Riskfördelning mellan personuppgiftsansvarig och personuppgiftsbiträde : -En analys inför ikraftträdandet av GDPR / Risk distribution between controller and processor : -An analysis before GDPR comes into force

Moberg, Amanda

January 2018

GDPR träder i kraft den 25 maj 2018. Syftet med förordningen är bland annat att säkerställa en hög och likvärdig skyddsnivå för enskilda individers fri- och rättigheter avseende personuppgiftsbehandling. Mot bakgrund av att implementeringen av dataskyddsdirektivet, vilken i skrivande stund fortfarande utgör gällande rätt, inte har levt upp till förväntningarna, synes den europarättsliga lagstiftaren ha avsett att ”strama åt tyglarna” med GDPR. Personuppgiftsansvariga åläggs nya skyldigheter. Vidare föreskriver GDPR att personuppgiftsbiträden kan åläggas skadeståndsskyldighet i samma utsträckning som personuppgiftsansvariga. Härutöver implementeras en ny sanktion: administrativa sanktionsavgifter. Dessutom synes de strängare kraven på biträdesavtalets innehåll medföra ett behov för personuppgiftsansvarig och personuppgiftsbiträde att revidera aktuella biträdesavtal för att säkra överenstämmelse med GDPR. Den nya förordningen tycks förorda att personuppgiftsansvarig och personuppgiftsbiträde tillämpar en s.k. riskbaserad strategi. När en risk identifierats, ska denna utvärderas och hanteras på ett i enlighet med GDPR erforderligt vis. Det finns sålunda incitament för personuppgiftsansvarig och personuppgiftsbiträde att vidta risk management-åtgärder i den egna verksamheten, men även i förhållande till en eventuell motpart i ett avtalsförhållande. Förevarande uppsats tillhandahåller förslag på hur den ökade riskexponeringen kan hanteras i enlighet med GDPR och svensk rätt. Uppsatsen behandlar, utöver GDPR i sig, även hur GDPR passar in det svenska rättssystemet i stort och vilka rättsområden som påverkar möjligheten för personuppgiftsansvarig och personuppgiftsbiträde att avvika från GDPR:s riskfördelning. Ett första steg mot en lyckad övergång från dataskyddsdirektiv-överenstämmelse till GDPRöverenstämmelse är givetvis att vara införstådd i det nya regelverket. Nästa steg är att identifiera vilka risker som ikraftträdandet av GDPR medför och huruvida en eller flera av dessa risker kan äventyra verksamheten. När förståelse för regelverket och insikt om riskerna har erhållits, bör personuppgiftsansvarig och personuppgiftsbiträde rikta sitt intresse mot risk management, det vill säga vad nyss nämnda aktörer kan göra för att hantera de identifierade riskerna. Önskar personuppgiftsansvarig eller personuppgiftsbiträdebiträde avvika från GDPR:s riskfördelning med en ansvarsfriskrivning, tillhandahåller uppsatsen information om under vilka premisser en ansvarsfriskrivning kan äga giltighet. GDPR:s regelverk är komplext. Av förklarliga skäl saknas det rättspraxis på området. Utan vägledning från EU-domstolen, är det nödvändigt att åtminstone reflektera och försöka dra slutsatser om vad som komma skall. Det finns inget ”rätt svar” på vad framtiden har att utvisa, vilket förvisso känns betryggande för en snart nyexaminerad affärsjurist, som presenterar ämnet. Anpassningen till GDPR fortgår. Under tiden väljer undertecknad att instämma med de sakkunniga som försökt uttala sig om det i uppsatsen behandlade spörsmålet: det återstår att se hur rättspraxis utvecklas.

Dataskydd

GDPR

dataskyddslagen

riskfördelning

personuppgiftsansvarig

personuppgiftsbiträde

personuppgift

biträdesavtal

Law

Juridik

Anonymiserade databaser : Kan sui generis-skyddet av anonymiserade personuppgifter öka användningen av data i unionen? / Anonymised databases : Can the sui generis protection of anonymised personal data increase the use of data in the Union?

