British Airways riskerar miljardböter efter IT-läcka

INTERVJU I DAGENS JURIDIK:

https://www.dagensjuridik.se/nyheter/british-airways-riskerar-miljardboter-efter-it-lacka/

__

Den brittiska dataskyddsmyndigheten meddelade igår att man påfört British Airways en sanktionsavgift på drygt två miljarder kronor efter en personuppgiftsläcka som drabbade nära en halv miljon passagerare. Sanktionsavgiften är den största som delats ut sedan GDPR trädde i kraft förra året.

Dag Wetterberg, advokat och expert på GDPR-frågor, tror att detta kan få fler stora företag att få upp ögonen för vikten av informationssäkerhetsarbete.

– Även om GDPR uppmärksammats redan tidigare och näringslivet i stort investerat stora resurser i att uppnå efterlevnad är det sannolikt att rubriker som denna kommer att leda till att än fler organisationer får upp ögonen för vikten av seriöst arbete med informationssäkerhet. Sanktionsavgiften avser just bristande säkerhetslösningar för att skydda personuppgifter, säger han till Dagens Juridik.

Nära halv miljon personuppgifter läckte

Det var under förra året som ett antal hackare lyckades komma över nära en halv miljon passagerares personuppgifter från flygbolagets ägare IAG. Summan på 183 miljoner pund, motsvarande cirka 2,2 miljarder kronor, är den överlägset största sanktionsavgiften som delats ut sedan GDPR trädde i kraft.

Enligt Dag Wetterberg är den höga sanktionsavgiften en följd av systematiska brister hos flygbolaget och han tror därför inte att summor som dessa kommer att höra till vardagen i framtiden.

– Vi bör nog inte vänta oss att det blir vanligt att sanktionsavgifter av den här magnituden döms ut. Vi måste komma ihåg att det som straffas är systematiskt bristande arbete med informationssäkerhet som ledde till att en halv miljon människors personuppgifter läckte ut i en personuppgiftsincident, säger han till Dagens Juridik.

– Uppgifterna var dessutom av sådan art att de kan användas för ekonomisk brottslighet – kreditkortsuppgifter, namn och adress gemensamt. Sådana incidenter hör inte till vardagen.

”Goda argument för att sanktionsavgiften är proportionerlig”

Sedan nyheten om sanktionsavgiften nådde media har mycket uppmärksamhet ägnats just åt den höga sanktionsavgiften. Dag Wetterberg anser dock att det finns goda argument för sådana i ett ärende likt detta.

– Sett till den oberäkneliga skada som kan drabba en halv miljon privatpersoner som en följd av företagets bristande arbete med att skydda deras personliga integritet finns det goda argument för att en hög sanktionsavgift är proportionerlig. Siffran en och en halv procent uppges vara nedsatt just för att företaget samarbetat med utredningen och i övrigt ansträngt sig för att komma tillrätta med problemen i efterhand.

– Vi får komma ihåg att en och en halv procent ändå är en bit mindre än det möjliga maxbeloppet två procent för denna typ av brist, nämligen bristen i säkerhet.

Han tror att en möjlig förklaring till den höga sanktionsavgiften kan vara att British Airways tvekat eller avstått från nödvändiga investeringar i sitt säkerhetsarbete.

– En aspekt som tillsynsmyndigheter ska beakta vid sättande av sanktionsavgifter är om felande företag gjort besparingar genom att inte följa regelverket – det är alltså möjligt att det höga beloppet blev just så högt för att man kunnat se att företaget tvekat eller avstått från att göra nödvändiga investeringar i informationssäkerhet, säger Dag Wetterberg till Dagens Juridik.

28 dagar på sig att överklaga beslutet

Brittish Airways har nu 28 dagar på sig att överklaga beslutet och den brittiska dataskyddsmyndigheten har meddelat att man noga kommer att överväga såväl bolagets som de andra berörda dataskyddsmyndigheternas yttranden innan man kommer med sitt slutgiltiga beslut.

ESSÄ NR 3 publicerad - läs gärna artikeln om- Yttrandefriheten och Skönlitteraturen (klicka på texten nedan)

Vi välkomnar vår nya praktikant!

Idag välkomnar vi vår nya praktikant, Isak!

Isak går sista terminen på juristutbildningen på Stockholms Universitet och skriver sin uppsats om nätneutralitet.

Isak är mycket intresserad av IT rätt och kommer att vara involverad i advokatfirmans arbete rörande IT-rätt.

