Balansgången mellan skydd av personlig integritet och skydd för företagshemligheter : Med särskilt fokus på forskning om AI-teknik inom sjukvård

Yücel, Aysun

January 2019

Sammanfattning Vi lever i en alltmer digitaliserad värld där utvecklad teknik kan bidra till att lösa flertalet samhällsproblem. Till exempel är intresset av avancerad AI-teknik inom sjukvård alltmer efterfrågat. AI-teknik har stor potential att stödja sjukvårdspersonal och individer, förkorta köer och förbättra vården. Tekniken bygger på insamlandet av stora mängder data som ska programmeras till att härma intelligent beteende. Åtskilliga känsliga personuppgifter behandlas i och med insamlandet av denna data. Inom ramen för den pågående debatten om personlig integritet skapas samtidigt en potentiell konfliktyta där företagshemligheter riskerar att avslöjas när information lämnas ut vid utövandet av enskildas dataskyddsrättigheter.  Konfliktytan aktualiseras till exempel om registerutdraget inkluderar delar av företags affärsplaner, arbetsmetodik och teknikens uppbyggnad. Ett annat exempel rör systematiskt utlämnande av personuppgifter efter begäran från en mängd registrerade, där sammanställningen i sig kan betraktas som företagshemligheter. Hur ser gränsdragningen ut för dessa motstående intressen? Hur förhåller man sig till balansgången mellan skydd av personlig integritet och skydd för företagshemligheter?  En adekvat intresseavvägning möjliggör för företag att skydda företagshemligheter samtidigt som enskildas personliga integritet inte äventyras. Hur denna intresseavvägning ska se ut är dock fortfarande oklart, vilket ligger till grund för denna uppsats. / Abstract We live in an increasingly digitized world where technology can help solve many societal challenges. For example, the interest in advanced AI technology in healthcare is increasingly in demand. AI technology has great potential to support healthcare professionals as well as individuals, shorten queues and improve healthcare. The technology is based on the collection of large amounts of data to be programmed to mimic intelligent behaviour. A great number of sensitive personal data are processed when such data is collected. Within the framework of the ongoing debate on personal integrity, a potential conflict area arises at the same time, where trade secrets risk being disclosed while information is provided as individual data protection rights are exercised.  The conflict area is raised, for instance, in cases where the register extract includes parts of the company’s business plans, work methodology and the structure of the technology. Another example concerns systematic disclosure of personal data upon request from a great number of registered persons, where the compilation itself can be regarded as trade secrets. What will the boundaries of these opposing interests be like? How does one relate to the balance between the protection of privacy and the protection of trade secrets?  An adequate balance of interests enables companies to protect trade secrets while not compromising individual privacy. However, how this balance of interests should be framed is still unclear, which has given rise to this thesis.

IT-rätt

EU-rätt

dataskydd

Data Protection

personlig integritet

känsliga personuppgifter

sjukvård

healthcare

dataskyddsförordningen

GDPR

företagshemligheter

Trade Secrets

Artificial Intelligence

artificiell intelligens

AI

anonymisering

pseudonymisering

enskildas rättigheter

Law

Juridik

GDPR och känsliga personuppgifter : En fallstudie om fackförbunds arbete med Dataskyddsförordningen / GDPR and sensitive personal data : A case study about trade unions' work with the General Data Protection Regulation

