Samtyckets chimär / Illusory consent

Elfstadius, Simon

January 2018

Den 25 maj 2018 blev våra inboxar fyllda av nervösa företag som ägnade sig åt att försöka säkerställa att vi var tillräckligt informerade för att de skulle få fortsätta behandla våra personuppgifter. Det rörde sig naturligtvis om den nya dataskyddsförordningens ikraftträdande. Förordningen innebär dryga sanktionsavgifter för den som inte säkerställer att den registrerade är tillräckligt informerad och att all behandling av personuppgifter sker på en rättslig grund. Denna uppsats utforskar två av dessa företags agerande, Google och Facebook. Dessa två företag är båda amerikanska men har en stor andel av sin marknad i Europa. Därmed så måste de båda företagen tillämpa dataskyddsförordningen och de måste se till att följa den. Företagen är speciella för att information är deras handelsvara. Genom att samla information och sedan rikta anpassade annonser mot användarna tjänar de pengar. Deras verksamheter har samtidigt blivit några av våra viktigaste forum och informationskällor, närmast vitala för det demokratiska samhället under 2010-talet. Vi har dock blivit påminda om vad som kan hända om den insamlade informationen missbrukas. Frågan är nu vad som har hänt i och med dataskyddsförordningens ikraftträdande. Har vår personliga integritet nu plötsligt blivit så pass skyddad som mailen antyder? Har vi fått någon som helst makt över Googles och Facebooks hantering av personuppgifter? Har vi fått en större kontroll? Dessa är några av de frågor den här uppsatsen utforskar.

dataskyddsförordningen

GDPR

dataskydd

samtycke

sociala medier

sökmotor

Google

Facebook

Law (excluding Law and Society)

Att efterleva GDPR : En kvalitativ intervjustudie om handlingar, förberedelser och utmaningar kring införandet av den nya allmänna dataskyddsförordningen.

Karlsson, Calle

January 2018

Because of the increased digitization, the amount of data that companies process has increased significant. The EU Commission, the European Parliament and the Council of Ministers have therefore instituted a new law to ensure that data is handled correctly. This new law comes into force on May 25th 2018 and is called GDPR, or the General Data Protection Regulation. This law stands over the recent “Personuppgiftslagen” (PuL) and therefore require higher standards on system development, communication and routines which leads to a whole new approach to data management. This essay explains the structure of the law, but focuses on finding out what specific actions the companies implement to comply with the law's requirements. The focus is also on studying whether these actions (and the law itself) will affect the activities and what the businesses themselves consider to be the greatest challenges for compliance at the moment.

GDPR

Allmänna dataskyddsförordningen

Europeiska Unionen

Handlingar

Förberedelser

Utmaningar.

Övrig annan teknik

Generisk dataportabilitet för personuppgifter : En kvalitativ fallstudie av Region Östergötland / Generic data portability for personal data : A qualitative field study of Region Ostergotland

