Senaste nyheterna inom svenskt dataskyddsområde
PTS inleder tillsyn av NIS-leverantörer
Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”) trädde i kraft den 1 augusti 2018. NIS-lagen, vilken implementerar NIS-direktivet, syftar till att uppnå en hög nivå på säkerhet i nätverk och informationssystem hos leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Av NIS-lagen följer att leverantörer av samhällsviktiga och digitala tjänster ska bedriva systematiskt och riskbaserat arbete.
Post- och telestyrelsen (”PTS”) har tillsynsansvar för samhällsviktiga tjänster inom sektorn digital infrastruktur samt för digitala tjänster i Sverige och har även meddelat föreskrifter och allmänna råd (PTSFS 2021:3) om säkerhetsåtgärder för dessa leverantörer. PTS har nu inlett en tillsyn som avser att granska vissa leverantörers arbete med riskanalyser och riskbedömningar. Tillsynen är en planlagd tillsyn och således inte föranledd av en specifik händelse eller incident. Den aktuella tillsynen omfattar tre leverantörer av samhällsviktiga tjänster inom sektorn digital infrastruktur som tillhandahåller DNS-tjänster och registreringsenheter för toppdomäner.
IMY ger tillstånd för hantering av uppgifter om lagöverträdelser
Privata företag måste söka tillstånd från Integritetskyddsmyndigheten (”IMY”) för att få behandla personuppgifter om lagöverträdelser om det inte finns ett rättsligt stöd för behandlingen i lag eller förordning.
IMY har nu beslutat att två företag, ett säkerhetsföretag och en bank, får sådana tillstånd. IMY anser att företagen har berättigade intressen att behandla personuppgifterna enligt artikel 6.1 f i GDPR. Säkerhetsföretaget erbjuder en tjänst som innefattar bland annat bakgrundskontroller av arbetssökande, i syfte att inte sätta människor i en arbetsroll där de kan begå liknande brott igen. Banken utför kontroller av individer som anmälts för penningtvätt eller finansiering av terrorism som alla i koncernen har tillgång till, för att se till att de individerna inte kan vända sig till en annan filial och ha fortsatt tillgång till banken. I båda fallen anser IMY att det berättigade intresset väger tyngre än den registrerades integritetsintresse, och ger tillstånd att hantera personuppgifterna om lagöverträdelser.
IMY utfärdar reprimand avseende uppgifter om hälsa
IMY inledde granskning av en nyhetsbyrå efter att ha tagit emot klagomål mot nyhetsbyråns söktjänst för bland annat bakgrundskontroller. Söktjänsten gör det möjligt för användare att vid sökning på personer kunna ta del av uppgift om att den eftersökta personen varit föremål för tvångsvård på grund av psykisk ohälsa eller missbruk. Nyhetsbyrån har ett så kallat utgivningsbevis enligt yttrandefrihetsgrundlagen. Det innebär att söktjänsten omfattas av ett särskilt grundlagsskydd, som normalt innebär att GDPR inte är tillämplig. Till följd av en grundlagsändring 2019 kan GDPR ändå vara tillämplig i vissa fall om det rör en särskilt integritetskänslig uppgiftssamling.
IMY kom fram till att GDPR är tillämplig på nyhetsbyråns söktjänst, samt att det saknas rättslig grund för behandlingen av de känsliga personuppgifterna. IMY ansåg däremot att det skulle vara oproportionerligt att påföra nyhetsbyrån en sanktionsavgift för överträdelserna. Detta eftersom att det varit fråga om tolkningen av ett undantag från det grundlagsskydd utgivningsbevis ger samt att undantaget inte tidigare tillämpats av IMY eller någon domstol. IMY utfärdar dock en reprimand samt förelägger nyhetsbyrån att vidta åtgärder så att det inte längre ska vara möjligt att efter sökning på personer kunna ta del av uppgift om att de varit föremål för tvångsvård.