22.12.19 / Nyhet
Nyheter inom Integritet & dataskydd
NYHETSBREV DECEMBER 2022
Intressant avslutning på året
Det har varit ett intensivt år inom dataskyddsområdet med flera beslut och domar som satt strålkastarljuset på olika dataskyddsfrågor. I vårt sista nyhetsbrev för året lyfter vi fram trender och aktuella frågor kring tredjelandsöverföringar, summerar intressanta beslut och tittar närmare på vad som är nytt inom integritet och dataskydd i Sverige och inom EU.
Missa inte våra kommande utbildningar och seminarier under våren. I slutet av nyhetsbrevet hittar du en aktivitetskalender med mer information. Vi ser fram emot 2023 med er kunder och kontakter!
Har du funderingar kring hur årets avgöranden påverkar er eller vill diskutera andra frågor, tveka inte att höra av dig i så sätter vi upp ett möte.
Trevlig läsning och god helg från oss på MAQS!
/Anna Eidvall och Karin Schurmann
PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd här: LÄNK.
NYTT INOM TREDJELANDSÖVERFÖRINGAR
Ytterligare ett steg närmare ett nytt dataöverföringsavtal mellan EU och USA?
Den 13 december presenterade EU-kommissionen ett utkast till adekvansbeslut, där USA anses säkerställa en adekvat skyddsnivå för personuppgifter som överförs från EU till USA förutsatt att mottagaren uppfyller ett antal krav. Dessutom måste EU-medborgare omfattas av ett flertal skyddsmöjligheter när deras personuppgifter hanteras i strid med kraven, bland annat måste de få fri rätt till prövning i oberoende tvistlösningsmekanismer och skiljenämnd. I utkastet ingår även ett antal begränsningar och skyddsåtgärder när det gäller brottsbekämpande amerikanska myndigheters tillgång till personuppgifter för nationella säkerhetsändamål.
Europeiska dataskyddsstyrelsen (EDPB) ges nu möjlighet att se över utkastet och komma med synpunkter. Därefter kommer EU-kommissionen att begära godkännande från en kommitté bestående av representanter från EU:s medlemsstater. Även Europaparlamentet har rätt att granska utkastet. Först därefter kan EU-kommissionen gå vidare med att slutligen anta adekvansbeslutet – vilket förväntas ske under våren 2023.
Även om adekvansbeslutet sannolikt går igenom så har kritik redan framförts mot utkastet, bl.a. av Max Schrems. Den stora frågan är därför om adekvansbeslutet på sikt kommer att underkännas av EU-domstolen eller om Schrems III kan undvikas?
Microsoft Office 365 och Google Workspace förbjuds i franska skolor
Den franska regeringen har beslutat att förbjuda gratisversioner av Microsoft Office 365 och Google Workspace i franska skolor eftersom sådan användning medför risk för tredjelandsöverföringar (i strid med GDPR och Schrems II). Tidigare har även betalversioner av plattformarna förbjudits av samma anledning. Även tyska dataskyddsmyndigheter har tidigare förbjudit användningen av Microsoft Office 365 i delstaten Hessens skolor och danska Datatilsynet utreder just nu användningen av Google Workspace i danska skolor.
Det tunga fokus i tillsynen som finns på tredjelandsöverföringar, och inte minst inom offentlig sektor, ser ut att fortsätta.
Microsoft presenterar första fasen av EU Data Boundary
Den 15 december presenterade Microsoft ytterligare information om implementeringen av EU Data Boundary (EUDB) som per automatik kommer omfatta europeiska kunder som använder Microsoft Azure, Dynamics 365 och Microsoft 365. Första fasen implementeras den 1 januari 2023 och kommer enligt Microsoft innebära att majoriteten av de dataflöden som idag inkluderar tredjelandsöverföringar minskar i en betydande omfattning. Under 2024 planerar Microsoft även erbjuda sina europeiska kunder supporthantering inom EU/EES.
Microsoft har ännu inte presenterat någon detaljerad information om vilka personuppgifter som kommer omfattas av EUDB. Det går även att ifrågasätta hur vattentätt EUDB kommer vara i praktiken, eftersom inte all data kommer stanna inom EU. Vi välkomnar emellertid initiativet och följer utvecklingen av implementeringen.
