I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!
Datainspektionen byter namn till Integritetsskyddsmyndigheten
Från och med den 1 januari 2021 har Datainspektionen bytt namn till Integritetsskyddsmyndigheten (IMY). Eftersom det finns ett krav på att det av bolagets information till registrerade bland annat ska framgå att de registrerade har rätt att lämna in klagomål till IMY, kan det finnas behov att göra justeringar i er interna och externa dokumentation avseende behandling av personuppgifter.
I samband med en sådan justering kan det även vara på plats att se över er policy och behandlingen av personuppgifter rent generellt. Ta gärna kontakt med någon av oss eller din vanliga kontakt på Lindahl om ni önskar hjälp med detta.
IMY inleder granskning av kamerabevakning
IMY har i februari i år inlett granskningar av kamerabevakning på två olika företags lager och har för avsikt att särskilt granska om kamerabevakningen används för att övervaka och leda personalen samt om något bildmaterial spelas in. Vi håller er uppdaterade på granskningarna och återkommer i ett nytt nyhetsbrev när IMY har fattat ett beslut.
I denna artikel fördjupar vi oss på temat kamerabevakning och redogör för de krav som gäller för privata företag och vilka bedömningar och överväganden som behöver göras i samband med att ett företag överväger att sätta upp bevakningskameror.
IT-driftsutredningens delbetänkande
Den 15 januari 2021 presenterade den s.k. IT-driftsutredningen delbetänkandet ”Säker och kostnadseffektiv IT-drift – rättsliga förutsättningar för utkontraktering” (SOU 2021:1). I delbetänkandet analyseras bland annat de rättsliga förutsättningarna för statliga myndigheter, kommuner och landsting att utkontraktera IT-drift till privata leverantörer. IT-driftsutredningen behandlar bland annat frågor om tolkningen av när en uppgift ska anses röjd enligt offentlighet- och sekretesslagstiftningen och om det utifrån ett dataskydds- och säkerhetsperspektiv är lämpligt att utkontraktera IT-drift till privata aktörer.
Vi har tidigare analyserat den s.k. Schrems II-domen och dess betydelse för möjligheterna att föra över personuppgifter till tredjeland, vilket ni kan läsa mer om här och här. En intressant del i delbetänkandet är att IT-driftsutredningen bland annat konstaterar att det i förhållande till överföring av personuppgifter till tredjeland är svårt att se att det i en situation som gäller tredjelandsöverföring vid utkontraktering av IT-drift finns några ytterligare säkerhetsåtgärder som kan vidtas som läker de brister som EU-domstolen i Schrems II bedömer finns i amerikansk lagstiftning.
Vad resultatet av IT-utredningen blir är dock ännu inte klart och det slutliga resultatet får vi se när slutbetänkandet redovisas den 15 oktober 2021. Lagändringarna förväntas träda i kraft i januari 2022.
Övergångsbestämmelser om överföring av personuppgifter till UK efter Brexit
I och med Brexit och Storbritanniens utträde ur EU är Storbritannien från och med den 1 januari 2021 att betrakta som tredje land enligt dataskyddsförordningen (GDPR). Överföring av personuppgifter till tredje land får enbart ske i överensstämmelse med bestämmelserna i kapitel V i dataskyddsförordningen.
Den 24 december 2020 kom EU-kommissionen och Storbritannien överens om ett avtal för att från och med den 1 januari 2021 reglera deras förhållande. Avtalet innebär bl.a. att personuppgifter fritt kan överföras från medlemsstater i EU till Storbritannien till och med den 30 juni 2021 utan att bestämmelserna i kapitel V i dataskyddsförordningen är uppfyllda. Detta ska däremot enbart ses som en tillfällig lösning i väntan på ett eventuellt beslut om att Storbritannien har en adekvat skyddsnivå, eftersom avtalet inte utgör något beslut om adekvat skyddsnivå som avses i dataskyddsförordningen. Europeiska kommissionen har påbörjat en sådan process och har upprättat ett utkast till beslut om adekvat skyddsnivå vid överföring av personuppgifter till Storbritannien.
Ett litet steg närmare ePrivacy-förordningen
Vi har tidigare rapporterat om arbetet mot en gemensam ePrivacy-förordning, med regler om skydd av integritet och sekretess vid användning av elektroniska kommunikationstjänster. Den 10 februari 2021 tog EU ett litet steg närmare en gemensam reglering i och med att EU:s medlemsstater enades om ett förhandlingsmandat för Europeiska unionens råd, det s.k. ministerrådet, att inleda samtal med Europaparlamentet om den slutliga texten.
Den nya förordningen, som bl.a. kommer reglera användningen av cookies, är avsedd att tillämpas parallellt med dataskyddsförordningen genom att komplettera och specificera densamma inom de områden som den omfattar. Till skillnad från dataskyddsförordningen kommer dock många bestämmelser gälla för både fysiska och juridiska personer.