Thelin, Albin

January 2022

Data har beskrivits som en av hörnstenarna i dagens ekonomi och Europeiska unionen har i flera decennier antagit rättsakter som syftat till att skapa en informationsmarknad i unionen. Men flera problem har tornat upp på den inre marknaden. Bland annat har data tenderat att inte användas i tillräckligt hög grad och det har varit svårt för datainnehavare att tillgängliggöra sin data samtidigt som de måste respektera unionens regler om dataskydd. I centrum finns därför två motstående intressen av värdeskapande användning av data och skydd av personuppgifter.  Det här examensarbetet undersöker om användningen av databasdirektivets sui generis-skydd och användningen av dataskyddsförordningens reglering om anonymisering kan vara en lämplig lösning på unionens problem. Den första halvan av examensarbetet undersöker dataskyddsförordningens centrala definitioner om vad som är en personuppgift och hur den kan anonymiseras för att undvika förordningens tillämpningsområde. Den andra halvan av examensarbetet behandlar hur man kan skydda de avidentifierade personuppgifterna efter anonymiseringen med en tillämpning av databasdirektivets sui generis-skydd.  Examensarbetets huvudslutsats är att det inte framstår som lämpligt att i nuläget förlita sig på anonymisering som ett rättsligt verktyg för att tillgängliggöra data för vidareanvändning i unionen. Delslutsatserna om anonymisering är för det första att identifieringsrekvisitet i personuppgiftsdefinitionen är relativt och inte absolut i dataskyddsförordningen. För det andra att det är tveksamt om Europeiska dataskyddsstyrelsens krav på att man inte ska kunna dra en slutsats om någon efter anonymisering täcks av rekvisiten i förordningen, och om det därför inte finns berättigade förväntningar att följa deras riktlinjer i den delen. Delslutsatserna om databasdirektivet är för det första att anonymiserade personuppgifter kan skyddas av sui generis och för det andra att en databasproducent kan använda sig av reglerna om normalt bruk och oberättigat kränker legitima intressen för att skydda anonymiseringen när databasen med anonymiserade personuppgifter har tillgängliggjorts.

Law

Juridik

Vilka personuppgifter hos Försäkringskassan är skyddade av sekretess och vilka får lämnas ut?

Lindmark, Petra, Paulsson, Mona

January 2007

<p>I Sverige har varje svensk medborgare rätt att ta del av allmänna handlingar hos myndigheter om handlingarna inte är sekretessbelagda. Att en allmän handling kan skyddas genom sekretess uttrycks i tryckfrihetsordningen där det anges undantag till handlingsoffentligheten som innebär att sekretesslagens regler blir tillämpliga.</p><p>I detta arbete har studerats vilka personuppgifter hos Försäkringskassan som är skyddade av sekretess och vilka som får lämnas ut. Av uppsatsen framgår att det är Försäkringskassans handläggare som oftast skall avgöra om en uppgift kan lämnas ut eller inte. I vissa fall kan handläggare dock överlämna sekretessprövningen till myndigheten. Vidare framgår hur bedömningen bör gå till för att kunna avgöra om sekretess skall föreligga. Dessutom finns det några undantag för att information som är sekretessbelagd ändå kan lämnas ut.</p><p>När sekretessprövning utförs av Försäkringskassan utifrån de få riktlinjer som finns blir bedömningarna många gånger skönsmässiga. Anledningen är att riktlinjerna är oklara. Med andra ord innebär det att sekretessbedömningar kanske inte alltid blir korrekt utförda när det saknas klara riktlinjer.</p>

Sekretess

personuppgift

försäkringskassan

sekretesskydd

vilka uppgifter får lämnas ut

sekretesslagen

Public law

Offentlig rätt

Vilka personuppgifter hos Försäkringskassan är skyddade av sekretess och vilka får lämnas ut?