ICO presenterar ny riskbaserad metod vid tredjelandsöverföringar
Den 17 november presenterade ICO en uppdaterad vägledning om tredjelandsöverföringar som inkluderar en alternativ metod för bedömning av tredjelandsöverföringar. ICO:s nya metod inkluderar en mall med sex frågor och en vägledning om hur riskbedömningen ska utföras. I bedömningen jämförs risken om personuppgifterna stannar i exportlandet med risken om överföringen till importlandet äger rum. Den viktigaste frågan är huruvida risken för människors privatliv och andra mänskliga rättigheter ökar till följd av överföringen eller inte. Om det inte finns någon betydande ytterligare risk, samt att verkställbarheten av standardavtalsklausulerna inte äventyras, kan överföringen genomföras.
ICO utmanar med sin föreslagna metod EDPB:s tolkning av Schrems II-domen och presenterar här ett alternativ för verksamheter som vill utmana den strikta hållning som EDPB står för.
NYTT INOM SVERIGE
IMY föreslås få utökat ramanslag med 56 miljoner kronor
I november lämnade regeringen över budgetpropositionen till riksdagen, där IMY föreslås få ett utökat ramanslag med totalt 56 miljoner kronor under nästkommande två år, vilket är en betydande ökning. Ett prioriterat område kommer vara att öka myndighetens arbete att främja digitalisering och ge vägledning och stöd till innovationsaktörer – men även ökad tillsyn står på agendan.
IMY genomför just nu omfattande rekryteringar av ett 50-tal nya jurister, it- och informationssäkerhetsspecialister och administrativa handläggare för att kunna växla upp i enlighet med denna ambition.
Kammarrätten upphäver beslut om användande av Clearview AI
Under 2021 konstaterade IMY att Polismyndigheten använt personuppgifter i strid med brottsdatalagen, då ett antal anställda använt ansiktsigenkänningsverktyget Clearview AI utan att ha informerat Polismyndigheten om användandet. IMY ansåg att Polismyndigheten brustit i sina organisatoriska åtgärder och att Polismyndigheten har ett ansvar att säkerställa att dess anställda känner till vilka regler som gäller inom verksamheten.
IMY:s beslut överklagades till förvaltningsrätten som avslog överklagan och dömde i enlighet med IMY:s hållning, vilket överklagades till kammarrätten. Kammarrätten i sin tur biföll överklagandet och upphävde förvaltningsrättens dom samt IMY:s beslut om sanktionsavgift. Domen är nu överklagad till Högsta Förvaltningsdomstolen.
Beslutet åskådliggör vikten av att anställda inom en verksamhet har genomgått rätt utbildningar och att det finns tydliga riktlinjer för hur personuppgifter får hanteras. Vi följer med spänning Högsta förvaltningsdomstolens slutgiltiga beslut då detta kan få stor effekt för många verksamheter.
Verifiera får reprimand och föreläggande för försäljning av känsliga personuppgifter
I våras inledde IMY en utredning mot Verifiera som tillhandahåller tjänster som gör det möjligt att begära ut information bl.a. om personer som omfattats av tvångsvård på grund av missbruk eller psykisk ohälsa. Tjänsterna riktar sig främst till arbetsgivare, men även privatpersoner kan genomföra bakgrundskontroller och få ut domar med känslig information. Verifieras tjänst omfattas av ett s.k. frivilligt utgivningsbevis.
IMY konstaterade att ett nyligen infört undantag i yttrandefrihetsgrundlagen (YGL) var tillämpligt och att Verifieras utgivningsbevis därför inte omfattar hantering och utlämnande av känsliga personuppgifter om psykisk hälsa eller missbruk. Sådan behandling av känsliga personuppgifter omfattas därför av GDPR. IMY ansåg att rättsligt stöd i artikel 9 i GDPR saknades för behandlingen av de känsliga personuppgifterna och utfärdade därför en reprimand och ett föreläggande om att Verifiera ska vidta åtgärder så att det inte längre ska vara möjligt att ta del av känsliga personuppgifter. IMY valde att inte utfärda en sanktionsavgift eftersom det rör sig om en omstridd tolkningsfråga och att det är första gången som undantaget tillämpas.
