Dataskyddsförordningens påverkan på direktmarknadsföring

Christensson, Therese, Nord, Hanne

January 2018

Dataskyddsförordningen lagförs i alla EUs medlemsländer den 25 maj 2018 och kommer att ställa krav på organisationers arbete och hantering av personuppgifter. Förordningens syfte är att skydda enskildas rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Direktmarknadsföring är en metod som bygger på insikter utifrån data om kunder för att kunna individanpassa erbjudande och reklam som matchar kundernas preferenser. Syftet med studien är att undersöka hur dataskyddsförordningen påverkar organisationers arbete med direktmarknadsföring. För att undersöka detta intervjuades sju svenska företag. Där frågor ställdes rörande insamling, hantering och lagring av personuppgifter för direktmarknadsföringssyfte, hur den nya lagen tolkas och vilka eventuella förändringar som gjorts i organisationen för att arbeta i enlighet med lagen. Resultatet visar att dataskyddsförordningen påverkar organisationer sett till att de behöver göra anpassningar i sitt arbete med hantering av personuppgifter men inte kopplat till möjligheten att bedriva direktmarknadsföring. Dataskyddsförordningen ger kunden större makt och kontroll över sina personuppgifter, vilket stärker det sociala kontraktet och sociala utbytet. / The General Data Protection Regulation (GDPR) will be enacted in all of the EU member states May 25, 2018 and will connote increased demands on how organizations handle personal data. The purpose of the regulation is to protect individual rights and freedom, in particular their right to protection of personal data. Direct marketing is a method based on insights from customer data in order to be able to customize offers and advertisements that match customer preferences. The purpose of the study is to examine how the GDPR affects organizations work with direct marketing. To examine this, seven Swedish companies were interviewed, where questions were raised regarding the collection, handling and storage of personal data for direct marketing purposes, how the new regulation is interpreted and if any changes were made in the organization to work in accordance with the law. The results show that GDPR affects organizations with regards to having to make adjustments in their internal personal data management, but not linked to the possibility of rendering direct marketing. GDPR gives the customer greater authority and control over their personal data, which strengthens the social contract and social exchange between the customer and organization.

Direktmarknadsföring

dataskyddsförordningen

data

sociala kontrakt och sociala utbyten

Engineering and Technology

Teknik och teknologier

Behandling av personuppgifter och integritetsparadoxen

Sandgren, Alma

January 2023

Syftet med denna uppsats är att undersöka det rättighetsskydd som finns kring behandling av personuppgifter, och på vilka grunder denna behandling får ske. En fråga som ställs är om rättighetsskyddet bemöter de problem som uppkommer mot bakgrund av den integritetsparadox som observerats mellan användares oro över hur deras personuppgifter hanteras och den brist på åtgärder de utför för att skydda samma data. Med grund i integritetsparadoxen diskuteras problematik med hur skyddet för behandling av personuppgifter implementerats. Ett stort problem är enskildas bristande kunskaper kring rättigheter och handlingsmöjligheter, och hur många aspekter av skyddet för personuppgifter vilar på aktivt handlande från individer. Även frågan om maktobalansen mellan enskilda och marknadsaktörer borde påverka ansvarsfördelning lyfts. Som underlag för detta används undersökningar kring individuellt beteende, lagstiftning och avgöranden från unionsrätt och Europadomstolen, samt artiklar om ämnet. Slutsatsen är att med tanke på kunskapsbristen hos en stor mängd användare och kravet på kunskap för att kunna vidta vissa skyddsåtgärder av persondata finns det rum för kritik mot vissa aktörers behandling av personuppgifter.

personuppgifter

integritetsparadoxen

dataskyddsförordningen

digital integritet

Law (excluding Law and Society)

GDPR – barnets sköld i striden mot exponering på vårdnadshavarens sociala medier? : En analys av barnets personuppgiftsskydd vid sharenting / GDPR – A shield against parental social media exposure? : An analysis of the protection of children's personal data during sharenting

Åsberg, Julia

January 2022

No description available.

