Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Privacy is dead… Är den?

Förslaget till dataskyddsförordning förutsätter till viss del att människor och individer sätter värde på integritet och skydd för personlig data. En undersökning som Europeiska kommissionen gjorde i juni i år visar att förslaget är på rätt väg när det gäller individers intresse och åsikter. Studien genomfördes i mars 2015 via 25 000 personliga intervjuer i hela EU.

Resultat av undersökningen

Som vi har diskuterat här på bloggen tidigare är en viktig prinicp i det bestående regelverket att individen har kontroll över sin data. Enligt undersökningen är dock 67 % oroliga över att de inte har kontrol över information de delar med sig online. Endast 15 % känner att de har full kontroll över sin egen data.

Samtidigt är 70 % oroliga över att informationen används för andra syften än den har blivit insamlad för. Tilliten verkar generellt vara större för myndigheter än för privata aktörer.

Bildkälla: Eurobarometer (http://ec.europa.eu/justice/data-protection/)

 

Intressant är också att undersökningen indirekt visar vikten av en EU gemensam reglering då 9 av 10 europeer anser att skyddet ska vara oberoende av var den personuppgiftsansvarige är etablerad.

Sverige vs EU

Vid en jämförelse mellan Sverige och EU kan noteras att svenskar verkar mindre oroliga över Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Samtycke enligt förslaget till dataskyddsförordning

De kommande veckorna kommer vi att diskutera några utvalda delar av förslaget till dataskyddsförordning som vi anser har större relevans för er läsare av bloggen. Mycket nöje!

Samtycke

I dagens blogginlägg ska vi titta närmare på kapitel 2:s Artikel 6 som ersätter Artikel 7 i dataskyddsdirektivet. Artikeln handlar om när personuppgifter får behandlas, dvs bestämmelsen motsvarar 10 § i personuppgiftslagen (SFS 1998:204).

Utgångspunkten är fortfarande samtycke från den registrerade, även om det fortfarande ges möjlighet till behandling om den är nödvändig. Samtycke definieras i Artikel 4 punkt 8 enligt följande:

varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller en entydig affirmativ handling godtar behandling av personuppgifter som rör honom eller henne.

Kommissionens och Europaparlamentets förslag är i nuläget samstämmiga när det gäller definitionen av samtycke. Det som är nytt jämfört med direktivet är ordet “uttryckligt” som har lagts till i definitionen. Ordet uttryckligt används i personuppgiftslagen endast i relation till känsliga personuppgifter idag, se 15 §.

Rådet har i ett av sina senaste dokument (mars 2015) ersatt ordet uttrycklig mot “unambiguous” i skäl 25, vilket skulle motsvara “otvetydig” i dagens personuppgiftslag. Enligt ett annat Rådsdokument från april 2015 finns dock varken ordet “otvetydig” eller “uttrycklig” med i definitionen av samtycke i Artikel 4, utan endast i Artikel 7. Flera medlemstater har i dagsläget reservationer mot denna lydelse.

Det återstår därför att se hur mycket samtyckeskraven kommer att ökas och hur/om Rådet, Europaparlamentet och Kommissionen kan enas.

Entydig affirmativ handling

Uttrycket “godtar” i den äldre definitionen i direktivet ersattes med “genom ett uttalande eller en entydig affirmativ handling” vilket antyder att man ökar kraven på agerandet som krävs av den registrerade för att denne ska anses ha givit samtycke till behandlingen. Detta synsätt stämmer också överens med Skäl 25 av förslaget som understryker att det ska finnas en medvetenhet hos den registrerade. Kommissionen och Europaparlamentet är eniga om definitionen, även Rådet har uttrycket med i ett av sina dokument från april 2015.

Där ståndpunkterna går isär just nu är hur “entydig affirmativ handling” ska tolkas.

Kommissionen och Europaparlamentet nämner som exempel för en entydig affirmativ handling (i Skäl 25) ”en ruta som klickas i vid besök på en internetsida”. Europaparlamentet påpekar även att “[t]ystnad, enbart användning av en tjänst eller inaktivitet bör därför inte utgöra samtycke.”