Isak.JPG

Digitalmomsen sänks- en välkommen ändring!

Regeringen har i dag överlämnat en remiss till Lagrådet med förslag om att sänka momsen på elektroniska publikationer från 25 till 6 procent. Det innebär att momsen på till exempel digitala tidningar och e-böcker hamnar på samma nivå som tryckta motsvarigheter. Förslaget är en del av budgetsamarbetet mellan regeringspartierna, Centerpartiet och Liberalerna.

Den sänkta momsen ska skapa bättre förutsättningar för kultur- och mediebranschen att anpassa sig till det nya medielandskapet där en stor del av konsumtionen av nyheter, böcker och tidningar sker digitalt.

De nya reglerna förslås börja gälla 1 juli 2019 och omfatta elektroniska motsvarigheter till publikationer som i tryckt form beskattas med 6 procent, bland annat tidningar, tidskrifter och böcker. Publikationer som huvudsakligen består av reklam, rörlig bild eller musik omfattas inte av den sänka momsen. Förslaget följer ett EU-direktiv som beslutades i november och som Sverige länge arbetat för att få till.

Data Protection Day

Var fjärde klient tycker att det är viktigt med kollektivavtal- ja, men kom till WETTERBERG då!

Vad handlar sanktionen om 50 miljoner euro mot Google om?

Sanktionsavgifterna i dataskyddsförordningen ligger på två nivåer varav de högsta sanktionsavgifterna siktar på att skydda de registrerade (individers) rätt att få en vettig information om hur deras personuppgifter skyddas och att deras personuppgifter inte behandlas på sätt som den personuppgiftsansvarige (en organisation) har rätt till.

I det aktuella målet träffade sanktionen båda dessa saker i Dataskyddsförordningen, nämligen:

  1. tillräckligt tydlig information har inte lämnats;

  2. personuppgifterna har inte behandlats med ett uttryckligt frivilligt samtycke från de registrerade.

Tillräckligt tydlig information har inte lämnats

I det aktuella ärendet konstaterar CNIL (den franska datamyndigheten) att informationen från företaget (den personuppgiftsansvarige) inte är lättillgänglig för användarna. Den allmänna strukturen hos den information som företaget valt följer inte förordningen. För att en konsument ska få viktig information såsom datalagrings- perioderna och kategorierna av personuppgifter som används för annonsannonsering måste användaren klicka för att få tillgång till kompletterande information. Den relevanta informationen anses vara svårtillgänglig eftersom det ibland ibland innebär upp till 5 eller 6 åtgärder för att erhålla den. Detta gäller till exempel när en användare vill ha fullständig information om hans eller hennes data som samlats in för profilering eller för geo- spårning. Sammantaget anses det därför att det blir svårt för användarna att fullt ut förstå omfattningen av de processer som den personuppgiftsansvarige (Google) utför.

Personuppgifterna har inte behandlats med ett uttryckligt frivilligt samtycke från de registrerade

I det aktuella fallet har inte den personuppgiftsansvarige inhämtat ett frivilligt och informerat samtycke enligt CNIL. Informationen om bearbetningsoperationer för annonsannonsering gör det inte möjligt för användaren att skaffa sig tillräcklig information för att bli medveten om omfattningen av användningen av deras personuppgifter. I avsnittet Annonsering anser inte myndigheten att det tillräckligt transparent presenteras för användaren att flertalet tjänster, webbplatser och program är inblandade i bearbetningsoperationerna som utförs av den personuppgiftsansvarige (Google-sökning, You tube, Google-hem, Google Maps, Playstore, Google-bilder ... ) och det därmed blir svårt för den registrerade att förstå den mängd data som behandlas och kombineras rörande ens person. Detta innebär i sig att det samtycke som lämnas av den som använder tjänsten/tjänsterna varken är specifikt eller entydigt.

Sammanfattningsvis kan det konstateras att myndigheten har utgått från de grundläggande principerna i dataskyddsförordningen och tillämpat och redovisat hur de resonerat på ett ganska enkelt sätt. Att sanktionen blir så pass hög beror bland annat på Googles storlek och att antalet drabbade individer är många.

På fredag den 25 januari kommer en uppdaterad andra upplaga av GDPR- Förstå och tillämpa i praktiken ut i bokhandeln->

På fredag den 25 januari kommer en uppdaterad andra upplaga av GDPR- Förstå och tillämpa i praktiken ut i bokhandeln->

NY UPPLAGA av succéboken om GDPR

Den 25 januari 2019 kommer den andra upplagan av Dataskyddsförordningen GDPR Förstå och tillämpa i praktiken ut i bokhandeln.

