Du använder en utdaterad webbläsare. Detta medför att viss funktionalitet inte fungerar som tänkt. Var god byt webbläsare för en bättre upplevelse.
Till övergripande innehåll för webbplatsen
https://www.nj.se
  • Tjänster

      JUNO

      Juridisk information, utbildning och nyheter samlat på ett och samma ställe..

      • JUNO A-Ö
      • Systemkrav
      Logga in i JUNO

      JUNO för jurister

      • Läs mer om JUNO för jurister
      • Abonnemang

      JUNO för kommuner

      • Läs mer om JUNO för kommuner

      Tilläggstjänster

      • Rättsområdesanalyser
      • Avtalsguiden
      • Affärsinformation
      • E-utbildning
  • Publikationer

      Litteratur

      Juridisk utgivning sedan 1823

      • Titlar A-Ö
      • Sveriges Rikes Lag
      • Kurslitteratur
      • Tidskrifter

      Serier

      • Blå Biblioteket
      • Gula Biblioteket
      • Rödvita serien
      • Lexino
      • Svensk redovisning
      • Alla serier

      Offentliga publikationer

      Direkt från Sveriges myndigheter

      • Titlar A-Ö
      • Senaste nytt
      • Myndigheter
      • Läroplaner
      • Fritzes Kalendrar
  • Utbildning

      Kurser

      • Alla kurser
      • E-utbildning
      • Kursabonnemang

      Nyhetsdagar

      • Arbetsrätt 2022
      • IT-rättsdagen 2022
      • Konsumenträtt 2022
      • Miljörättsdagen 2022
      • Pensionsstiftelser 2022
      • Stiftelser 2022

      Användarutbildning

      • JUNO
      • Avtalsguiden
  • Nyheter
  • Om Oss

      Om oss

      • Vilka vi är
      • Arbeta hos oss

      Våra experter

      • Experter A-Ö
      • Expertportalen

      Ännu mer

      • Nyheter
  • Kontakt

      Kontakta oss

      Här hittar du information om hur du kommer i kontakt med oss på Norstedts Juridik.

      • Vår kontaktinformation

      Support

      Här får du hjälp med tekniska problem eller handhavande rörande våra produkter

      • JUNO
      • Lagboksappen
  • Logga in
      • JUNO
      • JUNO för kommuner
Cart
Search
Menu
https://www.nj.se
19 juni 2019
  • Förvaltningsrätt
  • Yttrandefrihet
  • En ny fas för dataskyddet

  • Förvaltningsrätt
  • Yttrandefrihet
  • För två år sedan skrev Daniel Westman en krönika för Karnov Nyheter som handlade om dataskyddslagstiftningens växande betydelse. Det var då 16 månader kvar till att dataskyddsförordningen (GDPR) skulle börja tillämpas. I efterhand konstaterar han att det blev en hektisk tid.

    Många personuppgiftsansvariga (företag, myndigheter, föreningar etc.) lade ned stora resurser på att inventera sin personuppgiftsbehandling, göra rättsliga analyser, dokumentera, ta fram informationstexter, införa nya rutiner och inrätta en dataskyddsorganisation.

    Även personuppgiftsbiträden, som behandlar personuppgifter för personuppgiftsansvarigas räkning, såg om sitt hus, framför allt i relationen till kraven på säkerhet och de s.k. personuppgiftsbiträdesavtalen som de ska teckna med sin uppdragsgivare.

    Konsulter av olika slag fick bråda dagar. Det gällde förstås i första hand juridiska konsulter, men managementkonsulter, revisorer, IT-säkerhetskonsulter m.fl. såg också en möjlighet att sälja sina tjänster med hänvisning till dataskyddsförordningen. Inom legaltech finns numer också flera aktörer som erbjuder tjänster som är inriktade mot dataskydd.

    Trots att det handlar om en direkt gällande EU-förordning krävdes stora insatser av lagstiftningsmaskineriet. En generellt tillämplig kompletterande dataskyddslag togs fram och den omfattande svenska specialregleringen av vissa personuppgiftsbehandlingar sågs över. Till detta kan läggas ett omfattande arbete med att genomföra det nya dataskyddsdirektivet som rör det straffrättsliga området.

    Sist, men inte minst, Datainspektionen. Myndigheten fick under förra året en ny generaldirektör och många nya medarbetare, men framför allt ett nytt regelverk att förhålla sig till och med det många nya arbetsuppgifter, t.ex. att ta emot rapportering om personuppgiftsincidenter och att samarbeta närmare med andra europeiska tillsynsmyndigheter.

    Den 25 maj förra året blev ett crescendo, med stor uppmärksamhet i media. Alla mejl som personuppgiftsansvariga skickade ut gjorde att ingen längre kunde undgå att det fanns något som hette ”G-D-P-R”!

    Det senaste dryga halvåret har varit betydligt lugnare. I många organisationer har dataskyddet fått minskad uppmärksamhet. Dataskyddsprojekt har stängts. En del av de nya konsulterna har fått mindre att göra och dragit vidare till andra områden.

