23.05.22 / Nyhet
Nyheter inom Integritet & dataskydd
NYHETSBREV MAJ 2023
AI vårens snackis och GDPR fyller 5 år!
Som vanligt har vi sett enorm rättsutveckling inom integritet och dataskydd under våren.
Utöver vanliga frågor som tredjelandsöverföringar, registrerades rättigheter, cookies med mera, har användningen av AI-verktyg nästintill dominerat vårens diskussioner även inom dataskyddsvärlden.
Vi har sammanfattat några av de mest intressanta nyheterna på dataskyddsområdet den senaste tiden i detta nyhetsbrev.
Självklart vill vi också uppmärksamma att GDPR fyller fem år. Den 25 maj 2018 trädde EU:s dataskyddsförordning General Data Protection Regulation i kraft och det uppmärksammar vi med att summera de fem viktigaste lärdomarna om dataskydd från 2018 och blickar framåt – vad väntar runt hörnet? Läs vår krönika här.
Längst ner i nyhetsbrevet finns också ett kalendarium med de utbildningar och events inom området som vi erbjuder och deltar i.
Trevlig läsning och glad sommar önskar vi på MAQS!
/Anna Eidvall (tv) och Karin Schurmann (th)
PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd här: LÄNK.
Chat GPT, Google Bard, BING med mera – hot eller möjlighet?
Vårens hetaste ord är utan tvekan GPT och många har börjat experimentera med generativ AI, till exempel OpenAI:s ChatGPT. AI:s roll i vardagen har gått från någon slags fantasi till verklighet på bara några månader. Den snabba utvecklingen sätter press på företag och organisationer att ta ställning till och hantera användningen av nya verktyg för att säkerställa att dessa används på ett lagligt och riskmedvetet sätt. Utan riktlinjer kan anställdas fria användning av ny teknik leda till att riskerna med tekniken, som hade kunnat förebyggas, aktualiseras. Samsungs förbud att använda ChatGPT kan nämnas som ett exempel där icke-medveten användning ledde till att företagshemligheter läcktes.
Även om vi spänt väntar på AI-förordningen (som under sommaren väntas gå vidare till trialog), regleras utvecklingen och användningen av AI verktyg redan idag av till exempel upphovsrättslig lagstiftning och GDPR.
Ingen har väl missat att OpenAI redan hunnit få bakläxa från den italienska dataskyddsmyndigheten som tillfälligt förbjöd tillhandahållandet av ChatGPT i Italien. Förbudet lyftes först efter att OpenAI vidtagit omfattande åtgärder för att läka de brister i efterlevnaden av GDPR som den italienska tillsynsmyndigheten hade identifierat. Vi kommer sannolikt även se ett fortsatt fokus på dataskyddsaspekter av AI även framåt i och med att EDPB upprättat en särskild arbetsgrupp för medlemsstaterna att byta information med varandra om eventuella nationella tillsynsärenden.
Det kan med andra ord konstateras att användningen av AI-verktyg föranleder att dataskyddsregelverket behöver efterlevas och beaktas. Exempel på frågor som är relevanta inför användningen av AI verktyg påbörjas är:
- Hur behandlas personuppgifterna och vilken aktör bär ansvaret för behandlingen?
- Vilka möjligheter har tjänsteleverantören att använda personuppgifter som samlats in från användaren för att utveckla tjänsten? Är sådan delning av personuppgifter med tjänsteleverantören möjligt enligt befintliga avtal?
- Innebär användningen av AI verktyget att det sker profilering av individer eller fattas det automatiserade beslut som har en påverkan på de registrerade?
- Finns det en laglig grund för användningen av AI verktyget? Täcker företagets informationstext ändamålet med användningen av verktyget? Krävs en konsekvensbedömning för att användningen innebär en hög risk för de registrerade?
Strategi och riktlinjer för användningen av AI verktyg är ett bra sätt att säkerställa att AI verktygen används på ett lagligt sätt och att eventuella risker hanteras. När nödvändiga riskanalyser, samt intern dokumentation och medvetenhet är på plats innan användningen inleds kan AI-verktygen fungera som en fantastisk möjlighet – i stället för ett hot.
Just nu är vi ute bland företag och organisationer och samtalar om hur AI kan användas för just den verksamheten och vilka åtgärder som bör vidtas för att det sker på ett säkert sätt. Hör av dig om du vill veta mer om hur vi kan hjälpa just din organisation i denna spännande övergång.
