I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!
Nya standardavtalsklausuler antagna av EU-kommissionen – se till att uppdatera både avtalsmallar och befintliga avtal inom tidsfristerna
Den 4 juni publicerade EU-kommissionen två nya uppsättningar av standardavtalsklausuler. Den ena uppsättningen är tänkt att fungera som personuppgiftsbiträdesavtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde och kan användas antingen fristående eller som del av ett mer omfattande avtal.
Den andra uppsättningen av standardavtalsklausuler är avsedda att användas vid överföring av personuppgifter till länder utanför EU/EES och tillhandahåller en mer flexibel lösning än de tidigare standardavtalsklausulerna. I den nya uppsättningen återfinns både allmänna klausuler och klausuler som är särskilt anpassade till olika överföringssituationer, vilket möjliggör för användaren att välja vilka av de särskilt anpassade klausulerna som är mest lämpliga att använda utifrån de omständigheter som föreligger. Standardavtalsklausulerna kan användas när:
- En personuppgiftsansvarig överför personuppgifter till en annan personuppgiftsansvarig utanför EU/EES
- En personuppgiftsansvarig överför personuppgifter till ett personuppgiftsbiträde utanför EU/EES
- Ett personuppgiftsbiträde överför personuppgifter till ett personuppgiftsbiträde utanför EU/EES
- Ett personuppgiftsbiträde överför personuppgifter till en personuppgiftsansvarig utanför EU/EES
De tidigare standardavtalsklausulerna kan användas i nya avtal i tre månader efter att EU-kommissionens beslut trätt i kraft. Därefter måste nya avtal ingås med de nya standardavtalsklausulerna. De äldre är dock fortsatt giltiga i äldre avtal under en övergångsperiod om 15 månader från att de äldre upphävs (totalt 18 månader från beslutet). Det är således dags att påbörja arbetet med att avtalsmallar och befintliga avtal.
Ny AI-reglering på ingång
Den 21 april 2021 presenterade EU-kommissionen sitt förslag till en förordning om harmoniserade regler för artificiell intelligens (“AI”). Syftet med förslaget är bland annat att harmonisera regler för AI inom EU, stärka konkurrenskraften och undvika fragmentering på den inre marknaden, säkerställa fri rörlighet av AI-system och skydda grundläggande rättigheter.
Förordningen ska tillämpas på:
- tillhandahållare av AI-system som används på den inre marknaden oavsett om tillhandahållaren är etablerad inom EU eller inte;
- de som använder AI-system som finns inom EU; och
- användare och tillhandahållare av AI-system där det som genereras av AI-systemet används inom EU oavsett om tillhandahållaren eller användaren är etablerad eller befinner sig inom EU eller i tredjeland.
I förslaget presenteras en riskbaserad uppdelning av olika typer av AI-system där vissa system är helt förbjudna och andra är tillåtna under vissa förutsättningar, t.ex. att registrering skett hos ansvarig myndighet. De flesta AI-system, sådana som inte innebär någon, eller liten, risk, får användas utan restriktioner men kan omfattas av tillsynskrav.
Oacceptabel risk
AI-system som anses utgöra ett hot mot människors säkerhet, försörjningsmöjligheter och rättigheter kommer att vara förbjudna. Detta inbegriper AI-system eller tillämpningar som manipulerar mänskligt beteende för att kringgå användarnas fria vilja (t.ex. leksaker som använder röstassistans som uppmuntrar minderåriga till farliga beteenden) och system som stater kan använda för ”social poängsättning”.
Hög risk
AI-system som anses utgöra hög risk är exempelvis AI-system som används i:
- Kritiska infrastrukturer (t.ex. transport), som kan innebära hot mot människors liv och hälsa.
- Säkerhetskomponenter i produkter (t.ex. AI-tillämpningar för robotstöd vid operationer).
- Anställning, arbetsledning och tillgång till egenföretagande (t.ex. mjukvara för sortering av cv:n i samband med rekrytering).
- Väsentliga privata och offentliga tjänster (t.ex. kreditbedömning som innebär att medborgare hindras från att ta lån).
AI-system med hög risk kommer att omfattas av strikta skyldigheter innan de släpps ut på marknaden. Sådana skyldigheter kommer bland annat att inbegripa krav på riskbedömningar och riskreducerande system, detaljerad dokumentation om systemet och dess ändamål samt tydlig och tillräcklig information till användaren.
Begränsad risk
För AI-system som medför begränsad risk kommer särskilda transparenskrav tillämpas. Sådana transparenskrav kommer t.ex. omfatta chattbotar för att användaren ska få information om att den kommunicerar med ett AI-system.
Minimal risk
Alla AI-system som inte medför begränsad eller högre risk kan fritt användas och majoriteten av existerande AI-system bedöms falla under den här kategorin, t.ex. AI-stödda videospel eller skräppostfilter. Utkastet till förordning omfattar inga åtgärder för dessa system, eftersom de utgör en minimal eller obefintlig risk för medborgarnas rättigheter eller säkerhet.