Larsson, Erik, Lind, Joakim

January 2017

I samband med den nya dataskyddsförordningen för EU tillkommer ny lagstiftning kring hur verksamheter får behandla EU-medborgares personuppgifter. En av de stora nyheterna är dataportabilitetskravet som ställer krav på att verksamheter ska kunna överföra individers personuppgifter till individerna själva eller till andra personuppgiftsansvariga. Detta innebär omfattande utmaningar med verksamheters förmåga till interoperabilitet i förhållande till andra aktörer utifrån juridisk, organisatorisk, teknisk och semantisk interoperabilitet. Med dataportabilitetskravet hamnar interoperabilitet i fokus som en förutsättning förverksamheter att uppfylla dataskyddslagstiftningen. Mot bakgrund av detta studeras en offentlig organisation som berörs av dataskyddsreformen och kravet på dataportabilitet. I studien inryms en fördjupning av hur organisationen hanterar sina system och strukturer samt jobbar med standarder och samarbeten för att uppnå interoperabilitet i enlighet med dataportabilitet. Det studerade fallet bidrar med insikter för hur andra organisationer kan arbeta med liknande frågor som berör dataportabilitet och interoperabilitet. I studien framkommer det att fallorganisationen sedan tidigare arbetar med interoperabilitetsfrågor. Detta är på grund av egenuppmärksammade behov inom verksamheten och inte enbart av lagkravet från dataskyddsförordningen på dataportabilitet. Med hänsyn till dataskyddsförordningen pågår för närvarande interna analyser kring vilka åtgärder som behöver vidtas där dataportabilitet är ett av dessa områden. Organisationen ser utmaningar främst rörande tolkningen av de nya lagkraven, organisatorisk interoperabilitet och semantisk. Arbetet för att kunna uppfylla kravet pågår, och man följer de rekommendationer som ges från rådgivande organisationer, både från EU och nationellt. Studiens kunskapsbidrag bidrar till ökad förståelse för vilken relevans som interoperabilitet har för dataportabilitet kontextualiserat till den nya dataskyddsförordningen. Studien visar relevansen av hur gemensamma spelregler mellan olika parter i form av gemensam juridik bidrar till förbättrade förutsättningar att nå interoperabilitet på även de andra nivåerna: organisatoriskt, tekniskt och semantiskt, vilket utifrån vad studien visar är avgörande för möjligheten till dataportabilitet. Studien bidrar därtill med en användbar konceptuell modell för att utvärdera interoperabilitet som en förutsättning för dataportabilitet för organisationer. / In the context of the new General Data Protection Regulation (GDPR) within EU, new legislation is added upon how organizations are permitted to process EU citizens’ personal data. One of the changes is the right to data portability which sets the requirements that organizations must be able to transfer subjects’ personal data to the subject itself or to other data controllers. This implicates comprehensive challenges for organizations’ capacity to reach interoperability in relation to other actors’ based on juridical, organizational, technical and semantic interoperability. In light of the requirement of data portability, interoperability comes into focus as a condition for organizations to comply with the GDPR regulation. In consideration of this background, a public organization that is affected by the data protection reform and the data portability requirement is being studied. In the study, a deepening is made on how the organization manage their systems and structures as well as working with standards and co-operations to reach interoperability in accordance with data portability. The studied case contributes with insights on how organizations can work with similar issues that consider data portability and interoperability. In the study it is clear that the case organization is already working with interoperability issues. This as a result of the organizations own attention of related issues and not only as an effect due to the new data protection regulation and its requirement of data portability. In effect of the data protection regulation, an ongoing analysis is made within the case organization to investigate which actions are needed, where the right to data portability is one of the areas to deal with. The organization identify challenges mainly within the interpretation of the GDPR, organizational and semantic interoperability. The work on how to comply with the requirements is in progress, and the organization follow the recommendations which are given by advising organizations both within EU and on national level. The contribution of the study is deepening knowledge on the relevance of interoperability as a condition to achieve data portability contextualized by the GDPR. Our study shows the relevance of how common rules between different actors in the form of common legislation contributes to improved prerequisites to reach interoperability on all four levels, namely, organizational, juridical, technical and semantic interoperability, which from what our study show is crucial for data portability. The study also contributes with a useful conceptual model to evaluate interoperability as a prerequisite to achieve data portability for organizations.

data portability

interoperability

General Data Protection Regulation

GDPR

personal data

dataportabilitet

interoperabilitet

dataskyddsförordningen

GDPR

personuppgifter

Information Systems

Dataskyddsförordningens tillämplighet vid personuppgiftshantering i molntjänster : En studie av Dataskyddsförordningen, utifrån perspektivet användande av molntjänster / The applicability of the General Data Protection Regulation when processing personal data in cloud services : A study of the General Data Protection Regulation, from the perspective of the use of cloud services