Helenius, Anna

January 2018

Den 25e maj 2018 träder den nya dataskyddsförordningen, GDPR, i kraft. I och med detta kommer alla medlemsstater i den europeiska unionen få en gemensam lag som skärper tidigare regler och ställer högre krav på organisationers personuppgiftsbehandling. Syftet med detta arbete har varit att undersöka och kartlägga hur verksamheter som behandlar känsliga personuppgifter anser sig bli påverkade av GDPR, samt hur de arbetar för att uppfylla kraven från denna nya förordning. Känsliga personuppgifter är sådana som exempelvis avslöjar en persons sexuella läggning, politiska åsikt, religiösa övertygelse eller fackliga tillhörighet och för att uppfylla syftet utfördes därför en fallstudie på sex stycken fackförbund av olika storlek. Datainsamlingen gjordes med hjälp av intervjuer med en person från varje förbund som har god insikt och överblick över organisationens GDPR-arbete. Resultaten från studien visar att fackförbunden anser att den nya dataskyddsförordningen är komplex och svårtolkad men att den ändå medför positiva konsekvenser för både organisationen och medlemmarna. Alla personuppgifter som fackförbunden hanterar faller direkt under känsliga personuppgifter eftersom de kan härledas till facklig tillhörighet, och detta gör att förbunden anser sig ställas inför högre krav på informationssäkerhet i jämförelse med många andra verksamheter. Bland annat möter de stora utmaningar i hur de skall kunna kommunicera med sina medlemmar i framtiden eftersom missbruksregeln försvinner och även ostrukturerat material inkluderas i den nya dataskyddsförordningen. Det går inte att säga generellt vilka åtgärder förbunden vidtagit för att förbereda sig inför de nya kraven från GDPR men det är tydligt att både tekniska och administrativa säkerhetsåtgärder behövs. Exempelvis uppgraderar många av förbunden sina IT-system och upphandlar helt nya ärendehanteringssystem, samtidigt som de dessutom inför rutiner för gallring och för hantering av personuppgiftsincidenter. / On 25 May 2018, the new data protection regulation, GDPR, will come into effect. With this, all members of the European Union will have a common law that sharpens previous rules and puts higher demands on organisations' personal data processing. The purpose of this study has been to investigate and map how businesses dealing with sensitive personal data consider themselves being affected by GDPR, and how they work to meet the requirements of this new regulations. Sensitive personal data are what for example reveals a person's sexual orientation, political opinion, religious conviction or union affiliation and therefore, to fulfil the purpose, a case study with six trade unions of different sizes was performed. The data collection was made with help of interviews with one person from each trade union, who has good insight and overview over the organisation's work with the GDPR. The results from the study show that the trade unions find the new data protection regulation to be complex and hard to interpret but that it nevertheless causes positive consequences for both the organisation and the members. All personal data that the trade unions handle fall directly under sensitive personal data since they may be derived to union affiliation and this leads to where the trade unions considering themselves facing higher demands on information security in comparison to many other businesses. Among other things, they face major challenges in how they are going to communicate with their members in the future, as even unstructured material is included in the new data protection regulation.  It's not possible to say in general what actions the unions have taken to prepare for the new requirements of the GDPR, but it's clear that both technical and administrative safety actions are needed. For example, many of the unions are upgrading their IT systems or purchasing brand new case management systems while also introducing new routines for clearing of data and for management of personal data incidents.

GDPR

data protection

general data protection regulation

personal data processing

sensitive personal data

trade union

information security

GDPR

dataskydd

dataskyddsförordningen

personuppgiftsbehandling

känsliga personuppgifter

fackförbund

informationssäkerhet

Computer and Information Sciences

Data- och informationsvetenskap

Tillgängliggörande av sekretessbelagd arkivinformation om enskilda personer : Rörande hälsa och sociala förhållanden

