utbildning och erfarenhet som behövs (4 första stycket IHL) Ej fatta beslut i sådan operativ verksamhet som han eller hon deltar i (4 andra stycket IHL) Säkerhets- och integritetsskyddsnämnden

Beslutets utformning Formkrav (5 IHL) Brottslig verksamhet och vilket eller vilka brott som innefattas i den brottsliga verksamheten Vilken tid beslutet avser Den adress, den elektronisk kommunikationsutrustning eller det geografiskt område som beslutet avser Säkerhets- och integritetsskyddsnämnden

Underrättelse om beslut SIN ska underrättas om ett beslut om inhämtning senast en månad efter det att ärendet om inhämtning avslutades Ett beslut om inhämtning bör enligt förarbetena handläggas inom ett särskilt inhämtningsärende som avslutas när inhämtning skett (prop. 2011/12:55 s. 124) Ett ärende om inhämtning får anses avslutat senast när begärda uppgifter kommer den beslutande myndigheten till handa (se bl.a. nämndens uttalande den 13 februari 2014 i ärende med dnr 162-2013) Nämndens uttalande den 2 september 2015 (dnr 59-2015) Säkerhets- och integritetsskyddsnämnden

SIN:s granskning av IHL-ärenden Alla underrättelser om beslut granskas Om brister uppmärksammas eller om det finns omständigheter som talar för att inhämtningen skett i strid med lag kontakt med den beslutande myndigheten eller initiativärende Även om en underrättelse om beslut inte uppvisar brister föremål för stickprovskontroll Inspektioner Säkerhets- och integritetsskyddsnämnden

Iakttagna brister Formkraven i 5 IHL ej uppfyllda Nämndens uttalande den 2 september 2015 (dnr 99-2015) Den brottsliga verksamheten innefattar inte brott för vilket är föreskrivet fängelse i lägst två år (2 IHL) Nämndens uttalande den 6 maj 2015 (dnr 52-2015) Otillåten realtidsinhämtning Nämndens uttalande den 16 oktober 2015 (dnr 117-2015) Sena eller uteblivna underrättelser om beslut om inhämtning Nämndens uttalande den 25 mars 2015 (dnr 2097-2014) Säkerhets- och integritetsskyddsnämnden

www.sakint.se Säkerhets- och integritetsskyddsnämnden

Datainspektionen Eva Maria Broberg

EU:s dataskyddsreform Integritetsforum 12 november 2015 Eva Maria Broberg Jurist

Vad handlar det om och när? Generell EU-förordning om dataskydd EU-direktiv om dataskydd i brottsbekämpande verksamhet Tidslinje: Förslag från EU-kommissionen, mars 2012 Parlamentets yttrande mars 2014 Rådets ståndpunkt 15 juni 2015 Trepartsförhandlingar (EP, rådet, COM) hösten 2015 Gemensamt beslut av EP och rådet 31 december 2015? Ikraft 1 januari / 1 juli 2018???

Vad händer 2018? Den allmänna dataskyddsförordningen ersätter direktivet och nationell lagstiftning (PuL) gäller direkt Visst utrymme för nationella regler finns kvar för myndigheters personuppgiftsbehandling t.ex. Direktivet för dataskydd i brottsbekämpningen ersätter tidigare rambeslut från 2009. Nationell lagstiftning som genomför direktivet måste antas.

Dataskyddsförordningen - tillämpningsområde Materiellt: helt eller delvis automatiserad personuppgiftsbehandling (ej för privata ändamål, ej f brottsbekämpande myndigheter) Territoriellt: Personuppgiftsansvariga eller biträden som är etablerade i EU Etablerade utanför EU men som erbjuder varor och

Dataskyddsförordningen allmänna best Nya definitioner pseudonymisering, huvudsakligt etableringsställe, profiling t.ex. Grundläggande principer, regler om tillåten behandling, känsliga uppgifter finns kvar Särskild bestämmelse om samtycke från minderåriga Genetiska uppgifter nämns uttryckligen som känsliga uppgifter (el särskilda kategorier av uppgifter )

Dataskyddsförordningen registrerades rättigheter Rätt till information Rätt till åtkomst Rätt till rättelse Rätt att bli bortglömd/radering Rätt till dataportabilitet Rätt att motsätta sig behandling