NYTT INOM EU
Inte tillåtet att gömma samtyckesklausuler i användarvillkor
Meta har under en längre tid använt sig av samtyckesklausuler i sina användarvillkor för att möjliggöra individanpassad marknadsföring på Metas plattformar. I början på december beslutade dock EDPB att det inte är möjligt att tvinga användare att samtycka till viss behandling av personuppgifter genom att godkänna användarvillkor. För att samtycket ska vara giltigt måste användarna ges möjlighet att antigen tacka ja eller nej till individanpassad marknadsföring, samt när som helst kunna återkalla sitt samtycke.
EDPB:s beslut kommer publiceras tillsammans med den irländska dataskyddsmyndighetens slutgiltiga beslut under januari 2023. EDPB har begärt ett betydande sanktionsbelopp, men det exakta beloppet är inte känt ännu. Om beslutet står sig förväntas det få stor påverkan på Metas affärsmodell då Meta i sådana fall behöver kunna erbjuda användare en version av plattformarna som inte använder personuppgifter för riktad marknadsföring, vilket i sin tur kan göra Metas annonsverktyg mindre träffsäkra och effektiva.
Plattformen Clubhouse sanktioneras med två miljoner euro för flertalet överträdelser av GDPR
Efter en granskning av plattformen Clubhouse, som ägs av det amerikanska företaget Alpha Exploration, har italienska tillsynsmyndigheten Garante utfärdat en sanktionsavgift mot Alpha med två miljoner euro. Garante ansåg att det fanns flera brister, bl.a. saknades rättsligt stöd för inspelning och delning av ljudfiler med tredjeparter och för profilering av användare.
Alpha framförde att de inte har någon etablering inom EU och därför inte träffas av GDPR. Garante, å andra sidan, bedömde att Clubhouse nätverk var av global omfattning och därigenom hade Alpha möjlighet att påverka individer som befinner sig inom EU – vilket innebar att GDPR är tillämplig.
Ärendet visar främst på det vida territoriella tillämpningsområde som GDPR har för verksamheter i länder utanför EU/EES med viss koppling till en europeiska marknaden.
Fortsatt fokus på dataskyddsombudens roll
Dataskyddsombudens roll kommer stå i centrum under 2023. Både EDPB och den belgiska dataskyddsmyndigheten kommer ha dataskyddsombudens roll som en av deras topprioriteringar under 2023.
EDPB kommer fokusera på utnämningen av dataskyddsombud och deras ställning som en av deras samordnade verkställighetsåtgärder. Den belgiska dataskyddsmyndigheten kommer bland annat prioritera vikten av dataskyddsombudets roll när det gäller registrerades rättigheter och kontroll av dataskyddsombudens ställning inom organisationer.
Det kan alltså vara hög tid att se över om ert dataskyddsombud befinner sig i en intressekonflikt och om hen har tillräckliga resurser och mandat att utföra sina uppgifter.
EVENT
Händer i vår - 2023
Information och inbjudningar till kommande event kommer att publiceras på maqs.com/aktuellt och/eller via Norstedts Juridiks hemsida.
Webinarium: Firande av dataskyddsdagen
Datum: 30 jan
Föreläsare: Karin Schurmann och Anna Eidvall
Event: Utbildning om cookies och spårningstekniker
Arrangör: Norstedts Juridik
Datum: 16 februari
Föreläsare: Karin Schurmann och Anna Eidvall
Fysiskt event: MAQSad arbetsplats om HR och dataskydd i Gbg, Sundsvall och Stockholm
Arrangör: MAQS Advokatbyrå
Datum: TBC (under februari)
Föreläsare: Karin Schurmann, Anna Eidvall med flera
Fysiskt event: GDPR in English
Arrangör: Norstedts Juridik
Datum: TBC
Föreläsare: Karin Schurmann och Anna Eidvall
Fysiskt event: Tredjelandsöverföringar
Arrangör: Norstedts Juridik
Datum: 12 juni
Föreläsare: Karin Schurmann och Anna Eidvall