Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

ICO publicerar vägledning om samtycke enligt dataskyddsförordningen

Artikel 29-gruppen uppgav i ett pressmeddelande från januari 2017 att arbetsgruppen kommer att publicera en vägledning om samtycke enligt dataskyddsförordningen under året. I väntan på Artikel 29-gruppens vägledning vill vi tipsa om att the Information Commissioner’s Office (ICO), den engelska motsvarigheten till Datainspektionen, har publicerat en vägledning på samma tema. I vägledningen tar ICO bl.a. upp när en personuppgiftsansvarig bör basera personuppgiftsbehandlingen på den registrerades samtycke och när så inte bör ske, vad som utgör ett giltigt samtycke och hur länge ett samtycke är giltigt. Läs mer »

Posted in Nyheter | Leave a comment

Artikel 29-gruppen publicerar processuella regler och formulär för Privacy Shield-relaterade klagomål

Den 20 februari i år publicerade Artikel 29-gruppen ett mallformulär för registrerade att använda för att klaga till sin nationella tillsynsmyndighet på problem relaterade till EU-U.S. Privacy Shield-certifierade organisationers personuppgiftsbehandling. Samtidigt publicerades processuella regler i syfte att klargöra de nationella tillsynsmyndigheternas roll vid hanteringen av Privacy Shield-relaterade klagomål. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Är det på väg att bli omöjligt att lagligen överföra personuppgifter till USA?

En av USAs nytillträdda presidents första åtgärder var att skriva under en ”executive order”, ett särskilt presidentbeslut, med en instruktion till federala myndigheter att säkerställa att personer som inte är medborgare i landet eller har permanent uppehållstillstånd berövas skyddet för personuppgifter enligt ”The US Privacy Act” i så stor utsträckning som tillämplig lag tillåter. Vad beslutet faktiskt kommer innebära i praktiken är ännu osäkert men klart är att det har väckt liv i frågan om lagligheten i att överföra personuppgifter från EU till USA. Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Nya vägledningar från Artikel 29 gruppen: Dataskyddsombud

Genom dataskyddsförordningen blir det i vissa fall obligatoriskt att utse ett dataskyddsombud (tidigare personuppgiftsombud). Dessa situationer pekas ut i artikel 37.1 och är 1) om behandlingen genomförs av en myndighet eller ett offentligt organ, 2) om kärnverksamheten består av behandling som kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning, eller 3) om kärnverksamheten består av behandling i stor omfattning av särskilt känsliga uppgifter och personuppgifter som rör lagöverträdelser. I de fall det inte är uppenbart att ett dataskyddsombud inte behöver utses, bör den personuppgiftsansvarige och personuppgiftsbiträdet dokumentera varför de valt att inte utse ett dataskyddsombud. Detta för att de ska kunna visa att relevanta faktorer har övervägts. En stor del av Artikel 29-gruppens vägledning om dataskyddsombud rör hur kraven i artikel 37.1 ska tolkas, och det är även det som inledningsvis kommer behandlas i det här blogginlägget. Läs mer »

Posted in Nyheter | Leave a comment

Kommande vägledningar från Artikel 29-gruppen

I ett pressmeddelande från 16 januari 2017 meddelar Artikel 29-gruppen att de har antagit ytterligare en ”action plan” för år 2017. Av planen framgår för det första att arbetsgruppen ska slutföra sådant som de tidigare planerat att göra, bl.a. publicera vägledningar om certifiering samt behandling som sannolikt leder till en hög risk och konsekvensbedömning. För det andra framgår det att Artikel 29-gruppen planerar att påbörja arbetet med vägledningar om samtycke, profilering och transparens. Arbetsgruppen kommer även se över tidigare opinions och dokument rörande överföring av personuppgifter till tredje land och anmälan av personuppgiftsincidenter.

Läs pressmeddelandet här.

Posted in Nyheter | Leave a comment

EU-kommissionen föreslår nya regler om elektronisk kommunikation

EU-kommissionen vill anpassa de nuvarande reglerna om elektronisk kommunikation till den tekniska utvecklingen och dataskyddsförordningen. Därför presenterar de ett förslag till ny lagstiftning angående integritet och elektronisk kommunikation: den så kallade e-integritetsförordningen. Förslaget ska fungera som en speciallagstiftning och komplettera bestämmelserna i dataskyddsförordningen. Läs mer »

Posted in Nyheter | Leave a comment

Nya vägledningar från Artikel 29-gruppen: Dataportabilitet

Artikel 29-gruppen har, efter ett möte i mitten av december 2016, tagit fram tre vägledningar angående den nya dataskyddsförordningen. Vägledningarna rör dataportabilitet, dataskyddsombud samt ansvarig tillsynsmyndighet. Vi kommer att redogöra för utvalda delar av vägledningarna i tre separata inlägg, och börjar med att i detta inlägg behandla vägledningen rörande dataportabilitet.

