24.06.17 / Nyhet
Nyheter inom Integritet & Dataskydd
NYHETSBREV JUNI 2024
I en tid då digitaliseringen ständigt ökar och mängden personuppgifter som hanteras växer kraftigt, är det viktigare än någonsin att hålla sig uppdaterad om nyheter kring dataskydd.
Vårt mål är att guida dig och ge dig kunskap som du behöver för att navigera i denna komplexa och snabbrörliga dataskyddsvärld. Oavsett om du är dataskyddsombud, juridisk rådgivare, IT-specialist eller helt enkelt någon som vill förstå mer om vad som händer på dataskyddsområdet, hoppas vi att du kommer att hitta värdefull information i vårt nyhetsbrev.
Tack för att du läser, och tveka inte att kontakta oss om du har några frågor eller behöver ytterligare information!
Sommarhälsningar från
/Anna Eidvall (tv) och Karin Schurmann (th) och hela I&D teamet på MAQS
PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd via knappen nedan.
Tillsyn från IMY
Söktjänster med utgivningsbevis kan granskas
De frivilliga utgivningsbevisen har länge varit en kontroversiell fråga – inte minst i Sverige. Genom att inneha ett frivilligt utgivningsbevis har kommersiella aktörer kunnat undgå Dataskyddsförordningens krav. Ny praxis från både Sverige och EU betonar vikten av att balansera informationsfriheten mot dataskyddet, och EU-domstolen understryker att begränsningar av skyddet för personuppgifter måste vara strikt nödvändiga och proportionerliga. Som en följd av utvecklingen meddelade IMY tidigare i vår att myndigheten har ändrat sin syn på IMY:s möjlighet att utöva tillsyn mot aktörer med frivilliga utgivningsbevis och anser sig numera ha sådan behörighet.
IMY:s ställningstagande kommer i samband med att myndigheten rapporterat om en ökning av klagomål mot aktörer som tillhandahåller söktjänster just med stöd av frivilligt utgivningsbevis, där känslig information såsom namn, adresser, fordonsinnehav och brottmålsdomar ofta är inkluderade, vilket medför betydande integritets- och säkerhetsproblem. Det är däremot fortfarande oklart om IMY får vidta åtgärder om de finner att en sådan tjänst bryter mot lagen. Myndigheten planerar att återkomma i frågan i framtida utredningar.
För företag som tillhandahåller söktjänster av detta slag, eller förlitar sig på tjänster med sådana inslag, är IMY:s ställningstagande en viktig signal – ett frivilligt utgivningsbevis garanterar inte längre undantag från Dataskyddsförordningen. Sedan IMY:s ställningstagande märker vi en ökad efterfrågan på hjälp att söka undantag från IMY avseende behandling av uppgifter om brott. Hör av dig om du vill veta mer om hur vi kan hjälpa till!
IMY satsar ännu mer på klagomålshantering och tillsyn
I vårt förra nyhetsbrev rapporterade vi om att Högsta förvaltningsdomstolen (HFD) beslutat att ett tillsynsärende som avslutas utan åtgärd får överklagas av den som gett in klagomålet till IMY. Mot denna bakgrund har IMY meddelat att de kommer satsa särskilt på klagomålshantering och tillsyn framöver, och statistik visar även en ökad aktivitet hos IMY på området under 2023. Under 2023 inleddes över 200 tillsynsärenden hos IMY, vilket är en betydande ökning jämfört med de 121 ärenden som inleddes föregående år. Dessutom fattade IMY beslut om sanktionsavgifter på över 120 miljoner kronor, jämfört med endast 10 miljoner kronor under 2022. Detta tydliggör det ökade engagemanget för att säkerställa efterlevnaden av Dataskyddsförordningen och att agera mot överträdelser som kan äventyra individens integritet.
IMY:s tillsyn är dock inte bara klagomålsstyrd, utan även planerad. Under 2024 planerar IMY att bedriva tillsyn över t.ex. kommuners arbete med Dataskyddsförordningen, behandling av personuppgifter inom arbetslivet, behandling av biometriska uppgifter och granskning av nya tekniska lösningar inom kamerabevakning. Flera av dessa planerade tillsynsområden är återkommande sedan flera år – vilket vi ser som ytterligare ett bevis på att den klagomålsbaserade tillsynen äter upp mycket av IMY:s resurser. Därför medför klagomål mot en verksamhet fortsatt en väsentligt ökad tillsynsrisk.
