Svenn Dybvik

Alla inlägg den 26 februari 2023

:

Av Svenn Dybvik - 26 februari 2023 00:00

Riktad annonsering i sociala medier

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Användning av sociala medier kan involvera många olika aktörer som är inblandade i processen att välja ut målgrupper. Vikten av att på ett korrekt sätt kunna identifiera de olika aktörernas roll och ansvarsområden har belysts i EU-domstolens avgörande i Wirtschaftsakademie och Fashion ID. Avgörandena visar att interaktionen mellan leverantörer av sociala medier och andra aktörer kan ge upphov till gemensamt personuppgiftsansvar enligt förordningen.

I riktlinjerna klargörs rollerna och ansvarsområdena mellan de olika aktörerna. Det innefattar bland annat de potentiella risker som finns för enskilda personers rättigheter och friheter, aktörerna och deras roller samt tillämpningen av viktiga dataskyddskrav som laglighet och öppenhet.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-82020-targeting-social-media-users_en

Rätten till tillgång

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Riktlinjen handlar om alla personers rätt att vända sig till en organisation och få reda på om, och i så fall vilka, uppgifter som behandlas om dem.

Den benar ut de olika delarna i rätten till tillgång och vad de innebär, nämligen

► rätten att få veta om personuppgifter behandlas eller inte

► rätten att få en kopia av de uppgifter som behandlas

► rätten att, om uppgifter behandlas, också få närmare information om behandlingen.

Riktlinjen var ute på publik konsultation till och med den 11 mars 2022.

https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

Rätten till dataportabilitet

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Förordningen inför en ny rätt till dataportabilitet genom artikel 20.

I riktlinjerna ges vägledning om hur rätten till dataportabilitet ska tolkas och genomföras. Bland annat beskrivs rätten till dataportabilitet och dess räckvidd och under vilka villkor rättigheten gäller. Riktlinjerna innehåller även konkreta exempel och kriterier för att förklara under vilka omständigheter rättigheten ska tillämpas.

https://www.imy.se/globalassets/dokument/riktlinjer-om-ratten-till-dataportabilitet.pdf

https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/for-dig-som-kund/

För dig som kund

När du blir kund hos ett företag samlar företaget ofta in uppgifter om dig för att till exempel kunna leverera den vara eller tjänst du köpt eller skicka erbjudanden till dig. Företaget måste följa reglerna i dataskyddsförordningen, som att ha en rättslig grund för behandlingen av personuppgifter och ge tydlig information om hur dina uppgifter används.

Personuppgift – mer än namn och adress

Personuppgifter är uppgifter som enskilt eller i kombination med andra uppgifter kan knytas till en fysisk levande person, till exempel

namn, personnummer
adress, e-postadress, telefonnummer
foton och ljudupptagningar
betalningsuppgifter som konto- eller betalkortsnummer.

Vad är en personuppgiftsbehandling?

En personuppgiftsbehandling innebär att ett företag hanterar dina uppgifter på något sätt, till exempel samlar in, registrerar, lagrar, ändrar eller lämnar ut uppgifter om dig.

Företaget måste ha en rättslig grund för behandlingen

När ett företag behandlar uppgifter om dig som kund måste det kunna stödja sig på någon av de rättsliga grunderna i dataskyddsförordningen. Om företaget inte har en rättslig grund är personuppgiftsbehandlingen inte laglig.

Avtal som rättslig grund

Ett företag får behandla uppgifter som är nödvändiga för att fullgöra ett avtal med dig eller för att vidta åtgärder på begäran av dig innan du ingår ett avtal. Det kan till exempel handla om att företaget behöver din adress för att företaget ska kunna leverera det som du har beställt hem till dig. Behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, till exempel i syfte att skicka reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund.

Samtycke som rättslig grund

Ett företag får också behandla personuppgifter med stöd av ett samtycke från dig. För att ett samtycke ska vara giltigt krävs att det är frivilligt och att du är införstådd med hur dina personuppgifter behandlas eller ska behandlas. Samtycket ska dessutom gälla en specifik personuppgiftsbehandling. Samtycket ska uttryckas genom en aktiv handling från dig och du har rätt att när som helst dra tillbaka det utan att det ska behöva leda till negativa konsekvenser för dig.

Det finns en missuppfattning om att ett samtycke alltid krävs för att en personuppgiftsbehandling ska vara tillåten. Om ett företag kan behandlar dina uppgifter med stöd av någon av de andra rättsliga grunderna kanär personuppgiftsbehandlingen vara tillåten utan ditt samtycke. Samtycke är alltså bara en av de olika rättsliga grunderna som ett företag kan stödja sig på.

