Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Sammanfattning av dagens möte i Rådet

Som rapporterad tidigare möttes EU:s justitie- och inrikesministrar i dag för att nå en gemensam ståndpunkt om förslaget till dataskyddsförordningen.

Kommissionären Věra Jourová underströk vid mötet att Rådet och Kommissionen är överens om grundläggande frågor trots skilda uppfattningar på detaljfrågor. Enligt Jourová bygger förslaget på tre fundament:

  • en enda uppsättning av regler som gäller inom hela EU
  • ”governance model” som ska förenkla individers och företags liv
  • samma regler för företag inom och utanför EU och samma spelregler för företag som behandlar personuppgifter av EU medborgare

Kommissionären ansåg att texten som låg till grund för Rådets möte är en bra utgångspunkt för trialog förhandlingarna.

Detta perspektiv var också tydligt under medlemsländernas inlägg i diskussionen. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Dagens möte i Rådet

I dag diskuteras förslaget i Rådet:s möte av EU:s justitie- och inrikesministrar. Målet är att nå en slutgiltig gemensam ståndpunkt som sedan kan ligga till grund för trepartsförhandlingar (trialogen) mellan Rådet, Kommissionen och Europaparlamentet om en slutlig version.

Mötet kan följas via video.consilium.europa.eu från kl 10.00 idag. Förslaget till en gemensam ståndpunkt finns här.

Vi ser spännande fram emot dagens diskussioner som förhoppningsvis tar oss närmare en slutgiltig version av förordningen. Planen verkar fortfarande vara att ha förordningen klar i slutet av året.

När den gemensamma ståndpunkten är klar, kommer vi på bloggen fortsätta vår analys av utvalda delar av förslaget! Stay tuned!

Posted in Internationellt, Nyheter | Leave a comment

Lästips / Reading suggestions

Idag vill vi tipsa om två intressanta artiklar med cloud-tema och framtidsfokus:

Big Data Could Help Modernize Informed Consent” och ”Cloud Investigations by European Data Protection Authorities”.

Trevlig läsning!

Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Samtycke enligt förslaget till dataskyddsförordning

De kommande veckorna kommer vi att diskutera några utvalda delar av förslaget till dataskyddsförordning som vi anser har större relevans för er läsare av bloggen. Mycket nöje!

Samtycke

I dagens blogginlägg ska vi titta närmare på kapitel 2:s Artikel 6 som ersätter Artikel 7 i dataskyddsdirektivet. Artikeln handlar om när personuppgifter får behandlas, dvs bestämmelsen motsvarar 10 § i personuppgiftslagen (SFS 1998:204).

Utgångspunkten är fortfarande samtycke från den registrerade, även om det fortfarande ges möjlighet till behandling om den är nödvändig. Samtycke definieras i Artikel 4 punkt 8 enligt följande:

varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

Kommissionens och Europaparlamentets förslag är i nuläget samstämmiga när det gäller definitionen av samtycke. Det som är nytt jämfört med direktivet är ordet “uttryckligt” som har lagts till i definitionen. Ordet uttryckligt används i personuppgiftslagen endast i relation till känsliga personuppgifter idag, se 15 §.

Rådet har i ett av sina senaste dokument (mars 2015) ersatt ordet uttrycklig mot “unambiguous” i skäl 25, vilket skulle motsvara “otvetydig” i dagens personuppgiftslag. Enligt ett annat Rådsdokument från april 2015 finns dock varken ordet “otvetydig” eller “uttrycklig” med i definitionen av samtycke i Artikel 4, utan endast i Artikel 7. Flera medlemstater har i dagsläget reservationer mot denna lydelse.

Det återstår därför att se hur mycket samtyckeskraven kommer att ökas och hur/om Rådet, Europaparlamentet och Kommissionen kan enas.

Entydig affirmativ handling

Uttrycket “godtar” i den äldre definitionen i direktivet ersattes med “genom ett uttalande eller en entydig affirmativ handling” vilket antyder att man ökar kraven på agerandet som krävs av den registrerade för att denne ska anses ha givit samtycke till behandlingen. Detta synsätt stämmer också överens med Skäl 25 av förslaget som understryker att det ska finnas en medvetenhet hos den registrerade. Kommissionen och Europaparlamentet är eniga om definitionen, även Rådet har uttrycket med i ett av sina dokument från april 2015.

Där ståndpunkterna går isär just nu är hur “entydig affirmativ handling” ska tolkas.