Lindmark, Petra, Paulsson, Mona

January 2007

I Sverige har varje svensk medborgare rätt att ta del av allmänna handlingar hos myndigheter om handlingarna inte är sekretessbelagda. Att en allmän handling kan skyddas genom sekretess uttrycks i tryckfrihetsordningen där det anges undantag till handlingsoffentligheten som innebär att sekretesslagens regler blir tillämpliga. I detta arbete har studerats vilka personuppgifter hos Försäkringskassan som är skyddade av sekretess och vilka som får lämnas ut. Av uppsatsen framgår att det är Försäkringskassans handläggare som oftast skall avgöra om en uppgift kan lämnas ut eller inte. I vissa fall kan handläggare dock överlämna sekretessprövningen till myndigheten. Vidare framgår hur bedömningen bör gå till för att kunna avgöra om sekretess skall föreligga. Dessutom finns det några undantag för att information som är sekretessbelagd ändå kan lämnas ut. När sekretessprövning utförs av Försäkringskassan utifrån de få riktlinjer som finns blir bedömningarna många gånger skönsmässiga. Anledningen är att riktlinjerna är oklara. Med andra ord innebär det att sekretessbedömningar kanske inte alltid blir korrekt utförda när det saknas klara riktlinjer.

Sekretess

personuppgift

försäkringskassan

sekretesskydd

vilka uppgifter får lämnas ut

sekretesslagen

Public law

Offentlig rätt

Protection of Personal Data in Blockchain Technology : An investigation on the compatibility of the General Data Protection Regulation and the public blockchain / Personuppgiftsskyddet i Blockkedjeteknik : En utredning om förenligheten av dataskyddsförordningen och den publika blockkedjan

Wallace, Amelia

January 2019

On 25 May 2018 the General Data Protection Regulation, GDPR, came into force in the EU. The regulation strengthened the rights of the data subjects’ in relation to the data controllers and processors and gave them more control over their personal data. The recitals of the GDPR state that it was the rapid development in technology and globalisation that brought new challenges for the protection of personal data. Private companies and public authorities where making use of personal data on an unprecedented scale in order to pursue their own activities. The protection should be technologically neutral and not dependant on the technique used. This leads to questions on whether the protection that is offered through the GDPR is de facto applicable on all technologies. One particular technology which has caught interest of both private companies and public authorities is the blockchain. The public distributed blockchain is completely decentralized, meaning it is the users who decide the rules and its content. There are no intermediaries in power and the transactions of value or other information is sent peer to peer. By using asymmetric cryptography and advanced hash algorithms the transactions sent in the blockchain are secured. Whilst the interest and use of blockchain is increasing and the GDPR attempting to be applicable on all techniques, the characteristics of the public blockchain must be analysed under the terms of the GDPR. The thesis examines whether natural persons can be identified in a public blockchain, who is considered data controller and data processor of a public blockchain and whether the principles of the GDPR can be applied in such a decentralised and publicly distributed technology. / Den 25 maj 2018 tradde den nya dataskyddsforordningen, GDPR, i kraft i EU vilken slog hardare mot personuppgiftsansvariga och personuppgiftsbitraden an vad det tidigare dataskyddsdirektivet gjort. Med reformen ville EU starka personuppgiftsskyddet genom att ge de registrerade mer kontroll over sina personuppgifter. I skalen till forordningen anges att det var den snabba tekniska utvecklingen och globaliseringen som skapat nya utmaningar for skyddet da privata foretag och offentliga myndigheter anvander personuppgifter i en helt ny omfattning idag. Skyddet bor saledes vara teknikneutralt och inte beroende av den teknik som anvands. Detta oppnar upp for fragor om huruvida skyddet som GDPR erbjuder faktiskt ar applicerbart pa samtliga tekniker. En sarskild teknologi som fangat intresse hos saval privatpersoner som foretag och offentliga myndigheter ar blockkedjan. Den oppet distribuerade blockkedjetekniken ar helt decentraliserad, vilket innebar att det ar dess anvandare som styr och bestammer over innehallet. Nagra mellanman finns inte, utan vardetransaktioner och andra overforingar av information sands direkt mellan anvandare. Genom asymmetrisk kryptografi och avancerade hash algoritmer sakras de overforingar som sker via blockkedjan. Nagot som uppmarksammats under den okande anvandningen och intresset for blockkedjan samt ikrafttradandet av GDPR ar hur personuppgifter bor hanteras i en sadan decentraliserad teknologi, dar inga mellanman kan bara ansvaret for eventuell personuppgiftsbehandling. Flera av den publika blockkedjeteknikens egenskaper bor problematiseras, framfor allt dess oppenhet och tillganglighet for varje person i varlden, samt dess forbud mot rattelse och radering av inlagda data. Denna uppsats behandlar fragorna huruvida fysiska personer kan identifieras i en publik blockkedja, vem som kan anses vara personuppgiftsansvarig och personuppgiftsbitrade i en publik blockkedja, samt om de principer och krav som uppstalls i GDPR kan efterlevas i en sadan decentraliserad och oppet distribuerad teknologi.

