Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Fordonsuppgiftsbehandling = personuppgiftsbehandling?

För regelbundna läsare av denna blogg borde det inte komma som någon nyhet att inte bara namn, personnummer och fingeravtryck som direkt pekar ut en särskild individ kan vara personuppgifter. Personuppgifter är alla uppgifter som direkt eller indirekt kan kopplas till en levande person. En debatt som förts är om IP-nummer ska vara personuppgifter. För de flesta människor säger en uppgift om viken trafik som skett från ett IP-nummer ingenting om vilken person som ligger bakom. Men för teleoperatörerna går IP-numret att koppla till en viss abonnent. Även om en flera individer kan ha tillgång till samma abonnemang går det ofta att tillsammans med andra uppgifter, loggar eller boendeförhållanden, skaffa sig en ganska bra uppfattning om vem som stått för trafiken.

I och med att bilar i allt högre grad blir uppkopplade mot internet aktualiseras frågan om uppgifter rörande en bil utgör personuppgifter – är fordonsuppgiftsbehandling = personuppgiftsbehandling?

Kammarrätten har tidigare kommit fram till att IP-adresser kan vara personuppgifter. Enligt en dom från i år har Kammarrätten även kommit fram till att registreringsnummer ofta är att anse som personuppgifter eftersom de anger ägaren av bilen vilket, i kombination med exempelvis tiden för registrering, ofta kan ange vem som var förare vid det aktuella tillfället (mål 2135-13).

Vi har tidigare skrivit om ”Internet of things” (sakernas internet) här på bloggen och trafiken är just ett sådant område där denna teknik är i startgroparna. Bussar som automatiskt rapporterar till ledningscentralen kan underlätta överblick över kollektivtrafiken. Genom att bilen kommunicerar med verkstäder och bensinmackar kan föraren få information direkt i bilen om tankning eller reparation behövs, kanske kombinerat med en inbjudan från en verkstad i närheten. Bilar som upptäcker varandra inför en korsning kan förebygga krockar. Visst låter det fantastiskt?

När det gäller yrkestrafiken kan det givetvis finnas ett intresse från arbetsgivare och försäkringsbolag att övervaka hur förarna kör. Har de följt hastighetsbegränsningarna och använt säkerhetsbälte? Hur miljövänligt och säkert kör de? Hur lång rast har de tagit vid macken?

Som vi kan ana väcker den nya tekniken många frågor ur ett dataskyddsperspektiv. Detta var också ett av ämnena vid Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Right to be forgotten och förslaget till dataskyddsförordning

Som vi har diskuterat tidigare här på bloggen, både i Delphis inlägg förra veckan och i mina inlägg från januari & februari, är ”rätten att bli bortglömd” ett mycket omdiskuterad begrepp just nu. Trots att det saknas en allmängiltig definition använder många begreppet som ett uttryck för ett starkt integritetsskydd. Vi kommer därför de följande veckorna analysera ”rätten att bli bortglömd” från olika perspektiv och börjar med dagens reglering samt förslaget till dataskyddsförordning.

Rätten att bli bortglömd vs dataskyddsdirektivet och personuppgiftslagen

Redan det i dag gällande dataskyddsdirektivet och den svenska personuppgiftslagen (1998:204) (PUL) ger vissa rättigheter till den enskilda:

Artikel 12 b i direktivet ger en rätt att få uppgifter ”rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga” (right to erasure). Artikel 12 c utökar denna rättigheten till att tredje part som den personuppgiftsansvarige har lämnat uppgifterna till ska underrättas om sådan rättelse, utplåning eller blockering.

Artikel 14 i direktivet reglerar ”den registrerades rätt att göra invändningar” (right to object). Bestämmelsen ger enskilda rätt att motsätta sig Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Cloud & integritetsskydd – Ett smakprov från gårdagens seminarium med Delphi Sourcing Specialist Group

Igår genomförde Delphis sourcinggrupp ett seminarium på temat ”Cloud Computing”. Ett av de ämnen som togs upp var givetvis integritetsskydd i molnet.

Som många av er säkert känner till så har Datainspektionen genomfört flera tillsynsärenden avseende ett antal företags och myndigheters användning av molntjänster i sin verksamhet (se beslut 256-2011; 574-2011; 263-2011; 890-2012; 1475-2013; och 358-2014). De beslut och uttalanden som Datainspektionen publicerat i samband med dessa tillsynsärenden innehåller en rad viktiga principer för vad man måste tänka på och säkerställa utifrån ett integritetskyddsperspektiv inför användandet av en molntjänst.

