Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Transkript

1 Big data Legala svårigheter och möjligheter Johan Hübner, Advokat / Partner

2 Agenda Big data: vad, varför och hur (från en advokats synvinkel? Vem äger datan? Integritetsskydd - PuL och Dataskyddsförordningen (GDPR) 2

3 Big data ur en advokats perspektiv Stora mängder av olika slags information som produceras genom flera olika källor. Allt människor gör lämnar digitala spår - informationen skapas antingen genom individer eller genereras av maskiner (IoT, AI). Big data rör särskilt vår förmåga att ta tillvara på och använda stora mängder av information. Skillnaden mot vanliga databaser: mängden data kräver nya tillvägagångssätt. Sekundär användning 3

4 Vilka regler bör man (främst) beakta? Vem äger data? Upphovsrättslagen? Avtal mellan användare och insamlare Integritetsskydd Personuppgiftslagen (nu) Dataskyddsförordningen (från maj 2018)

5 Vem äger datan? 5

6 Juridik om äganderätt till data/system Skilj på rättigheterna till a) produkten (hårdvara, IoT-enhet) b) systemet och c) information/data IPR till produkten och systemet: patent, upphovsrätt, design eller avtal

7 Vem äger datan? Har man en äganderätt till data eller enbart en rätt att kontrollera eller använda denna?? Immateriella rättigheter (t ex upphovsrätt) oftast inte knutna till datan i sig - Ingen äger data i sig Men någon kan ha rättigheter i själva databasen? Skydd för skapade uppgifter? Reglera ägande och rätt till användning av data i avtal med samarbetspartners! 7

8 Integritetsskydd 8

9 Idag: Personuppgiftslagen ( PuL ) och motsvarande nationella lagar i EU Syfte att skydda mot att personlig integritet kränks genom behandling av personuppgifter I praktiken få sanktioner vid brott mot lagen Många bryter idag mot lagen Nationell lag baserad på EU-direktiv Annan lagstiftning gäller före 9

10 Ny EU-förordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 Regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data Direkt gällande förordning som ersätter PuL och motsvarande lagar i hela EU (EES) Syfte Möta teknikens förändringar Stärka integritetsskyddet Harmonisering, underlätta handel/fritt flöde inom EU De nya reglerna gäller från och med den 25 maj

11 Förordningen i korthet Principerna bygger på nuvarande lag, men också ett stort antal nyheter Tydlig strävan efter enhetlighet, men finns vissa möjligheter till nationella avvikelser. 11

12 Sanktioner Företag riskerar böter upp till det högre beloppet av 20 MEUR eller 4 % av koncernens globala omsättning Även risk för skadestånd, straff m.m. 12

13 När gäller lagen? Gäller för ansvarig eller biträde etablerad i unionen, oavsett om behandlingen utförs i unionen eller inte Även om inte etablerade i unionen Avser registrerade som befinner sig i unionen; och Behandlingen har anknytning till utbjudande av varor eller tjänster till sådana registrerade i unionen Gäller all behandling av personuppgifter 13

14 Vad är en behandling? Definitionen av behandling är vid och omfattar alla åtgärder som vidtas i fråga om personuppgifter Exempel Insamling Registrering Lagring Spridning Samkörning Radering Undantag för bl.a. rent personligt bruk 14

15 Vad är en personuppgift? Varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras Är detta en personuppgift? (en IP-adress) En adressuppgift Köphistorik En bild GPS-data OBS! Oavsett kryptering 15

16 Möjlighet anonymisera? Kan informationen anonymiseras? Då gäller inte PuL/dataskyddsförordningen När är data anonymiserat? Informationen hänförs inte längre direkt eller indirekt till en individ. Utvärdera om det finns lämpliga tekniska lösningar Pseudonymisering? 16

17 Integritetens vägval big data Fullständig anonymisering Fullständig Personuppgiftscompliance Är fullständig anonymisering ens möjlig?

