The GDPR's lawful basis of legitimate interest : Advice and review regarding the balancing operation as of GDPR Article 6.1 (f)

Eriksson, Dan January 2019 (has links)
The objective of the thesis is to analyse law, case law, recommendations and opinions and to some extent legal doctrine to produce commercially viable advice (in other words, a check-list) on what to think about when conducting a balancing test as of GDPR Article 6.1 (f)

Att vara, eller icke vara, GDPR kompatibel : En kvalitativ studie om arbetet med att efterleva de krav GDPR ställer / To be, or not to be, GDPR compliant : A qualitative study of the work to reach compliance with the GDPR

Enehage, Josefin, Wetterhed, Rasmus January 2018 (has links)
The General Data Protection Regulation (GDPR) is highly current today when the law comes into force one month after our study is completed. The GDPR aims to create a unified regulation for people within the European Union's personal data. The uncertainty about what the GDPR will entail is high and there is a general concern in the corporate world about what happens on May 25, 2018. This has given us a unique opportunity to investigate how companies work to adapt to the GDPR and create a current situation analysis of it. Previous research on the GDPR is very limited and has focused primarily on what changes the law brings, as well as how it should be implemented. Research about the challenges that occurred during the implementation has not been done before. We conducted a case study where we interviewed two people in two different organizations. These people both work with the implementation of the GDPR. Using these interviews, we were able to find the primary challenges in implementing the requirements of GDPR in an organization's existing systems. We performed the work of the research abductively, which meant we worked iteratively with the information we found in our empirical evidence and earlier research. In conclusion, we found that there are mainly three major issues regarding the implementation of the GDPR; communication difficulties, resource-intensive work and that the change is extensive. There is no simple solution to these problems, but with previous research we have found a number of factors that can make it easier for companies to become compliant. In order to improve communication, we recommend introducing a communication plan. The communication plan creates order and gives both parties in the conversation a chance to think about what is important in the conversation, potential obstacles and how these can be prevented. We also concluded that a prioritization of the work is to be recommended as well as a project plan. By prioritizing and implementing a project plan, it will create a system and structure of the work. It clarifies what needs to be done, when it is to be performed and how. As our study has shown, the work to reach compliance with GDPR is both extensive and resource-intensive which is why we believe that companies have much to earn by following the recomendations our study has produced. / General Data protection Regulation (GDPR) är högaktuellt idag då lagen träder i kraft en månad efter att vår studie är färdigställd. GDPR har antagits för att skapa ett enhetligt skydd för personuppgifter inom Europeiska Unionen. Osäkerheten kring vad GDPR innebär är dock hög och det finns en allmän oro i företagsvärlden kring vad som sker den 25 maj 2018. Detta har gett oss en unik chans att undersöka hur företag arbetar för att anpassa sin organisation efter GDPR och skapa en nulägesanalys av det. Tidigare forskning kring GDPR är väldigt begränsad och har främst fokuserat på vad lagen innebär för förändringar, samt hur den ska implementeras. Någon undersökning kring utmaningar som sker vid förändringsarbetet inför GDPR har inte tidigare gjorts. Vi utförde en fallstudie där vi intervjuade två personer i två olika organisationer. Dessa personer arbetar båda med implementation av GDPR och gav oss en inblick i hur företag arbetar med att nå upp till kompabilitet med GDPR. Vi utförde arbetet i undersökningen abduktivt, vilket innebar att vi arbetade iterativt med informationen vi fann i empirin och tidigare forskning. I slutsatsen kom vi fram till att det främst är tre stora problem kring införandet av GDPR; kommunikationssvårigheter, resurskrävande arbete samt omfattande förändringsarbete. Det finns inte en enkel lösning på dessa problem, men vi har med hjälp av tidigare forskning kommit fram till ett antal olika faktorer som kan underlätta för företag att bli kompatibla med GDPR. För att skapa en tydligare ordning vid kommunikation rekommenderar vi att införa en kommunikationsplan. Kommunikationsplanen skapar ordning gällande vilken information som ska kommuniceras, samtidigt som det ger båda parter i konversationen en chans att redan innan fundera över vad som är viktigt i konversationen, vilka potentiella hinder som finns samt hur dessa kan förebyggas. Vi kom även fram till att en prioritering av arbetet är att rekommendera samt en projektplan. Även dessa saker skapar en ordning och struktur i arbetet. Som vår studie har visat så är arbetet med att anpassa organisationen till att bli kompatibel med GDPR både omfattande och resurskrävande. Vi ser därför att företag har mycket att tjäna på att strukturera upp sitt arbete utefter de rekommendationer vår studie kommit fram till.

