5 år med GDPR - fem saker att ta med sig

1. Kännedomen om integritetsskyddet i GDPR är fortfarande låg

Förutom att GDPR fyller fem år i år, fyller det svenska dataskyddet 50 år. Den första svenska lagen för dataskydd, datalagen, trädde i kraft sommaren 1973. Efter Sveriges inträde i EU ersattes datalagen med personuppgiftslagen (ofta kallad PUL) som började gälla hösten 1998. Integritetsskyddsmyndigheten (IMY) titulerar även sig själv med att vara världens äldsta dataskyddsmyndighet.

Trots att Sverige alltså har en lång tradition av skydd av personuppgifter har hälften av svenskarna begränsad kännedom om GDPR, och kännedomen är lägst hos äldre. Detta framgår av en rapport från IMY om digital integritet 2022[1]. Av samma rapport framgår även att många är oroliga över integritetsrisker och att fyra av tio ofta eller ibland avstår från digitala tjänster på grund av osäkerhet. Detta samtidigt som många inte skyddar sin personliga integritet på nätet. Vidare tycker hälften att sociala medier, sökmotorer och underhållningsappar informerar dåligt och sex av tio läser sällan eller aldrig användarvillkoren.

Slutsatserna är intressanta sett till att enskildas rättigheter förstärktes i och med GDPR. Den personliga integriteten, en grundläggande rättighet enligt bl a EU:s rättighetsstadga och regeringsformen, verkar inte lysa lika klart för enskilda som avsetts.

IMY har inom ramen för sitt tillsynsuppdrag under dessa fem år i flera uppmärksammade ärenden riktat kritik rörande informationen som går ut till enskilda[2], något som eventuellt kan leda till ökad medvetenhet. Kanske kan det därför vara dags att slänga ett extra öga på hur er integritetspolicy ser ut.

2. Tillsynsärendena har fått en långsam start i Sverige

Över ett år efter att GDPR trädde i kraft, den 20 augusti 2019, utfärdade IMY den första sanktionsavgiften för överträdelser av GDPR i Sverige[3]. Frågan gällde användningen av kamerautrustning för ansiktsigenkänning i syfte att registrera närvaro på en gymnasieskola. Gymnasienämnden fick betala 200 000 kr i sanktionsavgift. Sedan dess har IMY hunnit utfärda ett trettiotal sanktionsavgifter om totalt cirka 193 miljoner kr. Den högsta har utfärdats mot Google och gällde hanteringen av borttagning av sökträffar. IMY beslutade att Google skulle betala 72 miljoner kr men avgiften sänktes av överinstans till 50 miljoner kr.[4]

Återkommande teman i IMY:s tillsynsärenden som har lett till sanktionsavgifter är hantering av registrerades rättigheter, otillåtna kamerabevakningar i hem- eller arbetsmiljöer och bristfälligt skydd av känsliga personuppgifter. Inledningsvis bedrev IMY främst riskbaserad tillsyn, på IMY:s eget initiativ, men från 2021 har IMY i huvudsak bedrivit tillsyn baserad på klagomål från enskilda, vilket har påverkat myndighetens arbete. Enligt IMY:s tillsynsplan för 2023 planerar myndigheten också att genomföra granskning av kamerabevakning på allmänna platser och dataskyddsombudens roll och ställning.

IMY har i sin årsredovisning 2022 angett att man inte inleder och avslutar så många tillsynsärenden som man skulle behöva och att arbetet med tillsyn fortsättningsvis kommer att vara en av myndighetens mest prioriterade frågor att förbättra. Det återstår att se om de önskade och beviljade utökade anslagen till myndigheten från och med 2023 gör någon skillnad.

3. Frågan om tredjelandsöverföringar – förmodligen långt ifrån löst

Under de fem åren med GDPR är Schrems II-domen[5] nog den i särklass mest omdiskuterade händelsen. EU-domstolens avgörande innebar att Privacy Shield – EU-kommissionens beslut om en mekanism som möjliggjorde överföringar av personuppgifter till USA – upphävdes. Det satte en hel värld i gungning. Kort kan sägas att beslutet gjort det betydligt svårare för organisationer att använda amerikanska leverantörer.

