Outsourcing av IT i offentlig verksamhet med säkerhetskänslig information / Outsourcing of IT in public operations with security sensitive information

Svensson, Frida

January 2018

Digitaliseringen har fortskridit i snabb takt sedan 60-talet och idag får området anses ha stor betydelse för både politik och juridik. På grund av utvecklingen är det naturligt att förväntningarna på offentlig sektor förändrats. Offentliga verksamheter förväntas idag vara ständigt tillgängliga och tillhandahålla flexibla tjänster med hjälp av tekniska lösningar. Regeringen har även presenterat mål om att Sverige ska vara ledande i världen på att tillvarata digitaliseringens möjligheter. På grund av den digitala utvecklingen finner sig många aktörer i offentlig sektor nödgade att söka hjälp utanför den egna verksamheten. IT-drift är ett exempel på en sådan funktion som kan läggas på en extern aktör för att skapa utrymme att fokusera på kärnverksamheten och leverera det som efterfrågas. En omorganisering som innebär att en intern funktion läggs på en extern aktör, som därefter tillhandahåller funktionen gentemot verksamheten, kallas vanligen för outsourcing. Vid outsourcing i offentliga verksamheter aktualiseras flera juridiska frågor, särskilt avseende vilken information som behandlas i verksamheten och som görs tillgänglig för en leverantör. När hanteringen inte längre sker manuellt och när aktören som behandlar informationen inte omfattas av offentligrättslig reglering uppstår även särskilda risker som behöver hanteras. I uppsatsen redogörs särskilt för den reglering som gäller i verksamheter som hanterar säkerhetskänslig information och de risker som förknippas med information som har ett högt skyddsvärde. Det konstateras att kombinationen av särskilt känslig information och outsourcing ger upphov till särskilda intressemotsättningar. I detta läge hamnar offentliga verksamheter i en svår situation och lösningar som kan minska informationssäkerhetsriskerna men möjliggöra fortsatt digitalisering är därför värda att utvärdera. Lagstadgad tystnadsplikt för leverantörer, centraliserade IT-tjänster och kryptering är lösningar som kan hjälpa till i denna problematik. Centralisering av IT framstår vara en åtgärd som sannolikt kan underlätta för verksamheter som hanterar säkerhetskänslig information.