TREDJELANDSÖVERFÖRINGAR
Snart blir det lättare att överföra personuppgifter till USA igen – eller?
Som vi tidigare pratat om, pågår det arbete på EU-nivå för att ta fram ett så kallat adekvansbeslut för att möjliggöra överföring av personuppgifter till USA utan att en särskild överföringsmekanism, såsom standardavtalsklausuler, behöver användas. Syftet med det nya beslutet är att åtgärda de brister som EU-domstolen identifierade i det senaste adekvansbeslutet (som kallades för Privacy Shield) och därmed säkerställa att uppgifterna omfattas av samma nivå av skydd även när de överförs till USA.
Det är EU-kommissionen som har befogenheten att fatta ett adekvansbeslut, samtidigt som EDPB och EU-parlamentet har en rådgivande roll i processen. Både EDPB och EU-parlamentet har ställt sig kritiska till EU-kommissionens beslutsutkast och menar att ett adekvansbeslut i enlighet med förslaget skulle komma att underkännas av EU-domstolen – igen. Något som tidigare förutspåddes vara en enkel resa mot ett nytt beslut ser nu betydligt motigare ut.
Meta får rekordböter - måste avbryta överföring av personuppgifter till USA
Efter en långdragen process som började i augusti 2020 kom till slut den irländska dataskyddsmyndighetens beslut mot Meta. Tillsynen var en följd av Schrems II–domen. Av beslutet framgår att Meta har brutit mot GDPR:s regler om tredjelandsöverföring eftersom EU-kommissionens standardavtalsklausuler tillsammans med de ytterligare säkerhetsåtgärder som Meta vidtagit inte är tillräckligt för att uppnå en tillräcklig skyddsnivå när Meta överför personuppgifter till USA.
Eftersom behandlingen har berört samtliga av EU:s medlemsstater har samtliga tillsynsmyndigheter varit involverade i processen. Med anledning av de andra ländernas och EDPB:s input utfärdade den irländska tillsynsmyndigheten det hittills högsta sanktionsbeloppet för överträdelser mot GDPR – EUR 1,2 miljarder så väl som en order för Meta att inom fem månader avbryta samtliga framtida överföringar till USA liksom att Meta måste säkerställa efterlevnaden av de befintliga behandlingarna, inklusive lagring av personuppgifter, inom sex månader från beslutets publicering.
Meta har uttalat sig om beslutet och menar att beslutet är felaktigt och obefogat mot bakgrund av att tusentals organisationer, och inte bara Meta, är beroende av överföringar av personuppgifter till USA för att tillhandahålla sina tjänster och att det redan finns en politisk överenskommelse mellan EU och USA att lösa den juridiska problematiken som inte beaktats i beslutet. Meta avser att överklaga beslutet vilket innebär att fortsättning följer. Trots att Meta tidigare annonserat att det eventuellt kommer dra sig bort från EU i händelse av ett liknande beslut, skriver Meta i sitt pressmeddelande att beslutet inte för tillfället innebär något avbrott i Metas tjänster i Europa.
Google analytics och Facebook business tools
Lärdomar från EDPB:s arbetsgrupps rapport om överföringar av personuppgifter till USA
Till följd av den omtalade Schrems II-domen lämnade Max Schrems egen intresseorganisation NOYB in klagomål avseende 101 företag runtom i Europa på grund av företagens användning av Google Analytics eller Facebook Business Tools. Tillsynen har konsekvent visat att användningen av dessa verktyg innebär att personuppgifter överförs till USA i strid med GDPR:s regler om tredjelandsöverföring (läs vårt tidigare nyhetsbrev här). En särskild arbetsgrupp upprättades för att säkerställa ett enhetligt förhållningssätt mellan medlemsstaternas tillsynsmyndigheter och dess rapport om hanteringen av klagomålen har nu publicerats. Några av arbetsgruppens slutsatser är:
- Standardavtalsklausuler måste ingås innan överföringen av personuppgifter sker och kan med andra ord inte ingås med retroaktiv effekt.
