Nyheter inom Integritet & Dataskydd

​DECEMBER 2024 

2024 lider mot sitt slut och vilket år vi har haft...

Vi har fått ta del av nya vägledningar från EDPB och EU-domstolen har fortsatt leverera många intressanta avgöranden. Vi ser tydligt hur personuppgifter fortsätter att vara en värdefull tillgång för företag men att det finns mycket jobb kvar att göra för att öka förståelsen för regelverket och säkerställa hantering i enlighet med tillämpliga regelverk – särskilt för att upprätthålla lämpligt skydd i en tid av osäkerhet och ökade hot. 

För oss personligen har det senaste året även inneburit en möjlighet – och utmaning – att bredda vår kompetens. Som vi länge pratat om kräver vårt arbete som dataskyddsspecialister inte bara en förståelse för dataskyddsförordningen. För att kunna lämna värdefull rådgivning behöver vi också ha en förståelse för kringliggande regelverk – oavsett om det rör dataskydd i vid bemärkelse eller specifika branschregler. Med introduktionen av Digital Decade har detta än tydligare ställts på sin spets och vi inom MAQS är otroligt stolta över vår specialistgrupp som bemästrar allt från dataskyddsförordningen till NIS II, DORA-förordningen, AI förordningen, Data Act med mera.

I samband med Internationella Dataskyddsdagen kommer vi traditionsenligt bjuda in till ett nyhetssvep från 2024. Till dess får du hålla till godo med detta nyhetsbrev där vi har samlat ett urval av det senaste halvårets nyheter inom dataskydd, både i Sverige och utomlands. Sommarens nyhetsbrev, som täcker det första halvåret, hittar du här.

Tack för att du läser, och tveka inte att kontakta oss om du har några frågor eller behöver ytterligare information! 

Anna Eidvall och Karin Schurmann

PS. Du kan också registrera dig för MAQS kommande nyhetsbrev och events inom integritet & dataskydd via knappen nedan.

 Registrering nyhetsbrev

IMY får ökade anslag

IMY:s uppdrag att säkerställa efterlevnaden av dataskyddsförordningen är fortsatt högaktuellt. Kanske är det även ryktena om att IMY kommer att få ett nytt tillsynsområde med AI-förordningen som har lett till att IMY föreslås få 34,2 miljoner kronor i ökade anslag för budgetåret 2025. Anslagen ska bland annat både förstärka IMY:s förutsättningar att anpassa sin verksamhet till ett förändrat arbetssätt avseende klagomålshantering, möta en större efterfrågan på vägledning från flera sektorer när det gäller dataskydd kopplat till teknikutveckling och innovation, liksom just täcka nya uppgifter med anledning av EU-förordningar. 

Under 2024 planerade IMY enligt sin tillsynsplan att särskilt rikta in sig på bl.a. kommuners arbete med dataskyddsförordningen, behandling av personuppgifter inom arbetslivet, behandling av biometriska uppgifter och granskning av nya tekniska lösningar inom kamerabevakning. När vi tittar på inledd tillsyn och tillsynsbeslut under året upplever vi istället att fokus legat på t.ex. registrerades rättigheter, organisatoriska och tekniska säkerhetsåtgärder och dataskyddsombuds ställning och risk för intressekonflikter. 

Vad som blir IMY:s planerade tillsynsområden för 2025 återstår att se, men vi kan fortsatt konstatera att klagomål mot en verksamhet innebär en ökad tillsynsrisk.

Åtgärd mot långsam handläggning hos IMY

Dataskyddsförordningen och dataskyddsdirektivet ställer krav på att det ska finnas tillgång till effektiva rättsmedel vid utebliven eller långsam handläggning av klagomål hos tillsynsmyndighet. Idag finns ingen sådan reglering i Sverige, varför regeringen föreslår att ett nytt rättsmedel ska införas vid långsam, eller utebliven, handläggning av klagomål hos IMY. 

