Effekterna av GDPR : En jämförelse mellan Personuppgiftslagen och den kommande allmänna dataskyddsförordningen. / The effects of GDPR : A comparison between the Swedish Personal Data Act and the General Data Protection Regulation.

Brink, Johan, Elvland, Erik, Hansson, Patrik

January 2017

Den 25 maj 2018 kommer Personuppgiftslagen (PuL) att ersättas av EU-förordningen GeneralData Protection Regulation (GDPR). Denna studie har granskat vilka skillnader som finnsmellan GDPR och PuL och även hur företag planerar att hantera de förändringar som GDPRkommer att medföra. Även om GDPR i många avseende är lik PuL kommer den nyaförordningen att påverka allt ifrån den enskilda individen till de största organisationerna.Förordningen kommer innebära mer rättigheter och bättre skydd för den registrerade, vilketbetyder att det kommer ställas högre krav på de företag som behandlar personuppgifter. De nya kraven kommer innebära ett omfattande anpassningsarbete inom flera områden. Delskommer det behöva ske administrativa och juridiska förändringar inom verksamheten i form avnya eller uppdaterade avtal. Det kan även komma att krävas tekniska åtgärder för att hanterafrågor som “Rätten att bli glömd”, ”Dataportabilitet”, ”Registerföring” samt det förstärktaskyddet av personuppgifter. Det ställs även krav på att personuppgiftsincidenter måsterapporteras till tillsynsmyndigheten vid upptäckande. Då tillämpningsområdet utökas medfördetta att personuppgifter som lagras ostrukturerat kommer omfattas av lagstiftningen. För attuppnå efterlevnad av förordningen införs krav på att i vissa fall utse ett “Dataskyddsombud” iverksamheten; tillsynsmyndigheten får även befogenhet till att utdöma mycket kraftigasanktioner vid överträdelse av förordningen. Beroende på hur en verksamhets personuppgiftshantering ser ut i dagsläget kan dennaanpassning bli mer eller mindre omfattande. Anpassningsarbetets omfattning påverkas av ettantal faktorer exempelvis under vilka förutsättningar som behandlingen sker i nuläget och ivilken omfattning denna sker. Inställningen till förordningen bland företag är varierande, de som tar den på allvar har insettatt nya krav kommer att ställas på deras verksamheter och har påbörjat arbetet för att anpassasin verksamhet. Andra anser att de inte berörs i samma utsträckning och är därför inte likaoroliga. På det stora hela kommer förordningen göra att personuppgiftsbehandlingen inomEU/ESS blir säkrare även om resan dit kan kosta. / On the 25th of May 2018 the Swedish Personal Data Act (Personuppgiftslagen, PuL) will be replaced by the EU-regulation General Data Protection Regulation (GDPR). The aim of this study was to determine the big differences between PuL and the GDPR while also looking at how organisations plan to handle the changes that the new regulation will bring. PuL and GDPRare in many ways similar but there are some major changes that will affect every person and every organisation within the EU/EES. The regulation will mean better and morecomprehensive rights for the individual, which in turn will result in higher requirements beingput on the companies who process personal data. The new requirements will result in extensive work within several areas to adapt to the new regulation. The legal and administrative sections will need to review their current contracts & agreements and update them if necessary. There may also need to implement technical solutionsto manage the requirements concerning “the right to be forgotten”, “data portability”, “recordkeeping” and the improved protection of personal data. According to the regulationorganisations are required to notify the supervisory authority of any data breach concerningpersonal data. The change in material scope will result in personal data stored in an unstructuredway being covered by the GDPR. To make companies follow the new legislation thesupervisory authority gains the power to levy significant fines if organisations violate the newregulation; in addition some organisations will need to appoint a “Data protection officer”that’ll monitor the processing of personal data. There are several factors that will determine the amount of work required to reach compliance;for example the size of the corporation and the extent of their current processing of personaldata. The attitude to the new regulation vary, those that take the regulation seriously have realisedthat there will be new demands put on their business, and have already started to adapt theirbusiness to reach compliance with the regulation. There are others that deem that they will notbe affected to the same extent and are therefore not as worried. In the great scope of things, theregulation will make the processing of personal data more secure within the EU/EES eventhough the peregrination to reach compliance may turn out to be a costly one.