Kommissionen och Europaparlamentet nämner som exempel för en entydig affirmativ handling (i Skäl 25) ”en ruta som klickas i vid besök på en internetsida”. Europaparlamentet påpekar även att “[t]ystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke.”

Just uttrycket ”användning av en tjänst” kan utmana allmänna villkor och privacy policies av flera webbtjänster, som använder sig av s.k. browse-wrap avtal, Läs mer »

Posted in Internationellt, Sverige | Leave a comment

Nu diskuterar vi kring utvalda delar av förslaget till dataskyddsförordning

De kommande veckorna kommer vi att gå igenom specifika delar i förslaget till dataskyddsförordning. Vi har tidigare på bloggen gått igenom olika nya begrepp i förordningen (se genetiska uppgifter, pseudonyma uppgifter, biometriska uppgifter) och andra delar i förslaget, t.ex.binding corporate rules (bindande företagsregler). Nu är det dags att diskutera mer övergripande frågor, speciellt i jämförelsen mellan EU Kommissionens ursprungliga förslag och Europaparlamentets ändringsförslag. I den mån det är möjligt kommer vi även nämna Rådets synpunkter i dagsläget. Rådets dokument ska dock förstås med försiktighet eftersom inga delar av ändringsförslagen egentligen är beslutna. Flera dokument avser dock tillfälliga partiella överenskommelser och kommer därför antagligen inte att ändras i särskilt stor omfattanning framöver.

Förordningen är uppbyggd kring och indelad i olika kapitel:

  1. kapitel (Artikel 1-4): Allmänna bestämmelser
  2. kapitel (Artikel 5-10): Principer (t.ex. ändamålsprincipen)
  3. kapitel (Artikel 11-21): Den registrerades rättigheter (t.ex. rätt till information, rätt till radering)
  4. kapitel (Artikel 22-39): Registeransvarig och registerförare (t.ex. inbyggt uppgiftsskydd, säkerhet, konsekvensbedömning och uppförandekodex)
  5. kapitel (Artikel 40-45): Överföring till tredjeländer
  6. kapitel (Artikel 46-54): Oberoende tillsynsmyndigheter
  7. kapitel (Artikel 55-72): Samarbete och enhetlighet (bl.a. bistånd tillsynsmyndigheter, Europeiska dataskyddsstyrelsen)
  8. kapitel (Artikel 73-79): Rättsmedel, ansvar, påföljder och sanktioner
  9. kapitel (Artikel 80-85): Särskilda situationer (t.ex. hälsovård, yttrandefrihet)
  10. kapitel (Artikel 86-87): Delegerande akter (av Kommissionen)
  11. kapitel (Artikel 88-91): Slutbestämmelser (t.ex. upphävandet av nuvarande dataskyddsdirektivet)

De kommande veckorna kommer vi att diskutera några utvalda delar som vi anser har större relevans för läsare av bloggen. Mycket nöje! Läs mer »

Posted in Internationellt | Leave a comment

Europeiska datatillsynsmannen: big data = big accountability

Den Europeiska datatillsynsmannen (EDPS) har nyligen publicerat sin strategi för 2015-2019. Datatillsynsmannens uppdrag är att se till att fysiska personers personliga integritet i samband med behandlingen av personuppgifter respekteras av EU:s institutioner, men har även visst inflyttande i EU:s arbete kring personlig integritet och säkerhet, tillsammans med Artikel 29-gruppen.

I januari 2015 tillträdde Giovanni Buttarelli som ny datatillsynsmann, med Wojciech Wiewiórowski som ställföreträdande datatillsynsmann. Enligt strategin kommer EDPS att fokusera på följande frågor de närmaste fem åren:

  1. Data protection goes digital
  2. Forging global partnerships
  3. Opening a new chapter for EU data protection

Inom dessa tre områden vill EDPS bl.a. jobba för Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Pressmeddelande från Rådets möte den 13 mars

Som vi rapporterade om i fredags kunde ännu en viktig tillfällig partiell överenskommelse om dataskyddsförordningen nås vid Rådets möte den 13 mars. Närmare bestämt om den så kallade ”one-stop shop”-mekanismen (kapitel VI och VII) samt det kapitel och de skäl som hänför sig till principerna för skydd av personuppgifter (kapitel II).

