Integritet och skydd av persondata - en fallstudie av Uppsala kommun ur ett internationellt perspektiv

Persson, Jon, Jansson, Jesper

January 2015

Vår studie granskar personuppgiftshanteringen i Uppsala kommun och undersöker hur internationella dataskyddsriktlinjer påverkar deras arbete. Vår forskningsmetod är fallstudie och som datainsamlingsmetod utförde vi semistrukturerade intervjuer med personuppgiftsombudet på Uppsala kommun. Vi har sedan analyserat och diskuterat resultaten kvalitativt. De internationella riktlinjer vi studerat mest ingående är EU:s dataskyddsdirektiv, EU:s kommande dataskyddsförordning, OECD:s ”Privacy Framework” och FN:s ”Guidelines Concerning Computerized Personal Data Files”. Vi har även undersökt vilka svenska lagar som påverkar kommunens arbete, främst Personuppgiftslagen. Resultatet av studien är att Uppsala kommuns arbete påverkas i hög grad av EU: direktivet, och i framtiden kommer de påverkas ännu mer av EU: förordningen. Det är dock inte på eget bevåg de valt att följa EU:s riktlinjer, utan det är på grund av att den svenska lagstiftningen är baserad på EU:s regleringar. Personuppgiftslagen är Sveriges tolkning av EU: direktivet. På grund av detta är Uppsala kommun tvungen att anpassa sig efter EU:s riktlinjer.

Uppsala kommun

Integritet

Personuppgifter

Dataskydd

Internationella riktlinjer

Personuppgiftslagen

PUL

EU

OECD

FN

EU:s rättighetsstadga, datalagringsdirektivet och det svenska efterspelet : en fallstudie i ljuset av EU-rättens särdrag

Hassel, Karin

January 2015

No description available.

EU

EU-rätt

EU-stadgan

datalagring

datalagringsdirektivet

personlig integritet

dataskydd

grundläggande rättigheter

proportionalitetsprincipen

konstitutionell rätt

Konsekvensbedömning avseende dataskydd : Riskanalys möter rättighetskrav

Johansson, Stefan

January 2018

The protection of personal data is a question of high priority within the EU. The General Data Protection Regulation (GDPR), which replaces the Directive 94/46/EC on data protection and shall be uniformly applied in the whole union from the 25th of May 2018, is a sign of this. Since the direct roots of the data protection rules and principles that are expressed in the GDPR are to be found in the article 8.1 of the Charter of Fundamental Rights of the European Union and in the article 16.1 of the Treaty on the Functioning of the European Union, the legal position of the protection of personal data as a fundamental human right is clear. Although this position is somewhat modified in recital 4 of the preamble, where it is stated that the protection of personal data is not an absolute right and that it must be considered in relation to its function in society and balanced against other fundamental rights, there should be no doubt that the protection of personal data has a high legal status in the EU. In broad terms, the GDPR could be regarded as an updating of the concept of protection of human rights and freedoms to the realities of the online era. The extent of processing of personal data in the world of today is huge and it continues to grow rapidly. In the GDPR, that processing is regarded as a risk to natural persons’ rights and freedoms.  However, all processing of personal data does not pose the same level of risk to natural persons’ rights and freedoms. The logic of this point has paved the way for the risk-based approach, which plays an important role in determining the responsibilities of the controller and the processor in each individual data processing. The risk-based approach can be expressed as the higher the risk, the higher the security must be. Or, in other words, security measures must follow risk level. The subject matter of this essay is the concept of data protection impact assessment (DPIA), which is regulated by Article 35 of the GDPR. At a certain level of risk, the controller is obliged to carry out a DPIA. There are legal demands to be met, but no explicit method is laid down in the Regulation. The Data Protection Authorities (DPA) of England and France have each developed a method to comply with the demands of Article 35. These methods are examined and their effectiveness in reaching that objective are assessed. The DPA:s of Germany have developed a method to technically operationalize data protection legislation. This method is presented and examined and its capacity as a tool to carry out a DPIA is also assessed. The essay contains two proposals. One in section 2.4 which attempts to clarify the meaning of four commonly used words in data protection terminology. The second proposal is in section 4.1. It compares the legal obligations to be met by data processing that activates the need for a DPIA to the legal obligations of those that do not. The proposal tries to define a work flow which minimizes the extra work if a DPIA has to be carried out. / Konsekvensbedömningar avseende dataskydd är en nyhet inom dataskyddslagstiftning. I dem möts riskanalys och rättighetskrav. Konsekvensbedömningar används sedan tidigare på olika sätt inom andra områden, men för dataskyddslagstiftning är det en konceptuell nyhet. De introduceras i artikel 35 i EU:s nya dataskyddsförordning, även känd som GDPR. Artikel 35 är mycket omfattande och inte helt lättöverskådlig. Samtidigt är den från och med 25 maj 2018 gällande rätt. Det innebär att berörda parter, främst personuppgiftsansvariga och personuppgiftsbiträden, är skyldiga att veta vad artikel 35 innebär för deras del. Underlåtelse att utföra en konsekvensbedömning, eller ett felaktigt utförande, kan medföra administrativa sanktionsavgifter på upp till 10 000 000 euro.  Uppsatsen undersöker och redovisar förutsättningarna för att bygga en rättsligt kvalitetssäkrad modell avseende när och hur en konsekvensbedömning avseende dataskydd ska genomföras, vad den ska innehålla samt hur en sådan modell kan göras skalbar. Uppsatsen söker visa hur och till vilken grad berörda parter med säkerhet kan veta att de uppfyllt sina skyldigheter enligt artikel 35.

