I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!
Handen i kakburken – samtycke vid användning av cookies
I oktober 2019 slog EU-domstolen fast att cookies kräver ett ”aktivt” samtycke från användaren. I kombination med den ökade uppmärksamhet som cookies har fått av flera europeiska tillsynsmyndigheter under det senaste året, innebär det att det är hög tid för webbplatsinnehavare att se över användningen av cookies på sina webbplatser. I den här artikeln reder vi ut när och hur man behöver inhämta samtycke för cookies och vilka risker som finns om man skulle bli tagen på bar gärning med handen i kakburken.
Personuppgiftskoll – sanktionsavgifter i Sverige och EU
● Datainspektionen meddelade i augusti 2019 det första tillsynsbeslutet med sanktionsavgift enligt dataskyddförordningen. En gymnasieskola i Skellefteå hade på försök registrerat elevers närvaro på lektioner genom ansiktsigenkänning via kamera. I beslutet konstaterade Datainspektionen att ansiktsigenkänningen inneburit kamerabevakning av eleverna i deras vardagliga miljö, att det varit ett intrång i deras integritet och att närvarokontroll kunde gjorts på andra sätt som var mindre integritetskränkande än ansiktsigenkänning. Sanktionsavgiften blev 200 000 kronor.
● I december 2019 kom Datainspektionens andra sanktionsavgift, denna gång avseende företaget Nusvar som driver sajten mrkoll.se. Företaget bakom mrkoll.se hade behandlat fler uppgifter i större utsträckning än vad som var nödvändigt samt agerat i strid med kreditupplysningslagen. Sanktionsavgiften bestämdes till 35 000 EUR.
● Datainspektionens tillsyn har i övrigt omfattat en kameraövervakning som skett utan rättslig grund (ingen sanktionsavgift) och Uppsala kommuns Omsorgsnämnd samt Äldrenämnds hantering av journalsystem (ingen sanktionsavgift). Bristerna avsåg bland annat undermålig behörighetskontroll både i administrativt och tekniskt hänseende.
● Sanktionsavgifter döms ut även i övriga Europa. I december 2019 och januari 2020 har till exempel sanktionsavgifter utdömts med 11,5 miljoner EUR i Italien, 275 000 GBP i Storbritannien, 9,5 miljoner EUR i Tyskland och 50 000 EUR i Norge.
Hur blir det med brexit då?
Dataskyddsförordningen gäller fortfarande i Storbritannien även efter Brexit, i vart fall under övergångsperioden som varar resten av år 2020. Därefter är planen att dataskyddsförordningen ska bli nationell lag. Exakt hur det kommer se ut är enligt den brittiska tillsynsmyndigheten ICO däremot inte riktigt klart.
Lök på laxen - sanktionsavgift och stort skadestånd efter hackerattack?
Sedan dataskyddsförordningen klubbades igenom har det varit stort fokus på de sanktionsavgifter som kan dömas ut. Kanske kommer dessa snart att få konkurrens av en annan företeelse. I höstas inleddes nämligen en så kallad grupptalan i Storbritannien, grundad på att personuppgifter läckt efter en cyberattack mot kreditratingbolaget Equifax år 2017. Equifax fick efter händelsen 5 miljoner kronor i sanktionsavgift av tillsynsmyndigheten i Storbritannien (dåvarande maxbelopp innan GDPR) men de personer som drabbades av läckan har nu gått samman och begär tillsammans över en miljard kronor i skadestånd av bolaget.
Samma sak har hänt British Airways vars kunder efter en hackerattack fick sin betalningsinformation skimmad när de försökte göra bokningar. Tillsynsmyndigheten i Storbritannien överväger en sanktionsavgift om 183 miljoner GBP, men har ännu inte fattat slutligt beslut. Klart är i alla fall ett en grupptalan mot bolaget inleddes i oktober 2019, precis som för Equifax.
Dessa två krav för överträdelser av personuppgiftslagstiftningen är några av de första i sitt slag och vi följer utfallet med stort intresse. I Sverige är grupprättegångar fortfarande en sällsynt företeelse och nuvarande lagstiftning ger begränsade möjligheter att starta rättegångar i den storlek vi nu ser i Storbritannien. Diskussioner pågår dock på EU-nivå om att utöka möjligheterna till grupptalan för konsumenter och ett direktivförslag är uppe för diskussion. Vad det kommer att få för konsekvenser för svensk del är dock ännu för tidigt att säga.