Sharenting

integritet

barns integritet

yttrandefrihet

sociala medier

GDPR

dataskyddsförordningen

dataskyddslagen

samtycke

Law

Juridik

Fem år av dataskyddsförordningen : En granskning utifrån Integritetsskyddsmyndighetens tillsynsutövning

Somogyi Iresjö, Matilda

January 2024

Dataskyddsförordningen trädde i kraft den 25 maj 2018 och sedan dess har cirka fem år av rättsutveckling skett inom Sverige på det dataskyddsrättsliga området. Integritetsskyddsmyndigheten utövar tillsyn för dataskyddsförordningens efterlevande och har därför stor påverkan på hur dataskyddsförordningen bedöms inom Sverige.  Syftet med arbetet har varit att granska Integritetsskyddsmyndighetens beslutsfattande, både kvalitativt och kvantitativt för att sedan kunna dra vissa slutsatser gällande rättsutvecklingen. Undersökningen ämnar utreda vilka rättsområden som är aktuella, vad resultatet blir av överträdelser samt hur IMY resonerar i sina beslut. Metoden har varit i grunden rättsdogmatisk med vissa kvantitativa och kvalitativa moment. Detta har genomförts genom granskning av 67 beslut som Integritetsskyddsmyndigheten själva publicerat på sin hemsida för allmän tillgång, delvis i syfte att de ska vara vägledande. Resultaten har presenterats i nio olika diagram. Arbetets andra del har utgjorts av en kvalitativ granskning av Integritetsskyddsmyndighetens beslut inom rättsområdena kamerabevakning, överföring till tredjeland samt registrerades rättigheter. Utifrån det har bedömningarna brutits ner ytterligare genom att vissa artiklar i dataskyddsförordningen behandlas del för del.  Resultatet utifrån den kvantitativa undersökningen visar att beslut lett till åtgärd i 84 % av besluten och 16 % av besluten lämnades utan åtgärd. Sanktion var den mest populära åtgärden, vald i 60% av besluten följt av föreläggande med 36 %. Besluten hade överklagats till allmän förvaltningsdomstol i 34 % av besluten vilket visar att 66 % av Integritetsskyddsmyndighetens beslut slagits fast. Av de överklagade besluten som avgjorts i allmän förvaltningsdomstol instämde domstolen med IMY i 50 % av fallen respektive helt upphävt IMY:s beslut i 25 % av fallen. Inom rättsområdena kamerabevakning, överföring till tredjeland och registrerades rättigheter beaktades omständigheterna i det enskilda fallet men IMY har också tillförlitat sig på tolkningskällor som EU-domstolsavgöranden, förarbeten, EDPB:s riktlinjer samt svensk rättspraxis. Av de överklagade besluten som avgjorts i domstol instämde inte alltid förvaltningsdomstolarna i IMY:s bedömning, ibland gällande sakfråga och ibland huruvida en viss överträdelse ska leda till sanktion. Ett mål inom rättsfrågan kamerabevakning har beviljats prövningstillstånd i Högsta förvaltningsdomstolen.  Det kan dras olika slutsatser och lärdomar utifrån det underlag som använts i arbetet. Dataskyddsförordningens artiklar kan vara svårbedömda och måste avvägas utifrån enskilda fallet. Ju mer digitaliserad världen blir, desto mer behövs dataskyddsreglerna.

Juridik

Dataskyddsförordningen

GDPR

Förvaltningsrätt

EU-rätt.

Law (excluding Law and Society)

GDPR – en "kioskvältare"?