GDPR

DPIA

risk

dataskyddsförordningen

konsekvensbedömning

dataskydd

risk

rättslig kvalitetssäkring

Law

Juridik

Fjärde penningtvättsdirektivet och reglerna om kundkännedom : Särskilt med beaktande av reglerna om personuppgifter i den nya dataskyddsförordningen / The Fourth Anti-Money Laundering Directive and the ”Know Your Customer” Rules : Especially with Regard to the New General Data Protection Regulation

Franzén Magnusson, Linnea

January 2017

Penningtvätt är ett ständigt växande problem som kräver effektiva gränsöverskridande åtgärder för att upprätthålla en god finansiell stabilitet. Ett av de mest handfasta och effektiva redskap för banker att tillgå för att förhindra penningtvätt är kundkännedomsprocessen. Under våren 2015 antog EU ett fjärde penningtvättsdirektiv, vilket innehåller förenklade men skärpta krav på när kundkännedomsåtgärder ska vidtas. Direktivet har en ökad betoning på det riskbaserade förhållningssättet, vilket innebär att bankerna ska genomföra riskbedömningar och anpassa kundkännedomsåtgärderna därefter. Under våren 2016 antog EU även en ny dataskyddsförordning, vilken ska ge ett ökat skydd för personlig integritet. Samtidigt som kraven på kundkännedom skärps ska således enskilda personer ges större kontroll över sina personuppgifter. I framställningen behandlas kundkännedomsreglerna och huruvida bankerna kan tillämpa dessa för att arbetet mot penningtvätt ska kunna företas på ett effektivt sätt. Kärnan i kundkännedomsprocessen kan vidare sägas vara insamling och hantering av, ofta känsliga, personuppgifter. Det krävs därmed att bankerna kan utföra kundkännedomsprocessen på ett sätt som inte bryter mot reglerna om personuppgifter. Till följd av detta har systemkonflikten som finns mellan kundkännedomsreglerna och reglerna om personuppgifter analyserats och diskuterats. Av resultatet framgår att kundkännedomsreglerna, särskilt med beaktade av de nya kraven i fjärde penningtvättsdirektivet, innebär ett långtgående krav på bankerna att genomföra korrekta riskbedömningar. En misslyckad övergripande riskbedömning leder till genomgående brister i verksamhetens arbete mot penningtvätt, inte minst vad avser kundkännedomsåtgärderna. Detta innebär en negativ påverkan på regelverkets effektivitet. Vidare förutsätter kundkännedomsreglerna korrekta och kvalitativa riskbedömningar för att säkerställa väl förankrade riskklassificeringar av kunderna, vilka styrker rätten att inhämta personuppgifter i viss omfattning. Systemkonflikten mellan regelverkens motstående intressen försätter bankerna i en svår bedömningssituation där intresset av att bekämpa penningtvätt måste vägas mot intresset av att värna om den personliga integriteten.