Det är två olika saker att acceptera avtalsvillkor och att lämna sitt samtycke till behandling av personuppgifter. Sådan behandling av personuppgifter som inte är nödvändig för att fullgöra avtalet, utan till exempel skergörs för att skicka ut reklam eller utvärdera företagets tjänst, kräver en annan rättslig grund än avtal. För att den typen av behandling ska vara tillåten med stöd av ett samtycke krävs att du aktivt samtycker till varje sådan behandling för sig. Att den typen av behandlingar räknas upp i avtalsvillkoren innebär inte att du har samtyckt till dem när du ingår avtalet.

Återkalla samtycke

Exempel

Du skriver upp dig på en butiks nyhetsbrev för att få ta del av butikens allmänna erbjudanden. Butiken begär sedan ditt samtycke för att få samla in information om dina köpvanor och skräddarsy erbjudanden till dig baserat på din köphistorik. Du återkallar efter en tid ditt samtycke för att få skräddarsydda erbjudanden. Butiken måste då sluta skicka ut skräddarsydda erbjudanden till dig eftersom den inte längre har en rättslig grund för att behandla dina uppgifter för det syftet. Du kan däremot fortfarande få ta del av butikens allmänna erbjudanden.

Intresseavvägning som rättslig grund

Ett företag får i vissa fall behandla dina personuppgifter med stöd av en intresseavvägning. I ett sådant fall behöver företaget inte ha ditt samtycke för att få behandla uppgifterna. Däremot krävs det att behandlingen behövs för ett berättigat intresse och att ditt intresse av skydd för dina personuppgifter inte väger tyngre.

Intresseavvägning som rättslig grund för att skicka reklam

Exempel

Du får ett erbjudande från ett företag om att samla dina lån. Du har inte tidigare varit i kontakt med företaget och heller inte registrerat dina uppgifter före reklamutskicket. Företaget kan i detta fall behandla ditt namn och din adress med stöd av en intresseavvägning för att kunna skicka erbjudandet till dig. Det betyder att ditt samtycke inte behövs.

I det fallet vägs istället skyddet för din personliga integritet mot företagets ekonomiska intresse av att kunna marknadsföra sig och/eller sina varor/tjänster. Du kan dock när som helst meddela företaget att du inte vill ha reklamutskick och då ska utskicken upphöra. Det ska vara enkelt för dig att säga ifrån att du inte längre vill ha reklam.

Personuppgifter ska behandlas på rätt sätt

När företag behandlar personuppgifter om dig som kund ska de säkerställa att uppgifterna är riktiga och, om nödvändigt, uppdaterade. Företag är också skyldiga att vidta säkerhetsåtgärder för att skydda dina personuppgifter från bland annat obehörig åtkomst och otillåten användning.

Personuppgifter får inte sparas längre än nödvändigt

Företag får inte spara uppgifter om dig längre än vad som är nödvändigt för ändamålet med personuppgiftsbehandlingen. Företag ska därför radera eller avidentifiera dina personuppgifter när de inte längre behövs. Det ska göras fortlöpande eller efter en viss tid, till exempel när kundförhållandet med dig upphör.

Företag får i vissa fall spara dina personuppgifter även när det inte längre är nödvändigt för att till exempel fullgöra avtalet med dig som kund eller efter det att du återkallat ett samtycke. Det gäller till exempel vid bokföring, eftersom bokföringslagen ställer krav på att vissa handlingar ska sparas under en viss tid. Företaget får i så fall inte använda dina personuppgifter för annat än bokföring eller spara uppgifter som inte behövs för bokföringen.

Nyhetsbrev och reklam

Exempel

Du invänder mot att ett företag använder dina personuppgifter för att skicka nyhetsbrev och reklam till dig. Företaget får inte behandla dina personuppgifter för sådana ändamål när du har invänt mot behandlingen.

Dina rättigheter som kund

Du har rätt till information

Om ett företag behandlar dina personuppgifter ska du få information om detta. De ska bland annat informera om

varför dina personuppgifter behandlas och vilken rättslig grund företaget använder
vilka personuppgifter om dig som behandlas
om uppgifterna har lämnats eller kan komma att lämnas ut till tredje part
hur länge uppgifterna kommer att lagras eller vad som avgör lagringstiden.