Andersson, Lena

January 2018

Den här uppsatsens fokus ligger på lagstiftningen och hanteringen av sekretessbelagd information om enskilda personer gällande hälsa och sociala förhållanden. Att tolka lagar är inte lätt och vilket ansvar vilar på arkiven kring utlämnande av sådana handlingar. Med studien vill jag få fram hur arkiven praktiskt arbetar med detta för att få fram ett underlag om hur man kan tänka kring hanteringen vid utlämnande av sådana uppgifter. Appraisalmetoden som använts och sekretessen påverkar vad som finns tillgängligt från arkiven. Urvalet av det som bevaras av handlingar speciellt rörande barn som har kommit i kontakt med Socialstyrelsen har kritiserats då det framkommit att dessa har gallrats för mycket utifrån de förfrågningar som kommit till arkiven om utlämnande av dessa då de inte funnits. För att få fram detta har jag använt mig av två metoder där det ena är litteraturstudier och den andra är intervjuer av två arkivinstitutioner som har hand om sådana handlingar, ett kommunarkiv och ett landstingsarkiv. Resultatet av studien har blivit ett underlag till en vägledning utifrån rådande lagstiftning där hanteringen och frågor som kan vara bra att ha med sig för att kunna avgöra om en handling kan lämnas ut eller inte. Det har också kommit fram att sekretesstiden kan ha blivit för kort i Sverige med sina 70 år jämfört med till exempel Norge och Kanada som har 80 år och mer beroende på handlingstypen. Detta utifrån att vi lever längre än tidigare och lagen borde anpassas efter det.

Forgotten/ remembered

macroappraisal

privacy

use

security records

secret

OAIS

Sekretess

sekretessprövning

tillgänglighet

enskilda personer

GDPR

personuppgifter

OAIS-modellen

mikrohistoria

Computer and Information Sciences

Data- och informationsvetenskap

Blodspår i arkiven : Om integritet, personuppgifter och DNA-släktforskning i brottsutredningar / Bloodlines in the archives : About integrity, personal data and DNA genealogy in criminal investigation

Petersson, Rebecka, Persson, Cecilia

January 2021

In 2004 there was a double homicide in a Swedish town called Linköping, a small amount of DNA was found at the scene. Despite a largescale investigation, this murder would go unsolved for 16 years. In 2020 a Swedish genealogist was hired by the Swedish police and through an American commercial DNA database he was able to find the man that had gone unfound for so long. This was made possible through a change of Swedish laws in connection with the European Union’s Data Protection Regulation (GDPR), a regulation that protect the integrity of the personal data of Europeans. We have investigated how the evolution of these two legal frameworks coincides with each other, making this rather paradoxical situation possible. We have also investigated how this rather invasive technology is viewed by Swedish genealogists. These websites with their immense databases, and the technological developments in DNA technology, have changed genealogy. But they have also changed the genealogist, the foremost user of the archives today. We wanted to find out how.The investigation was conducted on three analytical levels: the legal/political, the medial and the individual level. On the legal/political level the material consists of legal texts, transcribed protocols from the Swedish Riksdag, but also two different reports on the legal status of using genetic genealogy as a method of criminal investigation. On the medial level the material consists of commercials for genealogy databases, documentaries and talk shows concerning the investigation of the murder in Linköping. On the individual level the material consists of surveys and interviews with genealogists. Follow us as we alongside police and genetic genealogists follow the bloodlines running through the archives. This is a two years master's thesis in Archival science.

Genetic genealogy

DNA genealogy

GDPR

Personal data

Integrity

Archival science

Information science

DNA-släktforskning

genetisk genealogi

GDPR

Brottsdatalagen

biopolitik

integritet

personuppgifter

arkivvetenskap

informationsvetenskap

Other Humanities not elsewhere specified

Övrig annan humaniora

Den digitalt suveräna staten : En undersökning av inställningen till nationell datalagring av personuppgifter hos statliga myndigheter / The digitally sovereign state : An investigation into the attitude towards national data storage of personal data within Swedish public authorities