Penningtvätt

finansiering av terrorism

fjärde penningtvättsdirektivet

dataskydd

personuppgiftsbehandling

dataskyddsförordning

kundkännedom

PTL

PUL

Law

Juridik

Dejtingappar och integritet : En studie om hur företag hanterar sina användares integritet / Dating apps and privacy : A study about how companies handle their user’s integrity

Nyström, Elvira, Olsson, Louise

January 2019

Previous studies have shown that companies behind applications and websites are using strategic ways of manipulating and misleading their users, often through interface and design. This behavior is described in terms of dark patterns. The main reason for these deceptive ways is to trick users into doing things they may not intended to do from the beginning, for example sharing of personal data and exposing more of their privacy than what is needed for the purpose of the service. Dating through different applications has become a more common way to find love. What these apps usually have in common is the need for gathering personal data from their uses, and in many cases this includes sensitive personal data like sexual orientation. Because of this, the purpose of the study was to examine whether dating apps care for their user’s integrity or also use suspect ways to manipulate through structure, design and content. Five of the most used dating apps in Sweden were observed through a qualitative content analysis with a focus on aspects that are relevant in information architecture. The results showed that all of the apps were using design in manipulative ways and two of them even made it impossible to quit the account after registration. These discoveries really raises questions about whether it is ethical of companies to work in this way and if they care more about their own gain than their users’ integrity.

dejtingappar

integritetspolicyer

informationsarkitektur

dark patterns

personuppgifter

dataskyddsförordningen

inbyggd integritet

dataskydd som standard

Information Studies

Biblioteks- och informationsvetenskap

I hälsans namn : Dataskydd och forskning i det nya hälsolandskapet / In the name of health : Data protection and research in the new health-landscape

Rosendahl, Johannes

January 2021

Hälsoområdet genomgår en omvälvning där såväl gränsen mellan den privata och offentliga sfären, som den mellan hälsoforskning och hälsomarknad håller på att suddas ut. I det nya hälsolandskapet, fyllt av nya aktörer, ny teknik och nya källor till information, är det avgörande med en enhetlig och fungerande dataskyddsreglering, som tar vara på både individuella och samhälleliga intressen. I denna uppsats läggs fokus på mötet mellan EU:s dataskyddsförordning (GDPR) och användningen av big data analys på hälsoområdet. Här visar sig flera rättsliga spänningspunkter. Dataskyddsprinciper, individuella dataskyddsrättigheter och binära kategoriseringar i förordningen framstår som svårförenliga med vidspridd dataanalys och affärsmodeller som bygger på möjligheten att återanvända och kombinera personuppgifter från olika källor. Detsamma kan sägas för GDPR:s fokus på individen, då den registrerades kontroll och självbestämmande över sina personuppgifter försvåras avsevärt i ett algoritmiskt och datadrivet samhälle. I syfte att balansera skyddet av personuppgifter med intresset för innovation, möjliggörs undantag till både dataskyddsprinciper och individuella dataskyddsrättigheter i GDPR när uppgifter behandlas i forskningssammanhang. Genom den särskilda forskningsordningen i GDPR ges på så sätt datadriven forskning ett större spelrum. Samtidigt kan forskningsundantaget komma att försvaga registrerades självständiga beslutanderätt och dataskydd, med följd att balansen mellan å ena sidan registrerades intressen och å andra sidan intressen hos personuppgiftsansvariga, väger tungt till de senares fördel. I GDPR ges utrymme för medlemsstater att införa ytterligare villkor och forskningsundantag i nationell rätt, vilket ökar risken för en fragmentering av EU-rättsliga forskningsrelaterade personuppgiftsfrågor. I längden riskerar detta att utgöra ett hinder för dataintensiv forskning och det fria flödet av personuppgifter i unionen. Den icke-bindande definitionen av vetenskaplig forskning i skäl 159 GDPR visar att begreppet ska tolkas brett men det kvarstår fortfarande oklarheter i omfattningen av den särskilda forskningsordningen. Att dra tydliga gränser i fråga om vilken personuppgiftsbehandling som bör få stödjas på forskningsundantaget försvåras ytterligare av utvecklingen på hälsoområdet, där gränsen mellan hälsoforskning och hälsomarknad blir allt suddigare. Fortsatta avgränsningar och förtydliganden från organ som EDPB och EDPS är därför avgörande för utvecklingen och bibehållandet av en harmoniserad forskningsdefinition.