Dataskyddsförordningen ansvariga/biträden Data protection by design and by default Krav på biträden (bl.a. dokumentation) Säkerhetsåtgärder (bl.a. pseudonymisering) Anmälan av dataskyddsincidenter Data Protection Impact Assessment Förhandskontroll i vissa fall Personuppgiftsombud (frivilligt om inte nat lag kräver det)

Dataskyddsförordningen tredjelandsöverföring Liksom förut - krav på adekvat skyddsnivå, standardavtalsklausuler eller särskilda undantagssituationer Uttryckliga regler om Binding Corporate Rules

Dataskyddsförordningen - tillsyn Varje MS ska utse en oberoende nationell tillsynsmyndighet Uttrycklig bestämmelse om nödvändiga resurser f denna Medlemmar ska utses av parlament eller regering Regler om inrättande av tillsynsmyndighet ska finnas i nationell lag Behörig på sitt territorium ibland lead authority

Dataskyddsreformen EU samarbete Mutual assistance Joint operations Consistency mechanism European Data Protection Board Standardiserat informationsutbyte

Dataskyddsförordningen böter, straff m.m. Rätt att ge in klagomål till tillsynsmyndighet och klaga på om det inte tas hand om Rätt för personuppgiftsansvarig/biträde att klaga på beslut Rätt till rättsmedel om registrerades rättigheter kränks Organisationer kan representera klagande Skadestånd solidariskt mellan ansvarig och biträde?

Nothing is agreed until everything is agreed

Paus ca 15 minuter

PTS avslutade och pågående tillsyner Karin Lodin och Anders Lindell

Att inhämta samtycke enligt LEK Post- och telestyrelsen

Bakgrund Tillsyn över tio tillhandahållare av olika storlek och verksamheter. Granskning av behandlingar för marknadsförings-, abonnentupplysnings- och trafikhanteringsändamål. Huvudsyfte: granska att lagens krav efterlevs vad gäller formerna för inhämtande av samtycke, och innehållet i information som ska delges abonnent inför inhämtande.

Resultat Tillsynens ställningstaganden vägledning om inhämtande av samtycke. Avsedd att kunna tillämpas på samtliga behandlingar som kräver samtycke enligt LEK.

Tolkas enligt PUL. Samtycke Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av (person)uppgifter som rör honom eller henne. FRIVILLIGT, SÄRSKILT, OTVETYDIGT, INDIVIDUELLT och man ska ha fått del av viss OBLIGATORISK INFORMATION först.

Vilken information? 1. Vilka uppgifter som omfattas av behandlingen 2. Ändamålet med behandlingen 3. Vilken sorts behanding som ska göras, och (om behandlingen avser trafikuppgifter) 4. Hur länge trafikuppgifterna ska behandlas

Regler i LEK som kräver samtycke Behandling av trafikuppgifter (6 kap. 5-7 ) Lokaliseringsuppgifter som inte är trafikuppgifter (6 kap. 9 ) Innehåll och trafikuppgifter (6 kap. 17 ) Portering av nummer (5 kap. 11 ) Behandling i abonnentförteckning (6 kap. 16) Kakor (6 kap. 18 )

Tillsynens slutsatser Vad kom PTS fram till? Brister i formerna för inhämtande av samtycke Brister i informationen som ska delges abonnenten

Krav på formerna för inhämtande Samtycke är inte ett avtalsvillkor Det är en ensidig viljeyttring Uppmärksamma abonnenten på detta

Krav på formerna för inhämtande Informationen ska vara lättförståelig, tydlig och fixerad Operatören har bevisbördan Anpassa informationen efter en genomsnittlig abonnents kunskaper och behov Inte tillräckligt att endast hänvisa till information på en webbplats

Krav på formerna för inhämtande Om stödet för behandlingen är samtycke så ska det tydligt framgå Undvik använda begrepp som operatören får eller kan behandla uppgifter Olämpligt att inhämta samtycke för behandlingar som inte kräver det

Krav på formerna för inhämtande Förändrad behandling kräver nytt samtycke Glöm inte att ge förnyad information

Beskrivning av uppgifter Krav på informationen Tydlig angivelse av vilka uppgifter som ska behandlas, undvik uppgifter som genereras vid användning eller annan uppgift om kunden Undvik uppgiftsbeskrivningar som hänvisar till ändamål, t.ex. de uppgifter som behövs för marknadsföring Kategorisering ok om man även har en tydlig definition och exempel på uppgifter som faller inom kategorin.