GDPR

PuL

DSF

General data protection regulation

personuppgiftslagen

allmänna dataskyddsförordningen

Computer Engineering

Datorteknik

Det är inte lagarna som passerar, det är lagarna vi minns : hur företag förbereder sig inför de förändringar som införandet av GDPR innebär

Pettersson, Julia, Brädefors, Maja

January 2018

Den tjugofemte maj 2018 träder EU:s nya dataskyddsförordning i kraft, GDPR, en lag som kommer att ersätta de 20 år gamla reglerna för hantering av personuppgifter i Sverige. Lagen ställer hårdare krav på företags datahantering, vilket kan innebära omfattande förändringar för organisationer som hanterar personuppgifter. Studien syftar till att ge en förståelse för hur företag förbereder sig för de förändringar som GDPR innebär. Resultatet baseras på semistrukturerade intervjuer med tre av de fyra största svenska e-handelsföretagen inom klädbranschen, som alla hanterar personuppgifter. Studien besvarar syfte och forskningsfråga och visar att företagen har en positiv inställning till den nya lagen samt att förberedelserna inletts.

Organisationsförändring

General Data Protection Regulation

GDPR

Dataskyddsförordningen

personuppgifter

Business Administration

Företagsekonomi

Det andra betaltjänstdirektivet och dess påverkan på tredjepartsleverantörer : Särskilt om kundautentisering i förhållande till dataskyddsförordningen / The Second Payment Service Directive and its Effect on Third Party Providers : Especially Regarding the Rules on Customer Authentication in relation to the General Data Protection Regulation

Elbra, Caroline

January 2018

Marknaden för betaltjänster har ökat avsevärt de senaste åren i och med teknikens utveckling och konsumenters ändrade betalningsvanor. Betalningarna har gått från att domineras av kontanter till att idag bestå av kortbetalningar och moderna betaltjänstlösningar via t.ex. mobiltelefoner. I takt med att e-handeln har expanderat och nya leverantörer av betaltjänster har trätt in på marknaden har behovet av ett gemensamt regelverk på EU-nivå för betaltjänster ökat, detta för att samtliga betalningar som sker inom EU ska vara lika effektiva och säkra som nationella betalningar.   Den 13 januari 2018 trädde det andra betaltjänstdirektivet (PSD2) ikraft, vilket syftar till att harmonisera marknaden för elektroniska betalningar och skapa bättre förutsättningar för innovativa, säkra och effektiva betalningar inom EU. I och med införandet av PSD2 utvidgades definitionen av betaltjänster till att innefatta betalningsinitieringstjänster och kontoinformationstjänster, vilka är tredjepartsleverantörer och fungerar som ett mellanled mellan en bank och slutkunden på betaltjänstmarknaden. Marknaden för tredjepartsleverantörer har hittills varit oreglerad, men omfattas nu av PSD2:s tillämpningsområde, vilket gör att tredjepartsleverantörerna kan få tillgång till bankernas kundinformation och kunddata genom öppna applikationsprogrammeringsgränssnitt. Under våren 2018 kommer en ny dataskyddsförordning att träda i kraft, vilken ämnar till att ge ett ökat skydd för den personliga integriteten genom att införa striktare regler angående behandling av personuppgifter.   Uppsatsen fokuserar på tredjepartsleverantörer och hur de påverkas av de nya regelverken och om innovationsmöjligheterna för nya betaltjänster kommer att främjas genom införandet av PSD2. För att kunna se hur tredjepartsleverantörerna påverkas av regelverken kommer uppsatsen fokusera på behandlingen av person- och kontouppgifter för att avgöra om bestämmelserna i PSD2 är förenliga med dataskyddsförordningen. Av uppsatsens resultat går det att utläsa att innovationen av nya betaltjänster fortsättningsvis torde främjas av de nya reglerna i PSD2 och att utvecklingen torde ske i en snabbare takt än tidigare. Det går även att utläsa att reglerna i de båda regelverken till viss del stämmer överens, men även att det finns bestämmelser som är motstridiga.