Juridik

EU-rätt

Dataskydd

Dataskyddsförordningen

GDPR

Hälsa

Forskning

Hälsoforskning

Forskningsundantaget

Law

Juridik

”Uppgifter kan komma att användas för profilering” : En studie över dataskyddsrättsliga hinder mot beteendestyrd marknadsföring. / ”Data may be used for profiling purposes” : A study regarding the limitations data protection law places on behavioral online advertising.

Westling, Jakob

January 2022

No description available.

Dataskydd

beteendestyrd marknadsföring

GDPR

online behavioral advertising

Law (excluding Law and Society)

AI klär dig och integritetsbristen klär av dig

Husovic, Emerald, Osman, Ladan Abdullahi

January 2023

The development of marketing has gone from traditional to digital and then AI-powered marketing. The clothing retailer uses AI to reach out to its customers and personalize the shopping experience. As a result of the increasing use of AI-driven marketing, this study also sheds light on privacy aspects, customers place higher demands on marketers to protect the customer’s personal privacy. The Study aims to explore how digital marketing supported by AI, can convert potential customers into actual customers. The study also aims to explore how marketers can address customer privacy concerns related to the collection of personal data. In order to conduct this study a qualitative method with semi-structured interviews has been applied. Interviews have been conducted with marketing specialists, strategists, and managers within ten different marketing agencies. The study has concluded that customer conversion can be enabled by using AI-powered digital marketing tools to provide the customer personalized shopping experience. AI increases accuracy and precision in marketing, the customer can continuously take advantage of offers that are relevant, which in turn increases the chance of a conversion. When it comes to privacy concerns, the marketers describe that it can be reduced with the help of trust building efforts. A policy that explains what AI is and why it is used creates transparency between company and customer. Marketers also believe that the customer should be rewarded with benefits because the customer shares personal information.

Artificiell intelligens

digital marknadsföring

AI-driven digital marknadsföring

Kundomvandling

kundresa

personifiering

integritet och dataskydd

Business Administration

Företagsekonomi

GDPR:s påverkan på CRM-system : En kvalitativ intervjustudie / GDPR’s impact on CRM-systems : a qualitative interview study

