Tillbaka

22.10.11 / Nyhet

Höstens nyheter inom Integritet & dataskydd

Höst2

NYHETSBREV, OKTOBER 2022

Under inledningen på hösten har det kommit flera spännande nyheter inom Integritet och Dataskydd och det ser ut som att det kommer bli en rafflande höst där vi väntar flera intressanta beslut.

I vår rådgivning den senaste tiden ser vi fortsatt fokus på vårens frågor såsom översyn av informationstexter och bedömningar kopplat till tredjelandsöverföringar. Vi ser också att dataskyddsombudets roll får en allt större betydelse och att frågor som rör förbudet mot behandling av brottsuppgifter aktualiseras i många sammanhang.

Missa inte våra spännande utbildningar och seminarier under hösten. I slutet av nyhetsbrevet hittar du en aktivitetskalender med höstens utbildningar.

Har ni funderingar kring hur årets avgöranden påverkar er compliance eller vill bolla frågor, tveka inte att höra av er i så sätter vi upp ett möte.

Trevlig läsning!
Anna Eidvall och Karin Schurmann

Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd här: LÄNK.

 

Privacy Shield 2.0 kommer som räddare i nöden - eller?

Den 7 oktober publicerade Vita huset en Executive Order (EO) som ska möjliggöra ett nytt Trans-Atlantic Data Transfer Framework (även kallat Privacy Shield 2.0) mellan EU och USA (i alla fall i teorin). Denna EO är ett viktigt steg i processen och det förutspås nu att ett nytt överföringsavtal kan vara på plats inom sex månader.

Syftet med Privacy Shield 2.0 är att förenkla den kommersiella överföringen av personuppgifter från EU till USA, som idag är problematiskt mot bakgrund av USA:s långtgående övervakningslagstiftning. Det nya föreslagna ramverket kommer bland annat innehålla nya skyddsåtgärder för att se till att USA enbart ägnar sig åt signalspaningsverksamhet som är nödvändig och proportionerlig för legitima nationella säkerhetsmål.

Vi ser dock en hög risk att ett överföringsavtal som vilar på en EO inte kommer att hålla i domstol. Detta mot bakgrund av att en EO kan upphävas närsomhelst av en sittande president, vilket inte uppfyller EU:s krav på stabilitet och varaktighet.

Vi väntar spänt på hur förslaget ska mottas och hanteras av EU-kommissionen. Under tiden rekommenderar vi att ni fortsätter att göra DTIA för bedömningen av skyddsnivå i tredjeland och inte minst USA.

 

Kalifornien skärper sin dataskyddslagstiftning ytterligare

Den 4 november 2020 röstades California Privacy Rights and Enforcement Act (CPRA) igenom, som kommer medföra stora förändringar i den nuvarande California Consumer Privacy Act (CCPA), som idag reglerar hur företag får samla in, dela och behandla personuppgifter om fysiska personer i Kalifornien, USA.

CPRA kommer att träda i kraft den 1 januari 2023, men det är hög tid att redan nu förbereda sig för stora förändringar som höjer kraven vid hantering av personuppgifter. Det kommer bland annat innebära att anställda omfattas av samma rättigheter som konsumenter, vilket innebär att ni (som har verksamhet i/riktar sig till den kaliforniska marknaden) bör se över hur era informationstexter är utformade. Ni bör särskilt se över era informationstexter mot bakgrund av att det även kommer införas nya krav som reglerar för vilka syften personuppgifter samlas in och behandlas. Det kan även vara bra att se över era personuppgiftsbiträdesavtal och DPIA, för att säkerställa att dessa uppfyller de nya kraven.

 

Ni kollar väl GDPR innan ni köper ett företag?

Personuppgiftsincidenters inverkan på due diligence-undersökningar

En personuppgiftsincident hos ett företag kan medföra omfattande negativa konsekvenser när det kommer till framtida uppköp och förvärv av företag, vilket inträffade i fallet Vastaamo 1150/171/2021. Den privata psykoterapikliniken Vastaamo sanktionerades av den finska dataskyddsmyndigheten att betala 6,7 miljoner kronor för att ha brustit i sina säkerhetsåtgärder, där bristen av säkerhetsåtgärder hade resulterat i att känslig patientdata hade läckt när företaget var föremål för en hackerattack.