Kidman, Kajsa, Axelsson, Lisen

January 2017

Denna uppsats är en fallstudie. Studien behandlar den kommande dataskyddsförordningen (GDPR) och dess påverkan på medie- och IKT-företag. Syftet med studien är att studera den befintliga kunskapen kring dataskyddsförordningen inom medie- och IKT-företag samt hur ett förändringsarbete mot förordningen kan drivas. Studien redovisar för dataskyddsförordningen och dess bakgrund följt av en beskrivning kring medieindustrin, IKT-företag och dess komplexa struktur. Vidare beskrivs organisationsförändringar och metoder för dessa vilka kan underlätta ett förändringsarbete. Med hjälp av en enkätundersökning har författarna undersökt om dataskyddsförordningen har uppmärksammats inom 50 medie- och IKT-företag samt om ett förändringsarbete har planerats eller påbörjats. Vidare har studien kompletterats med kvalitativa intervjuer där dataskyddsförordningen i förhållande till tre medieföretag samt ett IKT-företag har analyserats mer ingående. Resultatet av undersökningarna visar hur en stor andel medieföretag i nuläget inte har påbörjat anpassningen mot dataskyddsförordningen. De studerade organisationerna vittnar även om en okunskap i förhållande till det behandlade ämnet och ett anpassningsarbete har i majoriteten av de studerade fallen ej påbörjats. Studien lyfter därför förändringsmodeller vilka kan ge struktur åt ett kommande anpassningsarbete. / This essay is a case study. The study addresses the forthcoming General Data Protection Regulation (GDPR) and its impact on media-and ICT-companies. The purpose of the study is to examine the existing knowledge of the data protection regulation within media and ICT-companies. The study also aims to create an understanding of how an adaption can be carried out against the regulation. The study accounts for the GDPR and its background, followed by a description of the media industry, ICT-companies and its complex structure. Furthermore, organizational changes and methods are described in order to facilitate and provide an overall structure for the change work. By means of a survey, the authors examined whether the GDPR has been noted in 50 media and ICT-companies and if a change work has been planned or begun. Furthermore, the study has been supplemented with qualitative interviews where the GDPR in relation to three media companies and one ICT-company has been analyzed in more detail. The results of the survey show how a large proportion of media companies have not yet begun the adaptation or change work to meet the requirements in the GDPR. The studied organizations also testify to an ignorance in relation to the subject and an adaptation work has not begun in the majority of the studied companies. The study therefore raises change models that can provide an overall structure for future change work to GDPR.

dataskyddsförordningen

GDPR

organisationsförändringar

personuppgifter

medieföretag

IKT-företag

anpassningsarbete

mediebranschen

Engineering and Technology

Teknik och teknologier

Protection of Personal Data in Blockchain Technology : An investigation on the compatibility of the General Data Protection Regulation and the public blockchain / Personuppgiftsskyddet i Blockkedjeteknik : En utredning om förenligheten av dataskyddsförordningen och den publika blockkedjan

