Nyhetsbrev ICT | juni

Advokatfirman Lindahl behandlar i det här nyhetsbrevet inom ICT (Information and Communications Technology) den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!

Force majeure, IT-avtal och Corona – bara att trycka CTRL + ALT + DELETE?
Det nya coronavirus som orsakar sjukdomen covid-19 och de åtgärder som vidtas för att förhindra spridningen kan påverka möjligheten att fullfölja avtalsprestationer. Många har funderingar kring detta och de legala frågor som kan uppstå till följd härav. I den här artikeln diskuterar vi vilka möjligheter det finns att åberopa force majeure när det gäller IT-avtal.

 
Corona och personuppgifter
Spridningen av coronaviruset har även aktualiserat ett flertal nya frågor avseende behandling av personuppgifter. Datainspektionen har med anledning av detta tagit fram en vägledning med svar på vanliga frågor.

Även EDPB har publicerat vägledningar relaterade till covid-19. Vägledningarna rör bl.a. behandling av hälsouppgifter för forskningsändamål och behandling av platsdata.

EU-kommissionen, som samordnar EU-insatserna mot covid-19 genom att bl.a. vidta åtgärder för att stärka vårdsektorerna och lindra de samhällsekonomiska effekterna i EU, har tagit fram en vägledning om appar till stöd för kampen mot coronaviruset när det gäller dataskydd.

 
Datainspektionen lanserar digital tjänst för rapportering av personuppgiftsincidenter
Dataskyddsförordningen innehåller en skyldighet för företag, myndigheter och andra organisationer att anmäla personuppgiftsincidenter inom 72 timmar efter att incidenten upptäcktes. En personuppgiftsincident kan t.ex. utgöras av en situation där uppgifter om en eller flera personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Det har tidigare saknats ett enkelt sätt att anmäla personuppgiftsincidenter på, men Datainspektionen har nu lanserat en digital tjänst för anmälningar. Tjänsten är efterlängtad och syftar till att förenkla för företag, myndigheter och andra organisationer att fullfölja anmälningsskyldigheten.

Osäker framtid för internationella överföringar av personuppgifter
EU-domstolen har nyligen tillkännagivit att domen i det uppmärksammade målet C-311/18, som populärt kallas för ”Schrems II”, kommer att meddelas den 16 juli i år.

Målet rör ett antal frågor om skyddet för personuppgifter vid överföringar av personuppgifter till tredje land, d.v.s. land utanför EU/EES. Den mest omdiskuterade frågan i målet rör giltigheten av de s.k. standardavtalsklausulerna, som i dagsläget utgör det enda allmänt användbara alternativet för att överföra personuppgifter till ett tredje land som saknar beslut om adekvat skyddsnivå (vilka länder som omfattas av beslut om adekvat skyddsnivå framgår här). Om EU-domstolen ogiltigförklarar dessa klausuler kommer det bli mycket svårt för företag och organisationer att på ett lagligt sätt överföra personuppgifter till länder utanför EU/EES. Det skulle i sin tur medföra en komplicerad situation inte minst för alla företag som använder molntjänster, vilka ofta har servrar placerade utanför EU/EES och vars användning alltså innebär en överföring av personuppgifter till länder utanför EU/EES.

Oavsett hur EU-domstolen besvarar frågorna i målet kommer avgörandet sannolikt att få stor betydelse för framtida tredjelandsöverföringar och utformningen av mekanismer för sådana överföringar. Vi följer noggrant utvecklingen och diskussionerna avseende det här målet, som lär fortsätta långt efter den 16 juli.