- Säkerhetsåtgärder såsom kryptering – där dataimportören har en rättslig skyldighet att lämna över krypteringsnycklar till myndigheterna eller anonymisering av IP-adressen där anonymiseringen sker först efter överföringen till USA har skett – anses inte som en tillräcklig säkerhetsåtgärd för att överföringen ska anses uppfylla GDPR:s krav.
- När ett personuppgiftsbiträde överför personuppgifter till tredjeland är även den personuppgiftsansvarige ansvarig för överföringen (även om personuppgiftsbiträdet anses som dataexportör).
Arbetsgruppens slutsatser är vägledande och kan hjälpa vid genomförandet av Data Transfer Impact Assessments som ska genomföras när personuppgifter överförs utanför EU/EES. Att den personuppgiftsansvarige har ett övergripande ansvar över tredjelandsöverföring bör beaktas i personuppgiftsbiträdesavtalen för att se till att det avtalsmässiga ansvaret för de risker som är kopplade till biträdets användning av leverantörer i tredjeland regleras på ett tydligt och balanserat sätt. Vi hjälper ofta till med avtalsreglering kring tredjelandsöverföringar som tar höjd för bl.a. arbetsgruppens slutsatser i den delen. Hör gärna av dig om din organisation behöver stöd.
NYTT FRÅN SVERIGE
IMY:s fokusområden 2023 – DSO i fokus
Integritetsskyddsmyndigheten, (”IMY”) har nyligen publicerat sin tillsynsplan för 2023. Utöver tillsyn som baseras på enskildas klagomål och riskbaserad tillsyn, avser IMY bedriva tillsyn avseende kamerabevakning på platser dit allmänheten har tillträde och dataskyddsombudens roll och ställning hos 40-50 verksamheter.
Granskning av dataskyddsombudens roll och ställning är en naturlig följd av både IMY:s första tillsyn efter GDPR av 400 företag och andra verksamheter (Dataskyddsombud i offentlig och privat sektor) samt IMY:s undersökning om dataskyddsombudens roll inom organisationer samt vilka förutsättningar som finns för arbetet med dataskyddsfrågor som IMY publicerade tidigare under våren. IMY har uttryckt sin oro över undersökningens resultat som visade att en stor andel organisationer inte arbetar med dataskyddsfrågor på ett kontinuerligt och systematiskt sätt, att dataskyddsfrågorna inte får gehör hos ledningen och att det inte finns tillräckliga resurser för dataskyddsfrågor. I och med att dataskyddsombudets uppdrag är att på ett oberoende och självständigt sätt verka för att dataskyddet beaktas inom verksamheten så väl som att kontrollera regelefterlevnaden, är det logiskt att IMY nu inleder tillsynsärenden för att granska dataskyddsombudens roll och ställning.
Mot bakgrund av IMY:s kommande fokus på dataskyddsombudens roll och ställning bör företag och organisationer säkerställa att det finns en dokumenterad bedömning av att skyldigheten att utse ett dataskyddsombud gäller (eller inte gäller) och att personen som utsetts som dataskyddsombud faktiskt är lämplig för rollen utifrån GDPR:s krav på dataskyddsombudets roll samt har en självständig och oberoende ställning, liksom tillräckligt med tid och resurser för att kunna utföra sitt uppdrag. Det är fortfarande relativt vanligt att organisationer utsett personer i ledande positioner, exempelvis VD, CFO eller chefsjuristen, som ett dataskyddsombud vilket inte uppfyller kravet på oberoende och självständig ställning. Det är även vanligt att dataskyddsombud ges en alltför begränsad tid och budget att utföra sitt uppdrag, vilket kan få en negativ effekt på verksamheten i stort.
Förvaltningsrätten sänker Klarnas sanktionsavgift
Som rapporterades i vårt nyhetsbrev för ett år sedan utfärdade IMY en sanktionsavgift mot Klarna om 7,5 miljoner kronor i samband med att IMY konstaterade att Klarna brustit i sina skyldigheter enligt GDPR. IMY menade att Klarna inte hade tillhandahållit tillräckligt öppen och lättillgänglig information om viss behandling av personuppgifter. IMY:s bedömning var till stor del baserad på EDPB:s riktlinjer om information till de registrerade. Klarna överklagade beslutet och förvaltningsrätten har nu fastställt IMY:s bedömning men menar att överträdelsen inte var så allvarlig som IMY bedömt och sänker därför sanktionsavgiften till 6 miljoner kronor. IMY har nu i sin tur överklagat förvaltningsrättens dom.
