Ansvar för personuppgifter i publika blockkedjor : En teknologi förenlig med GDPR? / Responsibility for Personal Data in the Public Blockchain : A Technology Compatible with the GDPR?

Koch, Stellan

January 2019

While the Internet provides enormous opportunities within development of communications and database systems it also endangers the processing of personal data unlawfully. With traditional database structure in focus the responsibility and accountability of said processed personal data was somewhat clear as the General Data Protection Regulation (GDPR) entered the legal framework of the European Union’s member states in May 2018. Blockchain technology being the latest innovation in database structure challenges the applicability of the new regulation by introducing cryptography and a peer-to-peer distributed ledger technology. This thesis is the result of an attempt to analyze the personal data processed in public blockchains, i.e. Bitcoin, and its compliance with certain fundamental data protection rights stipulated in the GDPR such as the right to erasure of personal data. Furthermore, in relation to fundamental data protection rights violations are also subjects of accountability. While the new distributed ledger technology vastly increases the difficulty to determine a target for accountability the thesis also considers the traditional view on databases on which the GDPR was built upon. Thus, the thesis aims to further explore the relation between participants on the innovative blockchain and fundamental personal data protection rights in the GDPR.

GDPR

Dataskyddsförordningen

Blockkedjor

Personuppgifter

Personuppgiftsansvar

Law

Juridik

Tjänsteleverantörers personuppgiftsansvar : Tjänsteleverantörers ansvar för personuppgifter utifrån dataskyddsförordningen respektive e-handelsdirektivet / Service provider's liability for personal data : Service provider's liability for personal data based on the General Data Protection Regulation and the e-Commerce Directive

Demelew, Amelie

January 2020

Dataskyddsförordningen trädde i kraft år 2018 och har medfört ett starkare och bredare skydd för fysiska personers personuppgifter. Syftet med denna uppsats är att utreda hur tjänsteleverantörers ansvar påverkas av dataskyddsförordningen. Tjänsteleverantörer av informationssamhällets tjänster definieras som tillhandahållare av tjänster som vanligtvis utförs mot ersättning på distans, på elektronisk väg och på individuell begäran av en tjänstemottagare. Exempel på tjänsteleverantörer är internetåtkomstleverantörer eller tillhandahållare av onlineplattformar såsom t.ex. Facebook, YouTube eller Airbnb. Även om tjänsteleverantörer vidtar olika typer av åtgärder för att kunna tillhandahålla sina tjänster har de alla gemensamt att de behandlar personuppgifter, om än i olika omfattning, vilket innebär att de faller inom dataskyddsförordningens tillämpningsområde. Tjänsteleverantörer som enbart tillhandahåller de ”bakomliggande” tjänsterna, såsom internetåtkomst, behandlar personuppgifter i begränsad omfattning och har därför ett begränsat ansvar för personuppgifter som de överför och tillfälligt lagrar. Tjänsteleverantörer som tillhandahåller onlineplattformar kan dock ha dubbla roller med anledning av att olika typer av onlinetjänster erbjuds inom ramen för samma plattform. Dessa tjänsteleverantörer kan därför behandla personuppgifter för flera olika ändamål och med olika medel vilket medför att deras ansvar för personuppgifterna är mer omfattande än de förstnämnda tjänsteleverantörerna. Alla typer av tjänsteleverantörer måste dock åtminstone vidta tekniska och organisatoriska åtgärder för att skydda de personuppgifter som förekommer i deras tjänster. Vid tillhandahållande av onlineplattformar kan även externa organisationer behandla personuppgifter genom onlinetjänster på plattformar. Personuppgiftsansvaret, dvs. ansvaret att säkerställa att behandlingen av personuppgifterna följer dataskyddsförordningen, kan i sådana fall vara gemensamt. Den eller de som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är enligt huvudregeln personuppgiftsansvarig. En aktör som enbart har möjlighet att initiera eller avsluta en behandling samt har ett ekonomiskt intresse i att behandlingen utförs anses dock också ha sådant inflytande att den kan bli gemensamt personuppgiftsansvarig med den aktör som har beslutat om det specifika ändamålet och medlen. Sammanfattningsvis kan tjänsteleverantörer som tillhandahåller onlineplattformar bli gemensamt personuppgiftsansvariga med externa aktörer som behandlar personuppgifter på deras plattformar, dock enbart i den utsträckning som de är delaktiga. Vidare har tjänsteleverantörer av informationssamhällets tjänster under vissa förutsättningar en möjlighet att åtnjuta ansvarsfrihet avseende den information som användare publicerar eller skickar via deras tjänster enligt bestämmelser i e-handelsdirektivet. Till följd av att e-handelsdirektivet föreskriver att det inte ska tillämpas på frågor som omfattas av dataskyddsförordningen och dataskyddsförordningen hänvisar tillbaka och anger att förordningen inte ska påverka tillämpningen av ansvarsfrihetsgrunderna i e-handelsdirektivet har oklarhet förelegat avseende förhållandet mellan regelverken. Efter analys av såväl förarbeten till dataskyddsförordningen som doktrin och praktiska exempel tycks förhållandet föreligga så att de två regelverken kan tillämpas parallellt utan att begränsa varandra. Sammanfattningsvis är tjänsteleverantörer personuppgiftsansvariga för de uppgifter som förekommer i deras tjänster i den utsträckning de bestämmer ändamålen med och medlen för den behandling de utför. Personuppgiftsansvaret för med sig olika omfattande skyldigheter beroende på hur omfattande behandlingen är. Tjänsteleverantörers personuppgiftsansvar påverkar dock inte deras möjligheter att åtnjuta ansvarsfrihet i förhållande till eventuellt olagligt innehåll som användare publicerar eller skickar inom ramen för deras tjänster.