Dataskyddsförordningens påverkan på företags marknadsföringsarbete : Nya regler för företag som hanterar personuppgifter / The impact of GDPR on companies’ marketing: New rules for companies that handle personal data

Andersson, Ellinor, Wessberger, Fredrika January 2018 (has links)
Inledning: Det har blivit allt svårare att skydda personuppgifter på grund av den snabbt växande tekniska utvecklingen. Personuppgifter flödar mellan länder i stor utsträckning vilket ställer krav på ett mer sammanhängande dataskydd inom Europeiska unionen. Den 25 maj 2018 kommer en ny EU-förordning att träda i kraft. Förordningen kommer att gälla i alla EU:s medlemsländer och heter GDPR som står för General Data Protection Regulation. Lagändringen kommer att bidra till en striktare hantering och behandling av personuppgifter och därav stärka den enskilda personens integritet. Hur lagändringen kommer att påverka företags arbete med marknadsföring är en fråga som har växt fram. Syfte : Syftet med kandidatuppsatsen är att få kunskap om hur företagen anpassar sig efter den förändring som GDPR medför och om förändringar behöver göras i företagens marknadsföringsarbete på grund av GDPR. Metod : Uppsatsens angreppssätt är induktivt och det empiriska materialet är insamlat med hjälp av kvalitativa intervjuer. Totalt har nio intervjuer utförts, tre mailintervjuer och sex telefonintervjuer. Företagen som har medverkat i den här studien arbetar med marknadsföring och hanterar personuppgifter. Resultat : De intervjuade företagen tror inte att deras marknadsföring kommer att påverkas avsevärt. Några företag har och kommer att ändra vissa delar i kommunikationen till kunden, som till exempel ändra medlemsvillkor, rensa personuppgifter samt förändringar i utskick och nyhetsbrev. För att förbereda sig inför lagändringen har de flesta företagen arbetat med att utbilda anställda samt rensa i sina register. / Introduction : It has become increasingly difficult to protect personal data due to the rapidly evolving technological development. Personal data flow between countries to a large extent, which requires more coherent data protection within the European Union. In May 25th 2018, a new EU regulation will come into force. The regulation will apply in all EU member states and is called GDPR, the General Data Protection Regulation. The regulation will contribute to an increasingly rigorous handling and processing of personal data and hence strengthen the individual's integrity. How the change of law will affect business's marketing efforts is a matter that has emerged. Purpose: The purpose of this bachelor thesis is to gain knowledge of how companies adapt to the change that GDPR entails and whether changes need to be made in corporate marketing efforts due to GDPR. Method: The bachelor thesis is inductive and the empirical material is collected using qualitative interviews. A total of nine interviews have been conducted, three mail interviews and six telephone interviews. The companies that have participated in this study works with marketing and handles personal data. Results: The interviewed companies in the study do not believe that their marketing will be significantly affected. Some companies have and will change certain parts of the communication to the customer, such as changing member terms, clearing personal information, and changes in email and newsletters. In order to get GDPR compliant, most companies educate their employees and clean and enhance their registers.

Identifiera känslig data inom ramen för GDPR : Med K-Nearest Neighbors

Darborg, Alex January 2018 (has links)
General Data Protection Regulation, GDPR, is a regulation coming into effect on May 25th 2018. Due to this, organizations face large decisions concerning how sensitive data, stored in databases, are to be identified. Meanwhile, there is an expansion of machine learning on the software market. The goal of this project has been to develop a tool which, through machine learning, can identify sensitive data. The development of this tool has been accomplished through the use of agile methods and has included comparisions of various algorithms and the development of a prototype. This by using tools such as Spyder and XAMPP. The results show that different types of sensitive data give variating results in the developed software solution. The kNN algorithm showed strong results in such cases when the sensitive data concerned Swedish Social Security numbers of 10 digits, and phone numbers in the length of ten or eleven digits, either starting with 46-, 070, 072 or 076 and also addresses. Regular expression showed strong results concerning e-mails and IP-addresses. / General Data Protection Regulation, GDPR, är en reglering som träder i kraft 25 maj 2018. I och med detta ställs organisationer inför stora beslut kring hur de ska finna känsliga data som är lagrad i databaser. Samtidigt expanderar maskininlärning på mjukvarumarknaden. Målet för detta projekt har varit att ta fram ett verktyg som med hjälp av maskininlärning kan identifiera känsliga data. Utvecklingen av detta verktyg har skett med hjälp av agila metoder och har innefattat jämförelser av olika algoritmer och en framtagning av en prototyp. Detta med hjälp av verktyg såsom Spyder och XAMPP. Resultatet visar på att olika typer av känsliga data ger olika starka resultat i den utvecklade programvaran. kNN-algoritmen visade starka resultat i de fall då den känsliga datan rörde svenska, tiosiffriga personnummer samt telefonnummer i tio- eller elva-siffrigt format, och antingen inleds med 46, 070, 072 eller 076 samt då den rörde adresser. Regular expression visade på starka resultat när det gällde e- mails och IP-adresser.