IMY kan få det övergripande ansvaret för tillsyn av AI-förordningen
En viktig nyhet denna vår är att AI-förordningen har antagits och kommer börja gälla inom kort. Än så länge är det inte klart vilken myndighet som kommer att få det övergripande ansvaret för AI-förordningen i Sverige, men IMY har framhållit sin omfattande erfarenhet av att ge vägledning kring juridiska och tekniska frågor. De har också meddelat att de kommer att tilldelas flera nya uppdrag i samband med den nya förordningen. Dessa inkluderar tillsynsansvar för AI-system som används inom brottsbekämpning och hantering av den regulatoriska sandlådan för AI.
Trots att specifik AI-lagstiftning har dröjt, är det viktigt att komma ihåg att Dataskyddsförordningen alltid gäller vid utveckling och användning av AI som innebär hantering av personuppgifter. I samband med det årliga nordiska dataskyddsmötet framhöll även de nordiska dataskyddsmyndigheterna att både AI-förordningen och Dataskyddsförordningen kommer att påverka den framtida användningen av AI. Vi blir därför inte förvånande om IMY utnämns till den myndighet som ska ha det övergripande tillsynsansvaret och ser fram emot beskedet kring ny AI-myndighet.
Överträdelser av Dataskyddsförordningen kan inte ursäktas av brister i interna system
I början av året genomförde IMY tillsyn mot Klarna efter att företaget misslyckats med att rätta en e-postadress på ett Klarnakort efter en begäran om rättelse från en registrerad. Klarna informerade den registrerade om att det inte var tekniskt möjligt att korrigera e-postadressen och att hen behövde beställa ett nytt Klarnakort, vilket skulle kunna påverka den registrerades kreditvärdighet.
Eftersom det var den registrerade som behövde vidta åtgärder för att få sina personuppgifter rättade ansåg IMY att Klarna hade brustit i sin skyldighet att säkerställa att de registrerade kan utöva sina rättigheter på ett tillfredsställande sätt. Eftersom tillsynen endast avsåg en registrerads uppgifter, att Klarna återkopplat till klaganden och förklarat varför rättelsen inte var möjlig samt erbjudit ett alternativ, bedömde IMY däremot överträdelsen som mindre och utfärdade endast en reprimand.
Trots att tillsynen resulterade i en mild påföljd är budskapet tydligt: som personuppgiftsansvarig kan man inte skylla på brister i interna system för att inte efterleva Dataskyddsförordningen. Tvärtom måste en personuppgiftsansvarig säkerställa att dess interna system och rutiner underlättar för registrerade att utöva sina rättigheter.
Kammarrätten avslår Spotifys överklagande
Under 2021 inledde IMY tillsyn mot Spotify med anledning av ett klagomål. Den klagande hade begärt att få ändra sin adress på sitt Spotify-konto, vilket inte var möjligt utan att avsluta kontot och skapa ett nytt. Därtill hade den klagande begärt tillgång till sina personuppgifter. IMY ansåg att Spotify varken lyckats tillmötesgå klagandes begäran om rättelse eller utdrag av personuppgifter och utfärdade en reprimand.
Spotify överklagade IMY:s beslut till förvaltningsrätten. Spotify anförde bland annat att de besvarar hela 16 000 kundförfrågningar per dag och när det gäller klagandens rätt till tillgång så rörde det sig om ett enskilt mänskligt misstag i strid med en etablerad rutin. Förvaltningsrätten instämde dock i IMY:s bedömning och avslog överklagandet vilket föranledde ytterligare ett överklagande från Spotify mot förvaltningsrättens beslut till kammarrätten. Även kammarrätten instämde med IMY:s beslut. I kammarrättens dom framhålls att det inte finns något formkrav på hur en begäran om tillgång ska framställas. Vidare uttrycks att utrymmet för en personuppgiftsansvarig att inte tillgodose en begäran om rättelse utan onödigt dröjsmål är mycket begränsad och främst är motiverad om begäran är väldigt omfattande eller komplex.