Vid gårdagens seminarium gick vi igenom de olika tillsynsärendena och sammanfattade vilka principer för personuppgiftsbehandling i molnet som uttalats från Datainspektionens sida och då särskilt de krav som ställs avseende ett personuppgiftsbiträdesavtals innehåll. Ett litet smakprov från seminariet får du här nedan – en översiktlig sammanfattning av Datainspektionens principer för personuppgiftsbiträdesavtalet Läs mer »

Posted in Nyheter, Sverige | Leave a comment

Dataskyddsförordningen – Summer Recap

Med hopp om att ni alla har haft en härlig sommar vill vi på Delphi Data Protection Blog hälsa er välkomna till en ny bloggsäsong tillsammans med oss.

Vi vill inleda med att ge er en kort sammanfattning av vad som hänt med dataskyddsförordningen under sommaren och en försmak på vad vi kan vänta oss under hösten.

Vad var status före sommaren?

Sedan Parlamentet antog LIBE-utskottets förslag den 12 mars har bollen legat hos Rådet, vars uppgift är att enas om en gemensam ståndpunkt innan fortsatta förhandlingar kan inledas med Parlamentet och kommissionen.

Vad hände under sommaren?

Juni
Som vi tidigare skrivit om hölls ett möte i Rådet den 5 – 6 juni, där Rådet kunde presentera gemensamma ståndpunkter i vissa frågor. En sammanfattning av vad man kom fram till kan läsas här.

Juli
Den 1 juli övergick ordförandeskapet i Rådet från Grekland till Italien. Det italienska ordförandeskapet har försäkrat parlamentet att man ska försöka nå en gemensam ståndpunkt om förordningen under sitt ordförandeskap, det vill säga innan årets slut och att den senaste utvecklingen avseende ”rätten att bli bortglömd” i anledning av Costeja -domen kommer att tas i beaktande.

Ett informellt möte hölls i Rådet den 8 – 9 juli där dataskydd nämndes i en av punkterna på dagordningen, Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Intressant uttalande från Datainspektionen om hur länge uppgifter om betalningsförsummelser får sparas

Datainspektionen har granskat hur fyra företag som tillhandahåller tjänster för elektroniska betallösningar hanterar sina användares personuppgifter.

Av besluten framkommer bland annat ett intressant klargörande från Datainspektionen angående hur länge uppgifter om betalningsförsummelser får sparas. Enligt 9 § första stycket, punkten e PUL måste behandlade personuppgifter vara adekvata och relevanta i förhållande till ändamålet med behandlingen. Enligt tidigare riktlinjer gäller att uppgifter som hämtats från kreditupplysningsföretag ska gallras efter tre månader. När det gäller ett företags egna upplysningar om sina kunders betalningsförsummelser har det dock saknats tydliga regler. För kreditupplysningsföretagen gäller enligt 8 § andra stycket kreditupplysningslagen att uppgifter om betalningsförsummelser ska gallras senast tre år efter att förhållandet som uppgiften avser har upphört.

Av Datainspektionens beslut framgår nu att tidsgränsen i kreditupplysningslagen ska ligga till grund för en bedömning av när uppgifter inte längre kan anses uppfylla kravet på relevans enligt 9 § PUL. Kravet på att radera uppgifter om betalningsförsummelser efter tre år tillämpas således indirekt även på företag som inte är kreditupplysningsföretag, när de sparat egna upplysningar om kunders betalningsförsummelser.

Datainspektionen framhåller också att kravet på att gallra uppgifter som inte längre behövs gäller även sådana uppgifter som sparas som ett led i efterlevnaden av Läs mer »

Posted in Nyheter, Sverige | Leave a comment

Nytt informationsblad från Datainspektionen om molntjänster & PUL

Datainspektionen har publicerat ett nytt informationsblad på temat ”molntjänster och PUL”, denna gång med fokus kring användning av molntjänster i skolverksamhet: ”Personuppgifter och molntjänster i skolan”. Barns personuppgifter måste hanteras med försiktighet och i skolverksamhet är det därför särskilt viktigt att se till så att elevernas personliga integritet skyddas om deras personuppgifter behandlas på internet, såsom via en molntjänst. I skolverksamhet är det i regel skolans huvudman som är personuppgiftsansvarig för all hantering av personuppgifter på skolan. För kommunala skolor innebär detta att den ansvariga nämnden är personuppgiftsansvarig och för friskolor är det styrelsen eller motsvarande ledande organ. Aktuellt informationsblad från Datainspektionen vänder sig därför främst just till skolhuvudmän, skolledare och lärare och uppges vara tänkt som ett komplement till Datainspektionens tidigare informationsblad ”Molntjänster och personuppgiftslagen”.