Regeringens förslag innebär att en registrerad ska ha rätt att begära att få besked om huruvida IMY avser att inleda tillsyn eller inte efter att tre månader har gått från att ett klagomål lämnats in till myndigheten. Enligt förslaget har IMY därefter två veckor på sig att antingen lämna besked om tillsyn eller avslå begäran i ett motiverat beslut. Om IMY inte lämnar besked eller fattar beslut inom tidsfristen ska begäran anses ha avslagits. IMY:s beslut föreslås också kunna överklagas till förvaltningsrätten, även i fråga om beslut ska anses ha fattats inom den angivna tidsfristen. Om förvaltningsrätten anser att IMY borde ha möjlighet att lämna ett besked i frågan ska rätten förelägga IMY att göra det snarast. 

Lagändringarna föreslås träda i kraft den 1 april 2025. Även om tanken är god ser vi en risk för att de föreslagna åtgärderna inte kommer att hjälpa till att förkorta de långa handläggningstiderna hos IMY, utan snarare att detta innebär en risk för ytterligare administration för myndigheten som redan nu är tungt belastad.  

Söktjänster med frivilligt utgivningsbevis fortsatt under lupp

Vi har tidigare rapporterat om att IMY ändrat sin syn på dess möjlighet att utöva tillsyn mot aktörer som tillhandahåller söktjänster med stöd av s.k. frivilligt utgivningsbevis. Under våren 2024 rapporterade IMY att de sett en ökning av klagomål mot aktörer som tillhandahåller söktjänster just med stöd av frivilligt utgivningsbevis, där känslig information ofta är inkluderat om enskilda personer – vilket medför betydande integritets- och säkerhetsproblem. Nu har Utredningen om ett förstärkt skydd för personuppgifter på tryck- och yttrandefrihetsområdet släppt sitt betänkande, SOU 2024:75. Utredningen har sett över grundlagsskyddet för söktjänster som offentliggör personuppgifter om lagöverträdelser samt söktjänster som offentliggör personuppgifter om adress, telefonnummer, civilstånd och andra uppgifter som rör enskildas personliga förhållanden. 

Utredningen föreslår att det befintliga undantaget i tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen (YGL) för söktjänster som offentliggör känsliga personuppgifter utvidgas till att omfatta samtliga personuppgifter. Utredningen föreslår vidare att undantaget ändras så att det blir tillämpligt endast då offentliggörandet innebär särskilda risker för otillbörligt intrång i enskildas personliga integritet. Detta innebär att lagstiftaren får möjlighet att i lag reglera de söktjänster som omfattas av grundlagsundantaget och att IMY, med stöd i dataskyddsförordningen, ska kunna ingripa mot denna typ av personuppgiftsbehandling. 

Om förslaget skulle gå igenom kan det få en mängd olika effekter. Givetvis skulle kommersiella aktörers möjlighet att tillhandahålla vissa typer av söktjänster begränsas. En annan tänkbar effekt är risken för att offentliganställda utsätts för hot och trakasserier kan minska, liksom att individer får bättre kontroll över hur deras personuppgifter används och sprids. Samtidigt som möjligheterna att använda söktjänsterna vid genomförande av bakgrundskontroller skulle minska betydligt, förmodligen med fler manuella steg som följd. Gissningsvis kan det också uppkomma gränsdragningsproblem gentemot medier och andra aktörer som åtnjuter grundlagsskydd för sina publiceringar. Vi väntar spänt på den fortsatta lagstiftningsprocessen!

Äntligen möjligt för (vissa) företag att genomföra kontroller mot sanktionslistor 

För företag som verkar inom finansiell sektor samt säkerhets- och försvarsbranschen finns det krav i olika regelverk på att kontrollera sina kunder, leverantörer och arbetstagare gentemot olika sanktionslistor. För att få kontrollera individer mot sanktionslistor som inte omfattas av svensk eller EU-lag (t.ex. OFAC) har det tidigare krävts att företaget ansökt och beviljats tillstånd från IMY till att få behandla uppgifter om lagöverträdelser, vilket är en tidskrävande process. 

I november trädde nya föreskrifter från IMY i kraft vilka ger vissa företag möjlighet att behandla denna typ av personuppgifter utan att behöva ansöka om tillstånd. De aktörer som berörs av de nya föreskrifterna är företag inom finansiell sektor som står under Finansinspektionens tillsyn, företag på säkerhets- och försvarsmarknaden som står under Inspektionen för strategiska produkters tillsyn, samt vissa andra företag på säkerhets- och försvarsmarknaden som står under Strålsäkerhetsmyndighetens tillsyn. Utöver föreskrifterna, som du hittar här, har  IMY även publicerat en tillhörande vägledning med kompletterande information som du hittar här.

Har du koll på dina pixlar?

Den 20 augusti beslutade IMY om sanktionsavgifter på 37 miljoner kronor mot Apoteket AB respektive 8 miljoner kronor mot Apohem AB för deras användning av den så kallade Meta-pixeln på sina respektive webbplatser, vilket inneburit att integritetskänsliga personuppgifter överförts till Meta. Både Apoteket AB och Apohem AB använde Metas analysverktyg på sina webbplatser för att förbättra sin marknadsföring på Facebook och Instagram. Genom att oavsiktligt ha aktiverat en delfunktion i Meta-pixeln överfördes personuppgifter om ett stort antal kunder till Meta under en lång tid (över två år för Apoteket AB). Uppgifter som överförts inkluderade uppgifter om personnummer, kunders köp av receptfria läkemedel för behandling av specifika hälsobesvär, sexleksaker, självtester och behandling av könssjukdomar. 

IMY ansåg det sannolikt att behandlingen omfattat uppgifter om hälsa eftersom flertalet av produkterna varit av sådan karaktär att det skulle kunna avslöja uppgifter om den enskildes hälsotillstånd eller sexualliv. IMY ansåg att det även är sannolikt att produkter som inhandlats för att behandla ett visst hälsotillstånd är för eget bruk. Behandlingen av personuppgifterna har därmed inneburit en hög risk och krävt en hög skyddsnivå, och varken Apoteket AB eller Apohem AB har vidtagit tillräckliga organisatoriska och tekniska åtgärder för att skydda personuppgifterna. Exempelvis saknade apoteken rutiner för att systematiskt följa upp och upptäcka oavsiktliga förändringar i sina tekniska lösningar och system. Att apoteken vidtagit åtgärderna efter personuppgiftsincidenten utgjorde inte förmildrande omständigheter i de aktuella fallen.

Är IMY inne och tassar på PTS:s område?

Den 4 oktober utdelade IMY en reprimand till Warner Music Sweden AB efter att IMY tagit emot flera klagomål gällande bolagets design av cookiebanners, placering av cookies och efterföljande personuppgiftsbehandling. Av beslutet förstår vi det som att IMY anser att ett GDPR-samtycke kan samlas in i kombination med ett LEK-samtycke i en cookiebanner. I den aktuella tillsynen konstaterade dock IMY att det inte var tillräckligt tydligt för användaren att hen kunde återkalla sitt samtycke närsomhelst. Inte heller ansåg IMY att det var lika lätt att återkalla samtycket till cookies (och personuppgiftshanteringen) som att ge det. För att återkalla samtycket var användaren tvungen att gå in i inställningarna för cookies och göra flera knapptryck och val. Under tillsynsperioden åtgärdade bolaget detta genom att möjliggöra för användare att återkalla sitt samtycke med endast två knapptryck. Trots att det bara behövdes ett knapptryck för att lämna samtycke ansåg IMY att åtgärden var tillräcklig och att det i och med ändringen var lika enkelt att återkalla samtycket som att ge det. 

Detta beslut är extra intressant då placering av cookies faller utanför IMY:s tillsyn, istället är PTS tillsynsmyndighet. Vi har sett flera beslut från IMY under de senaste åren där IMY valt att inte behandla klagomål kopplade till just cookies utan överlämnat detta till PTS. Det ska därmed bli intressant att se om detta beslut är en engångsföreteelse, eller om IMY fortsättningsvis kommer ta sig an ytterligare klagomål kopplade till just användningen av cookies. 

Pay-or-okay – är det verkligen OK?

Ingen har väl missat hur Meta har valt att hantera problematiken kring användandet av europeiska användares uppgifter och personanpassad marknadsföring på Facebook och Instagram? Kort sagt har europeiska användare av Facebook och Instagram fått möjlighet att välja mellan ett gratiskonto hos plattformarna med personanpassad marknadsföring som följd eller ett betalkonto utan personanpassad marknadsföring. Enligt Meta innebär detta att samtliga användare får göra ett aktivt och medvetet val och att de enbart kommer att använda personuppgifter om de användare som samtycker till att deras personuppgifter används för personanpassad marknadsföring på detta sätt. 

I april meddelade EDPB att ovanstående modell (som ofta kallas ”pay-or-okay”) i princip inte är förenlig med reglerna om samtycke i dataskyddsförordningen, åtminstone inte för företag i en dominerande ställning, eftersom användarna inte har något egentligt val: antingen behöver de samtycka till att alla deras uppgifter behandlas för personanpassad marknadsföring i en tjänst som alltid varit gratis för dem eller betala en avgift. Som ett resultat kommer troligen de flesta användare att samtycka till personuppgiftsbehandlingen utan att förstå dess långsiktiga konsekvenser. EDPB tydliggjorde att personuppgifter inte ska betraktas som en handelsvara och att dataskydd inte får omvandlas till en funktion som användare måste betala för att åtnjuta, likt Metas affärsmodell. EDPB föreslog att alternativet till betalkonto kunde vara en form av begränsad personanpassad marknadsföring där färre eller inga personuppgifter behandlades, vilket skulle kunna göra att samtycket vore giltigt enligt dataskyddsförordningen. 

Som ett svar på kritiken lanserade Meta ett tredje alternativ inom EU i november, innebärande ett gratiskonto med mindre personanpassad marknadsföring. Detta skulle enligt Meta innebära att mycket mindre data används för marknadsföringen och att den anpassade marknadsföringen enbart baseras på begränsade datapunkter såsom ålder, geografisk plats, kön och användarens interaktion med andra annonser. Hur EDPB kommer att ställa sig till detta tredje alternativ återstår att se.

Glöm inte att avtala om era koncerninterna överföringar

Den 22 juli utdelade den nederländska tillsynsmyndigheten en sanktionsavgift på 290 miljoner euro mot Uber för att bolaget i mer än två års tid överfört personuppgifter om europeiska Uber-förare till USA utan tillräckligt skydd. Granskningen påbörjades redan 2021 efter att 170 Uber-förare, via människorättsgruppen Ligue des droits de l’Homme, klagat till den franska tillsynsmyndigheten som sedermera överlämnade klagomålen till den nederländska tillsynsmyndigheten. 

Den nederländska tillsynsmyndigheten konstaterade bl.a. att Uber inhämtat känsliga personuppgifter om de europeiska taxiförarna och lagrat personuppgifterna på amerikanska servrar. Personuppgifterna innefattade kontouppgifter, taxilicenser, platsdata, foton, betalningsuppgifter, identitetshandlingar och i vissa fall även uppgifter ur brottsregister och hälsouppgifter.

Fram till augusti 2021 använde Uber standardavtalsklausuler som överföringsmekanism men i och med att EU-kommissionen antog nya standardavtalsklausuler för överföringar och uttalade att dessa inte kan användas i situationer när mottagaren omfattas av dataskyddsförordningen (som i detta fall) slutade bolaget tillämpa standardavtalsklausuler för överföringarna. Först i november 2023 anslöt sig Uber till EU-US Data Privacy Framework. Under perioden däremellan gjordes överföringar till USA utan användning av någon överföringsmekanism eller skyddsåtgärder. Det är alltså under denna tidsperiod som den nederländska tillsynsmyndigheten konstaterat att Uber överfört personuppgifter till USA utan tillräckligt skydd för personuppgifterna. Beslutet är överklagat men förväntan är att tillsynsmyndighetens hållning står sig.

Kan konkurrenter använda dataskyddsförordningens regler mot varandra?

Den 4 oktober meddelande EU-domstolen en intressant dom i mål C-21/23, Lindenapotheke. Målet rörde ett tyskt apotek som vid allmän domstol fört talan mot en av sina konkurrenter med stöd av förbudet mot otillbörliga affärsmetoder och där talan grundade sig på brott mot dataskyddsförordningen. Det tyska apoteket menade att dess konkurrent, Lindenapotheke, som sålde apoteksexklusiva läkemedel på e-handelsplattformen Amazon, inte inhämtade samtycke för behandling av kundernas personuppgifter, innefattande hälsouppgifter.  Den tyska domstolen hänsköt frågan om det var möjligt för en konkurrent att väcka talan om otillbörliga affärsmetoder på grund av överträdelser av dataskyddsförordningen till EU-domstolen. EU-domstolen konstaterade att bestämmelserna om rättsmedel, ansvar och sanktioner i kapitel VIII i dataskyddsförordningen ska tolkas så att de inte utgör något hinder för ett företag att mot en konkurrent väcka talan vid allmän domstol för otillbörliga affärsmetoder genom överträdelser av dataskyddsförordningen. 

EU-domstolens dom innebär därmed att svenska marknadsrättsliga regler, såsom dess sanktionssystem, kan nyttjas vid överträdelser av dataskyddsförordningen och att affärsmetoder skulle kunna förbjudas enligt marknadsföringslagen – förutsatt att de bryter mot dataskyddsförordningen. 

Kanske innebär denna dom att vi i framtiden kommer att se fler kommersiella tvister mellan företag där grund i talan rör just överträdelser av dataskyddsförordningen, vilket vi idag är ovana att se. Detta understryker än mer vikten av att kommersiella aktörer måste förstå dataskyddsförordningen och dess inverkan på verksamheten.

Vad är ett ”berättigat intresse”?

Den 4 oktober meddelande EU-domstolen dom i mål C-621/22 där huvudfrågan i målet var huruvida ett kommersiellt intresse kan utgöra ett berättigat intresse i enlighet med artikel 6.1(f) i Dataskyddsförordningen. Bakgrunden till förhandsavgörandet var ett mål mellan den Kungliga Nederländska Tennisföreningen, Koninklijke Nederlandse Lawn Tennisbond (”KNLT”), och den nederländska tillsynsmyndigheten där KNLT ålagts en sanktionsavgift om 525 000 euro för brott artikel 6.1(f) i Dataskyddsförordningen.

KNLT är ett idrottsförbund vars medlemmar består av anslutna tennisföreningar samt tennisföreningarnas medlemmar (som blir automatiskt medlemmar i KNLT när deras förening ansluter sig till KNLT). KNLT:s syfte är att tydliggöra tennis som sport i Nederländerna och de samarbetar med olika sponsorer för detta ändamål. Under 2018 lämnade KNLT ut personuppgifter om sina medlemmar till två sponsorer mot ersättning (ett företag som sålde sportprodukter och ett som levererade kasino- och hasardspel). Bland annat lämnades information om namn, adress, födelsedatum, telefonnummer, e-postadress samt medlemmens tennisförening ut och personuppgifterna användes av sponsorerna för att marknadsföra sina produkter och tjänster gentemot medlemmarna. KNLT ansåg att de kunde stödja sig på ett berättigat intresse för utlämningen av personuppgifterna, då utlämnandet bl.a. innebar att medlemmarna fick en starkare koppling till KNLT samt fick mervärde av medlemskapet i form av rabatter på produkter och tjänster (dvs. ett kommersiellt intresse). Detta höll inte den nederländska tillsynsmyndigheten med om och ansåg istället att enbart intressen som är stadfästa eller fastställda i nationell lag eller unionsrätten kunde utgöra ett berättigat intresse enligt artikel 6.1(f) i Dataskyddsförordningen. EU-domstolen å sin sida konstaterade att en stor mängd intressen kan utgöra ett berättigat intresse. Det berättigade intresset måste vara lagligt, men inte fastställt i lag. 

