Innan
semestern har hunnit dra igång ordentligt passar vi på att leverera ett nytt
nyhetsbrev. Lika spännande läsning framför datorn på kontoret som under
parasollet på stranden kan vi lova!
Integritetsskyddsmyndigheten
har meddelat två nya beslut rörande arbetsgivares hantering och lagring av
resultat från alkoholtester som utförts på arbetstagare. I båda besluten
delades sanktionsavgifter ut. Vi sammanfattar besluten och drar några tänkvärda
slutsatser att ta med sig som arbetsgivare.
Vi
uppmärksammar också ett rättsfall från EU-domstolen som prövat rätten till
rättelse av felaktiga uppgifter. De felaktiga uppgifterna rörde i detta fall
uppgifter om könsidentitet.
Den
europeiska dataskyddsstyrelsen har kommit med nya riktlinjer som förtydligar
hur personuppgiftsansvariga och -biträden inom den privata sektorn ska förhålla
sig till domar och beslut från myndigheter i länder utanför EU/EES som kräver
överföring av personuppgifter.
Dessutom har den internationella organisationen
noyb, som arbetar för att skydda privatpersoners dataskyddsrättigheter, tagit
Skatteverket till domstol för försäljning av personuppgifter. Ämnet är
högaktuellt då Högsta domstolen tidigare i våras fattade beslut om konflikten
mellan den svenska offentlighetsprincipen och EU:s dataskyddslagstiftning. Vi
ser med spänning fram emot utvecklingen i detta mål.
Trevlig
läsning och en riktigt härlig sommar önskar vi på Vinge!
Emelie Svensäter Jerntorp, delägare, advokat, Malmö
Nyheter
IMY meddelar sanktionsavgifter mot två företag i SL-koncernen efter tillsyn enligt dataskyddsförordningen
IMY har gett sanktionsavgifter till SL och dess dotterbolag Waxholms Ångfartygs AB (WÅAB) för att de lagrat alkoholtestresultat på personal. Testresultaten kunde kopplas till enskilda personer och räknas därför som känsliga personuppgifter om hälsa. Behandlingen stred mot GDPR eftersom den inte var nödvändig och kunde ha ersatts med mindre ingripande metoder som alkolås.
Nytt rättsfall från EU-domstolen rörande
rätten till rättelse av felaktiga uppgifter (i detta fall uppgifter om
könsidentitet)
Den 13 mars i år
meddelade EU-domstolen i mål C-247/23 att artikel 16 i GDPR innebär en skyldighet för nationella myndigheter att rätta felaktiga personuppgifter om könsidentitet i offentliga register, utan att kräva bevis för genomgången könskorrigerande operation. Domstolen slog fast att sådana krav strider mot GDPR:s principer om riktighet och proportionalitet samt mot grundläggande rättigheter enligt EU-stadgan. Administrativ praxis får inte begränsa rätten till rättelse – endast lagstiftning kan göra det. Ett läkarintyg kan utgöra tillräcklig bevisning för att rätta uppgiften.
Nya riktlinjer från EDPB om när
personuppgifter kan överlämnas till tredjelands myndigheter
Europeiska dataskyddsstyrelsen (EDPB) har publicerat nya riktlinjer som klargör hur företag inom EU/EES ska förhålla sig till beslut från myndigheter i tredjeländer som kräver överföring av personuppgifter. Enligt artikel 48 i GDPR krävs att sådana överföringar endast sker om de grundar sig på en internationell överenskommelse, exempelvis ett avtal om ömsesidig rättslig hjälp. För att en överföring ska vara tillåten krävs både en rättslig grund enligt artikel 6 och att någon av grunderna i kapitel V iakttas. Artikel 48 utgör inte i sig en överföringsgrund. EDPB betonar vikten av att varje överföring prövas individuellt och att nationella tillsynsmyndigheter bör konsulteras vid osäkerhet.
Organisationen noyb tar Skatteverket till
domstol för försäljning av personuppgifter
Skatteverket
driver statens personadressregister (SPAR) som innehåller personuppgifter om
alla personer som är bosatta i Sverige. Tidigare i år begärde en registrerad
att Skatteverket skulle upphöra att sälja hans uppgifter i SPAR. Den
registrerade ansåg att behandlingen var olaglig. Skatteverket höll inte med och
avslog hans begäran med motiveringen att myndigheten endast utför sin
myndighetsutövning genom att lämna ut hans personuppgifter till företag. Noyb,
en internationell organisation som arbetar för att
skydda privatpersoners dataskyddsrättigheter, har nu tagit Skatteverket
till domstol med anledning av detta. I Sverige kan företag få tillgång till
personuppgifter i SPAR för att ”uppdatera, komplettera och kontrollera
personuppgifter eller välja ut namn och adresser för direktmarknadsföring,
public service-meddelanden eller andra jämförbara aktiviteter”. Noyb anser
dock att Skatteverket även säljer denna information till tredjepartsföretag,
som sedan publicerar informationen på nätet utan säkerhetsåtgärder eller
begränsningar.
Ämnet är
högaktuellt då Högsta domstolen tidigare i våras fattade beslut om konflikten
mellan den svenska offentlighetsprincipen och EU:s dataskyddslagstiftning. I
detta beslut konstaterade domstolen att dessa motstridiga rättigheter måste
balanseras och att uppgifter som sannolikt kommer att behandlas i strid med
GDPR måste sekretessbeläggas. Noyb har nu lämnat in en överklagan till
Förvaltningsrätten i Stockholm med begäran om att Skatteverket ska begränsa
delningen av den registrerades personuppgifter med tredje part. Noyb är av
uppfattningen att beslutet från Högsta domstolen bör innebära att det är
förbjudet att dela dessa uppgifter med datamäklare, eftersom de, enligt noyb,
otvivelaktigt kommer att behandla personuppgifter i strid med GDPR.
Vi följer
utvecklingen i målet och håller er uppdaterade.
Kontaktpersoner
Emelie Svensäter Jerntorp
Delägare, Advokat Malmö
Nicklas Thorgerzon
Technology & Data Protection Expert, Stockholm
Michaela Örtberg
Senior Associate, Göteborg
Innehållet i detta nyhetsbrev är endast av allmän karaktär. Innehållet gör inte anspråk på att vara fullständigt och ska inte betraktas såsom juridisk rådgivning i enskilt ärende. Information om Vinges behandling av personuppgifter, se Vinges integritetspolicy.