Johnsson, Lovisa

January 2017

För att förbättra säkerhetsarbetet och för att skapa harmonisering inom EU vad gäller skydd av personuppgifter antogs i april år 2016 en ny EU-förordning om dataskydd, General Data Protection Regulation (GDPR), även benämnd Dataskyddsförordningen. Förordningen börjar gälla som lag i Sverige först den 25 maj år 2018. Införandet av förordningen kommer innebära att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt Personuppgiftslagen (1998:204) (PUL) upphör att gälla. Det huvudsakliga syftet med Dataskyddsförordningen är att ytterligare harmonisera och effektivisera skyddet av personuppgifter för att förbättra den inre marknadens funktion samt att öka den enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig som lag i samtliga medlemsländer och kommer efter ikraftträdande utgöra grunden för generell personuppgiftsbehandling inom hela EU.  Det har under de senaste åren blivit allt mer vanligt att företag, organisationer, kommuner och myndigheter använder sig av molntjänster. Molntjänster är intressanta ur ett juridiskt perspektiv eftersom de mest uppmärksammade juridiska frågeställningarna angående molntjänster är frågor hänförliga till hantering av personuppgifter och säkerhet.   I uppsatsen redogörs för införandet av Dataskyddsförordningen (GDPR) utifrån perspektivet företags, organisationer, kommuners och myndigheters användande av molntjänster. I uppsatsen beskrivs även molntjänsters funktioner och egenskaper. Dataskyddsförordningen är nyligen antagen och utgör ännu inte svensk lag, förordningen baseras däremot i stora delar på Dataskyddsdirektivets innehåll och struktur. Dataskyddsdirektivet och PUL studeras därför i uppsatsen för att få en förståelse för bestämmelserna i Dataskyddsförordningen. Molntjänster finns i flera olika tekniska lösningar och är även gränsöverskridande, vilket innebär att användande av molntjänster i vissa fall innebär att personuppgifter överförs till ett tredje land. Uppsatsen behandlar därmed tillämpliga bestämmelser avseende överföringar av personuppgifter till tredje land. Uppsatsen avslutas med en analys och en slutsats. I slutsatsen konstateras att förordningen ger ett förstärkt skydd för den registrerade vid hantering av personuppgifter i molntjänster samt att förordningens utökade territoriella tillämpningsområde innebär att förordningen är bättre anpassad till molntjänstanvändande. Vidare konstateras i slutsatsen att rättsläget för överföringar av personuppgifter till USA med stöd av Privacy Shield-överenskommelsen för närvarande är osäkert.

General Data Protection Regulation

Cloud Services

Safe Harbor

Privacy Shield

GDPR

Dataskyddsförordningen

PuL

Personuppgiftslagen

Molntjänster

Law

Juridik

Detaljhandelns förberedelser inför GDPR : En fallstudie om vilka förändringar företagen behöver utföra samt deras arbete kring GDPR

Adolfsson, Sandra, Lundholm, Paula

January 2017

Det rådande EU-direktivet som behandlar dataskydd från år 1995 är idag inte lika aktuellt som när det infördes. Det är därför i hög tid att en uppdatering kommer. I maj 2018 införs den nya dataskyddsförordningen, GDPR, som är EU:s senaste förordning. Den kommer ersätta Sveriges personuppgiftslag, PuL, som idag styr över hur personuppgifter behandlas. GDPR kommer innebära strängare lagar kring informationshantering och fler rättigheter till privatpersoner. Ett exempel är att privatpersoner kommer kunna be om att få alla data kopplad till personen raderade. Många företag erbjuder medlemskap till privatpersoner och lagrar därför kunduppgifter digitalt, vilket betyder att de påverkas av GDPR i stor grad då de måste omforma sina IT-system för att leva upp till de nya kraven. Denna studie handlar om fyra företag och förändringarna de står inför samt hur de arbetar med de nya kraven som GDPR innebär för dem. En kravmodell skapas med en sammanställning av de nya kraven och resultatet visar sedan vilka företag som börjat arbeta med de kraven. Resultatet visar även hur långt de kommit i sitt arbete med dataskyddsförordningen och kan förhoppningsvis vägleda andra företag i hur de bör arbeta med dataskyddsförordningen samt vilka förändringar de bör genomföra för att leva upp till de nya kraven.

GDPR

General Data Protection Regulation

CRM

GDPR

dataskyddsförordningen

informationssäkerhet

CRM

Information Systems, Social aspects

En jämförelse av GDPR-implementering i svenska småbolag kontra EU. : Går Sverige mot trenden?

Jensen, André, Hyckenberg Mattson, David, Söllvander, Joakim

January 2022

Enligt den senaste europeiska statistiken ökar antalet anmälningar om personuppgiftsincidenter markant, 28 procent åren 2019 - 2020. Emellertid har Sverige under samma tidsperiod en nedåtgående utveckling på 4 procent. Genom en enkätstudie om GDPR-implementering i Sverige, undersöktes varför Sverige visade sig ha en nedåtgående trend i antalet anmälda incidenter kontra EU. Därtill utforskades om eventuella skillnader kunde ses som förklaring till den isärgående utvecklingen. Studien tydde på att Sverige över lag var likartat med sina europeiska motparter, men skillnader förekom i vissa specifika områden. Specifikt så observerades att svenska bolag i större utsträckning ansåg sig kompatibla med GDPR, samt en ökad tendens att investera ekonomiska resurser till arbetet med detta.

GDPR

dataskyddsförordningen

personuppgiftshantering

personuppgiftslagen

etiskt datahanterande

informationssäkerhet.

