23.12.20 / Nyhet
Nyheter inom Integritet & Dataskydd
NYHETSBREV DEC 2023
Sedan vårt senaste nyhetsbrev i maj har nyhetsflödet på dataskyddsområdet fortsatt i en snabb takt. Frågor som rättslig grund för beteendestyrd marknadsföring, tredjelandsöverföringar och AI har fått stort fokus och påverkar många aktörer.
Vi har sammanfattat några av de mest intressanta nyheterna på dataskyddsområdet den senaste tiden i detta nyhetsbrev.
Självklart vill vi också passa på att önska en god jul och sköna, lediga dagar så småningom! Vi ser redan fram emot 2024 och vi är säkra på att även nästa år bjuder på många nyhetskarameller för oss dataskyddare!
God helg önskar vi på MAQS!
/Anna Eidvall (tv) och Karin Schurmann (th)
PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd via knappen nedan.
Tillsyn från IMY
Ok att dela upp registerutdrag i olika nivåer - så länge det framgår och registerutdraget i övrigt är detaljerat, specifikt och på lokalt språk
Spotify har fått en sanktionsavgift på 58 miljoner kronor (ca 1,01 % av maximal möjlig sanktionsavgift) efter att IMY funnit att informationen som Spotify lämnade ut i sina registerutdrag inte var tillräckligt tydlig och specifik i förhållande till den registrerade.IMY ansåg att det registerutdraget var för generellt utformat eftersom det innehöll samma information för alla registrerade.
Syftet med rätten till registerutdrag är att försäkra att den enskilde får insyn i och förstår hur just hens personuppgifter behandlas. Registerutdrag ska alltså anpassas efter varje förfrågan. Om bolag behandlar många tekniska uppgifter som är svåra för en genomsnittsperson att förstå måste uppgifterna också förklaras närmare så att den enskilde förstår vad de faktiskt betyder. Eftersom Spotify vidtagit flera åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång bedömde IMY att bristerna var av låg allvarlighetsgrad och landade därför i en lägre sanktionsavgift.
Ett medskick från ärendet är också att informationen delades upp i olika lager utifrån vad Spotify bedömde var av störst intresse för de registrerade. Detta menade IMY är tillåtet - det kan till och med underlätta för den registrerade att ta till sig av informationen.
IMY hakar på EDPB och tydliggör att samtycke oftast är den lämpligaste grunden vid beteendestyrd marknadsföring – men utesluter inte intresseavvägning vid lättare former av profilering
Bonnier News har fått en sanktionsavgift om 13 miljoner kronor efter att IMY funnit dess processer kring beteendestyrd marknadsföring bristfälliga. Liksom många andra använder Bonnier sig av profilering för att kunna rikta relevant marknadsföring till kunder. I sin profilering använde Bonnier bland annat uppgifter om köp som gjorts i koncernbolagen och kombinerade denna information med surfbeteenden på koncernbolagens olika webbplatser. I vissa fall samkördes dessa uppgifter även med personuppgifter som köpts in utifrån, t.ex. uppgifter om kundens kön, hushållets bilägande och postnummer, samt statistiska uppgifter baserade på den enskildes bostadsområde såsom livsfas, köpkraft och boendeform.
IMY ansåg att Bonniers profilering var omfattande och att kunderna inte kunde förvänta sig att deras surfbeteende samlades in i marknadsföringssyfte bara genom att de besökte en webbsida. De kunde inte heller förvänta sig att denna information skulle kombineras med dels uppgifter från en köpsituation, dels inhämtade uppgifter från andra externa register. Sådan omfattande profilering kräver därför individens samtycke.
Däremot ansåg IMY att det är möjligt att använda intresseavvägning som rättslig grund för mindre omfattande profilering, såsom när bolaget samkör olika personuppgifter – dock inte surfbeteende – och använder dessa uppgifter för marknadsföringsutskick via post eller telefonförsäljning. Detta förutsätter samtidigt att bolaget vidtar olika åtgärder för att begränsa integritetsintrånget (t.ex. minimera antalet insamlade uppgifter, begränsa lagringstiderna och se till att databaserna med surfbeteende respektive kunduppgifter hålls separerade och att endast vissa uppgifter överförs däremellan).
Efter beslutet ser vi en ökad medvetenhet i dessa frågor och ett stort intresse av att byta rättslig grund i dessa sammanhang. Vi hjälper gärna till med att guida er rätt i denna djungel.