Efter att personuppgifter läckt ut från företaget, och innan intrånget hade rapporterats, förvärvade en investerare en majoritetsandel i företaget. När personuppgiftsincidenten uppdagades, annullerade investeraren förvärvet på grund av bristande information under due dilligence-undersökningen. I Vastaamo:s fall medförde personuppgiftsincidenten att företaget gick i konkurs och blev föremål för långa domstolsförfaranden med ett stort antal personer som riktade krav mot företaget mot bakgrund av att deras personuppgifter läckt.

Tillsynsbeslutet kommer troligen att påverka betydelsen av dataskydd i due dilligence-undersökningar samt förhandlingar om fusioner. Inte bara på grund av de höga sanktionsavgifterna som riskeras att dömas ut, utan även för att ansvaret för personuppgiftsbehandlingarna överförs till köparen vid tillträdet.

 

Utökat fokus på dataskyddsombudens roll

På EDPB:s agenda

European Data Protection Board (EDPB) har beslutat att deras nästkommande samordnade verkställighetsåtgärd ska omfatta en särskild granskning och tydliggörande av dataskyddsombudets roll och ställning.

Det finns sedan tidigare ett flertal tillsynsärenden angående dataskyddsombudets roll. I ett tillsynsbeslut från Luxemburg sanktionerades ett företag mot bakgrund av att deras dataskyddsombud inte varit permanent involverad i företagets interna möten och inte varit tillräckligt involverad i frågor som berörde företagets personuppgiftsbehandling. Dataskyddsombudet rapporterade inte heller direkt till den högsta ledningen i företaget, eftersom det förekom flertalet nivåer mellan dataskyddsombudet och den högsta nivån inom företaget (dvs. styrelsen). Mot bakgrund av nämnda omständigheter ansågs inte dataskyddsombudet inta en tillräckligt självständig och oberoende roll i företaget och i relation till dess personuppgiftsbehandling.

I ett liknande tillsynsbeslut från Belgien, ansågs ett företag bryta mot GPDR mot bakgrund av att deras dataskyddsombud inte haft möjlighet att rapportera direkt till den högsta ledningen och uttrycka avvikande åsikter om deras personuppgiftsbehandling. Det finns även andra tillsynsärenden på området avseende vilka positioner ett dataskyddsombud kan inta utan att äventyra sitt oberoende.

Det är med andra ord hög tid att se över hur involverade era dataskyddsombud är i er personuppgiftsbehandling samt se över dess eventuella övriga roller och möjlighet att rapportera till högsta förvaltningsnivå.

 

Ytterligare konsekvenser av GA-avgörandena

Advokat under utredning för massutskick av kravbrev

I juli presenterades de första rapporterna om en österrikisk advokat som skickat ut ett massutskick av kravbrev till företag om deras påstådda olovliga användning av Google Fonts på deras hemsidor, då IP-adresser riskeras att överföras till USA. Detta har lett till att ett flertal advokatbyråer publikt gått ut och varnat för att tillmötesgå kraven.

Advokaten stöder sina påståenden på ett tyskt domstolsbeslut som utdelade sanktioner mot ett tyskt företag som överfört IP-adresser till Google utan webbplatsbesökares samtycke. Beslutet har inte någon rättslig verkan i Österrike och vi väntar spänt på hur den österrikiske dataskyddsmyndigheten, som ännu inte uttalat sig i frågan, ställer sig till användningen av Google Fonts.

Advokaten i fråga är nu under utredning, då det enbart är den österrikiske dataskyddsmyndigheten och allmänna domstolar som kan besluta huruvida användningen av Google Fonts strider mot GDPR. Det kan också anses som problematiskt att göra ett sådant massutskick av krav som stödjer sig på GDPR, mot bakgrund av att det måste ske en bedömning i varje individuellt fall.