Det andra betaltjänstdirektivet

PSD2

tredjepartsleverantörer

TPP

dataskyddsförordningen

GDPR

betaltjänster

betaltjänstmarknaden

kundautentisering

personuppgiftsbehandling

personlig integritet

Law

Juridik

Privatpersoners syn på GDPR och dess förmåga att skydda deras personliga integritet

Svedberg, Carina, Joof, Jankeh

January 2021

Dataskyddsförordningen GDPR infördes med syfte om att ge privatpersoner större kontroll över sina personuppgifter genom ett flertal rättigheter. Dessa rättigheter är viktiga för privatpersoner att känna till för att kunna uppnå syftet med GDPR. GDPR har även stärkt kraven för hur organisationer ska behandla personuppgifter och har på så sätt givit personer större kontroll över vem som har rätt att behandla deras uppgifter och till vilket ändamål. Men hur ser privatpersoner egentligen på förordningen och dess förmåga att skydda deras personliga integritet? Uppsatsen har som syfte att ta reda på hur privatpersoner ser på GDPR och dess förmåga att skydda deras personliga integritet, därav har en enkät utformats för att samla in data. Insamlade data ger en djupare förståelse om hur personerna utnyttjar sina rättigheter och om det finns faktorer som påverkar deras användande. Från enkätundersökningen har det framkommit att införandet av GDPR inte har lett till att personer i allmänhet känner sig tryggare när de delar personlig information digitalt. Uppsatsen visar dock att kunskap om förordningen verkar vara en viktig faktor både när det gäller att aktivt utnyttja förordningens rättigheter och när det gäller att känna sig tryggare vid delning av personuppgifter. Det verkar dock som att förordningen inte har förmått personer att i högre grad ta kontroll i situationer när de delar med sig av information. Personerna fortsätter att inte läsa användarvillkor och informationen i cookiedialoger och väljer att använda tjänster även om de är osäkra på hur deras personuppgifter behandlas.

GDPR

dataskyddsförordningen

rättigheter

integritet

användarstudie

Information Systems, Social aspects

Överföring av personuppgifter från EU till USA : Särskilt i ljuset av Schrems I och II / Transfer of personal data from the EU to the US : Especially in light of Schrems I and II

Cahn, Henrietta

January 2021

The judgments of the Court of Justice of the European Union (CJEU) in Schrems I and II have raised many questions regarding the circumstances in which personal data can be transferred legally from the EU to the US. Hence, the overarching purpose of this thesis is to examine and analyze these circumstances.  According to article 45 of the General Data Protection Regulation (GDPR), a third country must ensure an adequate level of protection for personal data if it is to be transferred there. A first condition which must be met in order to reach that level is that the EU Commission, when making decisions about whether a third country offers an adequate level of protection, conforms to its competence according to EU law. The level of protection also has a procedural dimension. Furthermore, in order for an adequate level of protection to be reached, there must be limitations on the third country’s possibilities to conduct foreign intelligence surveillance. One problem with the CJEU’s interpretation of the level of protection in Schrems I and II is that it did not clarify under which circumstances exactly a proportionality analysis must be conducted. Another problem that the judgments have given rise to is that an adequate level of protection is very hard to reach for third countries, since it must be essentially equivalent to the level that applies within the EU. The extra-territorial application of the GDPR and the EU level of protection for personal data could also have a limiting effect on international trade.  According to article 46 of the GDPR, standard contractual clauses (SCC’s) can be used to transfer personal data to a third country when the EU Commission has not made a decision under article 45. The CJEU’s judgment in Schrems II has clarified that the determining factor when deciding whether SCC’s are lawful is whether they contain effective mechanisms that make it possible to ensure that the EU level of protection is maintained, and whether transfers of personal data using SCC’s will be stopped or forbidden if the clauses are set aside or impossible to abide by.  According to article 47 of the GDPR, binding corporate rules (BCR’s) can also be used to transfer personal data to a third country. The decision of a supervisory authority to approve BCR’s, however, does not take into account transfers to specific third countries. Anyone who transfers personal data to a third country using BCR’s must therefore decide in each individual case whether the use of the rules will provide a level of protection in the receiving country that fulfills the demands of the GDPR. The CJEU’s conclusions regarding the US level of protection for personal data indicates that a transfer there using BCR’s could be illegal.

GDPR

dataskyddsförordningen

Schrems

Law (excluding Law and Society)

Dejtingappar och integritet : En studie om hur företag hanterar sina användares integritet / Dating apps and privacy : A study about how companies handle their user’s integrity

Nyström, Elvira, Olsson, Louise

January 2019

Previous studies have shown that companies behind applications and websites are using strategic ways of manipulating and misleading their users, often through interface and design. This behavior is described in terms of dark patterns. The main reason for these deceptive ways is to trick users into doing things they may not intended to do from the beginning, for example sharing of personal data and exposing more of their privacy than what is needed for the purpose of the service. Dating through different applications has become a more common way to find love. What these apps usually have in common is the need for gathering personal data from their uses, and in many cases this includes sensitive personal data like sexual orientation. Because of this, the purpose of the study was to examine whether dating apps care for their user’s integrity or also use suspect ways to manipulate through structure, design and content. Five of the most used dating apps in Sweden were observed through a qualitative content analysis with a focus on aspects that are relevant in information architecture. The results showed that all of the apps were using design in manipulative ways and two of them even made it impossible to quit the account after registration. These discoveries really raises questions about whether it is ethical of companies to work in this way and if they care more about their own gain than their users’ integrity.