I boken finns en hel del nyskrivna partier samt genomgång av aktuell praxis.

Boken är tänkt att vara en hjälp för de som vill sätta sig in i hur Dataskyddsförordningen kan tillämpas. Det kan vara en skola, en myndighet en privatperson eller ett företag. Alla har frågor om denna många gånger komplicerade lagstiftningen och förhoppningsvis får läsaren svar på sina frågor i denna bok.

WETTERBERG vill växa och söker uppsatspraktikanter

Vi kan erbjuda dig en inspirerande och utmanade praktik hos WETTERBERG.

För rätt individ finns det goda möjligheter att vara med i en framtida spännande resa i en firma med konkurrenskraftiga villkor.

WETTERBERG är medlemmar i Svenskt Näringsliv och tillämpar kollektivavtal (Akademikerförbundet) och anställda erhåller tjänstepension (ITP 1) , träningskort och flexibla arbetstider.

WETTERBERG sitter i en trevlig nyrenoverad lokal på Villagatan 19 i Stockholm.

Maila din ansökan till: dag@wetterbergadvokat.se senast den 15 januari 2019 genom att bifoga CV, personligt brev, betyg (gymnasie- och universitetsbetyg) samt eventuella arbetsintyg.

Intervjuer hålls under senare delen av januari.

WETTERBERG Final Col II LoRez 2018-8530 (1).jpg

Undervisar i IT rätt på Stockholms Universitet

Idag undervisar Dag Wetterberg studenter på Stockholms Universitet rörande Yttrandefriheten och dess utmaningar i den digitala miljön.

IT- rätts kursen är nu en av de populäraste specialkurserna och juristutbildningen på Stockholms Universitet den mest sökta utbildningen av alla i Sverige.

Det är en ära och otroligt kul att få undervisa begåvade studenter i ett ämne jag själv brinner för.

_____

Today, Dag Wetterberg teaches students at the University of Stockholm regarding freedom of expression and its challenges in the digital environment.

The IT course at Stockholm University is now one of the most popular.

It's an honor to teach talented students in a subject I'm passionate about.

Skärmavbild 2018-11-19 kl. 09.25.30.png

Se VECKANS JURIDIK- intressant inslag om GDPR

Hans Olof Lindblom (Datainspektionen) & Dag Wetterberg

Hans Olof Lindblom (Datainspektionen) & Dag Wetterberg

Det finns en konflikt mellan rätten till personlig frihet och rätten till integritetsskydd. Det anser advokaten Dag Wetterberg, som tror att den största utmaningen med GDPR är att man har lagt en ny lagstiftning på redan befintlig data. 

 

- När Datasyddsdirektivet kom och PUL blev lag så fanns ju inte Google, säger Dag Wetterberg i det senaste avsnittet av Veckans Juridik

- Det säger sig själv att den explosiva utvecklingen där andra har så mycket tillgång till våra uppgifter kräver någon form av reglering.

Enligt Dag Wetterberg är den största utmaningen med GDPR att lagstiftningen ska reglera redan befintlig data.

- Utmaningen med GDPR har ju varit att man lägger en lagstiftning på redan befintlig data, att man lägger en lagstiftning på ett område där folk är vana vid en viss frihet. 

Dag Wetterberg tror att det finns en typ av konflikt mellan rätten till viss frihet och rätten till integritetsskydd.

- Det uppstår en krock mellan friheten, journalistisk frihet, att skriva vad man vill och använda dessa uppgifter hur man vill, och på den andra bogen har du skyddet för integritet, säger Dag Wetterberg i Veckans Juridik

Datainspektionens första granskning klar- endast reprimander

Datainspektionen har undersökt om drygt 400 företag och myndigheter har utsett ett dataskyddsombud. Granskningen visar bland annat brister hos närmare en fjärdedel av de fackförbund som valts ut för kontroll.

[Klicka på texten om ni vill läsa DSO-granskningsrapporten]

Enligt dataskyddsförordningen, GDPR, är alla myndigheter och även vissa företag skyldiga att utse ett dataskyddsombud. Ombudet ska kontrollera att den egna organisationen följer bestämmelser och interna styrdokument om dataskyddsfrågor och informera och ge råd internt.