Risk för sanktionsavgifter
Det ankommer på medlemsstaterna att implementera nödvändiga åtgärder för att kunna utfärda sanktionsavgifter för överträdelser av förordningen och för de bolag som inte möter förordningens krav kan det bli dyrt. Förordningen föreslår sanktionsavgifter upp till det högre beloppet av 30 MEUR och 6 procent av föregående års globala omsättning. Storleken på sanktionsavgiften beror bland annat på vilken typ av överträdelse som skett.
Nästa steg
Europaparlamentet och medlemsländerna kommer att behöva anta EU-kommissionens förslag till en europeisk strategi för artificiell intelligens genom det ordinarie lagstiftningsförfarandet. När förordningen antagits kommer den att vara direkt tillämplig i hela EU.
Är europeisk licensiering av amerikansk teknik vägen framåt efter Schrems-II?
Förutsättningarna för att använda amerikanska IT-leverantörer på ett lagligt sätt har diskuterats mycket de senaste åren. Diskussionerna har främst rört det som framkommit om hur amerikanska myndigheter har möjlighet att få tillgång till uppgifter som lagras hos dessa leverantörer. Efter EU-domstolens avgörande i Schrems-II-målet har alla sökt efter lösningar för att kunna fortsätta använda amerikanska tjänster på ett sätt som efterlever EU-domstolens tolkning av dataskyddsförordningen (mer om Schrems-II kan du läsa här).
I samband med att den franska regeringen nyligen offentliggjorde sin nationella strategi för molnet uppger de att känsliga uppgifter kan lagras säkert med användning av amerikansk teknologi – om den är licensierad till eller ägs av franska företag. Hanterade på rätt sätt kan den här typen av lösningar förhoppningsvis möjliggöra användning av amerikanska tjänster i Europa på ett sätt som inte strider mot EU-lagstiftning eller medlemsstaternas nationella lagstiftningar.
Om de amerikanska leverantörerna kommer att erbjuda sådana lösningar och i så fall i vilken utsträckning återstår att se. Vi kommer att följa utvecklingen.
EU Cloud Code of Conduct – den första uppförandekoden enligt dataskyddsförordningen
Den 20 maj godkände den belgiska tillsynsmyndigheten den första uppförandekoden enligt artikel 40 dataskyddsförordningen. Uppförandekoden är anpassad för molntjänstleverantörer och omfattar alla typer av molntjänster – mjukvaror (SaaS), plattformar (PaaS) som infrastruktur (IaaS). Däremot är uppförandekoden begränsad till ”business-to-business” och omfattar således inte tjänster som levereras till konsumenter.
Uppförandekoden ska framförallt underlätta för molntjänstleverantörer att efterleva dataskyddsförordningen och möjliggöra för dessa att visa att de tillhandahåller de garantier som krävs enligt artikel 28 dataskyddsförordningen och kan framförallt vara ett värdefullt verktyg för små- och medelstora leverantörer. Dock har flera stora molntjänstleverantörer, däribland Microsoft, redan meddelat att de ansluter sig till uppförandekoden.
En uppförandekod kan enligt artikel 46 dataskyddsförordningen utgöra en lämplig skyddsåtgärd för överföring av personuppgifter utanför EU/EES. Den här uppförandekoden utgör dock ingen lämplig skyddsåtgärd och kan därför inte användas som sådan. Arbetet pågår dock med att ta fram en särskild modul till koden anpassad för tredjelandsöverföringar.
Läs mer om EU Cloud Code of Conduct här.
Svenska anpassningar till EU:s cybersäkerhetsakt
Det europeiska ramverket för cybersäkerhetscertifiering innebär en möjlighet för tillverkare och leverantörer av informations- och kommunikatiosteknologi (IKT) att upprätta en s.k. EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat som intygar att en viss IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven enligt en europeisk ordning för cybersäkerhetscertifiering. I Sverige föreslås Försvarets materielverk (FMV) bli tillsynsmyndighet. Swedac kommer att vara nationellt ackrediteringsorgan.
Ny vägledning om kamerabevakning
IMY har publicerat en rapport som redovisar myndighetens erfarenheter av att utfärda tillstånd till kamerabevakning. Rapporten innehåller ett antal rekommendationer och ett övergripande förslag på arbetsgång för verksamheter som planerar att kamerabevaka. Dessutom tas ett antal specifika fall av kamerabevakning upp mer i detalj, som exempelvis kamerabevakning i skolor, vårdinrättningar, myndighetslokaler, parkeringar, apotek, skog och mark samt flerbostadshus. Rapporten kan läsas här.
Vill du veta vad man måste tänka på innan man börjar kamerabevaka? Läs vår genomgång av vad som gäller här.
Nya vägledningar, rekommendationer och tillsynsbeslut
- Flera beslut om sanktionsavgifter - läs Integritetsskyddsmyndighetens rapport från granskning av incidenten hos 1177 Vårdguiden
- EDPB har tagit fram rekommendationer för vilken rättslig grund som ska användas för lagring av kreditkortsuppgifter i syfte att underlätta ytterligare transaktioner
- ENISA har tagit fram rekommendationer för att säkerställa cybersäkerhet för självkörande och uppkopplade fordon
Frågor?
Vill du veta mer om någon av nyheterna eller gav de upphov till andra frågor?
Du får gärna kontakta någon av oss eller din vanliga kontakt på Lindahl.