Förslaget till Digital Services Act
Den 15 december 2020 presenterades Digital Services Act (DSA) och Digital Markets Act (DMA) i ett reformförslag från EU-kommissionen. Förslagen omfattar digitala tjänster, exempelvis hemsidor, sökmotorer och onlineplattformar som tillhandahålls inom EU. Det gemensamma syftet med DSA och DMA är att förbättra skyddet för konsumenter och deras grundläggande rättigheter på nätet samt skapa mer rättvisa och öppna digitala marknader för alla. Se nedan en kort beskrivning av DSA respektive DMA.
Digital Services Act (DSA)
Enligt DSA kommer bindande EU-omfattande skyldigheter att gälla för alla digitala tjänster som kopplar samman konsumenter med varor, tjänster eller innehåll, vilket även omfattar nya förfaranden för att snabbare ta bort olagligt innehåll samt ett omfattande skydd av användarnas grundläggande rättigheter online. Den nya ramen kommer att omfördela rättigheter och ansvar mellan användare, förmedlingstjänster, plattformar och myndigheter.
Rent konkret kommer DSA innebära att det införs ett antal nya skyldigheter, som graderas noggrant på grundval av tjänsternas storlek och inverkan.
Plattformar som når mer än 10 % av EU:s befolkning (45 miljoner användare) anses vara systemviktiga och omfattas inte bara av särskilda skyldigheter att kontrollera de egna riskerna, utan också av en ny tillsynsstruktur. Denna nya ram för ansvarsskyldighet kommer att bestå av en styrelse av nationella samordnare för digitala tjänster, och EU-kommissionen ges särskilda befogenheter när det gäller tillsynen över väldigt stora plattformar och får möjlighet att direkt vidta sanktionsåtgärder mot dem.
Digital Markets Act (DMA)
DMA behandlar de negativa konsekvenserna av att plattformar fungerar som digitala ”grindvakter” på den inre marknaden. Det rör sig om plattformar som har en betydande inverkan på den inre marknaden och som fungerar som en viktig ingång för företagsanvändare att nå sina kunder och som åtnjuter, eller sannolikt kommer att åtnjuta, en fast förankrad och varaktig ställning. Detta kan ge dem makt att agera som privata beslutsfattare och fungera som flaskhalsar mellan företag och konsumenter. En grindvakt som ägnar sig åt otillbörliga affärsmetoder kan förhindra eller försena att värdefulla och innovativa tjänster från företagsanvändare och konkurrenter når konsumenten. Några exempel på sådana metoder är otillbörlig användning av data från företag som är verksamma på plattformarna, eller situationer där användare låses till en viss tjänst och har begränsade möjligheter att byta till en annan.
I DMA föreslås regler som definierar och förbjuder otillbörliga metoder av grindvakter och som inrättar en tillsynsmekanism som bygger på marknadsundersökningar. Samma mekanism kommer att säkerställa att de skyldigheter som fastställs i förordningen hålls uppdaterade i den ständigt föränderliga digitala verkligheten.
eSam publicerar promemoria om användningen av molntjänster
eSamverkansprogrammet (eSam) har publicerat en promemoria om tekniska förutsättningar för molntjänster. Enligt promemorian bör tre grundläggande principer styra myndigheters arbete med molntjänster för att möjliggöra en lagenlig hantering: (i) endast information som myndigheten godkänt för molntjänsten får hanteras i en sådan tjänst, (ii) molntjänsten eller tillägg till tjänsten ska säkerställa skydd mot möjlig leverantörsinsyn och (iii) molntjänsten ska vara driftsatt i en IT-miljö där myndigheten har kontroll, t.ex. egen container. Promemorian är avsedd att skapa en grundläggande teknisk förståelse och utgöra en grund för bra dialoger mellan olika verksamhetsområden inom en organisation vid införande eller användning av molntjänster.
IMY:s arbete med tillsynsärenden
Under 2020 beslutade IMY om sanktionsavgifter på totalt 150 miljoner kronor. Avgifterna var framförallt riktade mot verksamheter som inte hade följt dataskyddsförordningen.
IMY har även fattat beslut om en ny tillsynspolicy och plan för vilken form av tillsyn (granskningar) som ska genomföras under de kommande två åren. IMY meddelar att huvuddelen av tillsynsärendena under de kommande två åren kommer att avse dataskyddsförordningen och särskilt grundas på klagomål från enskilda personer.
Nya vägledningar/riktlinjer/rapporter:
• IMY har lämnat över sin första integritetsskyddsrapport till regeringen
• EDPB¹ har lämnat nya riktlinjer kring anmälan av personuppgiftsincidenter
• ENISA² har publicerat tre nya dokument:
Vägledning om pseudonymisering
Riktlinjer för cybersäkerhet vid användning av molntjänster inom sjukvården
Rapport om säkerhetsrisker med AI
¹ European Data Protection Board.
² European Union Agency For Cybersecurity
Frågor?
Vill du veta mer om någon av nyheterna eller gav de upphov till andra frågor?
Du får gärna kontakta någon av oss eller din vanliga kontakt på Lindahl.