Vägledningen om dataportabilitet förtydligar bl.a. vad rätten till dataportabilitet innebär och vad den inte innebär, vilka personuppgifter som omfattas samt vilka tekniska medel som den personuppgiftsansvarige bör ha på plats för att säkerställa att en förfrågan om dataportabilitet kan besvaras. Dataportabilitet är en av dataskyddsförordningens nyheter, som på sätt och vis kan anses vara en utveckling av rätten till registerutdrag. Artikel 29-gruppen påpekar dock vikten av att särskilja dessa två rättigheter och rekommenderar även att den personuppgiftsansvarige särskilt informerar den enskilde om skillnaderna. Läs mer »

Posted in Nyheter | Leave a comment

Vilka dataskyddsregler är tillämpliga för online företag?

Jurisdiktionsfrågor i samband med elektronisk handel och online tjänster blir alltmer viktigare. Väldigt ofta är det svårt att avgöra i vilket land ett online företag kan anses ha verksamhet. Behövs ett kontor med flera anställda, eller räcker en representant i det landet? Under sommaren avgjorde EU domstolen ett mål som gällde just dessa frågor, både gällande Rom I och Rom II förordningen samt dataskyddsdirektivet: C–191/15: Verein für Konsumenteninformation v Amazon.

Amazon EU är etablerat i Luxemburg, och har bl.a. en webbplats med toppdomänen .de. Online företaget riktar sig dock även till konsumenter som är bosatta i Österrike trots att företaget varken har ett säte eller driftställe där. Enligt de allmänna villkoren för e-handels sajten gäller luxemburgisk rätt. VKI, en österrikisk konsumentförening, begärde dock ett förbud mot att tillämpa samtliga avtalsvillkor i de allmänna avtalsvillkoren. EU domstolen ombads därför att avgöra vilket lands regler som gäller enligt Rom II förordningen, luxemburgiskt eller österrikist, och även vilken lag är tillämplig enligt artikel 4.1 a dataskyddsdirektivet. Specifikt ställdes frågan om företaget ska följa dataskyddsreglerna både i det landet där företaget har sitt verksamhetsställe samt i det landet till vilket företaget riktar sin affärsverksamhet (stycke 34 i domen). Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

EU kommissionen publicerar beslutet om Privacy Shield

I veckan har Europeiska kommissionen publicerat sitt beslut om Privacy Shield och överföring av personuppgifter från EU till USA. Kommissionen kommer fram till (i skäl 13 och Artikel 1) att USA uppfyller en adekvat skyddnivå i enlighet med Artikel 25(2) i dataskyddsdirektivet inom ramverket Privacy Shield. Privacy Shield består av principerna som utfärdats av amerikanska näringsdepartementet (Department of Commerce) och som återfinns i Annex II av beslutet. Organisationer som följer principerna kommer finnas på en Privacy Shield lista som Department of Commerce ansvarar för. Lika som Safe Harbour innan bygger Privacy Shield på ett system av självcertifiering där organisationer lovar att följa vissa principer, EU-U.S. Privacy Shield Framework Principles.

EU-U.S. Privacy Shield Framework Principles

Principerna handlar bl.a. om  Läs mer »

Posted in Internationellt, Nyheter | Leave a comment

Fortsättning på Privacy Shield

Som fortsättning på våra tidigare inlägg här och här om EU:s Privacy Shield kan rapporteras att en kommitté diskuterar och granskar förslaget till Privacy Shield för närvarande. Enligt Artikel 31  dataskyddsdirektivet ska kommittén vara sammansatt av företrädare för medlemsstaterna med kommissionens företrädare som ordförande, och yttra sig över vissa åtgärder. Kommittén för skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter har träffats de senaste veckorna, och kommer ha sammanträden de närmaste veckorna också. Alla texter till Privacy Shield finns tillgängliga härLäs mer »

Posted in Internationellt, Nyheter | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.