 

Ni behandlar väl inte uppgifter om brott (utan ett undantag från IMY) - eller?

Företag som erbjuder bakgrundskontroller får hantera uppgifter om lagöverträdelser

Integritetskyddsmyndigheten (IMY) har nyligen beslutat att ge ett företag som erbjuder bakgrundskontroller lov att i vissa fall hantera personuppgifter som rör lagöverträdelser. För att få behandla personuppgifter om lagöverträdelser måste privata företag söka tillstånd från IMY om det inte finns ett annat rättsligt stöd för behandlingen, till exempel i lag eller förordning. Företaget får nu lov att behandla personuppgifter om lagöverträdelser som innefattar brott i bolagets tjänst för bakgrundskontroller.

IMY kräver dock att bolaget endast registrerar personuppgifter om lagöverträdelser om enskilda arbetssökande och konsulter som är aktuella för uppdrag eller för befattningar som kan missbrukas för att begå liknande brott eller som på ett annat relevant sätt har en betydelse för den registrerades lämplighet för befattningen eller uppdraget. När det kommer till juridiska personer får uppgifter om lagöverträdelser endast behandlas om det berör personer med bestämmande inflytande eller som har ledande befattningar i verksamheten. Det kan till exempel handla om uppgifter om skattebrott, bedrägerier eller annan ekonomisk brottslighet för särskilt betrodda befattningar som innebär att personen ifråga förfogar över större ekonomiska värden. Det kan också handla om narkotikabrott eller relevanta trafikbrott när personen ifråga ska framföra ett fordon.

 

Även en bank ges rätt att behandla personuppgifter om lagöverträdelser

IMY gav även en bank tillstånd att hantera personuppgifter som rör lagöverträdelser i bankens arbete att motverka penningtvätt och finansiering av terrorism.

Banken får nu hantera uppgifter som rör lagöverträdelser om personer som tidigare varit kunder hos banken men som banken på grund av krav enligt penningtvättslagen har anmält till Polismyndigheten och avslutat kundrelationen med. Beslutet möjliggör informationsutbyte för att säkerställa att information om bland annat misstänkt penningtvätt eller finansiering av terrorism sprids till delar av koncernen. I sin ansökan uppgav banken att kontrollen är nödvändig för att förhindra att en kund vars kundrelation avslutats i en filial inte ska kunna vända sig till en annan filial inom koncernen och bli kund där utan att de misstankar som uppstått hos den första filialen beaktas.

Sammanfattningsvis är det bra att tänka på att det finns begränsningar i hur ni får behandla vissa typer av personuppgifter, inklusive sådana som rör lagöverträdelser. Innan ni påbörjar en personuppgiftsbehandling bör ni därför stämma av om det ni vill göra är tillåtet, eller vad ni måste göra för att säkerställa att så är fallet.

 

Det regnar sanktioner - förbered era paraplyer

Instagram drabbas av rekordstor sanktionsavgift

Den 5 september 2022 utdelade den irländska dataskyddsmyndigheten Instagram en sanktionsavgift på 405 miljoner euro mot bakgrund av att Instagram offentliggjort barns kontaktuppgifter.

Bakgrunden till beslutet var att användare mellan 13–17 år kunde ha företagskonton på plattformen, vilket innebar att deras e-postadresser och telefonnummer publicerades. Det fanns också en förinställning i Instagrams registreringsprocess för användare som var mellan 13–17 år, som resulterade i att deras konton var offentliga.

Sanktionsavgiften är den näst högsta någonsin som utdelas under GDPR, då det bara är Amazon som fått en större sanktionsavgift på 746 miljoner euro, vilket visar hur viktigt det är att behandla barns personuppgifter på ett korrekt sätt.