Personlig integritet på internet : Webbkakor och risken för kränkning av användares personliga integritet

Franck, Adéle January 2021 (has links)
The purpose of the essay is to examine and analyze if individuals are ensured anefficient protection against violations of personal integrity when using cookiesonline. This is done through both a de lege lata and a de lege ferenda perspective.To do this a technical perspective of what cookies are is applied, as well as howthey can amount to a threat to personal integrity. What personal integrity is andhow it can be protected are questions which are answered through the methodof legal dogmatics as well as the EU legal method, while the question if the protectionis sufficient is answered through the method of legal informatics. The investigation in the matter led to the result of a definition of what is tobe understood by personal integrity within the framework of the essay, whichcan be described as the right to have control over the spread of sensitive information.In addition to this it is shown in the essay that personal integrity in relationto cookies is protected through the means of collecting consent before placingcookies. The mechanism of collecting consent is in theory an appropriate wayto ensure control for the individual. Even so, practical studies in the field indicatethat the regulation does not meet compliance by the market participants sufficientlywhen collecting consent to the use of cookies. Due to this it cannot beclaimed that personal integrity is efficiently protected in practice. Since the de lege lata result show indications of lack of compliance the conclusionis that the current regulations are not sufficiently enough protecting personalintegrity of individuals. The forthcoming e-Data protection Regulationmight offer some solutions to this compliance issue, but as shown in the de legeferenda-discussion there is a need to combine regulatory solutions with technicaltools to enforce a comprehensive compliance by the market participants in practice.The combined solution will give both individuals and supervisory authoritiesthe tools necessary to protect personal integrity, while the collection of consentcan continue to be the regulatory mechanism used to protect personal integrity.


Ståhl, Albin January 2020 (has links)
Dataskyddsförordningen, även kallad GDPR, introducerades år 2016 med spekulationer kring vilka påtagliga förändringar och upplevelser som förordningen skulle komma att ha. Dessa spekulationer är något som ej varit möjliga att konkretisera förrän nu, 2 år efter förordningen trädde i kraft, vilket möjliggör en uppföljning av förordningen för säkerställandet av dess behövlighet. Syftet med studien var således att undersöka GDPR för att se om lagstiftningen upplevs upprätthålla sitt syfte, att förstärka den personliga integriteten. Detta gjordes genom en kvalitativ intervjustudie med anställda inom verksamheter som stöter på GDPR i sin personuppgiftsbehandling. Resultatet visade på att en stor del av de intervjuade menar att lagstiftningen till en viss grad, har insatser som påverkar den personliga integriteten på ett positivt sätt. Förordningen kommer dock inte utan en kostnad. Den kan upplevas som något som resulterat i en högre grad av oklarheter och ytterligare komplexitet och skyldigheter för de anställda inom myndighet- och verksamhetsvärlden. / The General Data Protection Regulation also known as GDPR, was introduced during 2016 with differing predictions on the outcome and aftermath of its implementation. It has been roughly two years since the regulation was first introduced and it is now that the evaluation process of its necessity is feasible. Hence the primary purpose of this study was to evaluate whether GDPR is perceived to fulfill its weighty goal of strengthening the integrity of personal data. This was done through interviewing employees of authorities and agencies that deal with GDPR when processing personal information. What the results of this study has shown is that a large portion of the interviewees say that the regulation has efforts that, to a degree, positively affects the integrity of personal data. This however comes at a cost. A higher degree of perceived obscurity, shallow complexity and additional duties to be carried out by the employees within their respective authority.

E-handelsplattform med efterlevnad av GDPR som utgångspunkt : Utveckling av en labbportal med pseudonymisering och kryptering-tillämpningar