Personuppgiftskoll – sanktionsavgifter i Sverige och EU

• I mars 2020 utfärdade Datainspektionen en sanktionsavgift på 75 miljoner kronor mot Google för att företaget brutit mot Dataskyddsförordningen genom att brista i sitt sätt att hantera registrerades rätt att få sina sökresultat borttagna.
• Datainspektionen har i april 2020 utfärdat en sanktionsavgift på sammanlagt 200 000 kronor mot Statens servicecenter för att ha dröjt med att underrätta såväl Datainspektionen som berörda myndigheter om en personuppgiftsincident.
• Datainspektionen har vid en granskning av Hälso- och sjukvårdsnämnden i Region Örebro län upptäckt brister avseende nämndens publicering av känsliga personuppgifter på regionens webbplats om en patient som är intagen på rättspsykiatrisk klinik. Datainspektionen har i maj 2020 förelagt nämnden att åtgärda de brister som upptäcktes samt utfärdat en administrativ sanktionsavgift på 120 000 kronor.
• Sanktionsavgifter döms ut även i övriga Europa, till exempel har en sanktionsavgift utdömts med 20 000 PLN i Polen till följd av att företaget ifråga förhindrat en inspektion.

 
Danskt standardavtal kan användas i Sverige
I föregående nyhetsbrev rapporterade vi om att den danska dataskyddsmyndigheten Datatilsynet nyligen, som första tillsynsmyndighet, fått godkänt av EDPB på sitt förslag till mallavtal för personuppgiftsbiträdesavtal. Datainspektionen meddelar nu att de danska standardklausulerna kan användas även i Sverige. Datainspektionen påpekar dock att verksamheter som vill använda dem bör vara särskilt uppmärksamma på att klausulerna inte får ändras och att det är verksamheterna själva som ansvarar både för att säkerställa att avtalen återspeglar de faktiska förhållandena mellan avtalsparterna och för att instruktioner till biträden och underbiträden är korrekta.

Ett steg närmare en ePrivacy-förordning?
Arbetet med en gemensam e-Privacy-förordning har blivit en långdragen följetång. I januari 2017 presenterades ett första förslag till en ny förordning om respekt for privatlivet och skydd av personuppgifter i elektronisk kommunikation. Den ursprungliga målsättningen var att förordningen, som bl.a. syftar till att harmonisera reglerna för cookies inom EU, skulle träda ikraft den 25 maj 2018, d.v.s. samtidigt som Dataskyddsförordningen. Förhandlingarna har dock dragit ut på tiden och medlemsstaterna har ännu inte kunnat komma överens.

Kroatien, som innehar ordförandeklubban i EU-rådet, har nu lanserat ett reviderat utkast till ePrivacy-förordning. Förslaget innehåller exempelvis en helt ny rättslig grund för behandling av metadata och användning av cookies, legitimate interest (”berättigat intresse”). Denna nya rättsliga grund ligger i linje med reglerna i Dataskyddsförordningen och skulle innebära att behovet för vissa aktörer av att samla in samtycken vid användning av cookies minskar jämfört med tidigare. Vidare innebär förslaget utökade möjligheter för enskilda att samtycka till vissa typer av cookies direkt genom webbläsarinställningar.

Föråldrade IT-system hos svenska myndigheter
Riksrevisionen redovisade under hösten 2019 resultatet av dess granskning av förekomsten av föråldrade IT-system i statsförvaltningen. Regeringen har nu upprättat en skrivelse där Riksrevisionens iakttagelser och rekommendationen till regeringen behandlas.

Riksrevisionen och regeringen är eniga i slutsatsen dels att det finns många föråldrade IT-system hos myndigheter, vilket medför såväl bristande effektivitet som stora risker ur ett informationssäkerhetsperspektiv, dels att flertalet myndigheter inte gjort tillräckligt för att hantera och förhindra situationen.

Ett urval av nya riktlinjer och vägledningar på området

eSamverkansprogrammet (eSam) för offentliga aktörer har antagit en ny vägledning om IT-avtal. Vägledningen beskriver reglering och fallgropar för t.ex. konsult-, drift- och molntjänstavtal. Den berör också likheter mellan de olika avtalstyperna.

EDPB har uppdaterat sina riktlinjer för samtycke i relation till cookies och webbsökningar och lanserat preliminära riktlinjer för behandling av personuppgifter i samband med uppkopplade fordon. De sistnämnda riktlinjerna har varit föremål för en del synpunkter och det återstår därför att se hur de slutliga riktlinjerna kommer att se ut.