Redan innan förvaltningsrättens dom har Klarna-beslutet lett till en förändrad marknadspraxis där företag och organisationer tillhandahåller mer detaljerad information än tidigare. Utöver en hög detaljnivå betonade IMY även kravet på lättillgänglig information vilket har fått många att omstrukturera sina informationstexter för att göra informationen enklare för de registrerade. Med andra ord kan kraven på informationstexter anses vara betydligt mer långtgående idag än fem år sedan då GDPR började gälla. Om det inte redan har skett bör företag och organisationer se över sina informationstexter och utvärdera om en uppdatering är på sin plats. Vi har stor erfarenhet av att se över innehåll och struktur i ljuset av rådande praxis – hör av dig så berättar vi mer.
NYTT FRÅN EU
GDPR vs. editionsplikt
EU-domstolen har meddelat ett förhandsavgörande i frågan om förhållandet mellan skyddet av enskildas personuppgifter samt editionsplikten som regleras i rättegångsbalken.
Editionsplikten innebär att en part i en process har rätt att få tillgång till skriftliga handlingar som är nödvändiga som bevis. Frågan som hänvisades till EU-domstolen avsåg om det kan anses finnas laglig grund för en vidarebehandling av personuppgifter för ett nytt ändamål – det vill säga vidarebehandling av personuppgifter som samlats in för skatteändamål för att senare lämna ut uppgifterna till motparten i en civilrättslig process i enlighet med editionsplikten. En sådan vidarebehandling kan generellt anses strida mot GDPR:s finalitetsprincip vilket innebär att personuppgifter endast i begränsade fall får behandlas för nya ändamål efter att uppgifterna samlats in. EU-domstolen menar att en vidarebehandling som följer av editionsplikten kan vara möjlig under förutsättning att behandlingen är en nödvändig och proportionell åtgärd inom ramen för civilrättsliga processer. De nationella domstolarna som ska bedöma om det är fallet ska beakta de registrerades rättigheter och balansera dessa med de faktiska omständigheterna, vilken typ av process som är i fråga, så väl som principerna om proportionalitet och uppgiftsminimering. Åtgärder såsom pseudonymisering, begränsning av allmänhetens tillgång till uppgifterna och föreläggande att inte använda uppgifterna för andra ändamål är exempel på åtgärder som domstolen kan vidta för att tillgodose de registrerades rättigheter även om uppgifterna ska lämnas ut till motparten.
I vår rådgivning får vi regelbundet frågor kopplat till utlämnande av personuppgifter i samband med edition och där domstolens uttalanden utgör värdefull information för de rättsliga avväganden som kan behöva göras.
EU-domstolen om registrerades rättigheter
Enligt GDPR ska den personuppgiftsansvarige vid en registrerads begäran bl.a. tillhandahålla den registrerade information om ”mottagare eller kategorier av mottagare av personuppgifter”. I ett nytt avgörande klargör EU-domstolen att den registrerade har rätt att få information om de specifika mottagarna av sina personuppgifter, och inte bara kategorier av personuppgifter, om det är nödvändigt för den registrerade att kunna utöva sina rättigheter (i kontrast till informationstexten som endast behöver inkludera kategorier av mottagare). För att en organisation ska kunna efterleva detta krav, behöver en mycket detaljerad kartläggning av behandlingar av personuppgifter samt vilka mottagare som är involverade i sådana behandlingar vara på plats och förvaltas kontinuerligt.
EU-domstolen har även konstaterat att den registrerade i vissa fall kan ha rätt att få tillgång till faktiska handlingar som innehåller den registrerades personuppgifter och inte bara en förteckning över vilka personuppgifter som behandlas. Motiveringen bakom denna tolkning är den samma som i målet avseende kravet på information om mottagare av personuppgifter – den registrerade ska ha effektiva möjligheter att utöva sina rättigheter och därför kan det i vissa fall vara nödvändigt att den registrerade får tillgång till själva handlingen.
Slutligen har EU-domstolen tagit ställning till en fråga som avser skadeståndsanspråk till följd av överträdelser av GDPR. EU-domstolen konstaterar i sin dom att en överträdelse av GDPR i sig inte innebär att en skada har skett. Skadeståndsansvar under GDPR förutsätter en överträdelse av GDPR, en ideell eller materiell skada och ett orsakssamband mellan dessa två. Domstolen anser dock inte att den ideella skadan ska ha en viss allvarlighetsgrad för att skadestånd ska kunna utgå.