Tran, Kenny January 2022 (has links)
Företaget Provsvaret vill utveckla en labbportal avsedd för företagskunder. Företaget kommer att arbeta med ett externt labb för att starta självtest som en tjänst. Detta innebär att regler och begränsningar måste beaktas vid behandling av personuppgifter. Under 2018 trädde GDPR i kraft för att stärka skyddet kring datasekretess. Detta skapade ytterligare arbete för e-handelsplattformar som behöver vidta tekniska säkerhetsåtgärder. GDPR har även definierat nya rättigheter för användarna såsom rätt till information, rätt till tillgång och rätt till radering. Denna studie riktar sig mot att undersöka de rättigheter och säkerhetsåtgärder som har angetts av GDPR. Målet kommer vara att konstruera en e-handelsplattform med efterlevnad av GDPR som utgångspunkt. Under projektets gång så har man utfört en analys där man har jämfört olika psuedonymiseringsarkitekturer och har baserat på den analysen kunnat tillämpa pseudonymisering inom labbportalen. Under implementerprocessen var det nödvändigt att ta användning av en molnleverantör för att tillhandahålla krypteringsnycklar. Efter en noggrann jämförelse har man valt att gå vidare med Google Cloud Platform (GCP) pågrund av att GCP var kost effektivt och var mer användarvänlig mot småföretag som Provsvaret. Användbarhetstesteterna har även utförts i syfte av att undersöka i vilken mån av efterlevnad som plattformen hade i förhållande till GDPR rättigheter. Som slutsats så kan man konstatera att labbportalen hade en bra efterlevnad av GDPR däremot så fanns det vissa aspekter som behövde förbättras. Information och villkoren på plattformen kan visas på ett tydligare sätt samt så kan man även förbättra på hur man hantera invändningar och radering av konto. Implementeringen av BankID har genomgått väl och i slutendan så har labbportalen de funktionalitet som eftersöktes. / The company Provsvaret is looking to develop a lab portal intended for corporate customers. The company will be working with an external lab to bootstrap self-test as a service. This entails that regulations and restrictions must be taken into account when processing personal data. In 2018, the GDPR came into force to strengthen the protection of data privacy. This created additional work for e-commerce platforms that need to implement technical security measures. GDPR has also defined new rights for users such as the right to information, the right to access and the right to erasure. This study aims to examine the rights and security measures designated by the GDPR. The goal will be to construct an e-commerce platform based on compliance with the GDPR. During the project, an analysis has been performed where different pseudonymisation architectures have been compared and based on that analysis, been able to apply pseudonymisation within the lab portal. During the implementation process, it was necessary to use a cloud provider to provide encryption keys. After a careful comparison, Cloud Platform (GCP) has been chosen as the selected cloud provider due to the fact that GCP was cost effective and was more user-friendly towards small companies such as Provsvaret. The usability tests have also been performed for the purpose of examining the degree of compliance that the platform had in relation to GDPR rights. In conclusion, it can be stated that the lab portal has good compliance with GDPR, however, there are certain aspects that need to be improved. Information and conditions on the platform can be displayed in a clearer way and the lab portal can also improve on how it handles objections and deletion of accounts. The implementation of BankID has been successful and in the end the lab portal has the functionality that was sought after.

GDPR - Are We Ready? A Comparative and Explorative Study of the Changes in Personal Data Privacy and Its Impact on ICT Companies

Therése Nielsen, Johannes Wind January 2018 (has links)
Personlig data genomsyrar hela vårt samhälle och hanteras digitalt via informationsteknologi. Detta försvårar för individer att ha kontroll över den personliga data som hanteras av företag. Den 25 maj 2018 ersätts den svenska Personuppgiftslagen (PuL) med den nya Dataskyddsförordningen GDPR. Förordningen är utformad för att sätta en enhetlig standard gällande hur vi samlar in, hanterar och delar europeiska medborgares personliga data. Den här forskningen är uppdelad i två steg. I det första steget genomförs en komparativ undersökning av de två lagtexterna för att identifiera de nya lagkraven som Dataskyddsförordningen medför. I det andra steget används resultatet från den komparativa jämförelsen som grund för en explorativ undersökning av hur ICT-företag förbereder sig inför de nya lagkraven. Vårt resultat visar att de deltagande ICT-företagen förbereder sig genom att implementera nya processer och åtgärder för att följa förordningen. Inga av de deltagande företagen är vid tiden av denna undersökning fullständigt kompatibla med de krav den nya förordningen ställer. Vår forskning visar att svårigheterna med att bli fullständigt kompatibel ligger i bristen på resurser och tvetydigheten i tolkningen av förordningen. / Personal data flows through our entire society in the shape of technological processing. This makes it difficult for individuals to have control over their personal data being processed by companies. On the 25th of May 2018 the Swedish Personal Data Act (PuL) is replaced by the General Data Protection Regulation (GDPR). The regulation is designed to set a uniform standard with regards to the way we collect, use and share personal data of European citizens. This research uses a two-step research approach. The first step is to perform a comparative legal research to identify the new requirements that comes with the upcoming Regulation in relation to the current Swedish legislation. The second step is to use the findings of the comparative legal research as a foundation for an explorative survey of how ICT companies are preparing for the new requirements of the GDPR. Our result shows that the participating ICT companies are preparing by implementing new processes and measures in order to comply with the Regulation. Additionally, all of the participating companies are at the time of our research not fully compliant with the Regulation. Our research concludes that the difficulties in achieving full compliance lies in the lack of resources and ambiguities of the interpretation of the Regulation.