dejtingappar

integritetspolicyer

informationsarkitektur

dark patterns

personuppgifter

dataskyddsförordningen

inbyggd integritet

dataskydd som standard

Information Studies

Biblioteks- och informationsvetenskap

DATASKYDDSFÖRORDNINGEN OCH DEN PERSONLIGA INTEGRITETEN : EN KVALITATIV INTERVJUSTUDIE OCH UTVÄRDERING AV DATASKYDDSFÖRORDNINGENS SYFTE.

Ståhl, Albin

January 2020

Dataskyddsförordningen, även kallad GDPR, introducerades år 2016 med spekulationer kring vilka påtagliga förändringar och upplevelser som förordningen skulle komma att ha. Dessa spekulationer är något som ej varit möjliga att konkretisera förrän nu, 2 år efter förordningen trädde i kraft, vilket möjliggör en uppföljning av förordningen för säkerställandet av dess behövlighet. Syftet med studien var således att undersöka GDPR för att se om lagstiftningen upplevs upprätthålla sitt syfte, att förstärka den personliga integriteten. Detta gjordes genom en kvalitativ intervjustudie med anställda inom verksamheter som stöter på GDPR i sin personuppgiftsbehandling. Resultatet visade på att en stor del av de intervjuade menar att lagstiftningen till en viss grad, har insatser som påverkar den personliga integriteten på ett positivt sätt. Förordningen kommer dock inte utan en kostnad. Den kan upplevas som något som resulterat i en högre grad av oklarheter och ytterligare komplexitet och skyldigheter för de anställda inom myndighet- och verksamhetsvärlden. / The General Data Protection Regulation also known as GDPR, was introduced during 2016 with differing predictions on the outcome and aftermath of its implementation. It has been roughly two years since the regulation was first introduced and it is now that the evaluation process of its necessity is feasible. Hence the primary purpose of this study was to evaluate whether GDPR is perceived to fulfill its weighty goal of strengthening the integrity of personal data. This was done through interviewing employees of authorities and agencies that deal with GDPR when processing personal information. What the results of this study has shown is that a large portion of the interviewees say that the regulation has efforts that, to a degree, positively affects the integrity of personal data. This however comes at a cost. A higher degree of perceived obscurity, shallow complexity and additional duties to be carried out by the employees within their respective authority.

Integrity

GDPR

Data

Personal data

Evaluation.

Data

Dataskyddsförordningen

GDPR

Personlig integritet

Personuppgifter.

Political Science

Statsvetenskap

I hälsans namn : Dataskydd och forskning i det nya hälsolandskapet / In the name of health : Data protection and research in the new health-landscape