    Ibland hör man jämförelser mellan GDPR och den s.k. milleniebuggen. Det hände inte så mycket den 25 maj 2018, nu är frågan ur världen och antagligen var mycket av förberedelsearbetet som utfördes onödigt.

    Men att dataskyddets glansdagar redan skulle vara förbi är med största säkerhet en felbedömning. Tvärtom talar mycket för att skyddet för personuppgifter kommer att få en allt större betydelse och att det kommer att innebära utmaningar för befintliga och framtida verksamheter. På sikt kan befintliga affärsmodeller och arbetssätt på vissa områden behöva ändras. Ny särlagstiftning kan behövas för att balansera de intressen som är förknippade med nya tekniska fenomen som artificiell intelligens.

    Låt mig nämna några omständigheter som talar emot liknelsen med milleniebuggen.

    Skyddet för personuppgifter är en grundläggande rättighet enligt EU:s rättighetsstadga och EU-domstolen har i en rad domar givit detta skydd en strikt tolkning. Det finns alltså en stark och stabil normativ grund för dataskyddet.

    Dataskyddsförordningens kraftfulla sanktionsavgifter har nu börjat tillämpats. Än så länge bara av tillsynsmyndigheter i andra länder och överklagande lär naturligtvis ske, men allt talar för att åtminstone omfattande och återkommande överträdelser kommer att bestraffas hårt.

    På senare tid har det dessutom hörts ett allt större ifrågasättande av affärsmodeller som bygger på att personuppgifter uppfattas som en ekonomisk resurs. Diskussionen rör inte bara dataskyddslagstiftningen, utan handlar lika mycket om etik och demokrati. Än så länge förs debatten i relativt snäva kretsar, men vi vet att medborgarnas inställning till digitala fenomen kan skifta snabbt när ett visst synsätt får genomslag.

    Internationellt ökar intresset för dataskyddslagstiftningen. Redan innan dataskyddsförordningen antagits hade över 120 stater en dataskyddslagstiftning, många av dessa har nu påbörjat arbetet med att anpassa lagstiftningen till dataskyddsförordningens skyddsnivå. Det mest intressanta är kanske att staten Kalifornien har antagit en lag som har inspirerats mycket av förordningen. USA har som bekant länge stått utan en heltäckande dataskyddslagstiftning för den privata sektorn, men nu diskuteras en sådan på allvar även på federal nivå.

    Det som krävs nu är att dataskyddsarbetet går in i en mer djupgående fas. Fördjupningen kan ta sig en mängd olika uttryck, men låt mig ge några exempel.

    Många organisationer har genomfört en relativt ytlig anpassning till dataskyddsförordningen. Inte sällan har personuppgiftsbehandlingen inventerats och beskrivits, samtidigt som mer grundläggande förändringsbehov har ignorerats. Exempelvis har informationsutbyten mellan organisationer ibland beskrivits som en personuppgiftsbiträdesrelation, trots att det i själva verket handlar om ett utlämnande, dvs. en behandling, av personuppgifter från en personuppgiftsansvarig till en annan som t.ex. måste prövas enligt de materiella behandlingsreglerna. Datainspektionen har nyligen inlett en granskning just av personuppgiftsansvaret och gränserna till biträdesrollen.

    Att ha genomfört ett GDPR-projekt är naturligtvis positivt, men att bygga en fungerande dataskyddskultur i en organisation är något annat. För det krävs kunskap, resurser och uppbackning från ledningen. Personuppgiftsbehandling är inte en separat företeelse, utan en integrerad del av den övriga verksamheten. Att få de som arbetar med verksamheten att ta ansvar även för dataskyddsfrågorna – givetvis med stöd från specialister – bör därför vara målet. Här kan t.ex. noteras att dataskyddsförordningen kräver att dataskyddet ska byggas in i tekniska och organisatoriska lösningar. Den operativa verksamheten bör i många fall kompletteras med ett dataskyddsombud som ger råd och granskar dataskyddsarbetet. Med ett systematiskt arbete kan dataskyddet gå från läpparnas bekännelse till reellt genomslag.

    I vissa fall innebär ett sådant genomslag att verksamheter och affärsmodeller måste förändras på ett djupgående sätt. Det krävs i dessa fall en fördjupad dialog mellan dataskyddsexperter och de som ansvarar för verksamheten i olika hänseenden. Ett område som jag har arbetat en hel del med under senare år är beteendestyrd online-annonsering. Många organisationer har – ofta utan att förstå den fulla vidden själva – lagt in s.k. pixlar och skript på sin webbplats som samlar in uppgifter om besökarna och skickar dessa till olika typer av tjänsteleverantörer. Att en organisation som använder teknik av detta slag är personuppgiftsansvarig, åtminstone för insamlingen och delningen av uppgifterna, är enligt min mening klart. En närmare analys av den insamling och delning av besökarnas personuppgifter som äger rum inom ramen för många av dagens tjänster visar att organisationen står inför stora utmaningar. Min bedömning är att en stor del av den behandling av personuppgifter som idag pågår inom den beteendestyrda annonseringen inte låter sig förenas med dataskyddsförordningens krav.

