Kan EU-kommissionen lösa frågan om tredjelandsöverföringar till USA?

dataskydd-Kan-EU-kommissionen-losa-fragan-om-tredjelandsoverforingar-till-USA.jpg

Det finns få frågor som engagerat oss som arbetar med dataskydd så mycket som tredjelandsöverföringar till USA efter Schrems II-domen. Det är därför som många ser fram emot ett nytt adekvansbeslut från EU-kommissionen med både spänning och viss bävan. I det utkast till adekvansbeslut som EU-kommissionen nu har tagit fram, EU-US Data Privacy Framework, finns många intressanta delar som innebär en klar förändring jämfört med tidigare underkända adekvansbeslut. En omdebatterad fråga är dock om detta kommer att räcka – eller behöver vi frukta en ”Schrems III”-dom, som gör att vi hamnar på ruta ett igen? JP Infonets expert Monika Wendleby analyserar frågan.

BAKGRUND

Överföringar till länder utanför EU/EES-området är enligt huvudregeln förbjudna (se artikel 44 GDPR) om inte ett undantag kan tillämpas (se artiklarna 45–50 GDPR). Ett sådant (artikel 45 GDPR) ger kommissionen rätt att besluta om att ett visst tredje land har en adekvat skyddsnivå (så kallade adekvansbeslut). När ett sådant beslut föreligger kan aktörer förlita sig på det och på så sätt få rätt att överföra personuppgifter till det tredje land som adekvansbeslutet avser om reglerna i det efterlevs. Det är vid sidan av EU-kommissionen, som kan styra över beslutens innehåll och räckvidd, enbart EU-domstolen som kan upphäva ett adekvansbeslut. När detta görs upphör det att gälla från dagen för domstolens dom.

Två adekvansbeslut rörande USA har upphävts av EU-domstolen efter klagomål från Max Schrems. I Schrems I (dom den 6 oktober 2015 i mål C-362/14) underkändes kommissionens beslut om ”Safe Harbour”, vilket ledde till ett nytt artikel 45-beslut kallat ”Privacy Shield”. I Schrems II (dom den 16 juli 2020 i mål C-311/18) underkändes även ”Privacy Shield”.

Schrems II har väckt stor uppmärksamhet och både Europeiska dataskyddsstyrelsen (EDPB) och EU-kommissionen har agerat genom att ta fram både standardavtalsklausuler, riktlinjer och rekommendationer, vilket jag tidigare analyserat.

Utmaningarna för den som vill följa regelverken är både stora och många. Det har alltså inte varit lätt för dem som vill fortsätta göra tredjelandsöverföringar. Schrems II innebar att många hamnade i en rävsax, eftersom det är svårt att snabbt ställa om. Beroendet av amerikanska tjänster har växt sig starkt under en lång tidsperiod. Det är därför många som med förväntan sett fram emot ett nytt adekvansbeslut medan andra varnat för att vi inte, även om ett beslut faktiskt fattas, kommer att få tillräcklig stabilitet och förutsägbarhet eftersom grundproblemet är amerikanska myndigheters beteenden. För min egen del tycker jag även det är intressant om adekvansbeslutet sätter större press på amerikanska bolag att respektera rätten till integritet, eftersom flera stora bolag haft uppenbara problem att efterleva förordningen.

DET FÖRSTA STEGET – PRESIDENT BIDENS DEKRET

Att frågan om ett nytt adekvansbeslut har hög prioritet visas av att EU-kommissionens ordförande Ursula von der Leyen och USA:s president Joseph Biden redan i mars 2022 träffade en principöverenskommelse i frågan i marginalen på ett toppmöte om Ryssland-Ukraina-kriget. Som ett led i den överenskommelsen antog därefter den 7 oktober 2022 president Biden ett presidentdekret, ”Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” (https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/).

KOMMISSIONEN KLAR MED ETT UTKAST TILL ADEKVANSBESLUT

Att ett amerikanskt presidentdekret antogs utgör en förutsättning för att EU-kommissionen ska kunna gå vidare med ett adekvansbeslut. Det är utifrån detta som EU-kommissionen kan pröva om det skett tillräckliga förändringar i förhållande till Schrems II. Med stor sannolikhet har de diplomatiska kontakterna därför varit täta mellan förhandlare på båda sidor Atlanten (EU och USA) inför presidentdekretet, vilket innebär att kommissionens nästa drag måste anses vara förväntat.