Information Systems, Social aspects

Demenssjuka patienters självbestämmande – Möjligheterna till självbestämmande vid personuppgiftsbehandlingen i hälso- och sjukvården. / Self-determination for Patients with Dementia – The possibilities for Self-determination in the Processing of Personal data in Health care.

Franco Edlund, Catarina

January 2021

No description available.

Hälso- och sjukvård

demenssjuka

dement

demens

personuppgiftsbehandling

journalföring

direktåtkomst

sammanhållen journalföring

elektronisk åtkomst

självbestämmande

samtycke

patientdatalagen

dataskyddsförordningen

Law

Juridik

GDPR - The General Data Protection Regulation : Hur medvetna är människor i Skövde kommun i ålder 18-65 om GDPR och de rättigheter som medför? / GDPR - The General Data Protection Regulation : How aware are people in Skövde municipality in age 18-65 about GDPR and the rights involved?

Ghasem, Lollo

January 2019

GDPR (The General Data Protection Regulation) är ett nytt EU-direktiv som träde i kraft 25 maj 2018. EU-direktivet gäller i hela Europa och har i syfte att styra hur och vem som får hantera personuppgifter. All form av behandling av information som direkt eller indirekt kan knytas till en person styrs av GDPR. För alla myndigheter, företag och organisationer innebär detta en stor förändring. GDPR stärker privatpersoners rättigheter och hjälper de att ha kontroll över hur deras personuppgifter behandlas och används. Som privatperson delar vi med oss av våra personuppgifter mer än vad vi tror. Några av de sätt på vilka personlig information samlas in är via användning av bilar, smarta telefoner, program, bärbara datorer och webbplatser. Enligt en undersökning som har genomförts av Europakommissionen angående ”Data Protection”, det vill säga dataskydd visar resultatet att det är endast 13% av svenska befolkningen som upplever att de har full kontroll över all data som de lämnar ut online (Commission, 2015). De här 13 % av svenska befolkningen är även medvetna om att de har tillgång till att rätta, ändra och radera data som finns lagrad om dem. Denna studie fokuserar på att undersöka hur medvetna människor i Skövde kommun i ålder 18–65 är om GDPR och de rättigheter som medförs. För att genomföra studien har en enkätundersökning tillämpats som datainsamlingsmetod. Resultatet av studien visar att majoriteten av människorna är medvetna om GDPR och vad det innebär i generella drag och de känner även till de tre rättigheterna rätt till information, rätt till rättelse och rätt till radering. Människorna i Skövde kommun anser att det är viktigt att veta hur personuppgifterna hanteras och behandlas för att obehöriga personer inte ska få tillgång till de. Slutsatser som går att dra från studien är att människorna är måna om sina personuppgifter. De vill gärna ha kontroll över personuppgifterna och veta hur de hanteras, behandlas samt om en olycka inträffar som leder till att personuppgifterna blir stulna eller förstörda vill de gärna bli informerade om det. / GDPR (The General Data Protection Regulation) is a new EU directive that came into force on May 25, 2018. The EU directive applies throughout Europe and has the purpose of managing how and who may handle personal data. Any form of processing of information that can be directly or indirectly linked to a person is governed by GDPR. For all authorities, companies and organizations, this is a major change. GDPR strengthens the right of individuals and helps them control how their personal data is processed and used.

GDPR

data protection regulation

personal data

personal data processing

GDPR

dataskyddsförordningen

personuppgifter

personuppgiftsbehandling

Information Systems, Social aspects

Information Systems

Efterlevnad av den enskildes rättigheter enligt Dataskyddsförordningen GDPR : En fallstudie om hur en organisation har påverkats av den enskildes rättigheter, samt vilka åtgärder som vidtas för efterlevnad / Complience regarding the rights of the individual according to the GDPR : A casestudy about how an organization have been affected by the rights of the individual, and what measures are taken for compliance