outsourcing

IT

offentlig upphandling

sekretess

GDPR

säkerhetsskydd

informationssäkerhet

LUFS

SUA

Law

Juridik

Myndigheters etablering i sociala medier : rättsliga aspekter

Rehn, Disa

January 2017

Den offentliga maktens ökade synlighet på sociala medier leder till rättsliga problem, utmaningar och komplicerade ställningstaganden. Det finns därför ett behov av att utreda rättsläget och att kommentera de rättsliga utmaningar som myndigheterna står inför. För att uppnå syftet med uppsatsen tillämpas  en kombination av rättsdogmatisk, rättsanalytisk och rättsinformatisk metod. Dessa rättsvetenskapliga metoder har även styrt materialvalet.    Analysen visar att inlägg och kommentarer på myndigheters sociala medier blir allmänna handlingar. Särskilda svårigheter uppkommer dock när det gäller länkning, myndigheters bevakning av utomståendes sociala medier samt när en tjänsteman ska anses agera för myndighetens räkning. Offentlighetsprincipen ställer även krav på myndigheters dokumentering och hantering av inlägg. Under vissa omständigheter ska inlägg gallras, vilket kan bli svårt att genomföra när inläggen inte finns på myndighetens egen server. Av integritetshänsyn är det problematiskt att uppgifter om enskilda kan finnas kvar hos en tjänsteleverantör.      När EU:s dataskyddsförordning (GDPR) blir tillämplig den 25 maj 2018 kommer myndigheter att få fler regler att förhålla sig till när de behandlar personuppgifter i sociala medier. Integritetsskyddet kan då komma att förstärkas.     För myndigheter är sociala medier även en värdefull plattform för att nå ut till allmänheten med information, vägledning och råd. Samtidigt uppstår gränsdragningsproblem mellan vad som utgör rådgivning respektive myndighetsutövning. Ytterligare frågeställningar rör myndigheters utredningsskyldighet när det gäller information om enskilda som finns på sociala medier. Myndigheters opartiskhet och objektivitet riskerar att rubbas om myndigheter slumpmässigt letar efter information om enskilda på sociala medier. Samtidigt är myndigheter skyldiga att beakta sådan information som är av betydelse för ett ärende. Det är därför av vikt att myndigheter har rutiner för hur ärendehandläggningen ska gå till, utan att balansen mellan effektivitet och legalitet rubbas. / As a result of the increased activity on social media by the public authorities, there are legal problems, challenges and complicated standpoints. Therefore, there is a need to examine the legal situation and comment on the legal challenges that authorities face. In order to achieve the aim of this essay, a combination of the methods legal dogmatics, legal analytics and legal informatics will be used. The analysis demonstrates that posts and comments on authorities’ sociala media platforms become official documents. However, difficulties arise regarding hyper linking, authorities’ monitoring of social media belonging to a third party, as well as the question of when a public official should be considered to act on behalf of the authority. The Swedish principle of openness also requires that posts and comments are documented and handled correctly. In some circumstances, posts also need to be erased, which can be difficult when they are stored on an external server. This imposes specific problems in terms of integrity. When the General Data Protection Regulation (GDPR) will be applicable from 25 March 2018, authorities will be faced with more rules regarding the publishing of personal data on social media. As a result, the protection of individuals’ integrity may increase. For public authorities, social media is a valuable platform used to reach out to citizens with information, advice and guidance. At the same time, there is sometimes a fine line between guidance and exercise of public authority. Further questions regard the obligation of administrative authorities to perform investigations. While the objectivity and impartiality of the authorities could be threatened if information about individuals is arbitrarily seeked out on social media, administrative authorities are obliged to consider all information that could be of importance to a case. Thus, it is crucial that authorities have procedures to ensure a transparent and proper administration, without disturbing the balance between efficiency and lawfulness.

rättsinformatik

offentlighetsprincipen

sekretess

integritetsskydd

GDPR

förvaltningsrätt

offentlig rätt

internet

sociala medier

myndigheter

personuppgifter

Law

Juridik

Dataskyddsförordningens påverkan ur ett budgivningsperspektiv

Bergkvist, Caroline, Klevstig, Malin

January 2018

Denna rättsvetenskapliga uppsats reder ut hur fastighetsmäklarens skyldigheter förändras ur ett budgivningsperspektiv efter införandet av dataskyddsförordningen (GDPR) den 25e maj 2018. Budgivningen är inte i någon större utsträckning reglerad i lag vilket har gjort att bedrägeri i form av falska bud har uppkommit i praxis. Som ett resultat av detta har krav på upprättande av anbudsförteckning införts för mäklaren. Eftersom GDPR är en rättsakt som ännu inte har trätt i kraft är detta en explorativ studie där vi undersöker hur införandet kommer att påverka fastighetsmäklaren. Syftet med GDPR är att skydda och reglera flödet av personuppgifter för EU-medborgarna, ett flöde som ökar kraftigt på grund av globaliseringen och den teknologiska utvecklingen. GDPR är en EU-förordning och dess bestämmelser ska tillämpas direkt av respektive medlemsstat. Förordningen ställer höga krav på samtliga aktörer inom unionen som behandlar personuppgifter, däribland fastighetsmäklare och mäklarföretag. Huvudbegreppet inom förordningen som är av störst betydelse för hur mäklarens arbete förändras är personuppgiftsansvarig. Det råder skiljaktigheter huruvida det är mäklaren eller mäklarföretaget som är personuppgiftsansvarig och vår slutsats är därför att det finns två svar på syftet. Om det är den enskilda mäklaren som är personuppgiftsansvarig finns en rättslig skyldighet för mäklaren enligt fastighetsmäklarlagen som gör att mäklaren inte behöver ta in samtycke från budgivarna för att få behandla deras kontaktuppgifter i en anbudsförteckning. Är det istället mäklarföretaget som är personuppgiftsansvarig finns det ingen rättslig skyldighet som gör att budgivarnas personuppgifter får behandlas. Detta gör att ett entydigt samtycke måste tas in från budgivarna där det på ett lättförståeligt sätt framgår vad uppgifterna kommer att användas till och där de även ska få information av personuppgiftsansvarige hur samtycket kan återkallas. Eftersom denna tolkningssvårighet råder uppmanar vi den enskilde fastighetsmäklaren och mäklarföretaget att inhämta samtycke vid hantering av budgivares personuppgifter. / This legal paper studies the impact of the new EU regulation GDPR on Swedish real estate brokers responsibility when it comes to the bidding. GDPR is an attempt to protect the integrity of the EU residents due to the increasing flow of personal data within and outside the union. The bidding process in Sweden is associated with problems since the bidders often feel that false bidders occur. In order to minimize the risk of false bidding, national law forces the broker to create a list of all bids that are put on a house or apartment along with name of the bidder, information on how to contact him or her, when the bid was made and if there are any conditions attached to the bid. This list is then given to the seller and the buyer. National law on processing personal data has not been an obstacle for the broker to fulfil this duty but we have learnt that GDPR might be. There are different points of view on whether it is the broker or the broker firm that is responsible for the personal data that is processed within the company. If the broker is responsible its legal responsibility will enable him or her to process personal data without consent from the bidders but if the broker firm is responsible, consent must be given by the bidders in order for the broker to create the bidding list and in that way fulfil their duties associated with the bidding. Since there are different ways to interpret this our conclusion is that consent from the bidders should be acquired.