IMY sticker ut hakan kring Google Analytics – tidpunkten var dock minst sagt kontroversiell
I vårt förra nyhetsbrev rapporterade vi om slutsatserna från EDPB:s arbetsgrupp för koordinering av tillsyn avseende tredjelandsöverföringar till USA vid användning av bl.a. Google Analytics (läs vårt tidigare nyhetsbrev här) och sedan dess har IMY avslutat sin tillsyn kring verktyget. Tillsynen resulterade i sanktionsavgifter mot Tele2 och CDON om 12 miljoner respektive 300 000 kronor, medan Dagens Industri och Coop, som vidtagit mer omfattande skyddsåtgärder, klarade sig med föreläggande om att sluta använda verktyget.
IMY:s beslut följer de beslut som tidigare fattats av dess systermyndigheter i olika EU-länder, nämligen:
- Unika identifierare som används för att särskilja individer är personuppgifter åtminstone när de kan sammankopplas med ytterligare uppgifter – trots att det inte är möjligt att ta reda på individens faktiska identitet. IP-anonymisering är inte tillräckligt.
- En riskbaserad approach till tredjelandsöverföringsfrågan är inte möjlig, innebärande bl.a. att det inte spelar någon roll hur integritetskänsliga de överförda uppgifterna är.
- Inga av bolagens ytterligare tekniska skyddsåtgärder, såsom kryptering, ansågs tillräckliga för att förhindra amerikanska underrättelsetjänsters tillgång till personuppgifterna eftersom Google, enligt amerikansk lag, är skyldigt att lämna ut krypteringsnycklarna till de amerikanska myndigheterna. Användning av kryptering hindrar därför inte amerikanska myndigheter från att få tillgång till uppgifterna.
Besluten har mötts av viss förvåning, dels eftersom IMY är den första tillsynsmyndighet som beslutar om sanktionsavgifter kopplat till användningen av Google Analytics, dels eftersom besluten kom en knapp vecka innan det stod klart att EU och USA enats om ett nytt överföringsavtal. Följden av beslutet är att överföringar till bl.a. Google nu kan ske utan ytterligare åtgärder och att de i beslutet identifierade bristerna därigenom hanteras.
Tele2 har överklagat IMY:s beslut och vi följer såklart utvecklingen.
Under hösten har även PTS tillsyn kring utformningen av cookiebanners avslutats. Resultatet är kanske inga direkta nyheter men tål att upprepas (särskilt eftersom många cookiebanners fortfarande inte följer gällande regler):
- Det ska vara lika enkelt för användare att säga nej som ja till cookies, vid samma tillfälle och i samma vy.
- Det ska vara lika lätt för användare att återkalla som att lämna sitt samtycke till icke-nödvändiga kakor.
- Information om att användaren när som helst kan återkalla sitt samtycke ska lämnas i samma vy som samtycket hämtas in i.
- Färger och kontraster ska inte leda användaren att lämna samtycke.
- Webbplatsinnehavaren måste säkerställa att icke-nödvändiga cookies inte placeras på användarens enhet innan användaren har lämnat sitt samtycke.
- Informationen i första lagret av cookiebannern ska innehålla information om de kategorier som kakorna har delats in på på webbplatsen (såsom Inställningar, Statistik, Marknadsföring)
Samtliga aktörer som var föremål för tillsyn (Folkhälsomyndigheten, Konsumentverket, Swedbank och Tele2) rättade sig frivilligt under tillsynsprocessen och PTS avslutade därför sina granskningar utan ytterligare åtgärder.
Säkerhetsbrist ledde till att uppgifter om hundratusentals kunder var åtkomliga online
IMY har utfärdat en administrativ sanktionsavgift på 35 miljoner kronor mot Trygg-Hansa efter brister i bolagets säkerhetssystem som medförde att uppgifter om 650 000 kunder varit tillgängliga för obehöriga via internet genom enkla manipulationer av webblänkar. Säkerhetsbristen bestod i att det gick att komma åt andra försäkringstagares dokument, utan någon form av inloggning, genom att bara byta ut några siffror i en webblänk. IMY ansåg att dessa brister var så grundläggande att de borde ha upptäckts och åtgärdats redan innan det aktuella IT-systemet infördes och särskilt under den långa period som systemet var i bruk (under drygt två års tid).