I informationsbladet besvaras bland annat frågan om vem som är ansvarig för att personuppgifter hanteras på ett lagligt sätt i en molntjänst inom en skolverksamhet och vem som är behörig att teckna avtal med en molntjänstleverantör. Förutom detta ges även ett flertal tips om vilka instruktioner som det är viktigt att den personuppgiftsansvarige inom en skolverksamhet tar fram till skolans lärare och elever. Enligt Datainspektionen är det viktigt att personuppgiftsansvarig (skolans huvudman) tar fram instruktioner om:

  • vem som är behörig att teckna bindande avtal för huvudmannens räkning,
  • vilka personuppgifter som får hanteras i en molntjänst,
  • hur personuppgifter får hanteras i en molntjänst,
  • vad som gäller vid publicering av film och bilder på enskilda,
  • om, och i så fall hur, en molntjänst som tillhandahålls via huvudmannen får användas av lärare och elever för privat bruk, samt
  • vilka konsekvenser användning i strid med instruktionerna kan medföra.

För dig som är intresserad av att veta mer om molntjänster (Cloud Computing) vill vi passa på att tipsa dig om ett av Delphis kommande seminarier. Delphis sourcinggrupp genomför fyra seminarier om sourcing – ett av dem på temat ”Cloud Computing”. Mer information finns här -> Hoppas vi ses den 17 september 2014! Läs mer »

Posted in Nyheter, Sverige | Leave a comment

Post och Telestyrelsen reaktion på ogiltigförklarande av datalagringsdirektivet – kommer inte att vidta några åtgärder i anledning av datalagringsreglerna

Som vi nämnde i vårt inlägg från den 8 april har EU-domstolen ogiltigförklarat datalagringsdirektivet (Europaparlamentets och rådets direktiv 2006/24/EG), på grund av att detta innebär ett särskilt allvarligt intrång i rätten till respekt för privatlivet och skydd för personuppgifter, utan att intrånget begränsades till vad som var strikt nödvändigt.

Datalagringsdirektivet har implementerats i svensk rätt i lagen (2003:389) om elektronisk kommunikation (”LEK”), genom att tillhandahållare av elektroniska kommunikationstjänster ålades en skyldighet att lagra vissa abonnemangs- och trafikuppgifter rörande användare. Ogiltigförklarandet av datalagringsdirektivet innebär inte att den svenska lagstiftningen, som är självständig även om den bygger på regleringen i datalagringsdirektivet, automatiskt upphör att gälla. Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment

Vad betyder egentligen personlig integritet? Del 2: ett historiskt perspektiv

Efter att vi har belyst personlig integritet från ett juridiskt perspektiv, ställer vi oss nu frågan hur dagens juridiska koncept egentligen har utvecklats. Det korta svaret är – liksom mycket annan rättslig reglering inom IT rätten – på grund av teknisk och social utveckling.

I en av de första uppmärksammande artiklar som diskuterade personlig integritet som en rättighet – The Right to Privacy av Samuel D. Warren och Louis D. Brandeis i Harvard Law Review 1890 – förklarade författarna utvecklingen av den enskildes kroppsliga skydd och skydd av dennes egendom. En rätt till liv hade funnits länge och utvecklades så småningom till en rätt till frihet och egendom. Warren och Brandeis ansåg dock att det var dags för en anpassning av skyddet. Anpassningen grundade sig främst på två saker: nämligen “recent inventions and business methods” vilket avsåg exempelvis Kodak-kameran och så dåtidens tidningars affärsmodeller.