EDPB publicerar yttrande om ansiktsigenkänning på flygplatser
I maj publicerade European Data Protection Board (EDPB) ett yttrande om användningen av ansiktsigenkänning på flygplatser. Bakgrunden till yttrandet är klagomål från EU Travel Tech i Frankrike och Belgien mot Ryanairs användning av biometriska uppgifter.
EDPB konstaterar att det inte finns något enhetligt rättsligt krav inom EU på att flygplatsoperatörer och flygbolag ska verifiera att passagerarens namn på boardingkortet stämmer överens med namnet på hens identitetshandling. Om det inte krävs en sådan verifiering bör biometriska uppgifter inte användas för detta ändamål, eftersom det skulle innebära en onödig behandling av uppgifter.
EDPB överväger även fyra olika typer av lagringslösningar för hanteringen av biometriska uppgifter - från sådana som lagrar de biometriska uppgifterna endast i händerna på den enskilde till sådana som bygger på en centraliserad lagringsarkitektur med olika modaliteter. I samtliga fall betonar EDPB att endast biometriska uppgifter från passagerare som aktivt anmält sig och samtycker till behandlingen får behandlas. Vidare finner EDPB att de enda lagringslösningarna som är förenliga med Dataskyddsförordningen är de där biometriska uppgifterna lagras hos individen själv eller i en central databas där krypteringsnyckeln endast är tillgänglig för individen. Dessa lösningar, om de genomförs, ger individer den bästa kontrollen över sina uppgifter menar EDPB. När det gäller principen om lagringsminimering måste de personuppgiftsansvariga se till att de kan motivera den planerade lagringsperioden och begränsa den till vad som är strikt nödvändigt för det föreslagna ändamålet.
Även om EDPB:s yttrande är avgränsat till användning av ansiktsigenkänning på flygplatser ser vi att analysen och de föreslagna åtgärderna är kloka att överväga även vid annan användning av biometriska uppgifter.
Cookie-sagan fortsätter
Auktionering av annonsutrymme, så kallad Real Time Bidding (RTB), utgör en viktig inkomstkälla för företag inom reklam- och marknadsföringssektorn. Som utgångspunkt förutsätts användarens samtycke för att riktade annonser ska kunna visas för användaren vid användande av RTB.
IAB Europe är en organisation på europeisk nivå inom digital marknadsföring och reklam som bl.a. har tagit fram det s.k. Transparency and Consent Framework (TCF) vilket möjliggör RTB. Som en del i TCF har IAB Europe skapat en standardisering av hur användarens val (samtycke, nekande osv.) kodas för att underlätta och möjliggöra RTB och datadelningen mellan involverade parter. Användarens val kodas till en s.k. TC-sträng som delas med olika parter som underkastat sig TCF för att säkerställa att användarens preferenser respekteras i alla led. Mottagaren av TC-strängen avkodar den för att förstå och följa användarens dataskyddsval.
Tidigare har parter som använder TCF känt sig försäkrade om att de uppfyller kraven enligt Dataskyddsförordningen. I ett tillsynsärende hos den belgiska dataskyddsmyndigheten ansåg däremot tillsynsmyndigheten att TC-strängen faktiskt innehåller personuppgifter och att IAB Europe vid utformningen av TCF agerat som personuppgiftsansvarig utan att fullt ut uppfylla Dataskyddsförordningens krav. Myndigheten utfärdade en rad korrigerande åtgärder och en administrativ sanktionsavgift mot IAB Europe. IAB Europe ifrågasatte beslutet och frågan har nyligen hanterats av EU-domstolen som bekräftade att TC-strängen innehåller personuppgifter i den mening som avses i Dataskyddsförordningen. Därtill bedömde EU-domstolen att IAB Europe också har ett gemensamt personuppgiftsansvar tillsammans med andra parter, eftersom de delvis bestämmer medel och syfte med TC-strängen. Vad som ännu är oklart och som ligger för prövning i belgisk domstol är om IAB även är gemensamt personuppgiftsansvarig för den fortsatta behandlingen av personuppgifter vid RTB.