Extra intressant var att säkerhetsbristen fanns hos Moderna Försäkringar, som under perioden för granskningen gick samman med och bytte namn till Trygg-Hansa. IMY tog hänsyn till dessa omständigheter inom ramen för proportionalitetsbedömningen, vilket resulterade i ”ett avsevärt lägre belopp än vad en bedömning enbart baserat på [koncernens] omsättning hade resulterat i”. Denna hänsyn hade helt klart stor påverkan på sanktionsavgiftens storlek som alltså slutligt bestämdes till 35 miljoner kronor – dvs.1,6 % av högsta möjliga sanktionsavgift.
Ni glömmer väl inte bort att genomföra era konsekvensbedömningar?
IMY har i beslut mot Östersunds kommun betonat vikten av att genomföra konsekvensbedömningar som en viktig del av ett kontinuerligt och systematiskt dataskyddsarbete.
Kommunen borde ha genomfört en konsekvensbedömning innan den digitala skolplattformen Google Workspace infördes på 24 av kommunens skolor – en användning som resulterade i att ca 6 000 elevers och 1 300 anställdas personuppgifter behandlades i skolplattformen.
Avsaknaden av en konsekvensbedömning resulterade i en sanktionsavgift på 300 000 kronor för ”en förhållandevis hög grad av oaktsamhet”, eftersom det varit tydligt att behandlingen omfattades av kravet på konsekvensbedömning ”bland annat utifrån IMY:s förteckning enligt artikel 35.4”.
Avgörandet ligger väl i linje med bl.a. beslut från danska Datatilsynet förra året mot skolor i Helsingör.
Nya riktlinjer om kamerabevakning
Ett av IMY:s fokusområden för 2023 har varit kamerabevakning på platser dit allmänheten har tillträde. På detta område har vi sett flera beslut under året mot bl.a. skolor, bostadsrättsföreningar och apotek. I slutet av november presenterade IMY också en ny vägledning om kamerabevakning som baserade sig på myndighetens erfarenheter från tillståndsgivning och tillsynsinsatser under de senaste fem åren. Förutom övergripande information om vad som gäller vid kamerabevakning samt vägledning med förslag på arbetsgång för verksamheter som planerar att kamerabevaka innehåller vägledningen också statistik över tillståndsansökningar och beslut från IMY samt närmare beskrivningar över beslut inom vissa områden, såsom på skolor, vårdinrättningar, gator och torg, myndighetslokaler, parkeringsplatser, återvinningscentraler, flerbostadshus och färdmedel.
Vägledningen utgör en bra källa till information för alla som kamerabevakar eller planerar att göra det framåt, oavsett om tillstånd behövs eller inte för bevakningen.
Svenska domstolsavgöranden
Enskilda har rätt att överklaga IMY:s beslut
Högsta förvaltningsdomstolen (HFD) meddelade i mitten på november att IMY:s beslut att (i) inte utreda ett klagomål vidare respektive (ii) avsluta ett tillsynsärende utan åtgärd, får överklagas av den som gett in klagomålet till IMY. Beslutet innebär att en större mängd integritetsskyddsfrågor kommer att kunna prövas av domstol, då antalet överklagbara beslut från IMY blir fler. Detta kommer få stor påverkan på IMY:s fortsatta prioriteringar, arbetsbörda och resursbehov men IMY har ännu inte gått ut med information om på vilket sätt arbetet kommer att förändras eller påverkas. Vi följer såklart frågan med stort intresse!
Tredjelandsöverföringar: USA åter inom EU-bubblan
I juli kom äntligen EU-kommissionens beslut som återigen möjliggör överföringar till USA under EU-US Data Privacy Framework (DPF). I och med beslutet kan överföringar av personuppgifter nu ske till de företag i USA som anslutit sig till DPF – utan att ytterligare skyddsåtgärder behöver vidtas (var uppmärksam på att vissa företag endast certifierat vissa av sina behandlingar). Vid överföring till andra företag i USA, dvs. sådana som inte anslutit sig till DPF, är det fortsatt standardavtalsklausuler (eller annan överföringsmekanism) som gäller, eventuellt också med ytterligare skyddsåtgärder, efter att ha genomfört en Data Transfer Impact Assessment (DTIA). EDPB har samtidigt antytt att även en DTIA bör kunna beakta den analys som DPF innehåller.
Slutet gott allting gott? Knappast! Det dröjde inte längre än till september förrän DPF överklagades – då av Philippe Latombe, en fransk parlamentsledamot, som vände sig direkt till EU-domstolen med en laglighetsprövning av DPF. Redan i oktober avslog domstolen dock hans begäran om interimistiskt beslut att upphäva DPF, men det slutliga beslutet är ännu inte fattat.
