FI förordnar revisor efter it-incident i Swedbank

CET: 10.38

Finansinspektionen (FI) utser en revisor för att kartlägga den it-incident som inträffade hos Swedbank natten mellan 28 och 29 april och som medförde felaktiga saldon på kunders konton.

Förordnandet sker med stöd av 13 kap. 9 § lagen (2004:297) om bank- och finansieringsrörelse. Den förordnade revisorn har i uppdrag att kartlägga händelseförloppet som ledde fram till incidenten, hur incidenten hanterades och åtgärdades samt bankens kontroller och beredskap.

Revisorn kommer att dokumentera sina iakttagelser i en rapport till FI. FI beslutar därefter om vidare hantering.

Text: Finansinspektionen

Källa: Finansinspektionen

Kontanter viktig del av din krisberedskap

CET: 10.32

Om svenska banksystemet skulle drabbas av ett långvarigt tekniskt fel, en omfattande cyberattack eller påverkas av ett långvarigt strömavbrott blir uttagsautomaterna strömlösa. Då går det inte att ta ut kontanter. Vad värre är – det går inte heller att betala med kort. Därför bör varje vuxen ha cirka 2.000 kronor i kontanter i olika valörer och valutor. Större sedelvalörer är svårare att växla än mindre så därför bör man undvika 500- och 1000-lappar.

Sverige har kanske ett av världens mest sårbara betalningssystem. Orsaken är att vi varit mycket duktiga på att ersätta kontanter med digitala betalningar via kort, digitala kort och Swish. Men om något händer vårt högteknologiska betalsystem och problemlösningen drar ut på tiden då blir konsekvenserna för den enskilde allvarliga. Och allt tyder på att det bara är en tidsfråga innan vi drabbas av ett långvarigt stopp i betalsystemet. Vi lever sedan några år tillbaka i en värld med en lågintensiv daglig cyberkrigföring. Till detta kommer olika kriminella nätverk som ägnar sig åt ransomware-attacker och andra antagonistiska hot. Till detta kommer att själva operativsystemen som styr servrar och klienter i sig utgör ett allvarligt hot mot driftsäkerheten på grund av att de är bristfälligt utvecklade när de når marknaden. Ytterligare en faktor är att bankernas IT-system är föråldrade. Att utveckla moderna gränssnitt och ersätta de föråldrade systemen med nya anses vara alltför kostsamt, och i vissa fall nära nog omöjligt.

Och samhället behöver trots allt kontanter även om vi ofta tycks tro att de numera inte behövs. Att varje medborgare har en summa kontanter hemma ökar samhällets robusthet och gör oss mer uthålliga om avbrottet i banktjänsterna skulle bli långvarigt.

IMY inleder granskning av Klarna

CET: 22.26

Publicerad: 16 maj 2022Integritetsskyddsmyndigheten (IMY) har tagit emot ett antal klagomål från bland annat Tyskland och Finland mot Klarnas Checkout-tjänst och har nu därför inlett en tillsyn av bolaget.

IMY har tagit emot ett antal klagomål som rör Klarnas Checkout-tjänst. Klagomålen rör hur tjänsten hämtar och fyller i personuppgifter efter att köparen endast har fyllt i någon viss personuppgift. Vissa av klagomålen kommer från svenska användare medan andra klagomål kommer från användare i Tyskland och Finland.

– Dataskyddsförordningen, GDPR, stärker enskildas rättigheter. Bland annat har enskilda rätt att lämna in klagomål till sin nationella dataskyddsmyndighet. Sedan början av 2021 har IMY ett stort fokus på att utreda klagomål från enskilda, säger Ana Maria Orellana Zamorano, som deltar i granskningen av Klarna.

IMY ställer frågor till Klarna om sammanlagt tolv klagomål för att utreda om behandlingen av personuppgifter i samband med autoifyllnad av personuppgifter i Checkout-tjänsten är förenlig med bestämmelserna i dataskyddsförordningen. 