GDPR medför en långtgående informationsskyldighet när det kommer till behandling av barns personuppgifter och ställer höga krav på privacy by design and default. Vi rekommenderar därför starkt att ni ser över hur/om ni behandlar barns personuppgifter i er verksamhet. Ni bör även se över hur ni informerar barn om deras personuppgiftsbehandling, då ett barn med enkelhet måste förstå informationen som ges.

 

Bolag åläggs sanktioner för vidareförsäljning av personuppgifter

Den 24 augusti 2022 utfärdades en sanktionsavgift på 1.2 miljoner dollar mot ett stort retail-bolag, efter att företaget underlåtit att följa California Consumer Privacy Act (CCPA) på flera punkter. Bolaget hade bland annat inte informerat sina konsumenter om att företaget via cookies och andra spårningstekniker sålde vidare deras personuppgifter till tredje part. Dessutom såldes vwebplatsbesökares personuppgifter vidare, även om webbplatsbesökare genom GPC-signaler nekat att deras personuppgifter skulle säljas vidare till tredje part. Bolaget kritiserades även för att haft en bristande cookiebanner, där webbplatsbesökare inte haft någon möjlighet att neka försäljning av deras personuppgifter.

Det är tydligt myndigheter i Kalifornien kommer att ta krafttag för att kontrollera efterlevnaden av CCPA. Det är därför viktigt att ni ser till att ni kan ta emot GPC-signaler från konsumenter samt se till att era webbplatser och cookiebanners har alternativ som gör att konsumenter kan neka att deras personuppgifter säljs vidare till en tredje part. Ni bör även ser till att era informationstexter är uppdaterade i ljuset i av CCPA och även uppfyller kraven i California Privacy Rights and Enforcement Act (CPRA) som alltså verkställs 1 januari 2023.

 

Förtydliganden kring kraven för skadestånd till registrerade?

Generaladvokaten lämnar yttrande i mål om skadestånd

Nyligen lämnade Generaladvokaten A-G Campos Sánchez Bordona ett yttrande om tolkningen av artikel 82 i GDPR. Yttrandet handlar om vilken ersättning en enskild kan kräva om den enskildes personuppgifter har behandlats i strid med GDPR då den enskilde inte lidit någon faktiskt förlust.

Frågan har sitt ursprung i Österrike där ett företag behandlade personuppgifter genom att räkna ut enskildas sannolika politiska tillhörighet med hjälp av en algoritm. När en av de berörda fick nys om personuppgiftsbehandlingen, lämnade personen in ett klagomål och begärde skadestånd på 1 000 euro för den upprördhet och kränkning som behandlingen orsakade. Österrikes begärde förhandsavgörande från EU-domstolen om huruvida artikel 82 i GDPR tillåter att en enskild kan kräva skadestånd även om det inte föreligger en faktisk skada?

I sitt yttrande konstaterar Generaladvokaten att enbart en kränkning av en enskilds rättigheter eller ”förlorad kontroll” över sina personuppgifter inte ger en enskild rätt till ersättning. Det krävs att individen har lidit en faktisk skada till följd av överträdelsen. Generaladvokaten konstaterar vidare att artikel 82 inte ska anses ha någon kompenserande karaktär utan är avsedd att snarare vara tillrättavisande. Det räcker inte att den enskilde enbart har blivit upprörd av behandlingen för att kunna fastställa en skada.

De aktuella frågorna ligger nu hos EU-domstolen, som ska ta ställning till frågan om vad som krävs för att enskilda individer ska kunna yrka på skadestånd till följd av att deras personuppgifter har behandlats i strid med GDPR. Vi väntar med spänning på avgörandet.

Händer i höst

Konsekvens-bedömningar - seminarium

Gemensamt seminarium av MAQS och IMY i AI Swedens regi
Datum: 18 oktober 2022
Föreläsare: Karin Schurmann

Tredjelandsöverföringar - seminarium

I samarbete med Norstedts Juridik
Datum: 11 november 2022
Föreläsare: Anna Eidvall, Karin Schurmann Info publiceras på Norstedts Juridiks hemsida inom kort.

Relaterade nyheter

Kontaktpersoner