Gordon Hultsjö, Joel

January 2021

The number of scandals during the past years regarding the use and misuse of digital storage of personal infor-mation in combination with the implementation of the General Data Protection Regulation (GDPR) within the EU member states, has resulted in a resurfaced discussion of sovereignty within the public sphere in relation to the storage of digital information. This master thesis examines the attitudes towards national data storage of personal data within twenty Swedish public agencies in the context of the analytical term Digital sovereignty.The thesis uses semi-structured interviews with employees working with data protection and qualitative con-tent analysis of internal documents connected to personal data management, in order to examine Swedish govern-ment agencies attitudes towards national data storage of personal information. The responses of the interviews and the internal policy documents in the area of personal data protections is viewed through the analytic term Digital sovereignty. The government agency the Swedish social security agency’s definition of Digital sovereignty is used in the thesis, which focuses on national governments ability to have control over both the technical and geograph-ical processing and storage of their citizen’s personal data.The thesis concludes that Swedish authorities takes the risk of transfer of personal data to third countries outside of the EU very seriously, while they also see the need to find legal ways to transfer personal data to these same countries. The thesis also concludes that Swedish government agencies try to avoid cloud services and are cautious in their use due to the implications they have for information and data security, while other research have shown that cloud services are used extensively within Swedish government agencies. The thesis also concludes that there is a lack of interest in national data storage of personal information within Swedish government, which can partially be attributed to the relationship between the General Data Protections Regulation and data storage regulation on a national level in Sweden. This leads to the final conclusion in this thesis, which is that there is some indication that the future of storage of personal data with the EU member states lies not in nationally managed cloud services, but rather in a federated cloud service on EU-level such as the currently ongoing project Gaia-X. This is a two years master's thesis in Archival science.

Digital Sovereignty

Cloud Service

Data storage

GDPR

Government Agencies

Information security

Digital suveränitet

Molntjänst

Datalagring

Dataskyddsförordningen

GDPR

Personuppgifter

Statliga myndigheter

Informationssäkerhet

Tredjelandsöverföring.

Other Humanities not elsewhere specified

Övrig annan humaniora

"Jag vill inte alltid behöva se mig om utifrån mitt yrkesval" : En kvalitativ studie om socialsekreterares upplevelser av klientutövat hot och våld / “I don’t want to have to look over my shoulder based of my career choice" : A qualitative study of social workers experiences of client-perpetrated threats and violence

Darwich, Helin, Tutuncu, Dilara

January 2023

Syftet med denna studie var att undersöka socialsekreterares erfarenheter och upplevelser av klientutövat hot och våld i arbetet med barn och unga. Det har gjorts en kvalitativ studie med en semistrukturerad intervjumetod och det har genomförts sex intervjuer. Empirin har tolkats utifrån en tematisk analys och en hermeneutisk meningstolkning. Materialet har analyserats utifrån tidigare forskning och socialkonstruktionismen som vetenskaplig grund samt coping och rollteorin som teoretiskt perspektiv. Studien visar att socialsekreterarna beskriver klientutövat hot och våld som tvetydigt eftersom de har delade meningar om vad hot och våld är samt att allvarlighetsgraden är en påverkande faktor i det. Tröskeln kopplat till hotet och våldets omfattning inom organisationen och medarbetarna har visat sig vara hög vilket medfört att socialsekreteraren i många fall reducerar händelser av hotfull- och våldsam karaktär. Det kan handla om att tillämpa strategier i sitt vardagliga arbete för att lättare kunna hantera riskfyllda situationer och nyttja organisatoriska säkerhetsåtgärder i ett förbyggande syfte. Vidare framkom det att det egna ansvaret är centralt i hot- och våldssituationer vilket har resulterat i underrapporteringar och mindre anmälningar. Resultatet visar också att tillgängligheten av socialsekreterares personuppgifter är ett orosmoment för socialsekreterare och används som innehåll i hot som framförs. / The purpose of this study was to examine social workers experiences of client-perpetrated threats and violence in their work with children and youths. A qualitative study has been made with a semi-structured interview method and have conducted six interviews. The material has been interpreted through a thematic analysis and hermeneutic interpretation of meaning. The material has been analyzed based on previous research and social constructionism as a scientific basis and coping and role theory as a theoretical perspective. The study shows that the social workers describe client-perpetrated threats and violence as ambiguous, because they have divided opinions about what threat and violence is and that the degree of seriousness is an influencing factor. The bar for the threat and violence extent within the organization and the employees has proven to be high which has resulted in that social workers in many cases reduces incidents of threatening and violent nature. It can be about applying strategies in your everyday work to be able to handle riskful situations more easily and to use organizational security measures in a preventive purpose. Furthermore it appears that your own responsibility is central in threat and violence situations which has resulted in under-reportings and less reports. The results also show that the availability of social workers personal data is a point of concern for social workers and is being used as content in threats that are made.