General Data Protection Regulation

GDPR

Blockchain

Transparency

Personal Data

Dataskyddsförordningen

GDPR

Blockkedja

Transparens

Teknikneutralitet

Personuppgift

Law

Juridik

Försäkringsskydd för skadeståndsansvar vid dataskyddsöverträdelser : En undersökning av försäkringsvillkorens omfattning och eventuella begränsningar i förhållande till art. 82 GDPR och grupptalan / Insurance coverage for liability in case of data protection breaches : An investigation into the extent and potential limitations of insurance terms in relation to art. 82 GDPR and class action lawsuits

Nahlbom, Robin

January 2024

I uppsatsen utreds försäkringsskyddet för skadeståndsansvar vid dataskyddsöverträdelser. GDPR är den centrala regleringen för personuppgiftsbehandling och fastställer ett antal principer som måste upprätthållas för att den ansvarige ska få behandla personuppgifter. Bryter den ansvarige mot förordningens principer har den registrerade rätt att kräva skadestånd enligt art. 82.1 GDPR. Förordningen fastställer tre kumulativa krav som måste vara uppfyllda för att skadeståndsskyldighet ska föreligga. Det innefattar att en överträdelse av GDPR har skett, att materiell eller immateriell skada till följd av denna överträdelse har uppstått och att det föreligger ett orsakssamband mellan skadan och överträdelsen. Förordningen innehåller även en bestämmelse som tar över medlemsstaternas nationella skadeståndsrättsliga bestämmelser, vilket innebär att GDPR ska tillämpas enligt sin ordalydelse och att de kumulativa kraven enligt art. 82.1 GDPR måste följas. Det innebär att nationella skadeståndsrättsliga begrepp inte bör jämställas med begrepp som framgår av art. 82.1 GDPR eftersom begreppen har tillkommit i en helt annan kontext. Exempelvis översätts i vissa fall materiella och immateriella skador till ekonomiska och ideella skador. Begreppen är inte synonyma och bör inte tillställas samma betydelse eftersom terminologin i art. 82.1 GDPR kan misstolkas. Försäkringsvillkoren som reglerar skadeståndsskyldigheten för dataskyddsöverträdelser och som även hänvisar till art. 82.1 GDPR, innehåller i vissa fall nationella skadeståndsrättsliga begrepp och även andra begrepp som inte framgår av förordningen. Det kan leda till att kongruensen mellan villkorens utformning och förordningens ordalydelse medför tolkningsproblematik vid bedömning om skadeståndsskyldighet föreligger. Därför bör försäkringsvillkoren endast innehålla sådan terminologi som framgår av art. 82.1 GDPR. Dataskyddsöverträdelser medför oftast att en stor grupp människor lider skada varför förordningen tillåter registrerade att föra grupptalan med hjälp av en ideell organisation enligt art. 80 GDPR. Teoretiskt sett kan skadeståndsbeloppen bli högre än försäkringsbeloppen varför det i sådana fall saknas ett försäkringsskydd för grupptalan för den personuppgiftsansvarige. Försäkringsvillkoren anger däremot ingenting om att försäkringen inte täcker ett sådant anspråk. Därmed ställs försäkringsbolagen inför utmaningen att hantera sådana anspråk, varför försäkringen bör uppdateras för att möta skadestånd i en grupptalan vid dataskyddsöverträdelser. / The essay investigates insurance coverage for liability for damages in the event of data protection breaches. GDPR is the central regulation for the processing of personal data and establishes a number of principles that must be upheld for the data controller to process personal data. If the data controller breaches the principles of the regulation, the data subject has the right to claim damages under Art. 82.1 GDPR. The regulation sets out three cumulative requirements that must be met for liability for damages to arise. This includes that a breach of the GDPR has occurred, that material or immaterial damage as a result of this breach has arisen, and that there is a causal link between the damage and the breach. The regulation also includes a provision that supersedes the national tort law provisions of Member States, which means that the GDPR shall be applied according to its wording and that the cumulative requirements under Art. 82.1 GDPR must be followed. This means that national tort law concepts should not be equated with concepts as set out in Art. 82.1 GDPR as the concepts have arisen in a completely different context. For example, in some cases, material and immaterial damages are translated into economic and non-economic damages. The concepts are not synonymous and should not be attributed the same meaning as the terminology in Art. 82.1 GDPR can be misinterpreted. The insurance terms and conditions that regulate liability for damages in the event of data protection breaches and also refer to Art. 82.1 GDPR, in some cases contain national tort law concepts and other concepts that are not evident in the regulation. This may lead to a lack of congruence between the wording of the terms and conditions and the wording of the regulation, resulting in interpretation issues when assessing whether liability for damages exists. Therefore, the insurance terms and conditions should only contain terminology as set out in Art. 82.1 GDPR. Data protection breaches usually result in harm to a large group of people, which is why the regulation allows data subjects to bring a collective action with the assistance of a not-for-profit organization under Art. 80 GDPR. Theoretically, damages awarded may exceed insurance coverage, which means there is no insurance coverage for collective actions for the data controller in such cases. However, the insurance terms and conditions do not specify that the insurance does not cover such a claim. Therefore, insurance companies are faced with the challenge of handling such claims, which is why the insurance should be updated to cover damages in a collective action in the event of data protection breaches.

GDPR

General Data Protection Regulation

protection

Insurances

breach

insurance

Class action lawsuit

terms and conditions

Personal data

Personal data protection

Registered

Privacy protection Insurance

coverage

sum insured

Damages

compensation

Tort law

Material damages

Immaterial damages

Violation

Economic loss

Insurance company

European Union

Personal Data Act

Data integrity

Confidentiality

Confidentiality protection

Information protection

Personal data protection

Insurance contract

Liability for damages

Data controller

DPO

Data processor

Compensation for damages

Claim for damages

Insurance coverage

Principles

Data protection principles

Compliance

Insurance compensation

Tort law Regulation

Directive

Law

Swedish Authority for Privacy Protection

Data protection officer

European Data Protection Board

Article 29 workgroup

Article

Article 82

Data controller responsibility

Sanctions

Administrative fines

Data Protection Directive

Artikel 82

GDPR

Dataskydd

Försäkring

Försäkringar

Databrottsförsäkring

Grupptalan

Försäkringsvillkor

Personuppgift

Personuppgifter

Personuppgiftsskydd

Registrerad

Registrerade

Integritetsskydd

Försäkringsbelopp

Skadestånd

Skadeståndslag

Materiell

Immateriell

Kränkning

Förmögenhetsskada

Försäkringsbolag

Dataskyddsförordningen

EU

Personuppgiftslag

Dataintegritet

Sekretess

Sekretessskydd

Informationsskydd

Personuppgiftsskydd

Försäkringsavtal

Skadeståndsskyldighet

Skadeståndsansvar

Personuppgiftsansvarig

Personuppgiftsbiträde

Skadeståndsersättning

Skadeståndskrav

Försäkringsskydd

Principer

Dataskyddsprinciper

Regelefterlevnad

Försäkringsersättning

Skadeståndslagen

Förordning

Direktiv

Lag

Integritetsskyddsmyndigheten

IMY

Dataskyddsombud

Data

EDPB

Artikel

82

Personuppgiftsansvar

Sanktioner

Sanktionsavgifter

Dataskyddsdirektivet

DPO

Artikel 82 GDPR

Artikel 82

Europeiska unionen

Law and Society

Juridik och samhälle