Informerat samtycke till behandling av personuppgifter på webbplatser : En analys av hur kraven i dataskyddsförordningen kommer att påverka den personliga integriteten i praktiken / Informed consent to processing of personal data on websites : An analysis of how the requirements in the General Data Protection Regulation will affect privacy in practice

Nilsson, Eric

January 2017

Frågan om rätten till personlig integritet är aktuell på ett helt annat sätt idag än den var på 1990-talet. Sedan dataskyddsdirektivet trädde i kraft har behandlingen av personuppgifter ökat exponentiellt. Informationsteknik har möjliggjort en omfattande kartläggning av personers beteenden online. Idag använder många webbplatser funktioner för att samla in och på andra sätt behandla sina besökares personuppgifter. Samtidigt har informationen om personuppgiftsbehandlingen som ges till enskilda på webbplatser i många fall blivit omfattande och komplicerad. Ett av syftena med den nya dataskyddsförordningen är att bygga upp konsumenters förtroende för handel på internet. Förordningen syftar även till att stärka skyddet för enskildas personliga integritet. Bestämmelserna kan anses vara svårtydda, vilket kan leda till att skyddet som bäst blir oförändrat. I ett samhälle som blir alltmer digitaliserat tycks det önskvärt att de moderna reglerna håller vad de lovar, annars kan konsekvenserna bli stora. I denna uppsats diskuteras om dataskyddsförordningens krav på informerat samtycke förbättrar förutsättningarna för ett effektivt skydd för den personliga integriteten. De nya bestämmelserna är mer omfattande men har kritiserats för att vara otydliga, närmare principer i direktiv snarare än direkt tillämplig förordningstext. Bestämmelserna behöver också vägas mot andra rättigheter. Därför kan bestämmelserna om samtycke och informationsplikt leda till ett sämre skydd för enskilde om inte tydlig vägledning ges. Det är därför en risk som kommer behöva beaktas vid tillämpningen av förordningen. Om personuppgiftsansvariga saknar vägledning finns en risk att bestämmelserna i praktiken inte ger enskilda den kontroll över sina personuppgifter som var avsedd.

informed

consent

personal data

processing

data processing

websites

GDPR

general data protection regulation

regulation 2016/679

data protection

privacy

IT law

directive 95/46

data protection directive

informerat

samtycke

personuppgifter

behandling

personuppgiftsbehandling

online

webbplats

dataskyddsförordningen

förordning 2016/679

dataskydd

integritet

IT-rätt

privatliv

EU

personuppgiftslag

PuL

direktiv 95/46

dataskyddsdirektiv

Law and Society

Juridik och samhälle

Návrh metodiky analýzy rizik kritických aplikací v bankovním sektoru / Proposing a Risk Analysis Methodology for Critical Applications in the Banking Sector

Zajíček, Juraj

January 2018

This diploma thesis deals with the problem of risk analysis of critical applications in banking. The sponsor is the bank operating in the Czech Republic. The thesis is based on the theoretical apparatus in the field of information security and legal normatives of the Czech Republic. The thesis analyzes the laws and directives related to the issue of risk analysis, the bank's internal regulations and the previous analyzes carried out in the bank.

Integritet online ur olika generationers perspektiv : En studie om hur generation digital natives & pre-internet värdesätter sin integritet online