Krav på informationen Beskrivning av ändamålen Anpassa efter en genomsnittlig abonnent, hur vedertaget är begreppet? Undvik alltför vida beskrivningar, såsom för att kunna uppfylla avtalet

Krav på informationen Beskrivning av vilken behandling som ska vidtas Undvik begreppet behandla om det inte för den genomsnittlige abonnenten är helt klart vad som avses Använd beskrivande termer såsom registrera, lagra, sammanställa, filtrera, blockera eller lämna ut

Krav på informationen Tidsangivelse för trafikuppgiftsbehandling Tillräckligt specifik för att en genomsnittlig abonnent ska förstå hur länge som avses Undvik så länge de behövs etc.

Återkallelse Samtycke kan alltid återkallas Vilseledande att ange att endast vissa samtycken kan återkallas Om samtycket är nödvändigt för tjänsten överväg att villkora tillhandahållandet med att samtycke finns

Och nu? Mer information i vägledningen Troligen kommer ytterligare tillsyner att genomföras för att granska att vägledningens ställningstaganden följs Frågor? Tack! karin.lodin@pts.se

Kort om pågående tillsyner Kundplacerad utrustning (CPE) Ersättning vid trafikdatalagring

Information från PTS om aktuella frågor Staffan Lindmark

Underrätta berörda individer om integritetsincidenter Integritetsforum 12 november 2015 Post- och telestyrelsen

I vilka fall ska individer underrättas? 1. En integritetsincident har inträffat och upptäckts av tjänstetillhandahållaren. 2. Incidenten kan antas inverka menligt på abonnents eller enskild persons personuppgifter eller integritet. 3. Tjänstetillhandahållaren har inte påvisat att lämpliga tekniska skyddsåtgärder har tillämpats på berörda uppgifter, så att uppgifterna är oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

När ska individerna underrättas? Underrättelse ska lämnas utan onödigt dröjsmål efter att incidenten upptäckts. Tidpunkten för underrättelse ska vara oberoende av när incidenten anmäls till PTS. Efter godkännande av PTS får underrättelsen skjutas upp, i exceptionella fall om underrättelse till individen kan äventyra en korrekt utredning av incidenten. Samma tidsfrist gäller oavsett hur underrättelse sker.

Vad ska underrättelsen innehålla? Underrättelsen ska alltid innehålla samtliga de uppgifter som anges i bilaga II till förordning 611/2013. Underrättelsen får innehålla ytterligare uppgifter om incidenten. Underrättelsen får inte innehålla information om något annat, såsom marknadsföring eller information om nya eller kompletterande tjänster. Innehållet ska formuleras tydligt och lättbegripligt.

Hur ska individernas underrättas? 1. Kommunikationssättet ska säkerställa att informationen snabbt kan tas emot av individerna. 2. Kommunikationen ska vara säkrad på lämpligt sätt, enligt den senaste tekniken.

Underrättelse via annonsering? Tjänstetillhandahållaren ska alltid först vidta rimliga ansträngningar för att identifiera alla enskilda individer som kan påverkas menligt av incidenten. I andra hand får annonsering ske för att nå ut till individerna med underrättelse. Annonseringen ska ske i större regionala eller nationella medier, inom den normala tidsfrist som gäller för underrättelse, dvs. utan onödigt dröjsmål.

När och hur måste annonsering ske? OBS! Nedanstående bedömningar bygger på ett preliminärt ställningstagande, efter samråd med bl.a. andra behöriga myndigheter inom EU. Frågan har dock inte prövats i något enskilt fall. Annonsering måste ske om individuella underrättelser inte kan lämnas inom den tidsfrist som följer av vad som objektivt sett kan anses utgöra ett icke onödigt dröjsmål. Det faktum att det är svårt att identifiera eller hitta kontaktuppgifter till enskilda individer påverkar normalt inte bedömningen av vad som utgör onödigt dröjsmål. Annonsering ska ske i de medier som kan bedömas mest lämpliga för att nå ut till den berörda gruppen av individer. Annonsernas storlek ska anpassas till omständigheterna i den enskilda fallet, t.ex. hur allvarlig incidenten är, hur många som berörs etc.

Övrigt Ev. anmälda frågor inledningsvis

Nästa möte Förslagsvis torsdagen den 14 april 2016 Tack för idag!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss