Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

World Economic Forum och dataskydd

Utvecklingen av teknologi och dess relation till dataskydd intresserar inte bara EU institutionerna. World Economic Forum har ett spännande initiativ – Rethinking Personal Data inom sitt Global Agenda Council on Data-Driven Development 2014-2016.

Initiativet undersöker möjligheterna av big data (se tidigare inlägg), speciellt i samband med   beredskap inför katastrofer, men även hälsa och den internationella utvecklingen.

The council will work to put in place frameworks and business incentives for the creation of shared data resources for the purposes of international development. These would link and share a variety of data sets (personal, governmental, passively collected, private). The purposes is to create something that can be scaled and used at all levels. The areas it will cover include disease outbreak, global health, disaster preparedness and the food/energy/water nexus.

Läs mer »

Posted in Internationellt | Leave a comment

EU domstolen underkänner Safe Harbor – en första kommentar

Efter vår analys här på bloggen av generaladvokatens förslag till avgörande i mål C–362/14 meddelade EU domstolen i veckan sitt avgörande.

Tillsynsmyndigheternas befogenhet

EU domstolen följer generaladvokatens resonemang att EU kommissionens beslut 2000/520 inte inskränker de nationella tillsynsmyndigheternas befogenheter enligt artikel 8.3 i rättighetsstadgan och artikel 28 i dataskyddsdirektivet (punkt 53). Den första frågan från den irländska domstol (High Court) besvaras därför med att ett kommissionsbeslut inte hindrar privatpersoner från att vända sig till de nationella tillsynsmyndigheterna (punkt 66).

EU domstolen konstaterade t.o.m. att Kommissionen – genom antagandet av Artikel 3 i beslutet – överskridit sin befogenhet enligt Artikel 25.6 i dataskyddsdirektivet och förklarade därför Artikel 3 ogiltig (punkt 104).

Giltigheten av Kommissionens beslut 2000/520

EU domstolen bestämde sig även, som generaladvokaten föreslog, att undersöka om beslutet är giltigt. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Giltigheten av Safe Harbor besluten ifrågasätts av Generaladvokaten

Safe Harbor reglerna utgör grunden för att en överföring till tredje land (i vårt fall USA) är tillåten enligt § 33 personuppgiftslagen (1998:204) utan krav på samtycke. Eftersom USA saknar en heltäckande dataskyddslagstiftning på federal nivå, kunde EU Kommissionen inte konstatera att landet uppfyller ett adekvat skyddnivå i enlighet med Art 25 dataskyddsdirektivet. Lösningen blev Safe Harbor reglerna som bygger på en kombination av ett beslut från EU Kommissionen (2000/520/EG av den 26 juli 2000 – Safe Harbor Privacy Principles) och frågor/svar från USA:s handelsministerium (Safe Harbor). Företagen som anlsutar sig till denna självreglering via en uppförandekod anses uppfylla en adekvat skyddsnivå. Listan över de anslutna organisationer finns på handelsministeriets webbplats.

EU domstolens mål om safe harbor reglerna
Efter Snowden avslöjanden anmälde Österrikaren Max Schrems (Europe vs Facebook) Facebook till den irländska dataskyddsombudsmannen. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Privacy is dead… Är den?

Förslaget till dataskyddsförordning förutsätter till viss del att människor och individer sätter värde på integritet och skydd för personlig data. En undersökning som Europeiska kommissionen gjorde i juni i år visar att förslaget är på rätt väg när det gäller individers intresse och åsikter. Studien genomfördes i mars 2015 via 25 000 personliga intervjuer i hela EU.

Resultat av undersökningen

Som vi har diskuterat här på bloggen tidigare är en viktig prinicp i det bestående regelverket att individen har kontroll över sin data. Enligt undersökningen är dock 67 % oroliga över att de inte har kontrol över information de delar med sig online. Endast 15 % känner att de har full kontroll över sin egen data.

Samtidigt är 70 % oroliga över att informationen används för andra syften än den har blivit insamlad för. Tilliten verkar generellt vara större för myndigheter än för privata aktörer.

Bildkälla: Eurobarometer (http://ec.europa.eu/justice/data-protection/)

 

Intressant är också att undersökningen indirekt visar vikten av en EU gemensam reglering då 9 av 10 europeer anser att skyddet ska vara oberoende av var den personuppgiftsansvarige är etablerad.

Sverige vs EU

Vid en jämförelse mellan Sverige och EU kan noteras att svenskar verkar mindre oroliga över Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Trialogförhandlingarna är igång

Före sommaren började trialogförhandlingarna mellan Kommissionen, Rådet och Europaparlamentet, strax efter att Rådet lämnade sin ståndpunkt (läs mer om det i våra tidigare inlägg den 15 och 16 juni).

Den 24 juni 2015 träffades Jan Philipp Albrecht (rapporteur för Europaparlamentet), Kommissionären Věra Jourová och justitieministrarna från Lettland och Luxemburg (avgående och tillträdande ordförande i Rådet) för första gången. Enligt uppgifter från Jan Albrecht bekräftades att skyddsnivån i den kommande dataskyddsförordningen inte får ligga lägre än nuvarande direktivet. Före sommarpausen (14 juli) ägde ett till möte rum där man bl.a. diskuterade överföring av personuppgifter till tredje land.

Efter sommaren fortsätter förhandlingarna med diskussioner om bl.a. de grundläggande principerna i förslaget samt individers rättigheter och tekniska-organisatoriska åtgärder som personuppgiftsansvariga ska genomföra.

Rådet har börjat publicera flera dokument som förberedelse till förhandlingarna. De flesta finns tillgängliga här. En översikt på engelska över de olika versioner av förslaget (Kommissionens, Europaparlamentets och Rådets) finns tillgänglig via Rådet som pdf. Den Europeiska datatillsynsmannen (EDPS) har även lanserat en app som möjliggör en jämförelse mellan de olika versionerna.

Kommissionären Věra Jourová är optimistisk till att en färdig text är klar mot slutet av året.

Vi håller er självklart uppdaterade om processen här på bloggen!

Läs mer »

Posted in Nyheter | Leave a comment

Sommarläsning

Medan de flesta av oss ännu njuter av värme och semester kommer här två lästips om integritet och teknik:

1. Wired intervju med Isabelle Falque-Pierrotin, chef för den franska dataskyddsmyndigheten CNIL och ordförande i Artikel 29 gruppen

What is the most important issue today in the realm of digital privacy and security?
First, I would say making security issues represented as really important and as a priority for all of the stakeholders. I’m not sure that’s the case right now. Second, convince people that data protection is not against innovation and growth; on the contrary data protection contributes to confidence. It is a key factor in the digital environment.

Isabelle Falque-Pierrotin: Privacy Needs to Be the Default, Not an Option, Wired, juni 2016

2. Smörgåsbord i bokform av aspekter kring integritet och möjliga lösningar, med delvis amerikanskt fokus om än flera avsnitt med ett europeiskt perspektiv

Privacy in the Modern Age : The Search for Solutions, The New Press, 12 May 2015. redaktörer (samt författare): Marc Rotenberg, Jeramie Scott, Julia Horwitz; andra författare är bl.a. Ross Anderson, A. Michael Froomkin, Deborah Hurley, Helen Nissenbaum, Bruce Schneier, och Christopher Wolf.

Happy reading!

Läs mer »

Posted in Nyheter | Leave a comment

Reaktioner på Rådets gemensamma ståndpunkt

Today we’ve moved closer to a modernised & harmonised #dataprotection framework. http://t.co/ODYlkuNzPb #EUdataP https://t.co/oZgIR0P89n

— EU Council (@EUCouncil) June 15, 2015

Gårdagens möte av Rådet var ett viktigt steg på vägen till en ny dataskyddsförordning.

Reaktioner av Europaparlamentet och Kommissionen 

Som nämnt tidigare, är flera punkter fortfarande omdiskuterade, så trialog förhandlingarna under resten av året blir spännande att följa. Rådets gemensamma ståndpunkt välkomnades dock av både Europaparlamentet och Kommissionen.

Europaparlamentet gick ut med ett pressmeddelande efter beslutet. Jan Philipp Albrecht (Greens, DE) sa bl.a.: Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Sammanfattning av dagens möte i Rådet

Som rapporterad tidigare möttes EU:s justitie- och inrikesministrar i dag för att nå en gemensam ståndpunkt om förslaget till dataskyddsförordningen.