Datainspektionen i Danmark tar fram mall för personuppgiftsbiträdesavtal
Den danska dataskyddsmyndigheten Datatilsynet fick nyligen som första tillsynsmyndighet godkänt av Europeiska Dataskyddsstyrelsen (EDPB) på sitt förslag till mallavtal för personuppgiftsbiträdesavtal. Mallavtalet kan hittas här. EDPB påpekade dock att det är av yttersta vikt att instruktionerna till personuppgiftsbiträdet om till exempel tekniska och organisatoriska säkerhetsåtgärder specificeras och konkretiseras utöver de generella termer som återfinns i dataskyddsförordningen och i standardavtalsklausulerna. Det är en viktig poäng som även gäller vanliga personuppgiftsbiträdesavtal där vi ofta ser att schablonmässiga beskrivningar används.
Nya striktare riktlinjer för kameraövervakning föremål för hård kritik
I januari 2020 antog EDPB nya riktlinjer om kameraövervakning. Riktlinjerna är ett resultat av en ökad aktivitet från myndigheten riktad mot den stora mängden personuppgifter som finns i videoupptagningar och möjligheterna till missbruk. Ansiktsigenkänningsteknikens landvinningar presenterar också potentiella problem ur integritetssynpunkt.
Av riktlinjerna framgår bland annat att det i regel krävs samtycke vid ansiktsigenkänning där enskilda personer går att identifiera, att reglerna för när det så kallade privatundantaget kan användas blir tydligare och att skyltningen vid kamerabevakning måste bli utförligare.
Förslaget fick under sin remiss omfattande kritik (exempelvis här) för att vara alltför strikt och opraktiskt. Ett exempel är kravet på att det ska finnas en ”real-life situation of distress” för intresseavvägning ska kunna användas som stöd för personuppgiftsbehandling när ändamålet är skydd av egendom. Enligt kritikerna innebär det att till exempel en butiksinnehavare – eller i vart fall en annan butik i grannskapet – först måste bli utsatt för ett rån och sedan noga dokumentera detta för att ha rätt att videövervaka sin butik. EDPB förefaller inte ha tagit till sig av kritiken i någon större utsträckning utan de ändringar som skett sedan remissförslaget är främst redaktionella.
Cybersäkerhetscertifiering – konkurrensfördel eller snart hygienfaktor?
Beställer du ICT-produkter eller tjänster? Eller levererar du dem? Framöver kommer ENISA (Europeiska Cybersäkerhetsbyrån) att etablera cybersäkerhetscertifieringar. Certifieringarna kommer att vara av direkt intresse för leverantörer, men kommer också att ha betydelse för beställare som vill ställa säkerhetskrav i IT-upphandlingar. Den första certifieringen som ENISA ska ta fram rör säkerheten hos molntjänster, men den är ännu under utarbetning och förväntas senare i år. Något krav på att använda certifieringar finns inte i dagsläget men vår uppfattning är att användningen av och kraven på standarder som dessa blir vanligare och vanligare och därmed viktigare för att bibehålla konkurrenskraft.
Får man följa en begäran från amerikanska myndigheter med grund i CLOUD Act?
Överföringar av personuppgifter till USA är fortsatt komplexa vilket bekräftas av en ny analys från EDPB och Europeiska datatillsynsmannen (EDPS). Analysen gäller utlämnande av uppgifter under den amerikanska CLOUD Act efter begäran från brottsbekämpande myndigheter. EDPB och EDPS anser att den personuppgiftsbehandling ett utlämnande innebär saknar stöd i dataskyddsförordningen, så länge ett internationellt avtal inte sluts som skapar en laglig skyldighet att lämna ut informationen för det enskilda företaget. Även andra potentiella problem kvarstår men nämns bara kort i analysen. Företag och myndigheter som har en anknytning till USA eller använder leverantörer med anknytning till USA behöver alltså alltjämt vara noga och göra sin hemläxa vid valet av molntjänstleverantörer. Förhandlingar om just ett sådant internationellt avtal som efterlyses pågår dock och situationen kan ändras snabbt.
Debatten fortsätter angående offentliga aktörers användning av molntjänster
Frågan om molntjänster i offentlig verksamhet har varit föremål för het debatt under lång tid och pågår ännu med oförändrad intensitet. Många offentliga aktörer har eller planerar stora investeringar i till exempel molnbaserade officeprodukter, men får av olika offentliga organ och myndigheter vitt skilda besked om de kan använda sådana tjänster med hänsyn till bland annat offentlighets- och sekretesslagen (OSL). Vissa påstår att lagring av data hos en molntjänstleverantör automatiskt innebär att informationen ska betraktas som "röjd" i OSL:s mening, medan andra menar motsatsen.