Du har rätt att få tillgång till dina personuppgifter

Du har rätt att vända dig till ett företag för att få veta vilka personuppgifter som företaget har om dig. Du ska bland annat få veta

vilka personuppgifter om dig som behandlas
varifrån uppgifterna kommer
ändamålen med behandlingen
vilka mottagare eller kategorier av mottagare som personuppgifterna eventuellt har lämnats ut till eller ska lämnas ut till.

Du har rätt att i vissa fall få dina personuppgifter raderade

Du har rätt att vända dig till ett företag som behandlar dina personuppgifter och be att uppgifterna raderas. De ska radera dina uppgifter när

personuppgifterna inte längre är nödvändiga för ändamålet/syftet med behandlingen
personuppgifterna har behandlats olagligt
företaget inte längre har någon rättslig grund för att behandla uppgifterna.

Företag kan ibland behöva ha kvar dina personuppgifter för att uppfylla sina skyldigheter enligt annan lagstiftning, som till exempel vid bokföring. Företaget ska efter din eventuella begäran göra en bedömning av om informationen ska tas bort eller om det finns något stöd för att ha kvar uppgifterna.

Du har rätt att få ut dina personuppgifter och eventuellt även överförda till ett annat företag

Du har under vissa förutsättningar rätt att få ut dina personuppgifter från ett företag där du är kund, så att du exempelvis kan använda uppgifterna hos ett annat företag. Denna rättighet gäller endast om företaget som du vill få ut personuppgifterna från har behandlat dina uppgifter med stöd av ditt samtycke eller för att uppgifterna varit nödvändiga för att fullgöra ett avtal. Det gäller också endast uppgifter som du själv lämnat till företaget.

Om du begär det och det är tekniskt möjligt ska uppgifterna överföras direkt från företaget till det andra företaget. I annat fall ska du få uppgifterna i ett format som gör att informationen kan vidareanvändas.

Överföringen får inte innebära en negativ påverkan på andra personers rättigheter och friheter, till exempel om det i dina uppgifter även finns personuppgifter om andra personer.

https://www.imy.se/privatperson/dataskydd/vi-guidar-dig/for-dig-som-kund/

Kriterier för rätten att bli bortglömd av sökmotorer

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt domen i målet Costeja från EU-domstolen kan en registrerad begära att en aktör som tillhandahåller en sökmotor på internet raderar en eller flera länkar till webbsidor från de sökresultat som visas vid en sökning på dennas namn.

I riktlinjerna tolkas rätten att bli bortglömd av sökmotorer mot bakgrund av artikel 17 i förordningen. Riktlinjerna innehåller bland annat de skäl som den registrerade kan åberopa vid en begäran om radering som skickats till en sökmotorleverantör samt undantag från rätten att begära borttagande. Dessutom ges en bilaga om bedömningen av kriterier för att hantera klagomål vid vägran av borttagande.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-52019-criteria-right-be-forgotten-search-engines_sv

Öppenhet och information till de registrerade

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt artikel 5.2 måste den personuppgiftsansvariga alltid kunna visa att personuppgifterna behandlas på ett öppet sätt gentemot den registrerade. Öppenhetskraven i dataskyddsförordningen gäller oavsett rättslig grund för behandlingen och under hela tiden som behandlingen pågår.

I riktlinjerna ges vägledning och hjälp att tolka öppenhetsskyldigheten vid behandling av personuppgifter. Riktlinjerna ger även vägledning för hur personuppgiftsansvariga bör gå till väga för att vara insynsvänliga och samtidigt garantera korrekthet och ansvarighet i sina öppenhetsåtgärder.

https://www.imy.se/globalassets/dokument/riktlinjer-om-oppenhet-och-information-till-registrerade.pdf

Inbyggt dataskydd och dataskydd som standard

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Enligt artikel 25 ska personuppgiftsansvariga genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, som är utformade för att effektivt genomföra dataskyddsprinciper, som uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen så att kraven i förordningen uppfylls och de registrerades rättigheter skyddas.

I riktlinjerna beskrivs de faktorer som personuppgiftsansvariga ska beakta vid utformning av it-system och rutiner. Riktlinjerna innefattar också praktisk vägledning om hur man tillämpar Data protection by design and by default i förhållande till de grundläggande principerna i artikel 5.1 etc.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_sv

Samtycke

https://www.imy.se/verksamhet/dataskydd/dataskydd-pa-eu-niva/eu-riktlinjer/

Förordningen inför ett förtydligande och en specificering av kraven för att få och visa upp giltigt samtycke.