Social worker

Exposure

Client-perpetrated threats and violence

Threats

Violence

Indirect violence

Culture of silence

Professional role

Availability of personal data

Socialsekreterare

Utsatthet

Klientutövat hot och våld

Hot

Våld

Indirekt våld

Tystnadskultur

Yrkesroll

Tillgänglighet av personuppgifter

Social Work

Socialt arbete

Cloud Computing and Sensitive Data : A Case of Beneficial Co-Existence or Mutual Exclusiveness?

Vaskovich, Daria

January 2015

I dag anses molntjänster vara ett omtalat ämne som har ändrat hur IT-tjänster levereras och som skapat nya affärsmodeller. Några av molntjänsternas mest frekvent nämnda fördelar är flexibilitet och skalbarhet. Molntjänster är i dagsläget extensivt använda av privatpersoner genom tjänster så som Google Drive och Dropbox. Å andra sidan kan en viss försiktighet gentemot molntjänster uppmärksammas hos de organisationer som innehar känslig data. Denna försiktighet kan anses leda till en långsammare tillämpningshastighet för dessa organisationer. Detta examensarbete har som syfte att undersöka sambandet mellan molntjänster och känslig data för att kunna erbjuda stöd och kunskapsbas för organisationer som överväger en övergång till molntjänster. Känslig data är definierat som information som omfattas av den svenska Personuppgiftslagen. Tidigare studier visar att organisationer värdesätter en hög säkerhetsgrad vid en övergång till molntjänster och ofta föredrar att leverantören kan erbjuda ett antal säkerhetsmekanismer. En molntjänsts lagliga överensstämmelse är en annan faktor som uppmärksammas. Datainsamlingen skedde genom en enkät, som var riktad till 101 av de svenska organisationerna i syfte att kartlägga användningen av molntjänster samt att identifiera möjliga bromsande faktorer. Dessutom genomfördes tre (3) intervjuer med experter och forskare inom IT-lag och/eller molnlösningar. En analys och diskussion, baserad på resultaten, har genomförts, vilket ledde till slutsatserna att en molnlösning av hybrid karaktär är bäst lämpad för den försiktiga organisationen, de olika villkoren i serviceavtalet bör grundligt diskuteras innan en överenskommelse mellan parter uppnås samt att i syfte att undvika att lösningen blir oförenlig med lagen bör främst en leverantör som är väl etablerad i Sverige väljas. Slutligen, bör varje organisation utvärdera om molntjänster kan tillgodose organisationens säkerhetsbehov, då det i stor mån berör ett risktagande. / Cloud computing is today a hot topic, which has changed how IT is delivered and created new business models to pursue. The main listed benefits of Cloud computing are, among others, flexibility and scalability. It is widely adopted by individuals in services, such as Google Drive and Dropbox. However, there exist a certain degree of precaution towards Cloud computing at organizations, which possess sensitive data, which may decelerate the adoption. Hence, this master thesis aims to investigate the topic of Cloud computing in a combination with sensitive data in order to support organizations in their decision making with a base of knowledge when a transition into the Cloud is considered. Sensitive data is defined as information protected by the Swedish Personal Data Act. Previous studies show that organizations value high degree of security when making a transition into Cloud computing, and request several measures to be implemented by the Cloud computing service provider. Legislative conformation of a Cloud computing service is another important aspect. The data gathering activities consisted of a survey, directed towards 101 Swedish organizations in order to map their usage of Cloud computing services and to identify aspects, which may decelerate the adoption. Moreover, interviews with three (3) experts within the fields of law and Cloud computing were conducted. The results were analyzed and discussed, which led to conclusions that hybrid Cloud is a well chosen alternative for a precautious organization, the SLA between the organizations should be thoroughly negotiated and that primarily providers well established on the Swedish market should be chosen in order to minimize the risk of legally non-consisting solution. Finally, each organization should decide whether the security provided by the Cloud computing provider is sufficient for organization’s purposes.