Anbudsförteckning

Budgivning

Dataskyddsförordning

fastighetsmäklare

fastighetsmäklarlagen

GDPR

personuppgifter

personuppgiftsansvarig

Social Sciences

Samhällsvetenskap

Den ofredade sfären : En studie om digital integritet och i vilken mån skydd av denna inskränker den enskilde individens rätt till självbestämmande / Protection of Digital Integrity : The extent to which it infringes on personal autonomy

Lindeberg Sandahl, Lisa

January 2020

The increasing digitalization of society has led to new legal issues related to the protection of personal integrity, particularly the protection of personal data. Digitalization allows for greater possibilities for private individuals to access the personal data of others. As the General Data Protection Regulation (GDPR) is not applicable on treatment of personal data by individuals, there is a risk of a loophole forming allowing breaches of personal integrity committed by individuals.                        This paper clarifies the meaning of the term ‘personal integrity’ in a digital context, focusing on how digital integrity is separate from physical integrity, and which key elements constitute personal integrity, be it physical or digital. The paper also discusses how the term previously has been used in legal documents, notably in the UDHR, the EU Charter (focus on dignity) and Swedish legislation (focus on the personal sphere). Furthermore, the paper examines whether the protection of personal integrity can motivate an infringement of the right to personal autonomy of the individual in question.                        The discussion on personal integrity is followed by an analysis of the protection on a physical and digital level respectively in order to clarify whether the different protections can be considered equivalent, and to what extent it would be appropriate for them to be so. This is done taking into account that strengthening protections of personal information would require limiting the individual’s right to autonomy, which in turn infringes upon their dignity.                       The consequences that can arise by an intrusion of the digital integrity can be serious, wherefore one could argue that the protection thereof should be as strong as the protection from intrusions of the individual’s physical integrity. Should the consequences of intrusion of personal integrity be as strong on both the physical and digital level, then the protection of digital integrity may need to be strengthened. This could potentially require further infringements of the individual’s right to autonomy. Such an infringement must therefore always be preceded by an appropriate proportionality assessment, aiming to find a solution minimizing the total infringement on the rights of the individual.