Just uttrycket ”användning av en tjänst” kan utmana allmänna villkor och privacy policies av flera webbtjänster, som använder sig av s.k. browse-wrap avtal, Läs mer »

Posted in Internationellt, Sverige | Leave a comment

Förslag till myndighetsdatalag

I onsdags lämnade den så kallade Informationshanteringsutredningen (Ju 2011:11) över sitt slutbetänkande till justitie- och migrationsminister Morgan Johansson med ett förslag till sammanhållen lagstiftning för myndigheternas hantering av personuppgifter; en myndighetsdatalag (SOU 2015:39). Informationshanteringsutredningen har haft i uppdrag att se över den mycket omfattande registerlagstiftning som tillsammans med personuppgiftslagen och annan lagstiftning idag reglerar hur statliga och kommunala myndigheter ska behandla personuppgifter. I korthet föreslår utredningen att dagens regler ska justeras och i huvudsak ersättas av en ny lag – myndighetsdatalagen. Den nya lagen föreslås gälla för alla myndigheters hantering av personuppgifter med undantag för myndigheters brottsbekämpande och brottsförebyggande verksamhet och innehålla generella bestämmelser för myndigheters behandling av personuppgifter.

I Justitiedepartementets pressmeddelande som publicerades i samband med överlämningen av förslaget ger justitie- och migrationsminister Morgan Johansson följande kommentarer om Informationshanteringsutredningen förslag.

Dagens registerlagstiftning är mycket omfattande och svårförståelig inte bara för medborgarna utan också för myndigheterna som ska tillämpa regelverket. Följden har blivit att allmänheten har svårt att förstå hur myndigheter hanterar information och det finns risk att tillämpningen varierar mellan myndigheter. Det finns därför behov av ett enklare, mer enhetligt och modernare regelverk för myndigheternas hantering av personuppgifter.

Utredningens slutbetänkande och förslag till sammanhållen myndighetsdatalag ska nu skickas ut på remiss. Vi får alltså sannolikt anledning att återkomma i ämnet snart igen. Läs mer »

Posted in Nyheter, Sverige | Leave a comment

Datainspektionen har inga invändningar mot det avtal som Simrishamns kommun tecknat om användning av molntjänsten Google Apps for Education

De flesta av Datainspektionens tillsynsärenden kring diverse molntjänster under de senaste åren har föranlett invändningar från myndighetens sida. Detta bland annat på grund av att avtalen enligt Datainspektionen ger personuppgiftsbiträdet rätt att behandla personuppgifter för egna ändamål och att det inte framgår av avtalen vilket bolag som är personuppgiftsbiträde m.m.

Nu noterar vi att Datainspektionen följer upp vissa av dessa tillsynsärenden och ser över om de justeringar som Datainspektionen tidigare efterlyst kan anses vara åtgärdade efter vidtagna kompletteringar och åtgärder från såväl kunden som molntjänsteleverantören. I rubricerat beslut som meddelades i måndags den 16 mars 2015 uttalar Datainspektionen exempelvis att man inte har några synpunkter på det personuppgiftsbiträdesavtal som ingåtts mellan Simrishamns kommun och Google avseende kommunens användning av molntjänsten Google Apps for Education i kommunens grund- och gymnasieskolor.

Därmed kan vi konstatera att Datainspektionen i sin tillsyn enligt personuppgiftslagen i sin helhet godkänt avtalet mellan Simrishamns kommuns utbildningsnämnd och Google uttalar Bo Kristoffersson, barn- och utbildningschef i Simrishamns kommun, i ett pressmeddelande som publicerades av Simrishamns kommun i samband med Datainspektionens beslut.

Simrishamns kommuns pressmeddelande kan du läsa här.
Datainspektionens beslut finns att läsa här.