Är ditt företag anslutet till TCF eller använder ni leverantörer som är det? Det är i sådant fall viktigt att följa den kommande utvecklingen. Vi hjälper just nu ett flertal klienter med att följa utvecklingen, bedöma konsekvenserna och ta fram en långsiktig och hållbar strategi för digital spårning.
EDPB:s sammanställning om säkerhetsåtgärder
I början av året publicerade EDPB ett ärendesammandrag om datasäkerhet och anmälda personuppgiftsincidenter inom ramen för One-Stop-Shop mekanismen. Sammandraget tydliggör hur EDPB tolkat och tillämpat olika scenarier som kan uppstå i samband med säkerhetsincidenter. Den är användbar för både personuppgiftsansvariga och personuppgiftsbiträden vid bedömning av om säkerhetsåtgärder är lämpliga – både före och efter ett eventuellt externt intrång. Vidare ger den en bättre förståelse för de krav och förväntningar som ställs på organisationer när det gäller säkerhet enligt Dataskyddsförordningen, samt möjliggör identifiering av eventuella brister i nuvarande säkerhetsåtgärder och vidtagande av lämpliga åtgärder för att förbättra skyddet för personuppgifter.
Sammanställningen utgör därmed en värdefull källa till vägledning i en tid av ökad risk för och hot om säkerhetsincidenter, du hittar den, tillsammans med den tidigare sammanställningen om rätten att invända och bli raderad, här.
Vägledningar
Flera dataskyddsmyndigheter inom EU har sedan ChatGPT:s inträde inlett tillsyn mot OpenAI, som står bakom ChatGPT. Eftersom OpenAI tidigare inte hade en huvudetablering i EU (vilken numera finns på Irland) bildade EDPB under våren 2023 en arbetsgrupp för att stärka samarbetet och bidra till enhetlig tolkning mellan dataskyddsmyndigheterna i deras arbete med att granska ChatGPT.
Arbetsgruppen har nu kommit med en första rapport som undersöker flera viktiga aspekter av tillämpligheten av Dataskyddsförordningen, inklusive en analys av lagligheten i hur träningsdata används och behandling av personuppgifter för inmatning, utmatning och utbildning. Rapporten betonar att ansvaret för att följa Dataskyddsförordningen ligger hos OpenAI i detta fall, även när individer själva matar in personuppgifter. Det är därför viktigt att OpenAI tillhandahåller korrekt information, såsom att det i ChatGPT:s resultat tydligt anges att den genererade texten kan vara partisk eller påhittad.
ChatGPT självt, sammanfattar rapporten såhär:
”Sammanfattningsvis erbjuder EDPB:s rapport värdefulla insikter och riktlinjer för att säkerställa att AI-applikationer som ChatGPT används på ett sätt som är förenligt med [Dataskyddsförordningen] och respekterar användarnas rättigheter och integritet. Det är dock viktigt att erkänna de praktiska utmaningarna i att implementera dessa riktlinjer och behovet av en balans mellan reglering och innovation.”
Därtill har flera nationella dataskyddsmyndigheter kommit med vägledning kring användning av AI från ett dataskyddsperspektiv. IMY har publicerat en vägledning på sin hemsida (som enligt utsago kommer genomgå omfattande uppdateringar under året), den hittar du här. Därtill har den italienska dataskyddsmyndigheten (Garante) nyligen publicerat en vägledning kring ”web scraping” och AI (den hittar du här – ännu endast på italienska) och danska Datatilsynet har publicerat en mall för konsekvensbedömning särskilt riktad mot AI (på danska), den hittar du här. Vi uppskattar dataskyddsmyndigheternas proaktivitet på området, som förhoppningsvis kommer att underlätta för företag och andra verksamheter i att förbättra regelefterlevnaden både vid utveckling och användning av AI.
Dags för ytterligare en omgång mellan Schrems och Meta
I början på juni lämnade NOYB (None of Your Business) in klagomål till dataskyddsmyndigheter i elva europeiska länder (Österrike, Belgien, Frankrike, Tyskland, Grekland, Italien, Irland, Nederländerna, Norge, Polen och Spanien). NOYB anklagade Meta för att använda Meta-användarnas personuppgifter för att träna sina AI-modeller i strid med Dataskyddsförordningen.