Cloud computing

public Cloud

private Cloud

delivery models

sensitive data

Personal Data Act

PuL

adaption.

Cloud computing

publikt moln

privat moln

leveranssätt

molntjänster

känslig data

personuppgifter

PuL

tillämpning av molntjänster.

Engineering and Technology

Teknik och teknologier

Dark patterns - obemärkta hot mot dataskyddet? : En undersökning av övertalande design som avser att samla personuppgifter / Dark patterns - unnoticed threats to data protection : An analysis of pervasive design intended to collect personal data

Willamo, Kristin

January 2022

I uppsatsen beskrivs vad dark patterns är och hur de påverkar enskildas dataskydd. Det konstateras att metoderna faktiskt är ett gammalt fenomen som nu även förekommer inom den relativt nya datadrivna marknaden i den digitala världen. Det finns flera olika varianter av dark patterns och de kan förefalla överlappa varandra. Gemensamt är att dark patterns inom data-skydd påverkar enskildas integritetsval genom att nudgea enskilda till att dela personuppgifter. Metoderna inverkar på enskildas rätt till kontroll över sina personuppgifter och därmed borde dark patterns i de flesta fall utgöra överträdelser av dataskyddet i EU. Ingen lagstiftning omfattar dark patterns uttryckligen men i uppsatsen visas på att det torde vara få dark patterns som inte träffas av gällande dataskyddsregler. Det är inte svagheter i gällande dataskyddsreglering som uppmärksammas i uppsatsen utan snarare svagheter i efterlevnad och tillsyn av vederbörande regler. Bristerna i tillsyn påverkar inte endast förekomsten av dark patterns utan det gäller för samtliga dataskyddsöverträdelser. I uppsatsen föreslås behov av ytterligare riktlinjer och klargöranden från EDPB för att effektivisera efterlevnad och tillsyn av gällande regler. Därutöver förespråkas ytterligare finansiering till dataskyddsmyndigheter samt utbildning av enskilda tillika konsumenter om vad dark patterns är. I uppsatsen analyseras även konsumentområdets koppling till dataskydd samt eventuella tillsynsansvar av dark patterns för att sedermera diskuteras som ett ytterligare alternativ till att motverka dark patterns. Uttryckliga förbud i EU-lagstiftningsakter anses också vara önskvärd för att öka efterlevnad. En utblick över framtida regleringar görs, dels i USA där reglering som uttryckligen omfattar dark patterns införs år 2023, dels i EU där ett uttryckligt förbud mot dark patterns är under förhandling till att införas i DSA. Samtidigt kan kakväggar, vilket är en typ av dark pattern, komma att bli delvis tillåtna i och med ePrivacy-förordningen

data

gdpr

dark patterns

dark pattern

data security

data protection

nudge

nudging

pervasive design

information security

data

gdpr

dark patterns

dark pattern

dataskydd

personuppgifter

GDPR

dataskyddsförordningen

informationssäkerhet

övertalande design

nudge

nudging

samtycke

databehandling

Law and Society

Juridik och samhälle

Informerat samtycke till behandling av personuppgifter på webbplatser : En analys av hur kraven i dataskyddsförordningen kommer att påverka den personliga integriteten i praktiken / Informed consent to processing of personal data on websites : An analysis of how the requirements in the General Data Protection Regulation will affect privacy in practice

