Advokatfirman Lindahl behandlar i det här nyhetsbrevet inom ICT (Information and Communications Technology) den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!
Force majeure, IT-avtal och Corona – bara att trycka CTRL + ALT + DELETE?
Det nya coronavirus som orsakar sjukdomen covid-19 och de åtgärder som vidtas för att förhindra spridningen kan påverka möjligheten att fullfölja avtalsprestationer. Många har funderingar kring detta och de legala frågor som kan uppstå till följd härav. I den här artikeln diskuterar vi vilka möjligheter det finns att åberopa force majeure när det gäller IT-avtal.
Corona och personuppgifter
Spridningen av coronaviruset har även aktualiserat ett flertal nya frågor avseende behandling av personuppgifter. Datainspektionen har med anledning av detta tagit fram en vägledning med svar på vanliga frågor.
Även EDPB har publicerat vägledningar relaterade till covid-19. Vägledningarna rör bl.a. behandling av hälsouppgifter för forskningsändamål och behandling av platsdata.
EU-kommissionen, som samordnar EU-insatserna mot covid-19 genom att bl.a. vidta åtgärder för att stärka vårdsektorerna och lindra de samhällsekonomiska effekterna i EU, har tagit fram en vägledning om appar till stöd för kampen mot coronaviruset när det gäller dataskydd.
Datainspektionen lanserar digital tjänst för rapportering av personuppgiftsincidenter
Dataskyddsförordningen innehåller en skyldighet för företag, myndigheter och andra organisationer att anmäla personuppgiftsincidenter inom 72 timmar efter att incidenten upptäcktes. En personuppgiftsincident kan t.ex. utgöras av en situation där uppgifter om en eller flera personer har blivit förstörda, gått förlorade på annat sätt eller kommit i orätta händer. Det har tidigare saknats ett enkelt sätt att anmäla personuppgiftsincidenter på, men Datainspektionen har nu lanserat en digital tjänst för anmälningar. Tjänsten är efterlängtad och syftar till att förenkla för företag, myndigheter och andra organisationer att fullfölja anmälningsskyldigheten.
Osäker framtid för internationella överföringar av personuppgifter
EU-domstolen har nyligen tillkännagivit att domen i det uppmärksammade målet C-311/18, som populärt kallas för ”Schrems II”, kommer att meddelas den 16 juli i år.
Målet rör ett antal frågor om skyddet för personuppgifter vid överföringar av personuppgifter till tredje land, d.v.s. land utanför EU/EES. Den mest omdiskuterade frågan i målet rör giltigheten av de s.k. standardavtalsklausulerna, som i dagsläget utgör det enda allmänt användbara alternativet för att överföra personuppgifter till ett tredje land som saknar beslut om adekvat skyddsnivå (vilka länder som omfattas av beslut om adekvat skyddsnivå framgår här). Om EU-domstolen ogiltigförklarar dessa klausuler kommer det bli mycket svårt för företag och organisationer att på ett lagligt sätt överföra personuppgifter till länder utanför EU/EES. Det skulle i sin tur medföra en komplicerad situation inte minst för alla företag som använder molntjänster, vilka ofta har servrar placerade utanför EU/EES och vars användning alltså innebär en överföring av personuppgifter till länder utanför EU/EES.
Oavsett hur EU-domstolen besvarar frågorna i målet kommer avgörandet sannolikt att få stor betydelse för framtida tredjelandsöverföringar och utformningen av mekanismer för sådana överföringar. Vi följer noggrant utvecklingen och diskussionerna avseende det här målet, som lär fortsätta långt efter den 16 juli.
Personuppgiftskoll – sanktionsavgifter i Sverige och EU
Danskt standardavtal kan användas i Sverige
I föregående nyhetsbrev rapporterade vi om att den danska dataskyddsmyndigheten Datatilsynet nyligen, som första tillsynsmyndighet, fått godkänt av EDPB på sitt förslag till mallavtal för personuppgiftsbiträdesavtal. Datainspektionen meddelar nu att de danska standardklausulerna kan användas även i Sverige. Datainspektionen påpekar dock att verksamheter som vill använda dem bör vara särskilt uppmärksamma på att klausulerna inte får ändras och att det är verksamheterna själva som ansvarar både för att säkerställa att avtalen återspeglar de faktiska förhållandena mellan avtalsparterna och för att instruktioner till biträden och underbiträden är korrekta.
Ett steg närmare en ePrivacy-förordning?
Arbetet med en gemensam e-Privacy-förordning har blivit en långdragen följetång. I januari 2017 presenterades ett första förslag till en ny förordning om respekt for privatlivet och skydd av personuppgifter i elektronisk kommunikation. Den ursprungliga målsättningen var att förordningen, som bl.a. syftar till att harmonisera reglerna för cookies inom EU, skulle träda ikraft den 25 maj 2018, d.v.s. samtidigt som Dataskyddsförordningen. Förhandlingarna har dock dragit ut på tiden och medlemsstaterna har ännu inte kunnat komma överens.
Kroatien, som innehar ordförandeklubban i EU-rådet, har nu lanserat ett reviderat utkast till ePrivacy-förordning. Förslaget innehåller exempelvis en helt ny rättslig grund för behandling av metadata och användning av cookies, legitimate interest (”berättigat intresse”). Denna nya rättsliga grund ligger i linje med reglerna i Dataskyddsförordningen och skulle innebära att behovet för vissa aktörer av att samla in samtycken vid användning av cookies minskar jämfört med tidigare. Vidare innebär förslaget utökade möjligheter för enskilda att samtycka till vissa typer av cookies direkt genom webbläsarinställningar.
Föråldrade IT-system hos svenska myndigheter
Riksrevisionen redovisade under hösten 2019 resultatet av dess granskning av förekomsten av föråldrade IT-system i statsförvaltningen. Regeringen har nu upprättat en skrivelse där Riksrevisionens iakttagelser och rekommendationen till regeringen behandlas.
Riksrevisionen och regeringen är eniga i slutsatsen dels att det finns många föråldrade IT-system hos myndigheter, vilket medför såväl bristande effektivitet som stora risker ur ett informationssäkerhetsperspektiv, dels att flertalet myndigheter inte gjort tillräckligt för att hantera och förhindra situationen.
Ett urval av nya riktlinjer och vägledningar på området
eSamverkansprogrammet (eSam) för offentliga aktörer har antagit en ny vägledning om IT-avtal. Vägledningen beskriver reglering och fallgropar för t.ex. konsult-, drift- och molntjänstavtal. Den berör också likheter mellan de olika avtalstyperna.
EDPB har uppdaterat sina riktlinjer för samtycke i relation till cookies och webbsökningar och lanserat preliminära riktlinjer för behandling av personuppgifter i samband med uppkopplade fordon. De sistnämnda riktlinjerna har varit föremål för en del synpunkter och det återstår därför att se hur de slutliga riktlinjerna kommer att se ut.
Lindahl är en av Sveriges största affärsjuridiska advokatbyråer med kontor i Stockholm, Göteborg, Malmö, Uppsala, Örebro och Helsingborg. Utöver den stora byråns breda kapacitet har vi en absolut spetskompetens inom immaterialrätt, life science, processer och ICT-sektorn. Vi har också en lång och gedigen erfarenhet inom områden som bank och finans, capital markets, M&A samt fastigheter. Lindahl är rankad inom flera kompetensområden av de stora internationella rankinginstituten. Dessutom är vi den enda svenska medlemmen i TerraLex, ett internationellt nätverk som består av noga utvalda advokatbyråer som är ledande på sina lokala marknader. Mer information om Lindahl finns på lindahl.se.