Laglig hantering av den data vi delar med oss i våra uppkopplade liv. Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

Transkript

1 Laglig hantering av den data vi delar med oss i våra uppkopplade liv Internet of Everything 11 maj 2017 Caroline Sundberg Senior Associate / Advokat

2 Agenda Big data: vad, varför och hur (från en advokats synvinkel? Vem äger datan? Integritetsskydd PuL och Dataskyddsförordningen (GDPR)

3 Big data ur en advokats perspektiv Stora mängder av olika slags information som produceras genom flera olika källor. Allt människor gör lämnar digitala spår informationen skapas antingen genom individer eller genereras av maskiner (IoT, AI). Big data rör särskilt vår förmåga att ta tillvara på och använda stora mängder av information. Skillnaden mot vanliga databaser: mängden data kräver nya tillvägagångssätt. Sekundär användning

4 Vilka regler bör man (främst) beakta? Vem äger data? Upphovsrättslagen? Avtal mellan användare och insamlare Integritetsskydd Personuppgiftslagen (nu) Dataskyddsförordningen (från maj 2018)

5 Vem äger datan?

6 Äganderätt till data och system Skilj på rättigheterna till a) produkten (hårdvara, IoT-enhet) b) systemet och c) information/data IPR till produkten och systemet: patent, upphovsrätt, design eller avtal

7 Vem äger datan? Har man en äganderätt till data eller enbart en rätt att kontrollera eller använda denna? Immateriella rättigheter (t.ex. upphovsrätt) oftast inte knutna till datan i sig - Ingen äger data i sig Men någon kan ha rättigheter i själva databasen 49 URL, Direktiv 96/9 om rättsligt skydd för databaser, s.k. databasskyddet Reglera ägande och rätt till användning av data i avtal med samarbetspartners!

8 Integritet

9 Risker för den personliga integriteten Övervakning av individer Risk för profilering, dvs. detaljerad kartläggning av användarna Vad som vid en första anblick kan framstå som meningslös data kan kombineras och analyseras och resultera i en meningsfull användarprofil En persons livsstil (t.ex. hälsa och ekonomi), vanor och preferenser Ett praktiskt exempel s.k. drive-by scanning Everything may reveal everything

10 Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före

11 Ny EU-förordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte Möta teknikens förändringar Stärka integritetsskyddet Harmonisering, underlätta handel/fritt flöde inom EU De nya reglerna gäller från och med den 25 maj 2018

12 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser.

13 Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m.

14 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk

15 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras OBS! Oavsett kryptering

16 Möjlighet anonymisera? Kan informationen anonymiseras? Då gäller inte PuL/dataskyddsförordningen När är data anonymiserat? Informationen hänförs inte längre direkt eller indirekt till en individ. Utvärdera om det finns lämpliga tekniska lösningar Pseudonymisering?

17 Integritetens vägval big data Fullständig anonymisering Fullständig Personuppgiftscompliance Är fullständig anonymisering ens möjlig?

18 Ok, det finns personuppgifter i vår data lake... Now what?

19 När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning

20 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

21 Identifiera Personuppgiftsansvarig och Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Utökade direkta skyldigheter Självständigt ansvar

22 Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ

23 Särskilda kategorier (ökade krav) Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd

24 Privacy by design Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade

25 Ett stort antal andra krav Ökat ansvar för företag att visa att reglerna följs Ny typ av information till registrerade uppdatera personuppgiftspolicy Nya rutiner för hur information ska ges Notifieringskrav data breach Dataskyddsombud Dataportabilitet Certifieringsmöjligheter Förbud mot överföring till tredje land Säkerhetskrav

26 Vad gör vi?

27 Praktiska tips Big data Analysera dataflöden Vilken typ av personuppgifter behandlas och för vilka ändamål? Ta fram policys och rutiner För bl.a. gallring, inhämtande av giltiga samtycken, dataportabilitet, rätten att bli glömd och agerande vid personuppgiftsincident.

28 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policys Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policys för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv Laglig hantering av den data vi delar med oss i våra uppkopplade liv

29 Caroline Sundberg / Advokat Mobil caroline.sundberg@delphi.se Frågor? Advokatfirman Delphi Mäster Samuelsgatan 17 / Box 1432 / Stockholm / Sweden Tel: / Laglig hantering av den data vi delar med oss i våra uppkopplade liv

30