Wallace, Amelia

January 2019

On 25 May 2018 the General Data Protection Regulation, GDPR, came into force in the EU. The regulation strengthened the rights of the data subjects’ in relation to the data controllers and processors and gave them more control over their personal data. The recitals of the GDPR state that it was the rapid development in technology and globalisation that brought new challenges for the protection of personal data. Private companies and public authorities where making use of personal data on an unprecedented scale in order to pursue their own activities. The protection should be technologically neutral and not dependant on the technique used. This leads to questions on whether the protection that is offered through the GDPR is de facto applicable on all technologies. One particular technology which has caught interest of both private companies and public authorities is the blockchain. The public distributed blockchain is completely decentralized, meaning it is the users who decide the rules and its content. There are no intermediaries in power and the transactions of value or other information is sent peer to peer. By using asymmetric cryptography and advanced hash algorithms the transactions sent in the blockchain are secured. Whilst the interest and use of blockchain is increasing and the GDPR attempting to be applicable on all techniques, the characteristics of the public blockchain must be analysed under the terms of the GDPR. The thesis examines whether natural persons can be identified in a public blockchain, who is considered data controller and data processor of a public blockchain and whether the principles of the GDPR can be applied in such a decentralised and publicly distributed technology. / Den 25 maj 2018 tradde den nya dataskyddsforordningen, GDPR, i kraft i EU vilken slog hardare mot personuppgiftsansvariga och personuppgiftsbitraden an vad det tidigare dataskyddsdirektivet gjort. Med reformen ville EU starka personuppgiftsskyddet genom att ge de registrerade mer kontroll over sina personuppgifter. I skalen till forordningen anges att det var den snabba tekniska utvecklingen och globaliseringen som skapat nya utmaningar for skyddet da privata foretag och offentliga myndigheter anvander personuppgifter i en helt ny omfattning idag. Skyddet bor saledes vara teknikneutralt och inte beroende av den teknik som anvands. Detta oppnar upp for fragor om huruvida skyddet som GDPR erbjuder faktiskt ar applicerbart pa samtliga tekniker. En sarskild teknologi som fangat intresse hos saval privatpersoner som foretag och offentliga myndigheter ar blockkedjan. Den oppet distribuerade blockkedjetekniken ar helt decentraliserad, vilket innebar att det ar dess anvandare som styr och bestammer over innehallet. Nagra mellanman finns inte, utan vardetransaktioner och andra overforingar av information sands direkt mellan anvandare. Genom asymmetrisk kryptografi och avancerade hash algoritmer sakras de overforingar som sker via blockkedjan. Nagot som uppmarksammats under den okande anvandningen och intresset for blockkedjan samt ikrafttradandet av GDPR ar hur personuppgifter bor hanteras i en sadan decentraliserad teknologi, dar inga mellanman kan bara ansvaret for eventuell personuppgiftsbehandling. Flera av den publika blockkedjeteknikens egenskaper bor problematiseras, framfor allt dess oppenhet och tillganglighet for varje person i varlden, samt dess forbud mot rattelse och radering av inlagda data. Denna uppsats behandlar fragorna huruvida fysiska personer kan identifieras i en publik blockkedja, vem som kan anses vara personuppgiftsansvarig och personuppgiftsbitrade i en publik blockkedja, samt om de principer och krav som uppstalls i GDPR kan efterlevas i en sadan decentraliserad och oppet distribuerad teknologi.

General Data Protection Regulation

GDPR

Blockchain

Transparency

Personal Data

Dataskyddsförordningen

GDPR

Blockkedja

Transparens

Teknikneutralitet

Personuppgift

Law

Juridik

Hinder vid automatiseringen av Rätten att bli Bortglömd med RPA : En explorativ fallstudie om automatisering inom intern IT / Obstacles in automating The Right to be Forgotten with RPA : An explorative case study on automation within internal IT

Flores Osorio, Eduardo

January 2019

Den nya dataskyddsförordningen som även kallas GDPR, ställer idag krav som företag och organisationer måste uppfylla samt regler som måste följas när det kommer till hur personuppgifter ska behandlas. Att radera data är en stor del i GDPR och i Rätten att bli bortglömd som är en del i GDPR, måste data raderas. Detta är regler som såklart ska följas men det manuella arbetet för detta är en väldigt lång och tidsödande process för den som ska utföra det arbetet. Robotic Process Automation är en relativt ny teknik som används för att automatisera manuella, repetitiva och tidskrävande affärsprocesser inom företag och organisationer. Syftet med studien är dels att undersöka hur fallföretaget kan uppfylla GDPR-kravet Rätten att bli Bortglömd med RPA tekniken. Rätten att bli bortglömd innebär att personuppgifter som kan kopplas till en viss individ ska raderas bort från ett företag om den specifika individen skulle begära det. Studien kommer även belysa de problem som uppstår mellan RPA tekniken ochRätten att bli Bortglömd inom fallföretaget. Studiens empiri består av den egna erfarenheten men kommer även kompletteras med intervjuer samt avstämningsmöten som skall användas som stöd och underlag för själva genomförandet av RPA. Studiens resultat visar de identifierade hindren som har uppstått i undersökningen. Det finns inget regelverk för hur fallföretaget går tillväga när de ska söka och radera personuppgifter. Undersökningens avgränsade process för Rätten att bli bortglömd var varken standardiserad, mogen, regelbaserad, repetitiv eller återkommande vilket gör automatiseringen problematisk och olämplig för RPA automation. För att uppfylla kravet Rätten att bli bortglömd med hjälp av RPA tekniken måste fallföretaget jobba med att få fram ett tydligt regelverk för hur de ska söka och hitta personuppgifter. Därefter krävs det att processen standardiseras och process stegen väl definieras för att kunna identifiera vilka delar av processen som går att automatisera med RPA.