privacy

personal integrity

personal data

digitalization

human dignity

personal autonomy

GDPR

Law

Juridik

Kulturpresentations blogg webbplats

Mohsen, Mohsen

January 2020

This report describes a website that will be created for alsunnah. Alsunnah is a private non-profit organization that helps the Muslims living in Sweden especially the Muslims living in the Östergötland region with the help of knowledgeable young who have different knowledge to teach people their culture in the right way. The task of this report is to create a responsive website that presents their work in different ways. The working environment and tools that will be used are HTML5, CSS3, Javascript, Jquery, PHP with mysqli server as database which will build all types of tables that belong to the site and with the help of various literature books and lectures that were during the web development learning. / Den här rapporten beskriver en webbplats som kommer skapas åt alsunnah. Alsunnah är ett privat ideella organisation som hjälper de muslimerna som bor i Sverige framför allt de muslimerna som bor Östergötland region med hjälp av kunniga ungar som har olika kunskaper för att lära folk deras kultur på rätt sätt. Uppgiften i den här rapporten är att skapa ett responsiv webbplats som presenterar deras arbete på olika sätt. De arbetsmiljö och verktyg som kommer användas är HTML5, CSS3, Javascript, Jquery, PHP med mysqli server som databas som kommer byggas alla typer av tabeller som kommer tillhöra webbplatsen samt med hjälp av olika litteratur böcker och föreläsningar som var under utbildningen.

HTML5

CSS3

CMS

Javascript

Jquery

PHP GDPR och Mysqli

Computer Engineering

Datorteknik

Privatpersoners syn på GDPR och dess förmåga att skydda deras personliga integritet

Svedberg, Carina, Joof, Jankeh

January 2021

Dataskyddsförordningen GDPR infördes med syfte om att ge privatpersoner större kontroll över sina personuppgifter genom ett flertal rättigheter. Dessa rättigheter är viktiga för privatpersoner att känna till för att kunna uppnå syftet med GDPR. GDPR har även stärkt kraven för hur organisationer ska behandla personuppgifter och har på så sätt givit personer större kontroll över vem som har rätt att behandla deras uppgifter och till vilket ändamål. Men hur ser privatpersoner egentligen på förordningen och dess förmåga att skydda deras personliga integritet? Uppsatsen har som syfte att ta reda på hur privatpersoner ser på GDPR och dess förmåga att skydda deras personliga integritet, därav har en enkät utformats för att samla in data. Insamlade data ger en djupare förståelse om hur personerna utnyttjar sina rättigheter och om det finns faktorer som påverkar deras användande. Från enkätundersökningen har det framkommit att införandet av GDPR inte har lett till att personer i allmänhet känner sig tryggare när de delar personlig information digitalt. Uppsatsen visar dock att kunskap om förordningen verkar vara en viktig faktor både när det gäller att aktivt utnyttja förordningens rättigheter och när det gäller att känna sig tryggare vid delning av personuppgifter. Det verkar dock som att förordningen inte har förmått personer att i högre grad ta kontroll i situationer när de delar med sig av information. Personerna fortsätter att inte läsa användarvillkor och informationen i cookiedialoger och väljer att använda tjänster även om de är osäkra på hur deras personuppgifter behandlas.

GDPR

dataskyddsförordningen

rättigheter

integritet

användarstudie

Information Systems, Social aspects

Överföring av personuppgifter från EU till USA : Särskilt i ljuset av Schrems I och II / Transfer of personal data from the EU to the US : Especially in light of Schrems I and II