Ny praxis kring pseudonymiserade personuppgifter på gång?
Tribunalen, en underinstans i EU-domstolshierarkin, har meddelat en dom avseende vad som kan anses utgöra anonymiserade personuppgifter. Frågan är avgörande för när s.k. pseudonymiserade personuppgifter anses ”anonyma” och inte omfattas av GDPR hos mottagaren av uppgifterna. Traditionellt har tolkningen av begreppet personuppgift varit mycket bred och till exempel har alla pseudonymiserade uppgifter i princip ansetts utgöra personuppgifter per automatik - även när dessa delats med tredje parter som inte haft någon rimlig möjlighet att koppla uppgifterna till en viss identifierbar individ.
Tribunalen menar att bedömningen om huruvida en pseudonymiserad uppgift bör anses som en personuppgift eller inte bör göras ur mottagarens perspektiv. Om en mottagare av uppgifterna endast får tillgång till pseudonymiserade uppgifter som mottagaren inte har någon rimlig möjlighet att återidentifiera, kan uppgifterna enligt Tribunalen anses som anonymiserade. Mot bakgrund av de mycket stränga krav enligt GDPR när det gäller exempelvis information till registrerade, är Tribunalens bedömning mycket pragmatisk. Avgörandet kan överklagas till EU-domstolen och tidsfristen för ett överklagande löper i slutet av juni. Vi följer fortsättningen med stort intresse.
Vilka krav gäller för cookiebanners?
EDPB:s arbetsgrupp för cookiebanners har tagit fram en rapport som belyser vilka konkreta krav som de olika tillsynsmyndigheterna anser gälla för de så kallade cookiebanners. Rapportens innehåll kan sammanfattas som en vägledande checklista:
- Cookiebannern bör innehålla en tydlig knapp för att avvisa kakorna.
- Informationen i cookiebanners behöver vara tydligt formulerad och får inte ge sken av att samtycket för insamling av kakor är en förutsättning för att användaren ska kunna besöka hemsidan.
- Cookiebannern ska vara transparent och inte på något sätt vilseleda användaren, exempelvis genom att placera avvisa-knappen i ett svårtillgängligt ställe, använda vilseledande färger, eller liknande.
- Det är viktigt att kategorisera de olika kakorna rätt så att endast kakor som i själva verket är nödvändiga kategoriseras som sådana.
- Det bör finnas en lättillgänglig möjlighet att återkalla samtycket till sättande av kakor på hemsidan.
- På förhand ikryssade samtycken är inte giltiga.
Cookiebanners är en mycket synlig del av organisationers GDPR-arbete vilket ökar risken för klagomål från de enskilda. Ur riskperspektiv kan cookiebannern därmed anses som en av de prioriterade åtgärderna för att uppnå högre grad av dataskyddsefterlevnad inom organisationen och samtidigt minska risken för klagomål.
Aktuella events
Information och inbjudningar till kommande event kommer att publiceras på maqs.com/aktuellt och/eller via Norstedts Juridiks hemsida.
Webinarium: Tredjelandsöverföringar och standardavtalsklausuler
Arrangör: Norstedts Juridik
Datum: 15 juni och 18 oktober
Föreläsare: Karin Schurmann och Anna Eidvall
Webinarium: Tredjelandsöverföringar, säkerhet och regulatoriska krav
Arrangör: IFI (länk)
Datum: 16 juni
Rundabordssamtal kring GDPR och AI
Arrangör: MAQS och Cookie Information
Datum: 19 juni
Plats: MAQS Advokatbyrå, Stureplan 19, Stockholm
Event: Nordic Privacy Arena
Arrangör: Forum för Dataskydd
Datum: 25-26 september 2023
Mer information, se här.
Webinarium: Cookies och andra spårningstekniker
Arrangör: Norstedts Juridik
Datum: 3 oktober
Föreläsare: Karin Schurmann och Anna Eidvall
Mer information, se här.
Webinarium: EDPD:s nya väglednignar
Arrangör: Norstedts Juridik
Datum: 28 november
Föreläsare: Karin Schurmann och Anna Eidvall
Mer information, se här.