Den tekniska utvecklingen

Kodak kameran – version 2 Brownie

Dagens privacy-reglering initierades alltså delvis genom uppfinningen av Kodak fotokamera 1884–1888, vilket kan jämföras med uppfinningen av Gutenbergs tryckpress som så småningom ledde till de första reglerna inom upphovsrätten 1710 i England. George Eastman utvecklade en kamera som var bärbar och som var tillräckligt prisvärd så många hade råd att köpa den.

Fotokameror rent allmänt möjliggör ett intrång i någons integritet utan att skada den fysiska integriteten. Straffrättsliga regler som skyddar en individs fysiska integritet omfattar dock inte nödvändigtvis denna andra form av intrång. Förtal täcker nödvändigtvis inte heller in denna ”andra form” av integritet. Kodak-kameran – på grund av sin spridning – möjliggjorde detta intrång nu även i mer stor skala.

I Europa började lagstiftarnas intresse för personlig integritet växa fram under 1960-talet i samband med utvecklingen av IT. Sverige var det första landet som antog en dataskyddslag 1973 – ”datalagen” (1973:289). Syftet med datalagen var bl.a. att “skydda den enskilde mot sådant otillbörligt intrång i den personliga integriteten som kan bli följden av den alltmer utbredda dataregistreringen av personuppgifter” (Prop. 1973:33).

Med tiden väckte IT:s effekter på den personliga integriteten också Europarådets och OECD:s intresse. Efter några enstaka initiativ under 1970-talet antog Europarådet 1981 Convention ETS No 108 of the Council of Europe for the Protection of Individuals with regard to Automatic Processing of Personal Data. 1980 antog OECD sina Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. OECD:s Guidelines ställer upp 8 principer för dataskydd: collection limitation principle, data quality principle, purpose specification principle, use limitation principle, security safeguards principle, openness principle, individual participation principle och accountability principle. Dessa grundläggande principer tar sikte på elektronisk hantering av personlig data och har inte bara kännetecknat den rättsliga utvecklingen av integritetsskydd i Europa utan utgör också grunden för det nu gällande dataskyddsdirektivet.

Sist men inte minst har Internet och sociala medier Läs mer »

Posted in Internationellt, Sverige | Leave a comment

Vad betyder egentligen personlig integritet? Del 1: ett juridiskt perspektiv

Denna blogg handlar om privacy och data protection, alltså personlig integritet och dataskydd. Men vad betyder personlig integritet egentligen och varifrån kommer konceptet? Under de kommande veckorna kommer vi att ta upp några frågeställningar och diskutera kring det.

Från ett juridiskt perspektiv regleras och skyddas den personliga integriteten på flera olika nivåer, både internationellt och nationellt. Regelverken är oftast omfattande och bygger på ett konstitutionellt stadgat skydd. Både inom Europa och inom EU är skyddet väldigt starkt och regleras i konventioner och fördragen, dvs grundstenarna av Europarådet och Europeiska Unionen.

Europa
Inom Europa skyddar Europakonventionen (Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna) den personliga integritet som en mänsklig rättighet i Artikel 8. Även om rätten inte är absolut utan relativ till andra rättigheter, anses den ändå ha en mycket viktig ställning bland de andra grundläggande rättigheterna som t.ex. yttrandefrihet (Art 10), rätt till en rättvis rättegång (Art 6) och förbud mot tortyr (Artikel 3).

Rätten till skydd för privat- och familjeliv enligt Artikel 8 är mycket vidsträckt och omfattar var och ens privat- och familjeliv, hem och korrespondens. Begreppet privatliv är med andra ord vidare än begreppet personlig integritet, Läs mer »

Posted in Internationellt, Sverige | Leave a comment

Inbyggt integritetsskydd – ”privacy by design”

Artikel 23 i Kommissionens förslag till dataskyddsförordning föreskriver att den personuppgiftsansvarige ska, både vid tidpunkten för fastställandet av en behandlingsmetod och vid tidpunkten för själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller förordningens krav och säkerställa skyddet av den registrerades rättigheter. Av ingresspunkt 61 till förslaget till förordningen framgår vidare att den personuppgiftsansvarige vid vidtagandet av lämpliga åtgärder särskilt ska se till att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. I korthet innebär detta förslag ett krav på så kallat inbyggt integritetsskydd – ”privacy
by design”.

Principerna om privacy by design innebär att Läs mer »

Posted in Internationellt, Nyheter, Sverige | Leave a comment
  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.