Rosendahl, Johannes

January 2021

Hälsoområdet genomgår en omvälvning där såväl gränsen mellan den privata och offentliga sfären, som den mellan hälsoforskning och hälsomarknad håller på att suddas ut. I det nya hälsolandskapet, fyllt av nya aktörer, ny teknik och nya källor till information, är det avgörande med en enhetlig och fungerande dataskyddsreglering, som tar vara på både individuella och samhälleliga intressen. I denna uppsats läggs fokus på mötet mellan EU:s dataskyddsförordning (GDPR) och användningen av big data analys på hälsoområdet. Här visar sig flera rättsliga spänningspunkter. Dataskyddsprinciper, individuella dataskyddsrättigheter och binära kategoriseringar i förordningen framstår som svårförenliga med vidspridd dataanalys och affärsmodeller som bygger på möjligheten att återanvända och kombinera personuppgifter från olika källor. Detsamma kan sägas för GDPR:s fokus på individen, då den registrerades kontroll och självbestämmande över sina personuppgifter försvåras avsevärt i ett algoritmiskt och datadrivet samhälle. I syfte att balansera skyddet av personuppgifter med intresset för innovation, möjliggörs undantag till både dataskyddsprinciper och individuella dataskyddsrättigheter i GDPR när uppgifter behandlas i forskningssammanhang. Genom den särskilda forskningsordningen i GDPR ges på så sätt datadriven forskning ett större spelrum. Samtidigt kan forskningsundantaget komma att försvaga registrerades självständiga beslutanderätt och dataskydd, med följd att balansen mellan å ena sidan registrerades intressen och å andra sidan intressen hos personuppgiftsansvariga, väger tungt till de senares fördel. I GDPR ges utrymme för medlemsstater att införa ytterligare villkor och forskningsundantag i nationell rätt, vilket ökar risken för en fragmentering av EU-rättsliga forskningsrelaterade personuppgiftsfrågor. I längden riskerar detta att utgöra ett hinder för dataintensiv forskning och det fria flödet av personuppgifter i unionen. Den icke-bindande definitionen av vetenskaplig forskning i skäl 159 GDPR visar att begreppet ska tolkas brett men det kvarstår fortfarande oklarheter i omfattningen av den särskilda forskningsordningen. Att dra tydliga gränser i fråga om vilken personuppgiftsbehandling som bör få stödjas på forskningsundantaget försvåras ytterligare av utvecklingen på hälsoområdet, där gränsen mellan hälsoforskning och hälsomarknad blir allt suddigare. Fortsatta avgränsningar och förtydliganden från organ som EDPB och EDPS är därför avgörande för utvecklingen och bibehållandet av en harmoniserad forskningsdefinition.

Juridik

EU-rätt

Dataskydd

Dataskyddsförordningen

GDPR

Hälsa

Forskning

Hälsoforskning

Forskningsundantaget

Law

Juridik

Elefanten i biblioteket : En studie av svenska folkbiblioteks GDPR-förberedelser / The elephant in the library : A study of Swedish public libraries’ GDPR preparations

Imberg, Louise, Johansson, Jessica

January 2018

Regarded as the biggest change in data protection law in a generation, the General Data Protection Regulation (or simply its more renowned name: the GDPR) is due to take effect on May 25th 2018. The purpose of the GDPR is to strengthen the protection of personal information, harmonize the data protection laws in the entire European Union, and modernize privacy laws to fit today’s technologically advanced society. As good as all organizations have to conform to the new law. Libraries, as prominent bearers of information and personal data, are thus no exception to the rule. This study’s objective is to gain knowledge of Swedish public libraries’ main GDPR preparations, regarding both the practical work and the difficulties they faced during the process. The result is based on the answers from an online survey, sent to every central library in Sweden’s 290 municipalities. 182 answers were received, which generated a response rate of roughly 63 percent. The theoretical analysis derives from five of John Kotter’s eight phases, concerning difficulties in early change management. The authors of this study identify the libraries’ focal points, in relation to the change work, as mainly consisting of inventory of personal data and education in the law. Difficulties are mostly found in understanding the law and how to practice it. Nonetheless, a majority of the Swedish central libraries consider themselves fairly ready for the GDPR when May 25th arrives.

GDPR

General Data Protection Regulation

dataskyddsförordningen

organisationsförändring

förberedelsearbete

personuppgifter

personlig integritet

folkbibliotek

Information Studies

Biblioteks- och informationsvetenskap

Akademisk frihet, forskningsetik och integritetsskydd : En studie av det självständiga studentarbetet, dess funktion och begränsningar / Academic freedom, research ethics and protection of privacy : A study of the independent student work, its function and limitations

Frisell, Hannah

January 2020

The student’s independent work, often in the form of a thesis, plays an important role in higher education at Swedish universities. However, since the GDPR came into effect in 2018, some Swedish universities have limited their students’ processing of sensitive personal data, while other universities have not. This thesis studies the reasons behind the regulations, in relation to the principle of academic freedom as well as research ethics and the universities’ mission of providing higher education and research to society. Using these concepts as a theoretic framework, the thesis then analyses how ten Swedish universities position themselves in regards to their students processing personal data, and complements the analysis with two semi-structured interviews with representatives of library and information science educations at two universities. The thesis explores the boundaries and the grey areas between the concepts of education and research, and discusses the possible implications and consequences of applying limitations to what students can and cannot research, for higher education in general and for library and information science in particular. The conclusion is that the question of whether students should be allowed to process personal data is as much a question of democracy as of academy, and that a further, critical discussion is needed within the academic sector.

tudentarbete

akademisk frihet

forskningsetik

dataskyddsförordningen

känsliga personuppgifter

utbildningsuppdrag

forskning

kunskapsproduktion

Information Studies

Biblioteks- och informationsvetenskap