Text: IMY

Källa: IMY

GDPR-direktivet ger ingen absolut rätt till insamlade personuppgifter

Vi har nu levt med GDPR-direktivet i några år och under tiden har vi även fått en nygammal myndighet med ett bredare och tyngre uppdrag än tidigare, Integritetsmyndigheten (IMY). Denna myndighet har också fått kraftfulla sanktionsverktyg som har skrämt slag på många personuppgiftsansvariga.

Att GDPR ligger högt på företagens och myndigheters agenda märks tydligt i de anmälda personuppgiftsincidenter som varje vecka strömmar in till IMY. Lagen är tydlig med att blotta misstanken om att en personuppgiftsläcka kan ha inträffat måste anmälas till myndigheten.

Även hos allmänheten finns en stor medvetenhet om GDPR-lagen. Men har inte koll på när personuppgiftslagen och GDPR är tillämpliga. Många missförstår vad GDPR-direktivet innebär när det kommer till att få ut insamlade personuppgifter från t ex en arbetsgivare. En ganska stor del av de anmälningar som kommer till IMY är rena okynnesanmälningar som helt saknar grund.

En av de vanligare anmälningarna till IMY är när anställda eller uppdragstagare anmäler sin arbetsgivare eller uppdragsgivare för att de lagrar vissa typer av uppgifter.

Vilka uppgifter om dig får en arbetsgivare eller uppdragsgivare registrera?

Arbetsgivare och uppdragsgivare har ett legitimt behov av att registrera vissa personuppgifter om dig. Enligt lagen ska insamling av personuppgifter vara sakligt grundad i den egna verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för. Vilket behov arbetsgivaren har av uppgifterna och vad de ska användas till måste alltså vara klart redan vid insamlingen. Det innebär att uppgifter aldrig får samlas in slentrianmässigt, för att de kan vara ”bra att ha”, eller omfatta fler personuppgifter än vad som faktiskt behövs.

Uppgifter om hälsa är en så kallad känslig personuppgift som har ett särskild skydd enligt dataskyddsförordningen. Uppgifter om t ex vaccination är en uppgift om hälsa. Utgångspunkten är att behandling av sådana personuppgifter är förbjuden. Det krävs särskilda skäl för sådan personuppgiftsbehandling. Det kan vara krav enligt lagstiftning, kollektivavtal eller motsvarande. Om sådana särskilda skyldigheter i arbetsgivarens verksamhet saknas är det inte tillåtet att registrera uppgifter om hälsa. Arbetsgivaren måste då finna ett annat stöd för sin behandling av känsliga personuppgifter.

Vilka uppgifter kan begäras ut?

Vilka uppgifter du kan få ut regleras i artikel 57.1 f i i Dataskyddsförordningen (GDPR). Det finns också en prejudicerande dom från Kammarrätten i Göteborg den 17 september 2019 med målnummer 1677-19. Innan du gör en anmälan till IMY kan det vara bra att först läsa på dataskyddsförordningen och läsa domen från Kammarrätten. Du kan också besöka IMY:s hemsida där man besvarar vanliga frågor eller ringa myndigheten.

En arbetsgivare eller uppdragsgivare är skyldiga att lämna ut en begriplig sammanställning av de register där dina personuppgifter förekommer. Den personuppgiftsansvariga ska också kunna ange för vilka ändamål uppgifterna samlats in. Om du anser att någon uppgift är felaktig kan du begära att uppgiften rättas. Du har alltså ingen självständig eller absolut rättighet att få kopior eller skärmbilder ur varje register där dina personuppgifter finns. Personuppgiftsansvariga kan välja att maska vissa uppgifter om det finns särskilda skäl. Personuppgiftsansvariga måste ha stöd i dataskyddsförordningen för att kunna göra det. Det kan t ex vara att de inverkar menligt på andras rättigheter och friheter (artikel 15.4). Det kan finnas vissa undantag i nationell lagstiftning som medger att undantag kan göras från kopian om personuppgifter (se lag 2018:18) med kompletterande bestämmelser i till EU:s dataskyddsförordning 5 kap, §§1-2. Det medför att personuppgiftsansvariga kan ta bort viss information (maska) innan uppgifterna lämnas ut till den registrerade.