König, Lovisa, Romney, Ellen

January 2020

Den digital utvecklingen har gjort att vi idag rör oss i digitala miljöer för att jobba, kommunicera, söka information, shoppa och underhållas. Företag kan idag kan spara, kartlägga, mäta och analysera privatpersoners aktiviteter online vilket ställt högre krav på näringsidkare att hantera denna personliga information korrekt. Ett exempel på detta är GDPR som infördes under 2018. Lagen har lyft frågan om integritet online och gjort gemene man mer medveten om informationsinsamlingen som pågår runt oss då företagen är skyldiga att informera om den. Syftet med denna studie är att se hur två olika grupper, de generationer som har växt upp med internet sen barnsben gentemot de generationer som har tagit till sig internet vid vuxen ålder, resonerar kring integritet online. Vi vill se vilka skillnader/likheter som finns mellan grupperna, ifall det finns faktorer utöver ålder som är avgörande och ifall det finns någon paradox mellan åsikter och agerande i praktiken. I slutändan ämnar vi kunna ge praktiska råd kring hur företag ska kunna hantera konsumenternas integritet online. För att undersöka detta har vi studerat tidigare forskning på området samt gjort fem djupintervjuer inom vardera grupp. Den teoretiska referensramen innehåller teorier om the privacy paradox, medvetenhet kring informationsinsamling, Communication Privacy Management och Customer Relationship Management. Även GDPR och riktad marknadsföring behandlas, vilket sammantaget har ställs i relation till det insamlade materialet från respondenterna. Därefter har vi besvarat vår problemformulering: “Hur resonerar generation digital natives i jämförelse med generation pre-internet kring företags hantering av deras integritet online?” Resultatet av studien visar att det viktigaste för bägge respondentgrupper var att det finns ett relevant och tydligt syfte för att de ska delge sin information, samt ifall de får någon typ av kompensation. Den största skillnaden gick att se i deras delgivningsnormer, där den yngre respondentgruppen kände större press att dela med sig på social media och därmed indirekt till företag. Den mest framstående skillnaden på individnivå gällde medvetenhet kring insamling, där det varierade från respondent till respondent. Bägge grupperna känner dock en oro inför framtiden, då de ofta känner sig övervakade online. Denna oro härleds ur en känsla av maktlöshet och okunskap kring hur de kan skydda sin data. I spår av maktlösheten har många skapat sig en fabricerad trygghet där de i brist på kunskap istället hoppas på att de ska skyddas av lagar, regleringar och att vara “en i mängden”. Utifrån våra slutsatser rekommenderar vi företag att informera konsumenterna när och varför insamling sker, ge kompensation i någon form samt skydda den data de innehar.

Baby-boomers

y

x & z

generations online

GDPR

Consumer privacy online

ePrivacy

Information privacy

The privacy paradox

Concerns for Information Privacy (CFIP)

Privacy fatigue

Integritet online

generations skillnader

persondata online

integritetskränkande aspekter

digitala social normer

riktad reklam

personlig marknadsföring online

Business Administration

Företagsekonomi

Competition and Data Protection Law in Conflict : Data Protection as a Justification for Anti-Competitive Conduct and a Consideration in Designing Competition Law Remedies

Bornudd, David

January 2022

Competition and data protection law are two powerful regimes simultaneously shaping the use of digital information, which has given rise to new interactions between these areas of law. While most views on this intersection emphasize that competition and data protection law must work together, nascent developments indicate that these legal regimes may sometimes conflict.  In the first place, firms faced with antitrust allegations are to an increasing extent invoking the need to protect the privacy of their users to justify their impugned conduct. Here, the conduct could either be prohibited by competition law despite of data protection or justified under competition law because of data protection. In the EU, no such justification attempt has reached court-stage, and it remains unclear how an enforcer ought to deal with such a claim. In the second place, competition law can mandate a firm to provide access to commercially valuable personal data to its rivals under a competition law remedy. Where that is the case, the question arising in this connection is whether an enforcer can and should design the remedy in a way that aligns with data protection law. If so, the issue remains of how that ought to be done. The task of the thesis has been to explore these issues, legally, economically, and coherently.  The thesis has rendered four main conclusions. First, data protection has a justified role in EU competition law in two ways. On the one hand, enhanced data protection can increase the quality of a service and may thus be factored in the competitive analysis as a dimension of quality. On the other, data protection as a human right must be guaranteed in the application of competition law. Second, these perspectives can be squared with the criteria for justifying competition breaches, in that data protection can be invoked to exculpate a firm from antitrust allegations. Third, in that context, the human rights dimension of data protection may entail that the enforcer must consider data protection even if it is not invoked. However, allowing data protection interests to override competition law in this manner is relatively inefficient as it may lead to less innovation, higher costs, and lower revenues. Fourth, the profound importance of data protection in the EU necessarily means that enforcers should accommodate data protection interests in designing competition law remedies which mandate access to personal data. This may be done in several ways, including requirements to anonymize data before providing access, or to oblige the firm to be compliant with data protection law in the process of providing access. The analysis largely confirms that anonymization is the preferable option.