Den överenskommelse som nåddes vid mötet innebär att Rådet tillsvidare antagit den text som lagts fram inför mötet vilken i korthet uttrycker att one-stop shop”-mekanismen endast ska spela en roll i viktiga gränsöverskridande fall och kommer att innehålla bestämmelser om samarbete och gemensamt beslutsfattande mellan flera berörda dataskyddsmyndigheter. Texten klargör att det gemensamt överenskomna beslutet kommer att antas av den dataskyddsmyndighet som har bäst möjlighet att ge det effektivaste skyddet från den registrerades synpunkt sett.

Kommissionens pressmeddelande angående mötet kan läsas här.

Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Senaste nytt från Rådets möte: Viktig överenskommelse nådd om one-stop-shop!

Uppdateringar från deltagare vid dagens möte i Rådet informerar nu att diskussionerna tycks ha nått fram till det resultat man hoppats på. Ännu en viktig överenskommelse om dataskyddsförordningen nåddes av Rådet och arbetet med förordningen beskrivs vara ”back-on-track i strävan mot ett slutligt antagande av förordningsförslaget under år 2015.

Den som vill följa presskonferensen från Rådets möte live kan göra det via följande länk: http://video.consilium.europa.eu/webcast.aspx?ticket=775-979-15571

Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Idag: Diskussionerna i Rådet fortsätter…

Vid gårdagens möte i Rådet diskuterades bland annat aktuella trender och ytterligare åtgärder kring migrationsströmmarna i Europa. Till den för bloggen mest spännande och högaktuella agendapunkten hann man dock inte, vi tänker givetvis på den som berör dataskyddsförordningen. Idag fortsätter Rådets möte så det blir alltså högst sannolikt idag som vi kan förvänta oss framsteg i arbetet med dataskyddsförordningen i och med ett enande inom Rådet kring one-stop-shop-mekanismen.

Fler med oss är förväntansfulla på resultatet av dagens diskussioner i Rådet. Så här tweetade exempelvis EU-kommissionären Věra Jourová (Justice, Consumers and Gender Equality) nyss:

veraJ

Vi på Delphi Data Protection Blog följer givetvis även dagens diskussioner i Rådet och ser fram emot att återkomma till er med en uppdatering. Stay tuned!

Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

12-13 mars: Rådet diskuterar dataskyddsförordningen och kan förhoppningsvis enas om principerna för one-stop-shop-mekanismen!

Idag eller imorgon väntas ännu en tillfällig partiell överenskommelse om dataskyddsförordningen kunna nås av Rådet, denna gång avseende den så kallade ”one-stop shop”-mekanismen (kapitel II, VI och VII) som vi tagit upp i ett flertal tidigare inlägg här på bloggen dvs. principen om att den enskilde i vissa situationer ska kunna vända sig till en tillsynsmyndighet, i sitt hemvistland eller annat EU-land, och där dataskyddsmyndigheterna inom EU ska samarbeta och fatta gemensamma beslut i viktiga gränsöverskridande frågor.

”One-stop-shop”-mekanismen diskuterades senast vid Rådets möte i december 2014, då med utgångspunkt i ett förslag som lagts fram av det italienska ordförandeskapet (se vidare i det diskussionsunderlag som presenterades av det italienska ordförandeskapet inför decembermötet). I korthet går förslaget går ut på att dataskyddsmyndigheterna ska samarbeta och fatta gemensamma beslut i viktiga gränsöverskridande frågor samtidigt som hänsyn ska tas till att det också behöver finnas viss närhet mellan de enskilda individerna och den beslutsfattande dataskyddsmyndigheten.

Vid diskussionen i december godkände majoriteten av ministrarna i Rådet förslagets allmänna struktur. En av de viktigaste frågorna som nu diskuteras av Rådet är hur mekanismen om one-stop-shop kan förenas med den registrerades rätt till effektiva rättsmedel, kopplat till frågan om närhet mellan den enskilde och tillsynsmyndigheten.

För att summera status för diskussionerna i Rådet hittills kan nämnas att Rådet hittills har enats om tillfälliga partiella överenskommelser om följande punkter:

  • territoriellt tillämpningsområde (artikel 3.2)
  • frågor kopplade till förordningens tillämpning inom den offentliga sektorn (artiklarna 1, 6.2, 6.3 och 21)
  • personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter (kapitel IV)
  • överföring av personuppgifter till tredjeländer eller internationella organisationer (kapitel V)
  • särskilda situationer vid behandling av personuppgifter (kapitel IX)

Vad är då egentligen en tillfällig partiell överenskommelse? I korthet kan den förklaras som Läs mer »

Posted in Internationellt, Nyheter | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.