I den osäkerhet som råder har den Europeiska dataskyddsstyrelsen (EDPB), tagit fram rekommendationer om kompletterande skyddsåtgärder vid överföringar till länder utanför EU/EES (tredjeländer) där det inte finns ett beslut från EU-kommissionen om adekvat skyddsnivå för personuppgifter. Senare har EU-kommissionen även antagit nya uppsättningar av standardavtalsklausuler, vilket är en annan mekanism för överföring till tredjeländer.

Läget vad avser tredjelandsöverföringar präglas dock fortfarande av osäkerhet, vilket inte minst kommit till uttryck genom att många av IMY:s tillsyner i frågan alltjämt är pågående. Viss ledning kan framöver kanske hämtas i den irländska dataskyddsmyndighetens, Data Protection Commission, nyliga beslut mot Meta Platforms Ireland Limited. Detta särskilt mot bakgrund av att beslutet fattades efter EDPB:s input. I beslutet utfärdades den högsta sanktionsavgiften någonsin, om 1,2 miljarder euro, för Facebooks överföringar av personuppgifter från EU/EES till USA.

Vad gäller just överföringar till USA presenterade EU-kommissionen i december förra året ett nytt förslag till adekvansbeslut – EU-USA Data Privacy Framework – som på nytt ska förenkla överföringar till USA. IMY har tidigare uttryckt att ett slutligt beslut i saken sannolikt fattas till sommaren 2023. Såväl EDPB och Europaparlamentet har dock riktat kritik mot det föreslagna beslutet och efterfrågat ytterligare förbättringar för att garantera fri- och rättigheter för enskilda EU-invånare. Så sent som i maj 2023 antog Europaparlamentet en resolution i vilken slutsatsen dras att EU-kommissionen bör fortsätta förhandlingarna med USA för att genomföra justeringar som är nödvändiga för att säkerställa en tillräcklig nivå av dataskydd. Om och när ett slutligt beslut fattas är det dock inte osannolikt att även detta överprövas av EU-domstolen. Kanske får vi en Schrems III-dom?

4. Den vanligaste personuppgiftsincidenten beror på den mänskliga faktorn

Den vanligaste typen av personuppgiftsincidenter som anmäls till IMY är brevutskick, inkluderat e-post eller sms, med personuppgifter som oavsiktligt hamnat hos fel mottagare. Detta framgår av en rapport över anmälda personuppgiftsincidenter 2021 framtagen av IMY.[6] Likt tidigare år kan den vanligaste orsaken till personuppgiftsincidenter härledas till den mänskliga faktorn. Misstag begås av individer i samband med hanteringen av personuppgifter och individer missar att följa interna rutiner.

Under de fem åren med GDPR har vi sett att bristfällig hantering och skydd av personuppgifter, t ex att inte anmäla en personuppgiftsincident till IMY i tid, lett till tillsynsärenden och sanktionsavgifter. Det kan därför vara värt att lägga extra krut på att säkerställa behörigheter till system och rutiner för hantering av e-post. Och framförallt, att utbilda personalen om organisationens personuppgiftsbehandling och hantering av personuppgiftsincidenter.

5. Integritetsskyddet i GDPR ges en extensiv tolkning

EU-domstolen har varit flitig under dessa fem år och lämnat många förhandsavgöranden till nationella domstolar om hur GDPR ska tolkas. Av dessa framgår att integritetsskyddet får en framträdande roll i flera olika frågor, bl a nedanstående.

• Det har konstaterats att viss information, tillsammans med annan information, indirekt kan utgöra känsliga personuppgifter[7], vilka i regel är förbjudna att behandla om inte särskilt undantag föreligger.
• GDPR har ansetts ha ett brett genomslag och konstaterats vara tillämplig i nationell processrätt, t ex vid domstolens avgörande av någons skyldighet att lämna ut eller visa upp en skriftlig handling som kan antas ha betydelse som bevis i tvistemål (edition).[8]
• Det har klarlagts att enskildas rätt till ersättning inte är begränsad till ideell skada som uppnår en viss allvarlighetsnivå.[9]

Framöver kommer vi även få svar på ytterligare intressanta frågor rörande GDPR:s tillämpningsområde, bl a följande.