competition law

antitrust

data protection law

GDPR

the charter of fundamental rights

big tech

abuse of a dominant position

objective justifications

efficiencies

article 102 TFEU

consumer welfare

competition remedies

anonymization

big data

personal data

German Facebook Case

Google/Fitbit

konkurrensrätt

konkurrensbegränsning

dataskydd

dataskyddsförordningen

missbruk av dominerande ställning

objektivt rättfärdigande

artikel 102 FEUF

anonymisering

Law

Juridik

Les données personnelles sensibles : contribution à l'évolution du droit fondamental à la protection des données personnelles : étude comparée : Union Européenne, Allemagne, France, Grèce, Royaume-Uni / No English title available

Koumpli, Christina

18 January 2019

La protection des données personnelles sensibles consistait, jusqu'au RGPD, en un contrôle préalable réalisé par une autorité indépendante, malgré l’obstacle posé à la libre circulation. Cette protection renforcée est aujourd'hui remplacée par l’obligation du responsable de traitement d’élaborer une étude d’impact. Une telle mutation implique un risque de pré-légitimation des traitements et peut être favorable au responsable de traitement. Or, est-elle conforme au droit fondamental à la protection des données personnelles ? La thèse interroge le contenu de ce droit et la validité du RGPD. À partir d'une étude comparative allant des années 1970 à nos jours, entre quatre pays et l’Union européenne, les données personnelles sensibles sont choisies comme moyen d'analyse en raison de la protection particulière dont elles font l’objet. Il est démontré qu’en termes juridiques, la conception préventive fait partie de l’histoire de la protection européenne des données et peut donner un sens à la protection et à son seul bénéficiaire, l’individu.Un tel sens serait d’ailleurs conforme aux Constitutions nationales qui garantissent aussi l’individu malgré leurs variations. Cependant, cette conception n’est pas forcement compatible avec l’art. 8 de la Charte des droits fondamentaux de l’UE. La thèse explique que cette disposition contient la garantie d’une conciliation (entre les libertés de l’UE et celles des individus) qui peut impliquer une réduction de la protection de ces dernières. Or, il revient à la CJUE, désormais seule compétente pour son interprétation, de dégager le contenu essentiel de ce droit ; objectif auquel la thèse pourrait contribuer. / Before the GDPR, protection of sensitive personal data consisted of a prior check by an independent authority despite limiting their free movement. This has been replaced by the obligation of the controller to prepare a privacy impact assessment. With this modification, one can assume a risk of pre-legitimization of data processing, putting the controller at an advantage. Is that compatible with the fundamental right to the protectionof personal data ? This thesis questions the content of this right and the validity of the GDPR. It is based on a comparative study from 1970s until present day between four European countries and the European Union, in which sensitive data are chosen as a meanto the analysis due to their particular protection. Research shows that in legal termsthe preventive conception is a part of the history of protection in the European Union. By limiting freedom of processing it gives meaning to protection and its only subject,the individual. Such an interpretation is compatible with National Constitutions despite their variations. However, the preventive conception of data protection is not so easily compatible with article 8 of the European Charter of Fundamental Rights. The thesis puts forward that this article contains the safeguard of a balancing, between EU liberties and individuals’ freedoms, which implicates reduced protection. It is up to the European Court of Justice to identify the essence of this right, an aim to which this thesis could contribute.

