Nyheter

Skola får böta 200 tkr för ansiktsigenkänning

Datainspektionen inledde tillsyn mot en skola i Skellefteå på grund av försöksverksamhet med ansiktsigenkänning för 22 elever. Syftet var att underlätta närvarokontrollen. DI konstaterade i sitt beslut att skolan visserligen hade laglig grund eftersom närvarokontroll krävs enligt skollagen och därför är nödvändig för att utföra en uppgift av allmänt intresse. Det hjälpte dock inte skolan eftersom ansiktsigenkänning innebär behandling av känsliga personuppgifter, vilket som utgångspunkt är förbjudet. De undantag som kan aktualiseras är om det finns ett samtycke eller ett så kallat viktigt allmänintresse, vilket är förenat med fler krav än det ”vanliga” allmänintresse som utgjorde laglig grund för behandlingen.

DI konstaterar att elevernas beroendeställning gör att det samtycke som skolan inhämtas inte gäller. DI konstaterar även att kraven på ett så kallat viktigt allmänintresse inte är uppfyllda, framförallt eftersom närvarokontroll inte utgör någon ärendehantering, vilket krävs enligt den svenska dataskyddslagens bestämmelser. Även andra brott mot GDPR konstaterades, bland annat att ingen korrekt konsekvensbedömning hade genomförts. Bötesbeloppet sattes till 200 000 kr och då togs hänsyn till att det handlade om en mindre försöksverksamhet och att skolan betraktas som en myndighet där gränsbeloppen är lägre än för företag. Omräknat till nivåerna som gäller för företag skulle bötesbeloppet ha blivit omkring 4 000 000 kr.

Av beslutet kan man dra slutsatsen att ansiktsigenkänning i princip inte kommer att kunna användas på personer i beroendeställning annat än i undantagssituationer. Det innebär att det som utgångspunkt inte kommer att gå att använda sådana metoder på anställda, skolelever (vare sig i privat eller offentlig skola), frihetsberövade personer och andra grupper i beroendeställning. Man kan även dra slutsatsen att sanktionsbelopp för sådana överträdelser kan bli betydande om behandlingen sker i privat regi och i större skala.

FI anser att flera försäkringsföretag inte lever upp till Solvens II-regelverket

Har försäkringsföretagen införlivat de fyra centrala funktionerna enligt Solvens II-regelverket?

Nej, det tycker inte Finansinspektionen som i sin senaste rapport har identifierat ett flertal brister. Bristfällig lämplighetsprövning, avsaknad av styrdokument och otillräcklig nivå av oberoende är några av de brister som tas upp i rapporten.

Finansinspektionen uppmanar nu försäkringsföretagen att identifiera och hantera eventuella brister. Finansinspektionens kommer troligtvis följa upp de identifierade bristerna i sin löpande tillsyn av försäkringsföretagen.

Kontakta oss om du är nyfiken på vilka företag som deltog i undersökningen och vilka frågor som ställdes.

 

NÄTVERK OCH UTBILDNING FÖR DATASKYDDSOMBUD INOM INKASSOBRANSCHEN

Nu startar Kompass Advokat ett nätverk för dataskyddsombud inom inkassobranschen. Även dataskyddssamordnare och andra som ägnar en stor del av sitt arbete åt dataskyddsfrågor är välkomna.

Fokus ligger på att möta efterfrågan på utbildning och ge möjlighet till diskussion och erfarenhetsutbyte kring dataskyddsfrågor. Träffarna kommer att behandla GDPR ur ett inkassoperspektiv och hålla deltagarna uppdaterade om rättsutveckling och tillsynspraxis inom dataskydd.

Välkommen in med din anmälan!

Lagrådsremisserna angående IORP II

Sent i fredags kom till slut lagrådsremisserna angående IORP II.

En ny reglering om tjänstepensionsföretag
Lagrådsremissen föreslår att den nya regleringen tas in i en ny lag om tjänstepensionsföretag med andra tjänstepensionsdirektivet som grund. Regleringen möjliggör bland annat att försäkringsföretag som endast meddelar försäkring avseende tjänstepension samt tjänstepensionskassor kan driva sin verksamhet som tjänstepensionsföretag.

Nya regler för pensionsstiftelser med anledning av andra tjänstepensionsdirektivet
Förslagen omfattar i huvudsak bestämmelser om investeringar, företagsstyrning och information till de personer som omfattas av pensionsstiftelsers verksamhet.

De nya reglerna föreslås i huvudsak träda i kraft den 1 december 2019.

Inte tillräckligt för Datainspektionen att göra en generell bedömning om sekretess

Kammarrätten har prövat Datainspektionens bedömning att avslå en begäran om att få information om hur många anmälningar av personuppgiftsincidenter en viss utpekad aktör har gjort till Datainspektionen under GDPR med hänvisning till att anmälningarna omfattades av sekretess. Efter att ha tagit del av de aktuella anmälningarna fann Kammarrätten dock att en anmälan som inte innehåller någon känslig uppgift som kan skada anmälaren, liksom information om att sådan anmälan finns, som utgångspunkt bör kunna lämnas ut. Vidare ansåg Kammarrätten att det inte är tillräckligt att göra en generell bedömning att samtliga anmälningar ska anses omfattas av sekretess. Målet visas nu åter till Datainspektionen som uppmanas utföra en mer noggrann prövning av sökandens begäran. Läs Kammarrättens dom här.