Max Schrems organisation Non of Your Business (NOYB) är – föga förvånande – inte heller imponerade över DPF och gick tidigt ut med sin avsikt om att ta detta till domstol en tredje gång.
Fortsättning följer alltså! Men så länge adekvansbeslutet är giltigt och i kraft finns det goda möjligheter att föra över personuppgifter till USA i enlighet med GDPR.
Pay or okay?
Precis som vid vårt förra nyhetsbrev är Meta fortfarande i tillsynsmyndigheternas fokus, men på sistone för felaktig rättslig grund för sin beteendestyrda marknadsföring som sker på Facebook och Instagram. Meta har tidigare använt berättigat intresse och avtal för att visa riktad marknadsföring i tjänsterna, men har nyligen övergått till samtycke och en s.k. Pay or Okay-modell i förhållande till den beteendestyrda marknadsföringen.
Vad är det egentligen som ligger bakom detta? Meta-sagan kräver att vi backar bandet lite. Inför att GDPR började gälla den 25 maj 2018 ändrade Meta den rättsliga grunden (från samtycke till avtal) för tillhandahållande av tjänsterna Facebook och Instagram, inklusive för den beteendestyrda marknadsföringen i tjänsterna. Användarna blev då tvungna att acceptera villkoren för att kunna använda tjänsterna. NOYB klagade till den irländska dataskyddsmyndigheten som, efter att inte ha lyckats nå konsensus med övriga dataskyddsmyndigheter, hänvisade frågorna till EDPB. EDPB beslutade att Meta inte kunde förlita sig på avtal som rättslig grund för sin beteendestyrda marknadsföring eftersom denna inte var objektivt nödvändig för att tillhandahålla tjänsterna.
Härefter bytte Meta laglig grund till intresseavvägning och i juli 2023 lämnade EU-domstolen förhandsbesked till tysk domstol med innebörden att varken avtal eller intresseavvägning kunde användas som rättslig grund för Metas beteendestyrda marknadsföring – bara samtycke. Domstolen tydliggjorde också kraven på ett giltigt samtycke för ett företag som är dominerande på marknaden såsom Meta, nämligen att användarnas valfrihet kan påverkas av den dominerande ställningen och skapa en betydande ojämlikhet. Den dominerande ställningen utgör därför en viktig omständighet vid bedömningen av om samtycket är giltigt, men den utgör inte i sig ett hinder mot ett giltigt samtycke, konstaterar domstolen.
Som ett resultat av ovanstående beslut förbjöd norska Datatilsynet Meta att visa beteendestyrd marknadsföring i Norge utan användarnas samtycke. Det beslutades också att ca 1 miljon norska kronor om dagen skulle ticka på som vite tills behandlingen upphörde. Den 27 oktober beslutade EDPB att beslutet skulle utökas till att gälla i hela EU. Meta meddelade kort därefter att de övergick till en betalversion för dem som inte samtycker till beteendestyrd marknadsföring – s.k. ”pay or okay”.
Den irländska dataskyddsmyndigheten utreder nu Metas lösning och vi följer såklart utvecklingen med stor spänning!
Ansvar enligt GDPR förutsätter uppsåt eller oaktsamhet hos den felande parten
EU-domstolen har beslutat i en rad intressanta mål de senaste veckorna. Vi har valt ut ett par av dem.
Huruvida ansvaret enligt GDPR – och därmed risken för sanktionsavgift – är strikt har länge varit en snackis, dvs. om ansvar föreligger bara man konstaterat en brist, oavsett om det begåtts med uppsåt (insikt/vilja) eller på klandervärt sätt (oaktsamt). Generaladvokaten argumenterade så sent som i maj i år i ett annat mål hos EU-domstolen för att ansvaret var strikt. EU-domstolen klargjorde däremot nyligen att så inte var fallet. Ansvar enligt GDPR förutsätter alltså uppsåt eller oaktsamhet hos den felande parten. Rätt skönt, eller hur?!
EU-domstolen har också uttalat att det inte är förenligt med GDPR att i nationell lag ställa upp krav på att sanktionsavgift enligt GDPR ska dömas ut enbart om företrädare för den juridiska personen också bevisades ha begått ett brottsligt eller administrativt brott som samtidigt ledde till ett brott mot bolagets skyldigheter enligt GDPR. Den aktuella tyska lagstiftningen fick alltså inte tillämpas av den tyska dataskyddsmyndigheten vid utdömande av sanktionsavgift.
Information och inbjudningar till kommande event kommer att publiceras på maqs.com/aktuellt.