Droits fondamentaux

Conciliation

Protection des données personnelles

Article 8 Charte DFUE

RGPD

Données sensibles

Engagement de conformité

Étude d'impact

Contrôle préalable

Déclaration préalable

Délégué à la protection des données

Autorités indépendantes

Droit comparé

Fundamental rights

Balancing

Data protection

Article 8 EU Charter

GDPR

Sensitive data

Accountability

Privacy impact assessment

Prior check

Notification

Data protection officer

Independent authorities

Comparative law

342.085 8

Försäkringsskydd för skadeståndsansvar vid dataskyddsöverträdelser : En undersökning av försäkringsvillkorens omfattning och eventuella begränsningar i förhållande till art. 82 GDPR och grupptalan / Insurance coverage for liability in case of data protection breaches : An investigation into the extent and potential limitations of insurance terms in relation to art. 82 GDPR and class action lawsuits

Nahlbom, Robin

January 2024

I uppsatsen utreds försäkringsskyddet för skadeståndsansvar vid dataskyddsöverträdelser. GDPR är den centrala regleringen för personuppgiftsbehandling och fastställer ett antal principer som måste upprätthållas för att den ansvarige ska få behandla personuppgifter. Bryter den ansvarige mot förordningens principer har den registrerade rätt att kräva skadestånd enligt art. 82.1 GDPR. Förordningen fastställer tre kumulativa krav som måste vara uppfyllda för att skadeståndsskyldighet ska föreligga. Det innefattar att en överträdelse av GDPR har skett, att materiell eller immateriell skada till följd av denna överträdelse har uppstått och att det föreligger ett orsakssamband mellan skadan och överträdelsen. Förordningen innehåller även en bestämmelse som tar över medlemsstaternas nationella skadeståndsrättsliga bestämmelser, vilket innebär att GDPR ska tillämpas enligt sin ordalydelse och att de kumulativa kraven enligt art. 82.1 GDPR måste följas. Det innebär att nationella skadeståndsrättsliga begrepp inte bör jämställas med begrepp som framgår av art. 82.1 GDPR eftersom begreppen har tillkommit i en helt annan kontext. Exempelvis översätts i vissa fall materiella och immateriella skador till ekonomiska och ideella skador. Begreppen är inte synonyma och bör inte tillställas samma betydelse eftersom terminologin i art. 82.1 GDPR kan misstolkas. Försäkringsvillkoren som reglerar skadeståndsskyldigheten för dataskyddsöverträdelser och som även hänvisar till art. 82.1 GDPR, innehåller i vissa fall nationella skadeståndsrättsliga begrepp och även andra begrepp som inte framgår av förordningen. Det kan leda till att kongruensen mellan villkorens utformning och förordningens ordalydelse medför tolkningsproblematik vid bedömning om skadeståndsskyldighet föreligger. Därför bör försäkringsvillkoren endast innehålla sådan terminologi som framgår av art. 82.1 GDPR. Dataskyddsöverträdelser medför oftast att en stor grupp människor lider skada varför förordningen tillåter registrerade att föra grupptalan med hjälp av en ideell organisation enligt art. 80 GDPR. Teoretiskt sett kan skadeståndsbeloppen bli högre än försäkringsbeloppen varför det i sådana fall saknas ett försäkringsskydd för grupptalan för den personuppgiftsansvarige. Försäkringsvillkoren anger däremot ingenting om att försäkringen inte täcker ett sådant anspråk. Därmed ställs försäkringsbolagen inför utmaningen att hantera sådana anspråk, varför försäkringen bör uppdateras för att möta skadestånd i en grupptalan vid dataskyddsöverträdelser. / The essay investigates insurance coverage for liability for damages in the event of data protection breaches. GDPR is the central regulation for the processing of personal data and establishes a number of principles that must be upheld for the data controller to process personal data. If the data controller breaches the principles of the regulation, the data subject has the right to claim damages under Art. 82.1 GDPR. The regulation sets out three cumulative requirements that must be met for liability for damages to arise. This includes that a breach of the GDPR has occurred, that material or immaterial damage as a result of this breach has arisen, and that there is a causal link between the damage and the breach. The regulation also includes a provision that supersedes the national tort law provisions of Member States, which means that the GDPR shall be applied according to its wording and that the cumulative requirements under Art. 82.1 GDPR must be followed. This means that national tort law concepts should not be equated with concepts as set out in Art. 82.1 GDPR as the concepts have arisen in a completely different context. For example, in some cases, material and immaterial damages are translated into economic and non-economic damages. The concepts are not synonymous and should not be attributed the same meaning as the terminology in Art. 82.1 GDPR can be misinterpreted. The insurance terms and conditions that regulate liability for damages in the event of data protection breaches and also refer to Art. 82.1 GDPR, in some cases contain national tort law concepts and other concepts that are not evident in the regulation. This may lead to a lack of congruence between the wording of the terms and conditions and the wording of the regulation, resulting in interpretation issues when assessing whether liability for damages exists. Therefore, the insurance terms and conditions should only contain terminology as set out in Art. 82.1 GDPR. Data protection breaches usually result in harm to a large group of people, which is why the regulation allows data subjects to bring a collective action with the assistance of a not-for-profit organization under Art. 80 GDPR. Theoretically, damages awarded may exceed insurance coverage, which means there is no insurance coverage for collective actions for the data controller in such cases. However, the insurance terms and conditions do not specify that the insurance does not cover such a claim. Therefore, insurance companies are faced with the challenge of handling such claims, which is why the insurance should be updated to cover damages in a collective action in the event of data protection breaches.