Robotic Process Automation

RPA

Automatisering

Dataskyddsförordningen

GDPR.

Information Systems, Social aspects

GDPR och backuper hos mjukvaruutvecklingsföretag : En kvalitativ intervjustudie / GDPR and backups among software development companies : A qualitative interview study

Johansson, Ted

January 2018

Detta arbete har som syfte att kontrollera hur verksamheter har anpassat sig inför General Data Protection Regulation (GDPR, sv. Dataskyddsförordningen), både vad det gäller rutinarbete och förändringar som de har genomfört. Arbetet behandlar hur företagen har förändrat sina rutiner gällande säkerhetskopior av kritisk företagsdata och även rutiner kring rätten att bli bortglömd. Vid detta arbetes slut kommer GDPR har trätt i kraft (25:e maj 2018) och därmed bör samtliga verksamheter ha genomfört någon form av förändring inför den ändrade lagstiftningen som börjar gälla då. Då GDPR är en ny lagstiftning ( som dock varit aktuell de senaste 2 åren ) finns en del arbeten kring just GDPR och vilka verksamhetsförändringar man bör vidta. Dock har inget fokus skett på hur företag bör anpassa sina rutiner kring säkerhetskopior och hur företagen bör resonera kring rätten att bli glömd. Därmed blir detta arbete väldigt aktuellt då detta är något som många verksamheter bör ha förändrat, tänkt på och dokumenterat. Metoden som använts i denna studie är en kvalitativ form, där intervjuer har genomförts med representanter från olika verksamheter inom utvecklingsbranschen. Verksamheterna säljer sina programvaror och tjänster till kunder och de hanterar därmed ofta stora mängder personlig information som antingen passerar igenom systemen eller som lagras hos de. Organisationerna som intervjuas har jobbat med GDPR ett tag. I flera av fallen ett år tillbaka för att säkerställa att de deras åtgärder överensstämmer med GDPR. Fem intervjuer genomfördes i sin helhet. Därefter har en tematisk analys genomförts på resultatet från intervjuerna. I intervjuerna är fokus på om och vad för förändringar företagen har genomfört samt hur det ser ut i dagsläget. Efter analysen framträder tydligt att företagen har genomfört vissa förändringar i organisationen, men till större del har dessa förändringar enbart genomförts i form av kontroll av var information finns och dokumentation kring detta och de olika rutiner som finns vid företaget. / The purpose of this work is to check how companies have been adapted to the General Data Protection Regulation, both in terms of routine work and changes that they have implemented. The work addresses how companies have changed their routines regarding backups of critical business data and routines about the right to be forgotten. At the end of this work, the GDPR will come into force (25th of May 2018) and therefore all activities should have implemented some form of change in view of the changed legislation that will apply. Since GDPR is a new legislation (which has been up to date in the past 2 years), some work is being done about just GDPR and what business changes should be made. However, no focus has been on how companies should adapt their routines about backups and how businesses should reason about the right to be forgotten. This makes this work very relevant as this is something that many businesses should have changed, thought about and documented. The method used in this study is a qualitative form, in which interviews have been conducted with representatives from different activities in the development industry. The businesses sell their software and services to customers, and they often handle large amounts of personal information that either passes through the systems or is stored with them. The organizations interviewed have been working for GDPR for a while. In several of the cases a year back to ensure that their actions are in line with the GDPR. Five interviews were conducted in full. Then a thematic analysis has been conducted on the results ofthe interviews. The interviews focus on whether and what changes the companies have made and how it looks today. Following the analysis, it is clear that companies have made certain changes inthe organization, but to a large extent these changes have only been conducted in terms of checking where information is available and documentation about this and the different routines available at the company.