18 Ok, det finns personuppgifter i vår data lake... Now what? 18

19 Personuppgiftsansvarig En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter Ansvarar alltid självständigt för att lagen uppfylls och ska kunna visa att lagen följs Det är alltså ni som ansvarar för att t.ex. era IT-system uppfyller lagens krav (inte leverantören) Ska genomföra lämpliga organisatoriska och tekniska åtgärder för att följa lagen när lämpligt anta policyer. Jfr. personuppgiftsombud (nu dataskyddsombud) en fysisk person 19

20 Personuppgiftsbiträde En fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning Finns alltid utanför den personuppgiftsansvariges organisation Exempel på vanliga biträden IT-leverantörer Rekryteringsbyråer Reklambyråer Molntjänstleverantörer IT-support Utökade direkta skyldigheter Självständigt ansvar 20

21 Krav på personuppgiftsbiträdesavtal Utökade krav på biträden - formkrav Viktigt att tänka på vid alla samarbeten som innebär utbyte av personuppgifter Inte längre ett standardavtal viktigt anpassa till situationen förhandla! Personuppgiftsbiträde Personuppgiftsansvarig Personuppgiftsbiträdesavtal Individ 21

22 När är behandling tillåten? Uppgifter ska bara hanteras i den mån det är nödvändigt med hänsyn till ett lagligt ändamål Behandlingen behöver vara tillåten enligt samtycke nödvändigt för att ett avtal med den registrerade ska kunna fullgöras nödvändigt fullgöra rättslig förpliktelse skydda intressen av grundläggande betydelse för registrerade en arbetsuppgift av allmänt intresse ska kunna utföras eller intresseavvägning 22

23 Intresseavvägning Den registrerades intressen eller grundläggande rättigheter och friheter Personuppgiftsansvariges berättigade intresse

24 Undantag för ostrukturerat material försvinner Enligt PuL finns ett undantag för uppgifter som inte strukturerats för att påtagligt underlätta sökning Löpande text i ordbehandlings-program, text eller , inlägg på sociala medier e I vissa fall utrymme för att göra en risknivåbedömning och anpassa åtgärderna efter om risknivån är låg eller hög 24

25 Särskilda kategorier (ökade krav) Känsliga personuppgifter Ras eller etniskt ursprung Politiska åsikter Religiös eller filosofisk övertygelse Medlemskap i fackförening Biometriska och genetiska uppgifter Hälsa Sexuell läggning/sexualliv Får fortfarande bara behandlas i undantagsfall, exempelvis Uttryckligt samtycke Nödvändig behandling för vissa syften inom arbetsrätten och angivna syften enligt nationell lag, t.ex. omsorg, socialt skydd 25

26 Privacy by design Anpassa systemen efter vilka dataskyddskrav som gäller för just ert företag och varje situation Behörighet Uppgiftsminimering Anonymisera om möjligt, undvik peka ut individer Begränsa åtkomsten till uppgifterna Hög säkerhet Möjligheter till kryptering, säkerhetskopiering och loggar, säker utplåning Funktioner för autentisering Enkel möjlighet till gallring, automatisk och enkel radering av uppgifter som inte behövs Möjliggöra utelämnande av information till registrerade 26

27 Ett stort antal andra krav Ökat ansvar för företag att visa att reglerna följs Ökade krav på efterlevnadskontroll från myndigheterna Ny typ av information till registrerade uppdatera personuppgiftspolicy Nya rutiner för hur information ska ges I vissa fall krav på att ha ett Dataskyddsombud speciell anställd med ansvar för frågorna Certifieringsmöjligheter Dataportabilitet Notifieringskrav data breach Förbud mot överföring till tredje land Säkerhetskrav 27

28 Vad gör vi? 28

29 Juridisk genomgång Är behandlingen laglig, hur görs idag? Laglig grund/ändamål för den behandling som görs (register som finns)? Dokumentation över behandling, osv. Juridiska dokument/ policys Personuppgiftsbiträdesavtal, information till registrerade (personuppgiftspolicy), eventuella samtyckestexter, interna policys för behandling, dokumentation över konsekvensbedömning, dokumentation/avtal för överföring till tredje land, osv. Tekniska åtgärder Säkerhetskrav, inbyggd integritet (privacy by design), gallring, behörighetsstyrning, autentisering, osv. Organisation Dataskyddsombud, ansvar över system och rutiner, rapportordning, osv. Organisatoriska åtgärder - rutiner Utelämnande av information, dokumentera samtycken, checklistor, register över behandling, rutiner för anmälan av personuppgiftsincident, konsekvensbedömning vid ny behandling, rutiner vid upphandlingar, osv. 29

30 Praktiska tips Big data Analysera dataflöden Vilken typ av personuppgifter behandlas och för vilka ändamål? Ta fram policys och rutiner För bl.a. gallring, inhämtande av giltiga samtycken, dataportabilitet, rätten att bli glömd och agerande vid personuppgiftsincident. 30

31 Johan Hübner Advokat / Partner Mobil +46 (0) johan.hubner@delphi.se Advokatfirman Delphi Mäster Samuelsgatan 17 / Box 1432 / Stockholm / Sweden Tel: / 31

32