Kommissionären Věra Jourová underströk vid mötet att Rådet och Kommissionen är överens om grundläggande frågor trots skilda uppfattningar på detaljfrågor. Enligt Jourová bygger förslaget på tre fundament:

  • en enda uppsättning av regler som gäller inom hela EU
  • ”governance model” som ska förenkla individers och företags liv
  • samma regler för företag inom och utanför EU och samma spelregler för företag som behandlar personuppgifter av EU medborgare

Kommissionären ansåg att texten som låg till grund för Rådets möte är en bra utgångspunkt för trialog förhandlingarna.

Detta perspektiv var också tydligt under medlemsländernas inlägg i diskussionen. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Dagens möte i Rådet

I dag diskuteras förslaget i Rådet:s möte av EU:s justitie- och inrikesministrar. Målet är att nå en slutgiltig gemensam ståndpunkt som sedan kan ligga till grund för trepartsförhandlingar (trialogen) mellan Rådet, Kommissionen och Europaparlamentet om en slutlig version.

Mötet kan följas via video.consilium.europa.eu från kl 10.00 idag. Förslaget till en gemensam ståndpunkt finns här.

Vi ser spännande fram emot dagens diskussioner som förhoppningsvis tar oss närmare en slutgiltig version av förordningen. Planen verkar fortfarande vara att ha förordningen klar i slutet av året.

När den gemensamma ståndpunkten är klar, kommer vi på bloggen fortsätta vår analys av utvalda delar av förslaget! Stay tuned!

Posted in Internationellt, Nyheter | Leave a comment

Samtycke enligt förslaget till dataskyddsförordning

De kommande veckorna kommer vi att diskutera några utvalda delar av förslaget till dataskyddsförordning som vi anser har större relevans för er läsare av bloggen. Mycket nöje!

Samtycke

I dagens blogginlägg ska vi titta närmare på kapitel 2:s Artikel 6 som ersätter Artikel 7 i dataskyddsdirektivet. Artikeln handlar om när personuppgifter får behandlas, dvs bestämmelsen motsvarar 10 § i personuppgiftslagen (SFS 1998:204).

Utgångspunkten är fortfarande samtycke från den registrerade, även om det fortfarande ges möjlighet till behandling om den är nödvändig. Samtycke definieras i Artikel 4 punkt 8 enligt följande:

varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

Kommissionens och Europaparlamentets förslag är i nuläget samstämmiga när det gäller definitionen av samtycke. Det som är nytt jämfört med direktivet är ordet “uttryckligt” som har lagts till i definitionen. Ordet uttryckligt används i personuppgiftslagen endast i relation till känsliga personuppgifter idag, se 15 §.

Rådet har i ett av sina senaste dokument (mars 2015) ersatt ordet uttrycklig mot “unambiguous” i skäl 25, vilket skulle motsvara “otvetydig” i dagens personuppgiftslag. Enligt ett annat Rådsdokument från april 2015 finns dock varken ordet “otvetydig” eller “uttrycklig” med i definitionen av samtycke i Artikel 4, utan endast i Artikel 7. Flera medlemstater har i dagsläget reservationer mot denna lydelse.

Det återstår därför att se hur mycket samtyckeskraven kommer att ökas och hur/om Rådet, Europaparlamentet och Kommissionen kan enas.

Entydig affirmativ handling

Uttrycket “godtar” i den äldre definitionen i direktivet ersattes med “genom ett uttalande eller en entydig affirmativ handling” vilket antyder att man ökar kraven på agerandet som krävs av den registrerade för att denne ska anses ha givit samtycke till behandlingen. Detta synsätt stämmer också överens med Skäl 25 av förslaget som understryker att det ska finnas en medvetenhet hos den registrerade. Kommissionen och Europaparlamentet är eniga om definitionen, även Rådet har uttrycket med i ett av sina dokument från april 2015.

Där ståndpunkterna går isär just nu är hur “entydig affirmativ handling” ska tolkas.

Kommissionen och Europaparlamentet nämner som exempel för en entydig affirmativ handling (i Skäl 25) ”en ruta som klickas i vid besök på en internetsida”. Europaparlamentet påpekar även att “[t]ystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke.”

Just uttrycket ”användning av en tjänst” kan utmana allmänna villkor och privacy policies av flera webbtjänster, som använder sig av s.k. browse-wrap avtal, Läs mer »

Posted in Internationellt, Sverige | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.