    Ett fördjupat förhållningssätt till dataskyddet ställer även krav på balanserade tolkningar. Skyddet för personuppgifter utgör en grundläggande rättighet i EU-rätten och dataskyddsförordningen uppställer strikta krav för när personuppgifter får behandlas och på skyddande åtgärder. Men det måste också beakta att skyddet inte är absolut och att det ofta måste vägas mot andra grundläggande rättigheter och viktiga samhällsintressen. EU-domstolen har i sin praxis slagit vakt om ett starkt skydd för personuppgifter, men samtidigt, t.ex. i relation till ny teknik, gjort tolkningar som syftar till att skapa en rimlig balans. Ett exempel på en sådan balanspunkt är förhållandet mellan dataskyddet och yttrandefriheten.

    Även i den offentliga sektorn krävs ett fördjupat dataskyddsarbete. Såväl vid tillämpningen av det gällande regelverket som i samband med rättsliga reformer finns det ett behov av att ta ett helhetsgrepp över och bättre sammanjämka olika regleringar som påverka behandlingen av information. Idag ligger regleringen av olika typer av informationsobjekt (allmänna handlingar, personuppgifter etc.) och olika typer av behandlingar (arkivering, behandling av personuppgifter etc.) i ”lager” på varandra. Eventuella normkonflikter hanteras normalt genom att den ena regleringen ges företräde, dvs. bestämmelser i den andra regleringen tillämpas inte alls. Detta leder till ”tröskeleffekter” och att funktionellt likvärdiga situationer behandlas på skilda sätt. Ett sådant exempel är den i decennier diskuterade och utredda frågan om utlämnande av allmänna handlingar i elektronisk form.

    Ett område som kräver fördjupad rättslig analys, etiska diskussioner och eventuellt ny lagstiftning är artificiell intelligens (AI). I dataskyddsrättsligt hänseende aktualiserar AI dels frågor om användning av personuppgifter för maskininlärning och skapande av nya algoritmer, dels frågor om användning av AI för att behandla personuppgifter, t.ex. skapa profiler eller fatta automatiserade beslut. Det finns en stor positiv potential i AI, men ofta krävs relativt integritetskänsliga personuppgiftsbehandlingar för att frigöra denna potential och det finns risker för misstag och fel, t.ex. diskriminering, som kan drabba enskilda. Det är därför viktigt att hitta en balanserad tillämpning av dataskyddslagstiftningen på personuppgiftsbehandlingar som knyter an till AI. I vissa fall kan det komma att krävas särreglering för att skapa rätt balans mellan möjligheter och risker.

    För den som är intresserad av dataskydd bortom ”checkbox compliance” ser framtiden ljus ut!



    Av: Daniel Westman, oberoende rådgivare och forskare inom IT- och medierätt.Han är även aktuell som föreläsare på kurser, praktisk tillämpning och fördjupning, hos VJS.

    Ursprungligen publicerad i vår nyhetstjänst: 2018-06-04

    Daniel Westman

    Daniel är specialiserad på IT- och medierätt. Han arbetar bl.a. med dataskydd, upphovsrätt, yttrandefrihet och ansvar på nätet, offentlighetsprincipen samt IT-avtal.Han är verksam som oberoende rådgivare till myndigheter och företag och som doktorand i rättsinformatik. Han är expert i flera statliga utredningar, bl.a. Dataskyddsutredningen.


    Fler artiklar

    Se alla artiklar
    23 maj 2022

    Pekade ut plats för arabisk silverskatt – får ingen ersättning

    • Förvaltningsrätt
    • Övrigt
    13 april 2021

    Svåra avvägningar i plan- och bygglagen – ny bok guidar rätt

    • Miljörätt
    • Offentlig förvaltning
    • Förvaltningsrätt
    • Juridisk litteratur
    • Samhällsplanering
    12 november 2020

    Nya förvaltningslagen – "tydliga direktiv att komma till rätta med långsam handläggning"

    • Offentlig rätt
    • Förvaltningsrätt
    • JUNO lagkommentarer
    https://www.nj.se

    Copyright © 2022 Norstedts Juridik

    Tjänster och produkter
    • JUNO
    • Avtalsguiden
    • Litteratur
    • Offentliga publikationer
    • Utbildning
    • Sveriges Rikes Lag
    Användbara länkar
    • Support
    • Vår webbshop
    • Försäljningsvillkor
    • Privacy center
    • Dataskyddspolicy
    Norstedts Juridik
    • Vilka vi är
    • Kontakta oss
    • Karriär
    • Vårt expertnätverk
    Ämnesområden
    • Arbetsrätt och arbetsliv
    • Associationsrätt
    • Bank- och finansmarknadsrätt
    • Ersättningsrätt
    • Familjerätt
    • Fastighetsrätt
    • Förmögenhetsrätt
    • Miljörätt
    • Immaterialrätt
    • Marknadsrätt
    • Offentlig rätt
    • Processrätt
    • Skatterätt
    • Socialrätt
    • Straffrätt