Nilsson, Eric

January 2017

Frågan om rätten till personlig integritet är aktuell på ett helt annat sätt idag än den var på 1990-talet. Sedan dataskyddsdirektivet trädde i kraft har behandlingen av personuppgifter ökat exponentiellt. Informationsteknik har möjliggjort en omfattande kartläggning av personers beteenden online. Idag använder många webbplatser funktioner för att samla in och på andra sätt behandla sina besökares personuppgifter. Samtidigt har informationen om personuppgiftsbehandlingen som ges till enskilda på webbplatser i många fall blivit omfattande och komplicerad. Ett av syftena med den nya dataskyddsförordningen är att bygga upp konsumenters förtroende för handel på internet. Förordningen syftar även till att stärka skyddet för enskildas personliga integritet. Bestämmelserna kan anses vara svårtydda, vilket kan leda till att skyddet som bäst blir oförändrat. I ett samhälle som blir alltmer digitaliserat tycks det önskvärt att de moderna reglerna håller vad de lovar, annars kan konsekvenserna bli stora. I denna uppsats diskuteras om dataskyddsförordningens krav på informerat samtycke förbättrar förutsättningarna för ett effektivt skydd för den personliga integriteten. De nya bestämmelserna är mer omfattande men har kritiserats för att vara otydliga, närmare principer i direktiv snarare än direkt tillämplig förordningstext. Bestämmelserna behöver också vägas mot andra rättigheter. Därför kan bestämmelserna om samtycke och informationsplikt leda till ett sämre skydd för enskilde om inte tydlig vägledning ges. Det är därför en risk som kommer behöva beaktas vid tillämpningen av förordningen. Om personuppgiftsansvariga saknar vägledning finns en risk att bestämmelserna i praktiken inte ger enskilda den kontroll över sina personuppgifter som var avsedd.

informed

consent

personal data

processing

data processing

websites

GDPR

general data protection regulation

regulation 2016/679

data protection

privacy

IT law

directive 95/46

data protection directive

informerat

samtycke

personuppgifter

behandling

personuppgiftsbehandling

online

webbplats

dataskyddsförordningen

förordning 2016/679

dataskydd

integritet

IT-rätt

privatliv

EU

personuppgiftslag

PuL

direktiv 95/46

dataskyddsdirektiv

Law and Society

Juridik och samhälle

Unexpected consequences for the Swedish signals intelligence in the light of the European Court of Justice’s case law? : An analysis of the implications the joined cases La Quadrature du Net and others and the case Privacy International might have for the Swedish signals intelligence

von Hofsten, Jarl

January 2022

The Court of Justice of the European Union has in its case law been strict in its approach towards Member States’ legislative measures providing for retention of and access to data relating to electronic communications. In recent case law the Court has made clear that also such provisions with the object of safeguarding national security need to comply with EU law and the Court’s jurisprudence. This might mean that the Swedish cable-based signals intelligence is within the scope of EU law contrary to the previous conception. It is decisive for whether the Swedish signals intelligence is within the scope of EU law whether the requirement on the providers of electronic communications systems to transfer all signals crossing the Swedish border to collaboration points, in order for the signals intelligence to be carried out, is to be interpreted as a requirement on the providers to process personal data. If within the scope of EU law, a great majority of the Swedish signals intelligence could be disproportionate in the light of the Court’s case law and thus contrary to EU law. Since the signals intelligence is considered to be an indispensable tool to solve all tasks the Swedish foreign intelligence encompasses this could affect the capability of the foreign intelligence.

Data retention

signals intelligence

national security

European law

Swedish

privacy

protection of personal data

La Quadrature du Net and others

Privacy International

European Court of Justice

case law

Datalagring

signalspaning

svensk

nationell säkerhet

europarätt

EU-domstolen

praxis

respekt för privatliv

skydd av personuppgifter

Law

Juridik