Nilsson, Clara, Andersson, Jenny

January 2022

Den här studien syftar till att undersöka vilken påverkan som GDPR haft på verksamheters krav på säkerhet, integritet och funktionalitet vid behandling av personuppgifter i CRM-system. Den 25:e maj 2018 trädde en ny dataskyddsförordning i kraft och ersatte den tidigare Personuppgiftslagen. Dataskyddsförordningen heter GDPR, kort för General Data Protection Regulations, och innehåller lagar och regler gällande insamling, behandling och lagring av personuppgifter. Lagen inrättades av EU parlamentet och gäller för alla organisationer som är verksamma inom EU. GDPR är något som tidigare publicerad forskning menade skulle komma att få en stor inverkan på alla organisationer som behandlar personuppgifter. Tidigare studier presenterade även många negativa konsekvenser av GDPR, bland annat att lagen är mycket svårtolkad och kommer kräva mycket resurser till det omfattande förändringsarbete som behöver genomföras. För insamling av empiri har fyra semistrukturerade intervjuer genomförts med tre olika verksamheter. Respondenterna som deltagit har valts ut enligt ett ändamålsenligt urval som baseras på deras kunskaper gällande GDPR och CRM-system. Den insamlade empirin har sedan analyserats enligt grundad teoris metod. Grundad teori presenterar även ett handlingsparadigm som utgår från tre metakategorier, förutsättning, handling och konsekvens. Från analysen av empirin har vi dragit slutsatsen att GDPR har påverkat verksamheternas krav på CRM-systemets behandling av personuppgifter, då samtliga intervjuade verksamheterna har uttryckt att de behövt genomgå ett omfattande förändringsarbete. GDPR har ställt högre krav på att skydda privatpersoners integritet vilket har fått till följd att verksamheterna stärkt sina säkerhetsåtgärder. Det i sin tur har påverkat CRM-systemets funktionalitet i termer av att ny funktionalitet har implementerats eller begränsats. Studien har även resulterat i en modell som visualiserar skillnader och likheter mellan tidigare forskning och insamlad empiri. Där framkommer det att tidigare forskning presenterar mer negativa följder av GDPR medan empirin menar att även en del positiva faktorer har mynnat ut från arbetet med att anpassa deras CRM-system till GDPR. / The purpose of this study aims to examine the impact GDPR has had on organizations requirements on security, integrity, and functionality regarding processing personal data in CRM-systems. On the 25:th of May 2018 a new data protection law was established and replaced the previous personal data law (PUL). The new data protection law is called GDPR, which is short for General Data Protection Regulations, and provides regulations and legislation regarding collecting, processing, and storing personal data. GDPR was established by the European Commission and applies to all organizations operating within the EU. Previous research presents theories that GDPR will have a great impact on all organizations that process personal data. Early studies also present various negative consequences that will follow from GDPR, for example the fact that the law is very difficult to interpret and will require plenty of resources for the very extensive change work that needs to take place. To collect empirical data, four semi-structured interviews were conducted with three different organizations. The respondents who participated have been selected according to a purposive sampling based on their knowledge of GDPR and CRM-systems. The analysis of the empirical data has been conducted according to the Grounded Theory Method and its action-oriented paradigm that bases on three categories: conditions, actions and consequences. The conclusions drawn from the analysis is that GDPR has had an impact on the organizational requirements for their CRM-systems processing of personal data, as all the interviewed companies have expressed that they have had to undergo extensive change work. GDPR has placed higher demands on protecting the privacy and integrity of private individuals, which has resulted in companies strengthening their security measures. This in turn has affected the CRM system's functionality in terms of the fact that new functionality has been implemented and some has been limited. The study has also resulted in a model that visualizes differences and similarities between previous research and the empiric results. It appears that previous research presents more negative consequences of the GDPR, while the empirical evidence is that some positive factors have also resulted from the work of adapting their CRM system to the GDPR. This study is written in Swedish.

GDPR

Data protection

CRM-system

GDPR

Dataskydd

CRM-system

Information Systems

Rätten till ersättning för ideella skador enligt GDPR : En analys av rätten till ersättning, grupptalan samt rättsutvecklingens konsekvenser på dataskyddet i EU / The right to compensation for non-material damages according to the GDPR

Persson, Enar

January 2023

The Court of Justice of the European Union (CJEU) recently clarified some fundamental questions regarding the right to compensation under Article 82 of the General Data Protection Regulation (GDPR). The CJEU emphasised the cumulative conditions for the right to compensation, namely, damage resulting from a data breach and a causal link between the two. There are a number of ways in which the GDPR provides a more detailed framework for what should typically constitute damage, how the control of personal data can facilitate the assessment of the concept of damage and how the burden of proof can be interpreted in the light of the purpose of the Regulation. There is no automatic right to compensation and a more detailed assessment must be made under all of the criteria set out in Article 82. In the absence of further case law, I have tried to clarify the applicable law by interpreting the GDPR and the two judgements from the CJEU on the right to compensation. From a procedural point of view, a future with more litigation in the form of representative actions as a result of the Representative Action Directive is likely. The Directive does not change the Swedish representative action rules in any major way, but what is worth noting are the differences between opt-in and opt-out. An opt-in system, such as the Swedish one, may see some increase in the number of representative actions, but in an opt-out system, like the one in the Netherlands, it is likely to see many more representative actions. Uncertainties remain as to whether the opt-out system is compatible with the GDPR, and the CJEU will have to clarify the legal status in the near future. When evaluating the consequences of the legal developments, a potential over- regulation is a risk, while information security is likely to improve. As I see it, the CJEU has two choices to counteract any over-regulation that may arise as a result of legal developments. Either the CJEU can clarify that Article 80 of the GDPR does not allow for an opt-out system, or the CJEU can clarify where the upper limit of the amount of damages in representative actions lies, for example through the principle of proportionality.

dataskydd

GDPR

rätten till ersättning

skadestånd

artikel 82

grupptalandirektivet

grupptalan

Law and Society

Juridik och samhälle