GDPR

e-handelsdirektivet

tjänsteleverantörer

informationssamhällets tjänster

personuppgiftsansvar

Law and Society

Juridik och samhälle

Försäkringsskydd för skadeståndsansvar vid dataskyddsöverträdelser : En undersökning av försäkringsvillkorens omfattning och eventuella begränsningar i förhållande till art. 82 GDPR och grupptalan / Insurance coverage for liability in case of data protection breaches : An investigation into the extent and potential limitations of insurance terms in relation to art. 82 GDPR and class action lawsuits

Nahlbom, Robin

January 2024

I uppsatsen utreds försäkringsskyddet för skadeståndsansvar vid dataskyddsöverträdelser. GDPR är den centrala regleringen för personuppgiftsbehandling och fastställer ett antal principer som måste upprätthållas för att den ansvarige ska få behandla personuppgifter. Bryter den ansvarige mot förordningens principer har den registrerade rätt att kräva skadestånd enligt art. 82.1 GDPR. Förordningen fastställer tre kumulativa krav som måste vara uppfyllda för att skadeståndsskyldighet ska föreligga. Det innefattar att en överträdelse av GDPR har skett, att materiell eller immateriell skada till följd av denna överträdelse har uppstått och att det föreligger ett orsakssamband mellan skadan och överträdelsen. Förordningen innehåller även en bestämmelse som tar över medlemsstaternas nationella skadeståndsrättsliga bestämmelser, vilket innebär att GDPR ska tillämpas enligt sin ordalydelse och att de kumulativa kraven enligt art. 82.1 GDPR måste följas. Det innebär att nationella skadeståndsrättsliga begrepp inte bör jämställas med begrepp som framgår av art. 82.1 GDPR eftersom begreppen har tillkommit i en helt annan kontext. Exempelvis översätts i vissa fall materiella och immateriella skador till ekonomiska och ideella skador. Begreppen är inte synonyma och bör inte tillställas samma betydelse eftersom terminologin i art. 82.1 GDPR kan misstolkas. Försäkringsvillkoren som reglerar skadeståndsskyldigheten för dataskyddsöverträdelser och som även hänvisar till art. 82.1 GDPR, innehåller i vissa fall nationella skadeståndsrättsliga begrepp och även andra begrepp som inte framgår av förordningen. Det kan leda till att kongruensen mellan villkorens utformning och förordningens ordalydelse medför tolkningsproblematik vid bedömning om skadeståndsskyldighet föreligger. Därför bör försäkringsvillkoren endast innehålla sådan terminologi som framgår av art. 82.1 GDPR. Dataskyddsöverträdelser medför oftast att en stor grupp människor lider skada varför förordningen tillåter registrerade att föra grupptalan med hjälp av en ideell organisation enligt art. 80 GDPR. Teoretiskt sett kan skadeståndsbeloppen bli högre än försäkringsbeloppen varför det i sådana fall saknas ett försäkringsskydd för grupptalan för den personuppgiftsansvarige. Försäkringsvillkoren anger däremot ingenting om att försäkringen inte täcker ett sådant anspråk. Därmed ställs försäkringsbolagen inför utmaningen att hantera sådana anspråk, varför försäkringen bör uppdateras för att möta skadestånd i en grupptalan vid dataskyddsöverträdelser. / The essay investigates insurance coverage for liability for damages in the event of data protection breaches. GDPR is the central regulation for the processing of personal data and establishes a number of principles that must be upheld for the data controller to process personal data. If the data controller breaches the principles of the regulation, the data subject has the right to claim damages under Art. 82.1 GDPR. The regulation sets out three cumulative requirements that must be met for liability for damages to arise. This includes that a breach of the GDPR has occurred, that material or immaterial damage as a result of this breach has arisen, and that there is a causal link between the damage and the breach. The regulation also includes a provision that supersedes the national tort law provisions of Member States, which means that the GDPR shall be applied according to its wording and that the cumulative requirements under Art. 82.1 GDPR must be followed. This means that national tort law concepts should not be equated with concepts as set out in Art. 82.1 GDPR as the concepts have arisen in a completely different context. For example, in some cases, material and immaterial damages are translated into economic and non-economic damages. The concepts are not synonymous and should not be attributed the same meaning as the terminology in Art. 82.1 GDPR can be misinterpreted. The insurance terms and conditions that regulate liability for damages in the event of data protection breaches and also refer to Art. 82.1 GDPR, in some cases contain national tort law concepts and other concepts that are not evident in the regulation. This may lead to a lack of congruence between the wording of the terms and conditions and the wording of the regulation, resulting in interpretation issues when assessing whether liability for damages exists. Therefore, the insurance terms and conditions should only contain terminology as set out in Art. 82.1 GDPR. Data protection breaches usually result in harm to a large group of people, which is why the regulation allows data subjects to bring a collective action with the assistance of a not-for-profit organization under Art. 80 GDPR. Theoretically, damages awarded may exceed insurance coverage, which means there is no insurance coverage for collective actions for the data controller in such cases. However, the insurance terms and conditions do not specify that the insurance does not cover such a claim. Therefore, insurance companies are faced with the challenge of handling such claims, which is why the insurance should be updated to cover damages in a collective action in the event of data protection breaches.