Kort därefter, den 8 oktober, publicerade EDPB sitt utkast på nya riktlinjer avseende berättigat intresse,  Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR. Riktlinjerna fördjupar sig i de kriterier som fastställs i artikel 6.1(f) i Dataskyddsförordningen och som personuppgiftsansvariga måste uppfylla för att lagligen behandla personuppgifter på grundval av ett berättigat intresse. Riktlinjerna tar även hänsyn till EU-domstolens dom C-621/22 ovan.  

I riktlinjerna redogör EDPB närmare för de tre steg som en personuppgiftsansvarig måste gå igenom för att kunna stödja sig på en intresseavvägning, nämligen 

1) fastställande av det legitima intresset,
2) nödvändighetstestet, och 
3) balanstestet/proportionalitetstestet. 

Riktlinjerna innehåller även fördjupad information om hur viss personuppgiftsbehandling ska ske i praktiken avseende barns personuppgifter (restriktiv användning av berättigat intresse som laglig grund om personuppgiftsansvariges intresse går emot barnets intresse), myndigheters personuppgiftsbehandling (intresseavvägning som laglig grund endast möjligt i enstaka fall), behandling av personuppgifter för förebyggande av bedrägerier (endast lagkrav möjligt som laglig grund) samt marknadsföring (intresseavvägning kan fungera vid mindre påträngande marknadsföringsåtgärder). De nya riktlinjerna hittar du här.

Nytt yttrande avseende personuppgiftsbiträden och underbiträden

Den 7 oktober antog EDPB ett yttrande om vissa skyldigheter vid anlitande av personuppgiftsbiträden och underbiträden, Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s). 

I yttrandet behandlas åtta frågor avseende tolkningen av vissa skyldigheter för personuppgiftsansvariga som anlitar personuppgiftsbiträden och underbiträden, och vi konstaterar bland annat att:

• Personuppgiftsansvarig alltid måste ha information om identiteten (dvs.  namn, adress, kontaktperson) på alla personuppgiftsbiträden och underbiträden som anlitas. 
• Personuppgiftsansvarigs skyldighet att kontrollera att personuppgiftsbiträden/underbiträden ger tillräckliga garantier gäller oavsett risken för de registrerades rättigheter och friheter. Omfattningen av en sådan kontroll kan dock variera beroende på de risker som är förknippade med behandlingen.
• Även om personuppgiftsbiträdet bör se till att det endast föreslår underbiträden som ger tillräckliga garantier, så ligger det slutliga beslutet om vilket underbiträde som ska anlitas och ansvaret för beslutet hos den personuppgiftsansvarige. 
• Personuppgiftsansvarig inte är skyldig att systematiskt begära och granska underbiträdesavtal för att säkerställa att dataskyddsskyldigheterna förts vidare i behandlingskedjan, men bör bedöma om och när detta är nödvändigt för att kunna påvisa efterlevnad av dataskyddsförordningen. 
• Vid tredjelandsöverföringar är exportören skyldigt att ta fram relevant dokumentation, t.ex. Data Transfer Impact Assessment (DTIA) och säkerställa eventuella kompletterande skyddsåtgärder. Personuppgiftsansvarig ska dock bedöma dokumentationen och vara beredd att visa upp den för behörig tillsynsmyndighet.
• Ett förbehåll i ett personuppgiftsbiträdesavtal som föreskriver att personuppgiftsbiträdet har rätt att behandla uppgifter för att uppfylla lag eller myndighetsbegäran som det omfattas av inte utgör en instruktion från personuppgiftsansvarig att göra det. 

Yttrandet hittar du här.