Genom införandet av CLOUD Act och liknande lagstiftningar har frågeställningen fått ytterligare en dimension, vilket illustreras inte minst av EDPS och EDPB:s analys som nämnts ovan. I november gav Försäkringskassan sin syn på saken i en vitbok om molntjänster i samhällsbärande verksamhet. Myndigheten förklarade att den med hänvisning till Sveriges ”digitala suveränitet” inte kommer att använda leverantörer som finns i länder med lagstiftning motsvarande CLOUD Act som kan tvinga leverantörerna att lämna ut uppgifter i strid med svensk lagstiftning. USA, Kina, Ryssland och Indien är några exempel på sådana länder.
Tuffare krav på onlineplattformar i EU
Tiden då onlineplattformar kan uppställa vilka användarvillkor de vill är snart förbi. Från och med den 12 juli 2020 ställs en rad nya krav på just onlineplattformar genom ikraftträdandet av den så kallade ”plattformsförordningen”. Det är dock fler aktörer än eBay, AppStore och Amazon som omfattas av lagstiftningen: alla förmedlings- och söktjänster som kopplar ihop företag med slutkonsumenter är en onlineplattform. Detta innebär att den nya förordningen träffar exempelvis prisjämförelsesidor, digitala marknadsplatser och aggregeringssidor där produkter till exempel samlas och rankas samt alla typer av sociala medier. Förordningen innebär bland annat att dessa företag måste ha villkor som är lättbegripliga och lättillgängliga. Vidare uppställer förordningen begränsningar i rätten att ändra användarvillkoren samt att avbryta tillhandahållet av tjänsten. De företag som träffas av förordningen bör redan nu påbörja arbetet med att anpassa sina tjänster, webbplatser och villkor för att möta förordningens krav.
Nya riktlinjer och vägledningar på området
eSamverkansprogrammet (eSam) för offentliga aktörer har uppdaterat sitt uttalande om röjande och molntjänster, sin checklista för myndighetsjurister och tagit fram en vägledning om en juridiskt korrekt digitalisering samt en uppdaterad vägledning om outsourcing och sekretess. Sveriges kommuner och regioner (SKR) har meddelat att de inte står bakom vägledningen om outsourcing.
EDPB har antagit:
● Preliminära riktlinjer rörande tolkning av begreppen ”inbyggt dataskydd” och ”dataskydd som standard”, vilket är krav på att design av enskilda produkter ska befrämja just dataskydd. Samtidigt kommer en ny vägledning avseende IT-säkerhet i medicinsk utrustning, från Medical Device Coordination Group, MDCG.
● Slutliga riktlinjer rörande dataskyddsförordningens territoriella tillämpning och tolkningen av begreppen ”etablerad i unionen” och ”utbjudande av varor till registrerade i unionen” i artikel 3(1) och 3(2).
● Slutliga riktlinjer om fullgörande av avtal som laglig grund för behandling av personuppgifter vid tillhandahållande av onlinetjänster. Särskilt fokus ligger på nödvändigheten i olika situationer. Exempelvis tar riktlinjerna upp att personuppgiftsbehandling för att förbättra tjänsten inte är att betrakta som nödvändigt, även om ett allmänt åtagande om att göra just det finns i tjänstens villkor. Några större förändringar mot tidigare praxis är dock inte avsedda utan artikel 29-gruppens allmänna vägledning om denna rättsliga grund är enligt riktlinjerna fortfarande relevant.
EDPS har antagit riktlinjer för tolkning av begreppen ”personuppgiftsansvarig”, ”personuppgiftsbiträde” och ”gemensamt personuppgiftsansvariga” i dataskyddsförordningen som visserligen endast träffar EU:s institutioner. Begreppen är dock desamma som i den allmänna dataskyddsförordningen varför riktlinjerna ändå är relevanta. EDPS har också, tillsammans med spanska dataskyddsmyndigheten, släppt en rapport om användning av hash-kryptering som pseudonymiseringsverktyg.
ENISA har tagit fram ”best practice” för pseudonymiseringstekniker samt en guide för implementering av säkerhet i IoT-produkter
DELA MED EN VÄN
Om du uppskattade det här nyhetsbrevet, skicka det gärna till en kollega eller vän. Dela på Facebook, Twitter, LinkedIn eller e-post.
FRÅGOR?
Vill du veta mer om någon av nyheterna eller gav de upphov till andra frågor? Du får gärna kontakta någon av oss eller din vanliga kontakt på Lindahl.