GDPR

General Data Protection Regulation

protection

Insurances

breach

insurance

Class action lawsuit

terms and conditions

Personal data

Personal data protection

Registered

Privacy protection Insurance

coverage

sum insured

Damages

compensation

Tort law

Material damages

Immaterial damages

Violation

Economic loss

Insurance company

European Union

Personal Data Act

Data integrity

Confidentiality

Confidentiality protection

Information protection

Personal data protection

Insurance contract

Liability for damages

Data controller

DPO

Data processor

Compensation for damages

Claim for damages

Insurance coverage

Principles

Data protection principles

Compliance

Insurance compensation

Tort law Regulation

Directive

Law

Swedish Authority for Privacy Protection

Data protection officer

European Data Protection Board

Article 29 workgroup

Article

Article 82

Data controller responsibility

Sanctions

Administrative fines

Data Protection Directive

Artikel 82

GDPR

Dataskydd

Försäkring

Försäkringar

Databrottsförsäkring

Grupptalan

Försäkringsvillkor

Personuppgift

Personuppgifter

Personuppgiftsskydd

Registrerad

Registrerade

Integritetsskydd

Försäkringsbelopp

Skadestånd

Skadeståndslag

Materiell

Immateriell

Kränkning

Förmögenhetsskada

Försäkringsbolag

Dataskyddsförordningen

EU

Personuppgiftslag

Dataintegritet

Sekretess

Sekretessskydd

Informationsskydd

Personuppgiftsskydd

Försäkringsavtal

Skadeståndsskyldighet

Skadeståndsansvar

Personuppgiftsansvarig

Personuppgiftsbiträde

Skadeståndsersättning

Skadeståndskrav

Försäkringsskydd

Principer

Dataskyddsprinciper

Regelefterlevnad

Försäkringsersättning

Skadeståndslagen

Förordning

Direktiv

Lag

Integritetsskyddsmyndigheten

IMY

Dataskyddsombud

Data

EDPB

Artikel

82

Personuppgiftsansvar

Sanktioner

Sanktionsavgifter

Dataskyddsdirektivet

DPO

Artikel 82 GDPR

Artikel 82

Europeiska unionen

Law and Society

Juridik och samhälle