2020-09-28 09:28Insikter

Nyhetsbrev ICT | september

Välkommen till Advokatfirman Lindahls nyhetsbrev inom ICT (Information & Communications Technology). I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!

 

Privacy Shield har ogiltigförklarats och standardavtalsklausulerna kan vara 
otillräckliga – vad gör man nu?

Det som har överskuggat alla andra nyheter på ICT-området under sommaren är EU-domstolens avgörande i målet ”Schrems II”. Domen innebär stora förändringar för förutsättningarna att föra över personuppgifter till USA. Läs mer om målet och vad det får för effekter i vår artikel här.

Ett nytt Privacy Shield?
I kölvattnet av Schrems-II har det amerikanska handelsdepartementet och EU-kommissionen inlett diskussioner för att utvärdera om det finns möjlighet att skapa ett förstärkt Privacy Shield-ramverk som efterlever kraven som ställs i EU-domstolens avgörande. Detta skulle vara det tredje ramverket av sitt slag efter att de två första (Safe Harbour och Privacy Shield) båda underkänts av EU-domstolen. Läs deras gemensamma uttalande här.

Personuppgiftskoll – sanktionsavgifter i Sverige

  • Datainspektionen utfärdade den 21 augusti 2019 en sanktionsavgift på 200 000 kronor för en skola som på prov har använt ansiktsigenkänning via kamera för att registrera elevers närvaro, vilket vi tog upp i ett tidigare nyhetsbrev. Förvaltningsrätten avslår nu skolans överklagande av Datainspektionens beslut om att utdela en sanktionsavgift. Förvaltningsrätten anser inte att finns skäl att göra någon annan bedömning än den Datainspektionen gjort i det överklagade beslutet. Datainspektionens beslut står således fast.
  • Datainspektionen har granskat hur en bostadsrättsförening använder kamerabevakning i sin fastighet och konstaterar att föreningen har gått för långt som spelat in ljud och kamerabevakat både entré och trapphus. Datainspektionen utfärdade därför en sanktionsavgift på 20 000 kronor mot föreningen.


Nytt regelverk för ”onlineplattformar” har trätt ikraft
Den 12 juli i år trädde den nya EU-förordningen för onlinebaserade förmedlingstjänster i kraft som vi skrev om här. Förordningen tar sikte på leverantörer av onlinebaserade förmedlingstjänster, eller plattformar, som de också kallas. Detta omfattar exempelvis tjänster såsom App Store och Google.

Förordningen gäller när företagsanvändare använder dessa tjänster och syftar främst till att skydda mikroföretag och små och medelstora företag som har svårt att påverka de vanligtvis ensidiga villkor som gäller vid användning av dessa tjänster. Förordningen ställer därför krav på bland annat utformningen av tjänsternas allmänna villkor, förutsättningarna för att avbryta tjänsten och rangordning av varor eller tjänster. Om ni omfattas av de nya reglerna är det nu hög tid att se över era villkor.

Kredit som betalningssätt vid e-handel ska vara ett aktivt val för konsumenten
Den 1 juli 2020 trädde ändringar i betaltjänstlagen i kraft. Ändringarna ställer krav på att betaltjänstleverantörer ska utforma sin marknadsföring av tillgängliga betalningssätt vid e-handel på ett visst sätt. Reglerna innebär att betalningssätt som innebär att en kredit eller betalningsanstånd inte lämnas (direktbetalning) ska presenteras först för konsumenten. Betalningssätt som innebär att en kredit eller betalningsanstånd lämnas (till exempel fakturabetalning) får inte vara förvalt om andra betalningssätt erbjuds.

Ändringarna påverkar i första hand betaltjänstleverantörer men i förlängningen också e-handlare eftersom betaltjänstleverantörer kommer behöva kräva att e-handlare presenterar betalningssätten på ett korrekt sätt.
 
Grupptalan mot flera bolag för påstådda överträdelser av dataskyddslagstiftning genom användning av s.k. adtech
Enligt uppgifter från Forbes har bolagen Salesforce och Oracle blivit föremål för grupptalan i Nederländerna och Storbritannien för påstådda överträdelser av den europeiska dataskyddslagstiftningen. Bakom stämningarna står den ideella organisationen The Privacy Collective, som företräder de registrerade. Kraven i målen gäller användningen av tredjepartscookies och så kallad "Real time bidding" (RTB) för att rikta annonser till enskilda personer samt vilka konsekvenser detta har för personuppgifter. Eftersom det antal personer som påstås ha påverkats av bolagens cookie-användning är stort kan skadeståndskraven komma att uppgå till flera miljarder euro.

Samtidigt som dessa processer drar igång fortsätter förhandlingarna om EU:s så kallade ePrivacy förordning, där förutsättningarna för att använda cookies är en av de frågor som har gjort att lagstiftningen har dragit ut på tiden. Enligt den ursprungliga tidsplanen skulle detta regelverk ha trätt i kraft samtidigt som dataskyddsförordningen. Under tiden kan du läsa mer om vad som gäller för användningen av cookies i vår artikel från tidigare i år tillgänglig här.

Nya vägledningar från Europeiska dataskyddsstyrelsen (EDPB)
EDPB antog nyligen riktlinjer för begreppen personuppgiftsansvarig och personuppgiftsbiträde respektive riktlinjer för riktandet av åtgärder mot användare av sociala medier. Dessa finns tillgängliga här.

Riktlinjerna för begreppen personuppgiftsansvarig och personuppgiftsbiträde ger bl.a. vägledning avseende hur begreppen ska tolkas och konsekvenserna av att en organisation är personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde.

Riktlinjerna för riktandet av åtgärder mot användare av sociala medier ger exempelvis vägledning kring inblandande aktörers ansvar vid marknadsföring till användare av sociala medier, rättslig grund, informationsgivning, och konsekvensbedömningar.

Datainspektionen godkänner Tetra Paks bindande företagsbestämmelser
Datainspektionen har fattat beslut om godkännande av Tetra Paks bindande företagsbestämmelser och finner därmed att de tillhandahåller lämpliga garantier för överföringar av personuppgifter till tredje land. Värt att notera är att Europeiska dataskyddsstyrelsen har yttrat sig inför beslutet och bland annat konstaterat att den som exporterar data ansvarar för att bedöma om mottagarlandets lagar gör det möjligt för mottagaren att efterleva de bindande företagsbestämmelserna i praktiken.Välkommen till Advokatfirman Lindahls nyhetsbrev inom ICT (Information & Communications Technology). I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt!


Om Advokatfirman Lindahl

Lindahl är en av Sveriges största affärsjuridiska advokatbyråer med kontor i Stockholm, Göteborg, Malmö, Uppsala, Örebro och Helsingborg. Utöver den stora byråns breda kapacitet har vi en absolut spetskompetens inom immaterialrätt, life science, processer och ICT-sektorn. Vi har också en lång och gedigen erfarenhet inom områden som bank och finans, capital markets, M&A samt fastigheter. Lindahl är rankad inom flera kompetensområden av de stora internationella rankinginstituten. Dessutom är vi den enda svenska medlemmen i TerraLex, ett internationellt nätverk som består av noga utvalda advokatbyråer som är ledande på sina lokala marknader. Mer information om Lindahl finns på lindahl.se.