Tekniska krav från GDPR : <em data-stringify-type="italic">Vad som krävs av en applikation som hanterar och samlar in samtycken för att tekniskt uppfylla kraven från GDPR / Technical requirements from GDPR

Amberman, Madelene, Johansson, Andreas January 2020 (has links)
Personuppgiftshantering inom EU regleras av General Protection Data Regulation, GDPR, den är till för att skydda en persons integritet samtidigt som det fria flödet av data mellan medlemsländerna ska upprätthållas. Företag och organisationer idag lägger mycket resurser på en manuell hantering av personuppgifter, som skulle kunna läggas på andra värdeskapande aktiviteter om denna process var mer automatiserad. Därför har vi utfört en studie hos Meriworks, där deras system, Imagevault, hanterar bilder och samtycken i ett manuellt flöde. Genom intervjuer av organisationer som använder detta system samt en litteraturstudie på GDPR, sammanställdes krav för vad som ställs av en applikation som hanterar samtycken och personuppgifter, både ur ett tekniskt och användarperspektiv. Utifrån dessa krav tog vi fram ett tekniskt lösningsförslag som skulle kunna ersätta den manuella processen i vår fallstudie. Vår lista över de tekniska krav som GDPR ställer, är generell och kommer kunna användas som riktlinjer för fall även utanför denna studie. / Privacy Policies within EU is regulated by General Protection Data Regulation, GDPR, it exists to protect a person's integrity while maintaining the free flow of data between its members. Companies and organizations today put a lot of resources on manual handling of personal data, that could be used for more value-adding activities if this process had a more automated flow. Hence we are going to do a case study at Meriworks, they have a system, Imagevault, that handles images and consents in a manual process. By interviewing some of the organizations that uses this system and a literature study of GDPR, we compiled the requirements for an application that handles consents and personal data, from both a technical and user perspective. Using these requirements, we created a technical solution proposal, that is meant to replace the current manual process in our case study. Our list of technical requirements from GDPR is generic and can be used as guidelines for cases beyond this paper.

Dataintegritet och GDPR : En analys av användandet av lagringslösningar för svenska organisationer / Data Integrity and GDPR

Hamad, Diyar, Fransson, Jacob January 2023 (has links)
EU General Data Protection Regulation (GDPR) presenterades år 2016, den nya förordningen för att skydda personuppgifter. Med införandet av GDPR står organisationer inför nya krav när det kommer till dataintegritet och skydd av känslig information. Samtidigt ökar användandet av molnlagring vilket gör frågan mer komplext, på grund av till exempel internationell lagstiftning mot molnlagringsleverantörer. Den frågeställning som ställdes i denna studie var ”Hur kan svenska organisationer säkerställa efterlevnad av GDPR vid användning av hybrid- och tredjepartslagringslösningar?” En kvalitativ studie användes för att svara på denna fråga. Därefter användes semistrukturerade intervjuer för att samla in empiri från flera svenska organisationer. Sedan analyserades empirin tematiskt i flera olika faser, där den blev kodad och dessa koder bildade olika teman. Resultatet av studien visar på att svenska företag har utmaningar med att efterleva GDPR vid användning av hybrid – och amerikanska molnlagringslösningar. De rekommendationer som kan ges till svenska organisationer är att använda sig av någon form av klassificering. Detta gör det enklare att hantera sin data, att veta hur och var ens data lagras. / The EU General Data Protection Regulation (GDPR) was presented in 2016, a new regulation to protect personal data. With the introduction of GDPR, organizations face new requirements when it comes to data integrity and the protection of sensitive information. The use of cloud storage makes the issue more complex, due to, for example, international legislation against cloud storage providers. The question asked in this study is "How can Swedish organizations be granted compliance with the GDPR when using hybrid and third-party storage solutions?". A qualitative study was used to answer this question. A literature study was carried out to produce a basis for the interview material. Semi-structured interviews were then used to gather empirical evidence from several Swedish organizations. The empirical evidence was then thematically analysed in several different phases, where it was coded, and these codes formed different themes. The results of this study shows that Swedish companies have challenges with complying with GDPR when using hybrid and American cloud storage solutions. The recommendations given in this study to Swedish organizations is to use some form of classification. This makes it easier to manage data, to know how and where data is stored.

