I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!
Hur och när open source riskerar att ”smitta” och vad du kan göra för att undvika det
Open source-programvara är gratis och utgör i många fall en färdig lösning på många av de problem som kan uppstå i ett IT-projekt. Ändå får vi ofta höra från våra klienter att de har som policy att inte använda open source-programvara. En sådan policy kan ha goda skäl, men kan också vara ett resultat av en (i vissa fall) obefogad rädsla för att open source-programvara ska ”smitta” den egna programvaran. Smitta innebär att den egna programvaran också måste släppas som open source. I denna artikel förklarar vi att det endast är i undantagsfall som smitta är en risk och går igenom när och hur det kan ske.
Schrems II – fortsättning följer
Som vi skrivit om tidigare innebär EU-domstolens dom i målet ”Schrems II” utöver ogiltigförklarandet av ”Privacy Shield” också stora förändringar för möjligheterna att föra över personuppgifter med stöd av standardavtalsklausulerna till länder utanför EU/EES. Den 10 november 2020 publicerade Europeiska dataskyddsstyrelsen (EDPB) två nya rekommendationer med anledning av Schrems II:
- rekommendation om hur man från fall till fall går tillväga för att avgöra om ett tredjeland erbjuder ”ettväsentligen likvärdigt skydd” för överförda personuppgifter; och
- rekommendation om vilka ”ytterligare skyddsåtgärder” som kan användas för att komplettera standardavtalsklausulerna. Denna rekommendation är föremål för publik konsultation och kan därför komma att revideras innan rekommendationerna slutligt antas.
Rekommendationerna från EDPB är efterlängtade men de erbjuder som befarat inte någon enkel och praktisk lösning för de organisationer som använder sig av standardavtalsklausulerna vid överföringar till tredjeland. Sammanfattningsvis innebär rekommendationerna att överföring till en aktör som omfattas av tredjelands övervakningslagstiftning – som inte erbjuder ”ett väsentligen likvärdigt skydd” – endast kan ske om överförda uppgifter krypterats eller pseudonymiseras på ett sådant sätt att ingen i mottagarlandet, inklusive mottagaren av uppgifterna, kan få tillgång till uppgifterna i klartext.
Läs mer om rekommendationerna och vilken betydelse de får för möjligheterna att använda standardavtalsklausulerna vid överföring av personuppgifter till länder utanför EU/EES i vår artikel här.
Datainspektionen granskar överföring av personuppgifter till tredjeland
Datainspektionen meddelade den 26 november 2020 att myndigheten inleder granskningar av sex svenska företag avseende överföring av personuppgifter till tredje land. Anledningen till granskningarna är klagomål från intresseorganisationen None of Your Business (NOYB).
Utökat ansvar för videodelningsplattformar
I november 2018 antogs direktiv 2018/1808 (”ändringsdirektivet”) som genomför ändringar i det s.k. AV-direktivet som innehåller grundläggande bestämmelser i förhållande till audiovisuella medietjänster om bland annat skydd av barn, produktplacering, sponsring och reklam. Ändringsdirektivet implementerades i Sverige den 1 december 2020 genom ändringar i radio- och tv-lagen.
Ändringarna innebär bland annat att även tjänster som tillhandahåller användargenererade videor till allmänheten utan redaktionellt ansvar för sådana videor (”videodelningsplattformar”) omfattas av reglerna i radio- och tv-lagen. I korthet är en videodelningsplattform en tjänst där audiovisuellt innehåll, dvs. rörlig bild med eller utan ljud, laddas upp av användare av tjänsten och tillhandahålls allmänheten. Exempel på videodelningsplattformar är Youtube och Twitch.
Videodelningsplattformar har i och med ändringarna bland annat ansvar att:
- registrera sig hos Myndigheten för press, radio och tv;
- säkerställa att annonser inleds och avslutas med en särskild signatur;
- iaktta förbud mot produktplacering av vissa varor; och
- skydda minderåriga från videor som kan skada deras utveckling.
Nytt utkast till standardavtalsklausuler
EU-kommissionen offentliggjorde den 12 november 2020 utkast till nya standardavtalsklausuler för överföring av personuppgifter till tredjeland enligt dataskyddsförordningen. Utöver att ersätta befintliga standardavtalsklausuler omfattar utkastet även situationer där personuppgifter överförs från ett personuppgiftsbiträde inom EU till ett annat personuppgiftsbiträde (s.k. underbiträde) utanför EU.
De nya standardavtalsklausulerna föreslås ges en ettårig ”grace period” – vilket innebär att organisationer får ett år på sig att byta ut de gamla standardavtalsklausulerna från att de nya standardavtalsklausulerna antas. De nya standardavtalsklausulerna är föremål för publik konsultation fram till den 10 december 2020 och kan därför komma att ändras innan de slutligt antas.
Brexit & GDPR – vad händer nu?
Storbritannien har formellt lämnat EU men fram till den 31 december 2020 löper en övergångsperiod när det mesta förblir som vanligt. Från och med den 1 januari 2021 kan vi dock förvänta oss stora förändringar – inte minst vad gäller överföring av personuppgifter till Storbritannien.