- Det är en väldigt viktig roll för att öka medvetenheten och regelefterlevnaden av GDPR, vilket är skälet till att vi prioriterat detta som vår första GDPR-granskning, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Datainspektionen har gjort en bred granskning av drygt 400 myndigheter och företag och undersökt om de utsett ett dataskyddsombud och om de dessutom meddelat detta till Datainspektionen, vilket de måste göra.

Granskningen visar att majoriteten av de granskade organisationerna har anmält och utsett ett dataskyddsombud i tid. Vissa branscher utmärker sig dock negativt. Av de 51 fackförbund som fanns med i urvalet hade närmare 25 procent brister.

- Eftersom det gått så pass kort tid efter att GDPR infördes den 25 maj, har vi stannat vid att utfärda reprimander. Men, skulle vi framöver konstatera fortsatta brister när det gäller dataskyddsombud så kan även administrativa sanktionsavgifter bli aktuella, säger Lena Lindgren Schelin.

____

WETTERBERG bevakar marknaden rörande GDPR, immaterialrätt och affärsjuridik.

Datainspektionen inleder fler granskningar

Datainspektionen drar nu igång flera större granskningar av olika delar av dataskyddsförordningen, bland annat vad gäller samtycke som rättslig grund för att samla in och behandla personuppgifter.

Datainspektionen drar under hösten igång flera större granskningar. Syftet med granskningarna är bland annat att skapa vägledning gällande de nya dataskyddsreglerna i bland annat dataskyddsförordningen, GDPR. Ett av projekten fokuserar på samtycke som rättslig grund för att samla in och använda personuppgifter.

- Samtycke är speciellt eftersom det måste lämnas frivilligt och det inte får finnas för stor ojämlikhet mellan den registrerade personen och den personuppgiftsansvarige, säger Datainspektionens generaldirektör Lena Lindgren Schelin.

- Samtycken ska också kunna återkallas, vilket ställer stora krav på verksamhetsutövarna att ha strukturer och rutiner för detta. Vi har sett att samtycken ibland samlas in trots att behandlingen kan motiveras på annan grund. Här behövs vägledning, säger hon.

Ett annat projekt ska klargöra gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

- Många av dagens it-lösningar bygger på att ett biträde sköter driften åt den som är ansvarig för de personuppgifter som hanteras. Det finns flera frågor som rör gränsdragningen mellan dessa roller som är viktiga att utreda.

I ett tredje tillsynsprojekt fortsätter den granskning av dataskyddsombud som inleddes i juni. Efter den granskningen fann Datainspektionen anledning att även titta på den information som ska ges till de registrerade om vem som är dataskyddsombud och hur denne kan kontaktas.

____________________

WETTERBERG bevakar marknaden rörande GDPR, immaterialrätt och affärsjuridik.

Certifierad ledamot

Idag blev jag certifierad ledamot efter att ha genomgått kursen Rätt fokus i styrelsearbetet vilket har givit mig en möjlighet att bli en bättre styrelseledamot. Efter kursen görs ett prov som tar tre (3) timmar att utföra. Otroligt kul och spännande och många gånger svårare än jag trodde.

Rätt fokus i styrelsearbetet genomförs av StyrelseAkade­miens ackrediterade lärare, som alla har erkänt goda kun­skaper inom svensk bolagsstyrning samt egna erfarenheter av styrelsearbete. Varje år väljer därför mer än 1 000 styrelseledamöter i svenska bolag att gå denna branschledande utbildning som genomförs på ett 20-tal orter i hela landet.

StyrelseAkademien är den normgivande organisationen för professionellt styrelsearbete i Sverige varför jag är extra stolt idag!

___

Today, I passed the test - Focus on Board work - which has given me the opportunity to become a more professional board member.

Styrelseakademin is the most prestigious organization for learning professional board work in Sweden, why I am extra proud today!

181001 Certifikat Foto.jpg

JK ger fotograf rätt

WETTERBERG har glädjen att ta emot en uppsatspraktikant!

Under hösten 2018 har WETTERBERG glädjen att ta emot uppsatspraktikanten Sofia Sturesson.

Sofia är i slutet av juristutbildningen på Stockholms Universitet och skriver sin uppsats om Big Data och GDPR. 

Vi välkomnar Sofia och hoppas att hon ska trivas hos oss!

 

Skärmavbild 2018-09-05 kl. 14.24.23.png

GDPR - intressant dom rörande personuppgiftsincident

Bookings villkor otillåtna