NOYB hävdade att den planerade användningen av personuppgifter skulle baseras på Metas berättigade intresse. Enligt NOYB skulle detta innebära att Meta ignorerar användarnas grundläggande rätt till dataskydd och integritet. NOYB pekade på att EU-domstolen tidigare har klargjort att Meta inte har ett berättigat intresse som kan åsidosätta användarnas rättigheter när det gäller beteendestyrd annonsering, och att samma resonemang bör gälla för AI-träning.
Max Schrems, grundare av NOYB, underströk att Meta inte borde få använda personuppgifter för AI-träning utan giltigt samtycke från användarna. NOYB begärde att dataskyddsmyndigheterna inledde ett brådskande förfarande enligt artikel 66 i Dataskyddsförordningen för att stoppa Metas planer innan den 26 juni 2024 (då ändringen skulle träda i kraft).
Det verkar som att NOYB:s agerande har fått resultat. Dataskyddsmyndigheterna var snabba på att agera och Meta har nu valt att pausa utrullningen av denna nya behandling.
Klagomålen lyfter fram viktiga frågor om hur företag hanterar användarnas personuppgifter för AI-ändamål och den nödvändiga balansakten som behöver ske mellan teknologisk innovation och dataskydd. Hanteringen visar också att koordinerade insatser kan bära frukt.
EDPB har publicerat sin strategi och inriktning, samt prioriteringar för år 2024-2027. Dessa sammanfattas i fyra pelare:
Förbättrad harmonisering och främjande av efterlevnad
Detta kommer ske bland annat genom att EDPB fortsätter ge vägledning i viktiga frågor, till exempel om tillämpningen av Dataskyddsförordningen i relation till särskilt utsatta personer, såsom barn, och om tillämpningen av berättigat intresse som rättslig grund.
Förstärkning av en gemensam verkställighetskultur och ett gemensamt samarbete
Detta sker bland annat genom att EDPB återupprepar sitt engagemang för One-Stop-Shop-mekanismen och andra bestämmelser om samarbete enligt Dataskyddsförordningen. Som en del av detta kommer EDPB att fortsätta säkerställa att alla förfrågningar om yttranden eller bindande beslut enligt Dataskyddsförordningen uppfylls effektivt genom att tillhandahålla tydliga och robusta svar.
Säkerställa dataskydd i det digitala- och gränsöverskridande regulatoriska landskapet
Detta kommer ske genom vägledning om samspelet mellan tillämpningen av Dataskyddsförordningen och andra EU-rättsakter, särskilt AI-förordningen och andra regelverk som utgör del i EU:s ”Digital Decade”-strategi. Syftet kommer vara att främja rätten till dataskydd i den övergripande regelarkitekturen och bidra till en konsekvent tillämpning av olika regelverk. Därtill kommer de att tillförsäkra gott samarbete med andra tillsynsmyndigheter i frågor som påverkar dataskyddet, särskilt med konsumentskyddsmyndigheter, konkurrensmyndigheter, och myndigheter som är behöriga enligt andra rättsakter, inklusive AI-förordningen och andra regelverk inom Digital Decade.
Bidra till den globala dialogen om dataskydd
EDPB kommer att ytterligare underlätta och stärka samarbetet mellan medlemmarna i EDPB och dataskyddsmyndigheter utanför EU. De kommer att öka sina ansträngningar avseende sitt bidrag inom internationellt samarbete och stödja verkställighet och vidareutveckla sin nuvarande approach.
Det gemensamma samlingsordet för strategin får anses vara samarbete och att ensam är inte stark. Något som vi alla behöver tänka på när vi jobbar med de komplexa frågor som dataskydd och digitaliseringen medför i stort.
_________
Vi passar på att önska dig en riktigt Glad sommar!
Hör gärna av dig om du vill veta mer om MAQS och hur vi jobbar. Vi erbjuder t.ex. regelbundet löpande stöd där vi säkerställer att du som kund får tillgång till nödvändig kompetens ett visst antal timmar per dag, vecka eller månad beroende på upplägg. Uppdragen bidrar till ett gott partnerskap med dig som kund där vi gemensamt ser till att ni med hjälp av juridiken kan uppnå era mål.
Information och inbjudningar till kommande event kommer att publiceras på maqs.com/aktuellt.