• Högsta förvaltningsdomstolen har meddelat prövningstillstånd i frågan om enskildas rättsmedel under GDPR och om IMY:s beslut att avsluta ett tillsynsärende utan åtgärd är överklagbart.[10]
• Högsta domstolen har meddelat prövningstillstånd i Svea hovrätt i frågan om hur det svenska grundlagsskyddet står sig i förhållande till databaser med personuppgifter. [11]
• På EU-nivå kan vi förvänta oss ett svar i frågan om nationella myndigheters rätt till tillgång till IP-adresser för misstänkta upphovsrättsintrång på internet.[12]

Avslutningsvis

Det är mycket som händer i GDPR-världen och det är tydligt att integritetsfrågor påverkar nästan alla organisationer och verksamheter på ett eller annat sätt. Inte minst påverkas digitala aktörer i tredje länder, såsom USA, på ett ingripande sätt då de har svårt att leva upp till EU:s höga krav. I en tid då teknologi är under ständig utveckling och data är högt eftertraktat är möjligheten att behandla personuppgifter av stort värde. Vi kan därför förvänta oss att integritetsskyddet fortsatt kommer att vara i fokus.

• Utvecklingen av AI går fort fram – kanske för fort – och de risker som användningen av AI för med sig kommer att behöva hanteras.
• EU:s lagförslag om att förebygga och bekämpa sexuella övergrepp mot barn (ofta kallad den permanenta CSAM-förordningen eller Chat Control 2.0) genom en bred övervakning av digital kommunikation ställer frågor om skyddet av den personliga integriteten på spets.
• Post- och telestyrelsen, ansvarig tillsynsmyndighet för cookieefterlevnad, har under hösten 2022, efter några år av låg profil i frågan, inlett tillsyner där beslut är att vänta.

Dessa fem år med GDPR är således bara början på en lång men spännande integritetsresa. The best is yet to come!

[1] IMY rapport 2022:3, Digital integritet 2022 – En rapport om den svenska befolkningen och personlig integritet i digital miljö, tillgänglig på https://www.imy.se/publikationer/digital-integritet-2022/.

[2] Se bl a IMY:s beslut den 28 mars 2022 i DI-2019-4062 mot Klarna Bank AB. Beslutet överklagades och Förvaltningsrätten i Stockholm har i dom den 14 april 2023 i mål nr 7679–22 sänkt sanktionsavgiften. IMY har överklagat domen.

[3] IMY:s beslut den 20 augusti 2019 i DI-2019-2221.

[4] Kammarrätten i Göteborg dom den 30 november 2021 i mål nr 2232-21.

[5] EU-domstolens dom den 16 juli 2020 i mål C-311/18, Data Protection Commissioner mot Facebook Ireland Limited och Maximillian Schrems.

[6] IMY rapport 2022:1, Anmälda personuppgiftsincidenter 2021, tillgänglig på https://www.imy.se/publikationer/anmalda-personuppgiftsincidenter-2021/

[7] EU-domstolens dom den 1 augusti 2022 i mål C-184/20, OT mot Vyriausioji tarnybinės etikos komisija.

[8] EU-domstolens dom den 2 mars 2023 i mål C-268/21, Norra Stockholm Bygg AB mot Per Nycander AB.

[9] EU-domstolens dom den 4 maj 2023 i mål C-300/21, UI mot Österreichische Post AG.

[10] Högsta förvaltningsdomstolens beslut den 26 januari 2023 i mål nr 3691–22.

[11] Högsta domstolens beslut den 21 mars 2023 i mål nr Ö 3743–22 (Svea hovrätt mål nr T 3901-22).

[12] EU-domstolen mål C-470/21, La Quadrature du Net m fl.