Cahn, Henrietta

January 2021

The judgments of the Court of Justice of the European Union (CJEU) in Schrems I and II have raised many questions regarding the circumstances in which personal data can be transferred legally from the EU to the US. Hence, the overarching purpose of this thesis is to examine and analyze these circumstances.  According to article 45 of the General Data Protection Regulation (GDPR), a third country must ensure an adequate level of protection for personal data if it is to be transferred there. A first condition which must be met in order to reach that level is that the EU Commission, when making decisions about whether a third country offers an adequate level of protection, conforms to its competence according to EU law. The level of protection also has a procedural dimension. Furthermore, in order for an adequate level of protection to be reached, there must be limitations on the third country’s possibilities to conduct foreign intelligence surveillance. One problem with the CJEU’s interpretation of the level of protection in Schrems I and II is that it did not clarify under which circumstances exactly a proportionality analysis must be conducted. Another problem that the judgments have given rise to is that an adequate level of protection is very hard to reach for third countries, since it must be essentially equivalent to the level that applies within the EU. The extra-territorial application of the GDPR and the EU level of protection for personal data could also have a limiting effect on international trade.  According to article 46 of the GDPR, standard contractual clauses (SCC’s) can be used to transfer personal data to a third country when the EU Commission has not made a decision under article 45. The CJEU’s judgment in Schrems II has clarified that the determining factor when deciding whether SCC’s are lawful is whether they contain effective mechanisms that make it possible to ensure that the EU level of protection is maintained, and whether transfers of personal data using SCC’s will be stopped or forbidden if the clauses are set aside or impossible to abide by.  According to article 47 of the GDPR, binding corporate rules (BCR’s) can also be used to transfer personal data to a third country. The decision of a supervisory authority to approve BCR’s, however, does not take into account transfers to specific third countries. Anyone who transfers personal data to a third country using BCR’s must therefore decide in each individual case whether the use of the rules will provide a level of protection in the receiving country that fulfills the demands of the GDPR. The CJEU’s conclusions regarding the US level of protection for personal data indicates that a transfer there using BCR’s could be illegal.

GDPR

dataskyddsförordningen

Schrems

Law (excluding Law and Society)

The discourse of surveillance and privacy: biopower and panopticon in the Facebook-Cambridge Analytica scandal

Machova, Tereza

January 2021

The Facebook - Cambridge Analytica scandal came to light in 2018 revealing the problematic surveillance practices, and violations of privacy the companies allowed. The EU has introduced a privacy legislation, GDPR, that came into effect in 2018 shortly after the scandal erupted. Privacy is a key problem with modern technologies, as companies are trying to gain all possible data on individuals. The purpose of this thesis is to explore the surveillance-privacy nexus in the EU. This thesis asked the research question of: How has surveillance, through emerging technologies, affected the EU's ability to protect the right to privacy? To analyse this research question, this thesis used case study and post-structuralist discourse analysis on the recordings of Alexander Nix, CEO of Cambridge Analytica, at a marking festival, and of Mark Zuckerberg at the European Parliament. To analyse the recordings, biopower and panopticon were used as core theoretical tools. Through utilization of the methods and the theoretical tools, the findings of this thesis point to the conclusion that the EU’s ability to protect privacy from surveillance practices was not affected by the modern surveillance technology, and therefore the protection against exploitation of privacy remains low.

biopower

panopticon

surveillance

privacy

accountability

Cambridge Analytica

GDPR

Facebook

Big Data

European Union

Political Science

Statsvetenskap

Osobní údaje jako komodita / Personal data as a commodity

Juřičková, Jelizaveta

January 2021

in English Abstract The thesis aims to fathom different aspects of the commodification of personal data. The topic is an issue of current interest. On one hand, due to the constant improvement of the technology of collecting and processing personal data, individuals are becoming very vulnerable. Techniques of influencing their thinking and decision-making based on their personal data have become so subtle and insidious that they often go unnoticed by the individuals. On the other hand, the development of the data economy can contribute to many goals that benefit society. This paper aims to answer two research questions. The first research question is how to guarantee the secure processing of personal data and to eliminate negative impacts on the subject and on society. The second research question concerns both ensuring adequate access of digital industry to personal data and empowering the data subject. Given the complexity of the issue and the confusion about the meaning and interpretation of basic concepts such as personal data and information, it is necessary to first briefly outline the nature and characteristics of personal data. The next two chapters analyse the legal means to achieve the objectives set out in the research questions. The final chapter provides a summary of recommendations on...

Informační bezpečnost jako ukazatel výkonnosti podniku / Information Security as an Indicator of Business Performance

Gancarčik, Rastislav

January 2017

The content of this thesis is a proposal of methodology for evaluating company's performance in areas of information security, while their performance will be judged based on compliance with standard ISO/IEC 27001:2013, Act no. 181/2014 Coll., Regulation 2016/679 of European Parliament and Directive 2016/1148 of the European Parliament. The proposal of this methodology is designed in a particular company which operates in the Czech Republic.