Läs mer »

Posted in Nyheter, Sverige | Leave a comment

JK får i uppdrag att initiera förberedelser inför den kommande dataskyddsförordningen m.m.

JK får i uppdrag att initiera förberedelser inför den kommande dataskyddsförordningen i och med utredningen om förstärkt skydd för den personliga integriteten genom samlad tillsyn och ansvar hos en och samma myndighet

Ansvaret för skyddet av personuppgifter i det svenska samhället är idag uppdelat mellan flera myndigheter. Sedan argument framförts från ett flertal håll om att integritetsskyddet skulle bli starkare och effektivare om tillsynen över området i större utsträckning samlades hos en och samma myndighet beslutade regeringen den 22 december 2014 att tillsätta en utredning i frågan (Dir. 2014:164).

I ett pressmeddelande från Justitiedepartementet den 10 mars 2015 informeras nu att  Justitiekanslern (JK) Anna Skarhed har utsetts till särskild utredare för utredningen som bland annat syftar till att mynna ut i ett förslag på hur tillsynen över personuppgiftsbehandlingen kan förstärkas genom att samlas hos en myndighet. Intressant är att det i pressmeddelandet uttalas att det även kommer att ingå i JK:s uppdrag att förbereda myndigheten för att kunna fullgöra de uppgifter som kan bli resultatet av reformeringen av EU:s dataskyddsreglering dvs. förberedelser inför den kommande dataskyddsförordningen.

Utredningen ska redovisa sitt uppdrag senast den 31 januari 2016.

Läs mer »

Posted in Nyheter, Sverige | Leave a comment

Data Protection Day 2015

Idag, den 28 januari, är det Data Protection Day – ”Dataskyddsdagen”. Som bekant infaller dagen just detta datum eftersom Europarådets Dataskyddskonvention antogs just den 28 januari 1981 – det var också Europarådet som utnämnde dagen till Data Protection Day. Från början var dagen ett pedagogiskt initiativ som syftade till att öka medvetenheten om och vikten av att skydda sina personuppgifter på nätet, särskilt ungdomars användning av sociala nätverk. De senaste åren har dess fokus breddats och idag främjar Data Protection Day ett antal evenemang och aktiviteter kring dataskydd, bidrar till intressanta dialoger och skapar möjligheter för olika samarbeten mellan offentliga organ, näringslivet och den akademiska världen. Detta givetvis i syfte att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka medborgerliga rättigheter som är viktiga att ta hänsyn till. Förutom här i Europa finns dagen sedan några år tillbaka även i USA och Kanada – där under namnet Data Privacy Day.

I anledning av Data Protection Day 2015 har EU-kommissionen, liksom förra året, publicerat ett intressant memo som bland annat innehåller bra lägesuppdatering kring det pågående arbetet med en ny dataskyddsreglering. Se Kommissionens Fact Sheet Concluding the EU Data Protection Reform essential for the Digital Single Market” som finns tillgängligt här.
Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

PUL, PUL strålande PUL – en framtidsutblick i ljuset av den kommande dataskyddsförordningen

Lästips!
I senaste numret av Advokatfirman Delphis nyhetsbrev ger associate Sofia Bruno i Delphis TMT/IP-grupp en kort introduktion till den kommande dataskyddsförordningen och en lägesrapport om när förordningen kan förväntas träda ikraft. Artikeln PUL, PUL strålande PUL – en framtidsutblick i ljuset av den kommande dataskyddsförordningen” finns tillgänglig här >>

Suggested Reading!
In Delphi’s most recent news letter, associate Sofia Bruno provides a short introduction to the upcoming data protection regulation and an update on when the regulation is expected to become effective. The article The Swedish Data Protection Act in light of the new Data Protection Regulation” is available here >>

Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

SEASON’S GREETINGS

god-jul

 

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Lägesrapport – när kommer förordningen träda ikraft?

Det korta svaret på frågan hur det går med processen att ta fram en ny dataskyddsförordning är att bollen fortfarande ligger hos Rådet, som måste komma fram till en gemensam ståndpunkt innan de trepartsförhandlingar som brukar kallas trialogen kan hållas mellan Rådet, Kommissionen och Europaparlamentet om en slutlig version.