I riktlinjerna görs en grundlig analys av begreppet samtycke genom praktisk vägledning för att säkerställa att det är förenligt med dataskyddsförordningen. Riktlinjerna utgår från artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet ”samtycke”.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_sv

Så hänger lagarna ihop

https://www.imy.se/verksamhet/dataskydd/sa-hanger-lagarna-ihop/

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna. På den här sidan förklarar vi hur dataskyddslagarna hänger ihop och vilken lag som gäller före en annan.

Grunden till integritetsskyddet

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-19941219-om-den-europeiska-konventionen_sfs-1994-1219

Lag (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna

t.o.m SFS 2021:395

Europakonventionen om de mänskliga rättigheterna

1950 antog Europarådet den Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). En av dessa rättigheter är individens rätt till respekt för sitt privat- och familjeliv. Den innebär att ingen ska behöva utsättas för godtyckliga eller olagliga inskränkningar i sitt privatliv. Europakonventionen gäller som lag i Sverige.

Grundläggande rättigheter

EU har antagit en stadga om de grundläggande rättigheterna, bland annat rätten till skydd för personuppgifter. I stadgan beskriver artikel 8 denna rätt:

► Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

► Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.

► En oberoende myndighet ska kontrollera att dessa regler efterlevs.

Svensk grundlag

Ett skydd för den personliga integriteten finns även i svensk grundlag, i regeringsformen. Där står bland annat "var och en [är] gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden".

I konflikt mellan grundlag och EU-rätt står EU-rätten över. Vår grundlag får inte stå i strid med dataskyddsförordningen.

Dataskyddslagstiftningen

Det finns flera svenska lagar och förordningar på dataskyddsområdet som har kommit till för att skydda enskilda medborgares personliga integritet.

https://www.imy.se/globalassets/dokument/dataskyddsreformen---integritetslagarna2.pdf

Dataskyddsreformen

https://www.imy.se/verksamhet/dataskydd/sa-hanger-lagarna-ihop/

Dataskyddsreglerna grundar sig i de mänskliga rättigheterna. På den här sidan förklarar vi hur dataskyddslagarna hänger ihop och vilken lag som gäller före en annan.

Dataskyddsreformen består av två delar:

► Dataskyddsdirektivet

► Dataskyddsförordningen (GDPR)

Dataskyddsdirektivet, brottsdatalagen och registerförfattningar

Dataskyddsdirektivet reglerar specifikt hur personuppgifter får hanteras vid bland annat brottsbekämpning. I Sverige är dataskyddsdirektivet infört i nationell rätt genom brottsdatalagen.

De flesta myndigheter som berörs av brottsdatalagen har registerförfattningar som särskilt reglerar hur personuppgifter hanteras i deras verksamheter. Polisen följer till exempel polisens brottsdatalag.

Dataskyddsförordningen (GDPR)

Dataskyddsförordningen är till för att skydda grundläggande rättigheter och friheter, särskilt enskildas rätt till skydd av sina personuppgifter. Dataskyddsförordningen gäller i hela EU och har bland annat till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter, så att det fria flödet inom EU och EES inte hindras.

Dataskyddslagen

Varje land kan ta fram egen lagstiftning som kompletterar dataskyddsförordningen. I Sverige kallas denna lag dataskyddslagen. Den innehåller vissa undantag och anpassningar till svensk rätt, som exempelvis att även myndigheter kan få administrativa sanktionsavgifter om de bryter mot reglerna i förordningen.

Registerförfattningar

Förutom dataskyddslagen finns registerförfattningar som reglerar hur personuppgifter får hanteras i vissa offentliga verksamheter. Registerförfattningarna har företräde framför dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen (GDPR). Detta eftersom dataskyddslagen är subsidiär.

Patientdatalagen är ett exempel på en registerförfattning som reglerar hur personuppgifter får hanteras inom hälso- och sjukvården. Andra exempel på registerförfattningar är studiestödsdatalagen och utlänningsdatalagen.

Kamerabevakningslagen

Kamerabevakningslagen kompletterar dataskyddsförordningen. Om det finns speciella bestämmelser i kamerabevakningslagen så ska dessa gälla före motsvarande bestämmelse i dataskyddslagen och brottsdatalagen.

https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=celex%3A32016R0679

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-2018218-med-kompletterande-bestammelser_sfs-2018-218

https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX%3A32016L0680

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/brottsdatalag-20181177_sfs-2018-1177

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/kamerabevakningslag-20181200_sfs-2018-1200

https://www.imy.se/verksamhet/dataskydd/innovationsportalen/

Grundläggande vägledning och stöd om dataskydd till innovationsaktörer.