GDPR

General Data Protection Regulation

Backups

Backup

Routines

GDPR

Dataskyddsförordningen

Säkerhetskopior

Backup

rutiner

Engineering and Technology

Teknik och teknologier

Organisationers utmaningar och åtgärder vidframtagandet av samtyckestexter samt dess behandling av personuppgifter i enlighet med dataskyddsförordningen (GDPR) / Organizations challenges and actions in the development of consent documents and their processing of personal data in accordance with the General Data Protection Regulation (GDPR)

Alem, Tesfaom, Lind, William

January 2018

Utvecklingen av digital teknik tillsammans med nya affärsmodeller har nått nya nivåer under de senaste åren vilket har resulterat i att behandlingen av personuppgifter både ökat och förändrats. Problematiken med detta innefattar att den personliga integriteten i större utsträckning kränks. I syfte att harmonisera behandlingen av personuppgifter och att stärka skyddet av den personliga integriteten har EU infört en ny dataskyddsförordning. Förordningen träder i kraft den 25 maj 2018 och ska tillämpas i nationell lagstiftning vilket gör att den svenska personuppgiftslagen ersätts. Syftet med studien var att identifiera vilka åtgärder ett antal organisationer vidtagit för att följa dataskyddsförordningens regler samt vilka utmaningar som kan uppstå i omställningen. Studien är avgränsad till samtyckestexter och behandling av personuppgifter. Studien är kvalitativ och vi har med hjälp av intervjuer tagit del av ett antal organisationers syn på utmaningar och åtgärder gällande formuleringar av samtyckestexter och dess personuppgiftsbehandling. Slutsatsen i denna studie visar att samtliga organisationerna har problem att formulera samtyckestexter på ett informativt sätt vilket dataskyddsförordningen kräver. Organisationerna ser även utmaningar i behandlingen av personuppgifter. Dessa utmaningar består av komplexa IT-system innehållande mängder av personuppgifter som idag inte kan hanteras i enlighet med dataskyddsförordningen då relevant systemstöd saknas. / The rapid development of digital technology together with new business models has reached new levels in recent years, which has resulted in the processing of personal data both increasing and changing. The problem with this development involves the violation of personal integrity to a greater extent. In order to harmonize the processing of personal data and to strengthen the protection of personal privacy, the EU has introduced a new data protection regulation. The regulation will enter into force on May 25, 2018 and will apply in national legislation, which will replace the Swedish Personal Data Act. The purpose of the study was to identify what measures a number of organizations have taken to comply with the rules of data protection regulations and the challenges that may arise in the conversion. The study is limited to consent texts and processing of personal data. The study is qualitative and we have, through interviews, taken note of a number of organizations' views on challenges and measures regarding formulas of consent texts and their personal data processing. The conclusion in this study shows that all organizations have problems formulating consent texts in an informative way, which is required for adequate data protection. Organizations also see challenges in the processing of personal data. These challenges consist of complex IT systems containing amounts of personal data that today cannot be managed in accordance with the Data Protection Regulation, as relevant system support is lacking.

GDPR

General Data Protection Regulation

Consent

Privacy policy

GDPR

Dataskyddsförordningen

Personuppgiftslagen

Samtycke

Personuppgiftsbehandling

Information Systems

Forskning och utveckling av sjukvårdsrelaterad artificiell intelligens mot bakgrund av dataskyddsförordningen

Silfversten, William

January 2018

No description available.

artificiell intelligens

big data

sjukvård

juridik

dataskyddsförordningen

personlig integritet

integritet

forskning

forskningsdatalag

Law (excluding Law and Society)