Med tanke på hur komplicerad processen är kan det vara på sin plats med en kort återblick innan vi ger oss på en närmare redogörelse för den senaste tidens händelser och vad som väntar i framtiden.

Bakgrund

Den 25 januari 2012 lade kommissionen fram ett förslag till dataskyddsförordning som ska ersätta dataskyddsdirektivet (som ligger till grund för den svenska personuppgiftslagen). Därefter övergick frågan till Europaparlamentet, som tillsatte en särskild arbetsgrupp, LIBE-utskottet, som fick ansvaret för att ta fram ett modifierat förslag till dataskyddsförordning som Europaparlamentet skulle kunna ställa sig bakom. LIBE-utskottet lade fram sitt förslag den 16 januari 2013, och Europaparlamentet antog förslaget vid en omröstning den 12 mars i år (se här för en utförligare redogörelse om bakgrunden till dataskyddsförordningen). Efter att både Kommissionen och Europaparlamentet lagt fram sina förslag har det varit upp till Rådet att klargöra sin ståndpunkt innan de tre institutionerna kan komma fram till en slutlig överenskommelse. Denna process pågår fortfarande. I det avseendet kan man alltså säga att läget är detsamma som vid vår lägesrapport efter sommaren – vi väntar fortfarande på att Rådet ska anta en gemensam ståndpunkt.  Detta innebär dock inte att processen har stått stilla sedan dess.

Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Fordonsuppgiftsbehandling = personuppgiftsbehandling?

För regelbundna läsare av denna blogg borde det inte komma som någon nyhet att inte bara namn, personnummer och fingeravtryck som direkt pekar ut en särskild individ kan vara personuppgifter. Personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en levande person. En debatt som förts är om IP-nummer ska vara personuppgifter. För de flesta människor säger en uppgift om viken trafik som skett från ett IP-nummer ingenting om vilken person som ligger bakom. Men för teleoperatörerna går IP-numret att koppla till en viss abonnent. Även om en flera individer kan ha tillgång till samma abonnemang går det ofta att tillsammans med andra uppgifter, loggar eller boendeförhållanden, skaffa sig en ganska bra uppfattning om vem som stått för trafiken.

I och med att bilar i allt högre grad blir uppkopplade mot internet aktualiseras frågan om uppgifter rörande en bil utgör personuppgifter – är fordonsuppgiftsbehandling = personuppgiftsbehandling?

Kammarrätten har tidigare kommit fram till att IP-adresser kan vara personuppgifter. Enligt en dom från i år har Kammarrätten även kommit fram till att registreringsnummer ofta är att anse som personuppgifter eftersom de anger ägaren av bilen vilket, i kombination med exempelvis tiden för registrering, ofta kan ange vem som var förare vid det aktuella tillfället (mål 2135-13).

Vi har tidigare skrivit om ”Internet of things” (sakernas internet) här på bloggen och trafiken är just ett sådant område där denna teknik är i startgroparna. Bussar som automatiskt rapporterar till ledningscentralen kan underlätta överblick över kollektivtrafiken. Genom att bilen kommunicerar med verkstäder och bensinmackar kan föraren få information direkt i bilen om tankning eller reparation behövs, kanske kombinerat med en inbjudan från en verkstad i närheten. Bilar som upptäcker varandra inför en korsning kan förebygga krockar. Visst låter det fantastiskt?

När det gäller yrkestrafiken kan det givetvis finnas ett intresse från arbetsgivare och försäkringsbolag att övervaka hur förarna kör. Har de följt hastighetsbegränsningarna och använt säkerhetsbälte? Hur miljövänligt och säkert kör de? Hur lång rast har de tagit vid macken?

Som vi kan ana väcker den nya tekniken många frågor ur ett dataskyddsperspektiv. Detta var också ett av ämnena vid Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.