Nilsson, Robin

January 2019

Dataskyddsförordningen (GDPR) blev den 25e maj 2018 obligatorisk att följa för alla organisationer inom Europa som samlar in och behandlar personuppgifter. Dataskyddsförordningen ersatte Personuppgiftslagen som tidigare varit den lag som inom Sverige reglerat hur organisationer får behandla personuppgifter. En central del av Dataskyddsförordningen är den enskildes rättigheter som består av 8 punkter och redogör för vilka rättigheter som en enskild har när en organisation behandlar personuppgifter. Mycket av det som tidigare gällde i personuppgiftslagen har utökats genom den enskildes rättigheter och därmed har organisationer som behandlar personuppgifter fått förändra sin verksamhet för att möta de nya kraven. Syftet med arbetet är att reda ut på vilka sätt som den enskildes rättigheter har påverkat en organisation för att kunna efterleva de nya kraven. Genom en litteraturstudie identifierades forskning som publicerades innan Dataskyddsförordningen blev obligatorisk som analyserar och redogör för hur organisationer bör påverkas av Dataskyddsförordnigen. Med hjälp av en kvalitativ metod beståendes av intervjuer genomfördes en fallstudie för att ta reda på vilken faktiskt påverkan som den enskildes rättigheter inneburit i form av vilka anpassningar som organisationen behövt göra för att anses vara i fas med lagkraven. Resultatet analyserades och jämfördes med den forskning som identifierats för att kunna dra slutsatser kring den faktiska påverkan som rättigheterna inneburit. Resultatet visar på vilka sätt som den enskildes rättigheter har påverkat organisationen i form av nya administrativa processer, rutiner och teknisk funktionalitet för att kunna möta de krav som den enskildes rättigheter kräver. / The General Data Protection Regulation (GDPR) became mandatory on 25 May 2018 for all organizations within Europe who collect and process personal data. The General Data Protection Regulation replaced the Personal Data Act, which previously was the law that regulated in Sweden how organizations may process personal data. A central part of the GDPR is the individual's rights which consist of 8 rights and describe what rights an individual has when an organization processes their personal data. Much of what previously applied in the Personal Data Act has been expanded through the individual's rights and thus organizations that process personal data have had to change their organization to meet the new requirements. The purpose of this thesis is to sort out in what ways the individual's rights have affected an organization in order to comply with the new requirements. By the use of a literature study, research has been identified that was published prior to the GDPR became mandatory which analyzes and describes how organizations should be affected by the data protection ordinance. With the help of a qualitative method, interviews were conducted via a case study to find out what actual impact the individual's rights lead to in the form of which adjustments the organization needed to make in order to be considered in phase with the legal requirements. The result of the interviews was analyzed and compared with the previously identified research to be able to draw conclusions about the actual impact of the new rights. The result shows in what ways the individual's rights have affected the organization in the form of new administrative processes, routines and technical functionality in order to meet the requirements that the individual's rights require.

GDPR

The General Data Protection Regulation

information security

the rights of the individual

municipality

GDPR

Dataskyddsförordningen

informationssäkerhet

den enskildes rättigheter

kommun

Engineering and Technology

Teknik och teknologier

Kritiska framgångsfaktorer vid införande av GDPR inom bank och finans

Stålnacke, Sebastian, Juhlin, Robert

January 2018

On May 25, 2018, the Directive, 95/46/EC, is superseded by the General Data Protection Regulation (GDPR), (EU) 2016/679. Companies and organizations will have to revise routines, restructure organizations' processes and rebuild IT systems. The purpose of this study is to identify the critical success factors for implementing GDPR in the Swedish banking and finance sector. The study carried out a literature study as a foundation for the qualitative interviews with which empirical was gathered. Subjects for interviews was data protection officers (DPO) at four banks, as well as the Swedish Data Protection Authority and Forum för dataskydd, a national forum for DPO:s. The study's results showed a number of significant success factors for implementation processes. Based on these success factors, three were identified as critical to the implementation of GDPR from a computer science perspective: data governance, privacy-by-design, and documentation. / Den 25 maj 2018 ersattes dataskyddsdirektivet, 95/46/EG, med EU-förordningen 2016/679, General Data Protection Regulation (GDPR). För företag och organisationer kommer detta bland annat innebära nya rutiner, omstrukturering av organisationers processer och ombyggnation av IT-system. Syftet med denna studie är att identifiera de kritiska framgångsfaktorerna för implementering av GDPR inom den svenska bank- och finanssektorn. I studien genomfördes litteraturstudie som låg till grund för insamlande av empiri genom kvalitativa intervjuer med dataskyddsombud vid fyra banker. Intervjuer genomfördes även med Datainspektionen och Forum för dataskydd. Studiens resultat visade på ett flertal betydande framgångsfaktorer för implementeringsprocesser. Utifrån dessa framgångsfaktorer identifierades tre som kritiska för implementation av GDPR ur ett datavetenskapligt perspektiv: data governance, privacy-by-design samt dokumentation.

General Data Protection Regulation

GDPR

Critical Success Factors

CSF

implementation

Dataskyddsförordningen

DSF

kritiska framgångsfaktorer

CSF

implementation

Övrig annan teknik