Turerna kring Max Schrems och Meta fortsätter

Redan 2020 stämde Max Schrems Meta vid österrikisk domstol och påstod att Meta samlat in uppgifter om honom genom tredje parter och plug-ins, samt bevarat dem utan någon begränsning i tid. Max Schrems upptäckte att Meta analyserade information om honom och hans vänner på plattformen för att rikta personanpassad marknadsföring gentemot honom, särskilt med inriktning mot hans sexuella läggning. Detta trots att han aldrig delat information om detta på Facebook eller givit Facebook tillstånd att använda information på detta sätt. Istället hade han nämnt sin sexuella läggning vid en offentlig paneldiskussion där han kritiserade Metas användning av hans uppgifter. 

Den österrikiska domstolen ställde, till slut, två frågor till EU-domstolen: 1) om principen om uppgiftsminimering (artikel 5.1(c) i dataskyddsförordningen) innebär att en plattform får ta all data den har om användare och analysera den för personanpassad marknadsföring utan några begräsningar, och 2) om offentliggörande av en uppgift från användaren själv i en paneldiskussion (artikel 9.2(e) i Dataskyddsförordningen) innebär att plattformen får använda uppgift om sexuell läggning för personanpassad marknadsföring.

EU-domstolen besvarade frågorna i oktober, Case C-446/21, och ansåg att det var möjligt att uppgiften om sexuell läggning var offentliggjord (även om domstolen lämnade över till österrikisk domstol att avgöra frågan slutligt), men att oavsett svaret på den frågan så ger inte det Meta rätt att behandla uppgifter om Max Schrems sexuella läggning, samt att aggregera (sammanställa) och analysera all den data som Meta har om honom för att skicka personanpassad marknadsföring kopplad till hans sexuella läggning. Vidare utgör principen om uppgiftsminimering allmänt ett hinder mot att aggregera, analysera och behandla all data som Meta samlat in om en användare för personanpassad marknadsföring, utan hänsyn till någon tidsbegränsning eller typen av personuppgifter som det handlar om.

LinkedIn i irländskt blåsväder 

Den 24 oktober beslutade den irländska tillsynsmyndigheten om tre sanktionsavgifter om totalt 310 miljoner euro mot LinkedIn för att plattformen inte haft laglig grund att behandla egeninsamlad data och tredjepartsdata om sina användare för beteendeanalys och personanpassad marknadsföring. 
Den irländska tillsynsmyndigheten ansåg att LinkedIn varken kunde använda berättigat intresse eller avtal som rättslig grund för sin profilering och personanpassad marknadsföring. 

Det samtycke som LinkedIn inhämtat för behandlingen uppfyllde inte heller kraven som ställs i dataskyddsförordningen om att samtycket ska vara frivilligt, informerat, specifikt och otvetydigt. Utöver sanktionsavgifterna utfärdade den irländska tillsynsmyndigheten en reprimand och förelade LinkedIn att se till att företagets behandling av personuppgifter överensstämde med kraven i dataskyddsförordningen. Pressmeddelandet från den irländska tillsynsmyndigheten avseende beslutet hittar du här (beslutet i sin helhet kommer publiceras längre fram). 

LinkedIn har nu informerat sina användare att det håller på att se över sina processer i ljuset av beslutet.

Hör gärna av dig om du vill veta mer om MAQS och hur vi jobbar. Vi erbjuder t.ex. regelbundet löpande stöd där vi säkerställer att du som kund får tillgång till nödvändig kompetens ett visst antal timmar per dag, vecka eller månad beroende på upplägg. Uppdragen bidrar till ett gott partnerskap med dig som kund där vi gemensamt ser till att ni med hjälp av juridiken kan uppnå era mål.

Information och inbjudningar publiceras löpande på maqs.com/event.

Hör gärna av dig om du vill veta mer om MAQS och hur vi jobbar. Vi erbjuder t.ex. regelbundet löpande stöd där vi säkerställer att du som kund får tillgång till nödvändig kompetens ett visst antal timmar per dag, vecka eller månad beroende på upplägg. Uppdragen bidrar till ett gott partnerskap med dig som kund där vi gemensamt ser till att ni med hjälp av juridiken kan uppnå era mål.