Efter övergångsperiodens slut räknas Storbritannien som ett tredjeland enligt dataskyddsförordningen. Just nu undersöker EU-kommissionen möjligheterna att besluta om adekvat skyddsnivå gällande Storbritannien. Ett sådant beslut skulle möjliggöra fortsatt överföring av personuppgifter till Storbritannien utan några ytterligare skyddsåtgärder. Med mindre än en månad kvar till övergångsperiodens slut är dock risken överhängande för att ett sådant beslut inte kommer hinna komma på plats före utgången av övergångsperioden.
Personuppgiftsansvariga som överför personuppgifter till Storbritannien bör därför säkerställa att sådana överföringar senast den 1 januari 2021 omfattas av en lämplig mekanism för tredjelandsöverföringar enligt dataskyddsförordningen – t.ex. genom användning av EU-kommissionens standardavtalsklausuler eller bindande företagsbestämmelser.
Kraftig ökning av cyberattacker i EU till följd av covid-19
ENISA (European Union Agency for Cybersecurity) har publicerat sin årliga rapport “ENISA Threat Landscape 2020”. Av rapporten framgår att covid-19 pandemin har förändrat det digitala landskapet och att detta lett till en kraftig ökning av riktade och mer avancerade cyberattacker i EU. Cyberbedrägerier som anspelar på covid-19 har kostat företag och privatpersoner miljontals euro. Vidare har bedrägerier blivit allt vanligare i e-handelsbranschen under pandemin. Bland annat har en ökning skett av falska e-handelsaktörer som inte levererar beställda varor. Även antalet förfalskade webbsidor har ökat, genom vilka cyberkriminella försöker att lura sig till sig konsumenters data och pengar eller sprida malware. Rapporten varnar också för att sofistikerade och riktade ransomware-attacker mot företag ökar och att malware uppdateras i stor omfattning, vilket leder till ökad effektivitet av malware-attacker.
H&M tilldelas över 35 miljoner euro i sanktionsavgift
Den 29 september tilldelades H&M en sanktionsavgift på 35,3 miljoner euro av dataskyddsmyndigheten i Hamburg. Bakgrunden till sanktionsavgiften var att ett av H&M:s servicecenter i Nuremberg sedan 2014 hade ägnat sig åt omfattande övervakning av sina anställda. Detaljerad information om anställda och deras privatliv – såsom information om sjukdomar, diagnoser, familjeproblem och religiösa uppfattningar – hade samlats in och lagrats digitalt. Vidare hade informationen gjorts tillgänglig för upp till femtio personer i ledande ställning på bolaget. Informationen hade bland annat använts för att sammanställa detaljerade profiler av de anställda för att fatta beslut och vidta åtgärder avseende deras anställningar. Tillsynsmyndigheten ansåg att denna insamling och användning av uppgifterna utgjorde ett särskilt stort intrång i de enskildas rättigheter. Sanktionsavgiften är den största som någonsin utdelats i Tyskland.
Ny vägledning om hur arbetsgivare får behandla personuppgifter
Datainspektionen har publicerat en ny uppdaterad vägledning för hur arbetsgivare kan behandla sina anställdas personuppgifter. Bland annat ges information om vad som gäller för rekryteringssystem och kompetensdatabaser, kameraövervakning på arbetsplatser samt uppföljning av prestationer och annan övervakning av anställda som exempelvis GPS-positionering av fordon. Vägledningen finns tillgänglig här.
Ny lag om tystnadsplikt vid köp av IT-tjänster
Den 1 januari 2021 träder en ny lag i kraft om tystnadsplikt för privata tjänsteleverantörer. Lagen gäller när en myndighet genom utkontraktering uppdrar åt en tjänsteleverantör att endast tekniskt bearbeta eller lagra uppgifter. Typiskt sett gäller lagen t.ex. när en myndighet använder sig av en molntjänst. Den nya lagen förväntas förenkla upphandlingen av IT-tjänster i offentlig sektor. Detta eftersom uppgifter från en myndighet som hanteras av en privat tjänsteleverantör får ett sekretesskydd som är likvärdigt med det som gäller när en annan myndighet tillhandahåller motsvarande tjänst.
Datainspektionen blir Integritetsskyddsmyndigheten, IMY
Den 1 januari 2021 byter Datainspektionen namn till Integritetsskyddsmyndigheten på svenska och Swedish Authority for Privacy Protection på engelska. Förkortningen på myndigheten blir IMY. Myndighetens webbplats kommer från årsskiftet att nås via www.imy.se.
DELA MED EN VÄN
Om du uppskattade det här nyhetsbrevet, skicka det gärna till en kollega eller vän. Dela på Facebook, Twitter, LinkedIn eller e-post.
FRÅGOR?
Vill du veta mer om någon av nyheterna eller gav de upphov till andra frågor? Du får gärna kontakta någon av oss eller din vanliga kontakt på Lindahl.