GDPR

General Data Protection Regulation

protection

Insurances

breach

insurance

Class action lawsuit

terms and conditions

Personal data

Personal data protection

Registered

Privacy protection Insurance

coverage

sum insured

Damages

compensation

Tort law

Material damages

Immaterial damages

Violation

Economic loss

Insurance company

European Union

Personal Data Act

Data integrity

Confidentiality

Confidentiality protection

Information protection

Personal data protection

Insurance contract

Liability for damages

Data controller

DPO

Data processor

Compensation for damages

Claim for damages

Insurance coverage

Principles

Data protection principles

Compliance

Insurance compensation

Tort law Regulation

Directive

Law

Swedish Authority for Privacy Protection

Data protection officer

European Data Protection Board

Article 29 workgroup

Article

Article 82

Data controller responsibility

Sanctions

Administrative fines

Data Protection Directive

Artikel 82

GDPR

Dataskydd

Försäkring

Försäkringar

Databrottsförsäkring

Grupptalan

Försäkringsvillkor

Personuppgift

Personuppgifter

Personuppgiftsskydd

Registrerad

Registrerade

Integritetsskydd

Försäkringsbelopp

Skadestånd

Skadeståndslag

Materiell

Immateriell

Kränkning

Förmögenhetsskada

Försäkringsbolag

Dataskyddsförordningen

EU

Personuppgiftslag

Dataintegritet

Sekretess

Sekretessskydd

Informationsskydd

Personuppgiftsskydd

Försäkringsavtal

Skadeståndsskyldighet

Skadeståndsansvar

Personuppgiftsansvarig

Personuppgiftsbiträde

Skadeståndsersättning

Skadeståndskrav

Försäkringsskydd

Principer

Dataskyddsprinciper

Regelefterlevnad

Försäkringsersättning

Skadeståndslagen

Förordning

Direktiv

Lag

Integritetsskyddsmyndigheten

IMY

Dataskyddsombud

Data

EDPB

Artikel

82

Personuppgiftsansvar

Sanktioner

Sanktionsavgifter

Dataskyddsdirektivet

DPO

Artikel 82 GDPR

Artikel 82

Europeiska unionen

Law and Society

Juridik och samhälle