Den 13 december 2022 publicerade EU-kommissionen ett första utkast till adekvansbeslut benämnt ”COMMISSION IMPLEMENTING DECISION of XXX pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework”. Utkastet har väckt stor uppmärksamhet. I den här analysen tittar jag på några intressanta frågor i utkastet till det nya adekvansbeslutet (benämnt ”EU-US Data Privacy Framework”, även förkortat till ”EU-U.S. DPF” i utkastet). Jag kommenterar fortlöpande det jag bedömer vara styrkor och svagheter. Eftersom kommissionens utkast är ett omfattande dokument kan jag i analysen bara beskriva några frågor.

VAD EU-KOMMISSIONEN HAR BEDÖMT

EU har det starkaste eller ett av de starkaste skydden för integritet i världen, vilket förstås gör det till en utmaning för kommissionen när den ska bedöma om ett land har en adekvat skyddsnivå. Kommissionen beskriver sitt uppdrag på ett intressant sätt i utkastet (se punkt 4):

”As clarified by the Court of Justice in its judgment --- (Schrems), this does not require finding an identical level of protection. In particular, the means to which the third country in question has recourse for protecting personal data may differ from the ones employed in the Union, as long as they prove, in practice, effective for ensuring an adequate level of protection. The adequacy standard therefore does not require a point-to-point replication of Union rules. Rather, the test is whether, through the substance of privacy rights and their effective implementation, supervision and enforcement, the foreign system as a whole delivers the required level of protection. Furthermore, according to that judgment, when applying this standard, the Commission should notably assess whether the legal framework of the third country in question provides rules intended to limit interferences with the fundamental rights of the persons whose data is transferred from the Union, which the State entities of that country would be authorised to engage in when they pursue legitimate objectives, such as national security, and provides effective legal protection against interferences of that kind. The ‘Adequacy Referential’ of the European Data Protection Board, which seeks to further clarify this standard, also provides guidance in this regard.”

Kommissionen fortsätter därefter med att kommentera utfallet i Schrems II (punkt 5, utkastet):

”---The Court of Justice considered that the limitations to the protection of personal data arising from U.S. domestic law on the access and use by U.S. public authorities of data transferred from the Union to the United States for national security purposes were not circumscribed in a way that satisfies requirements that are essentially equivalent to those under Union law, as regards the necessity and proportionality of such interferences with the right to data protection. The Court of Justice also considered that no cause of action was available before a body which offers the persons whose data was transferred to the United States guarantees essentially equivalent to those required by Article 47 of the ‘Charter on the right to an effective remedy’.”

Kommissionen anger därefter att den fört samtal med USA och gått igenom relevanta amerikanska regelverk, bland annat det tidigare nämnda presidentdekretet. Baserat på detta föreslås ett nytt adekvansbeslut.

CERTIFIERADE ORGANISATIONER OMFATTAS

Genom det nya adekvansbeslutet kommer, om och när det antas, överföringar att kunna göras från personuppgiftsansvariga och biträden i EU till ”certified organisations in the United States”. EU-US Data Privacy Framework baseras således på ett certifieringssystem i vilket amerikanska organisationer kan ”commit to a set of privacy principles” som tagits fram av U.S. Department of Commerce (DoC). Den som får en certifiering förväntas följa principerna. Varje år krävs en ny certifiering. En grundstomme i modellen är att de som certifieras förbinder sig att delta i en skiljedomstolsmodell, som klargörs i Annex I i utkastet. Genom skiljedomsförfarandet ska olika tvister som anhängiggjorts av individer (det vill säga registrerade) kunna lösas. Begreppen personuppgifter och behandling har samma innebörd som i artikel 4 GDPR. Organisationer som uppfyller kriterierna för att vara personuppgiftsansvarig eller personuppgiftsbiträde enligt GDPR kan ansöka om certifiering.

DE PRINCIPER SOM CERTIFIERADE ORGANISATIONER MÅSTE FÖLJA

I avsnitt 2.2 i utkastet gås igenom vilka principer som certifierade organisationer måste godta. För den som är van vid GDPR innebär principerna i sig inga konstigheter, eftersom de överensstämmer med det som stadgas i kapitel I GDPR, bland annat artikel 5. Däremot är det intressant att läsa hur principerna översatts till en amerikansk kontext. Ett exempel är beskrivningen av principen om ändamålsbegränsning där ”The Choice Principles” är central:

”Secondly, to use personal data for a new (changed) purpose that is materially different but still compatible with the original purpose, or disclose it to a third party, the organisation must provide data subjects with the opportunity to object (opt-out), in accordance with the Choice Principles, through a clear, conspicuous and readily available mechanism. Importantly, this Principle does not supersede the express prohibition on incompatible processing.”

The Choice Principles får även stort genomslag när det gäller känsliga personuppgifter:

”As a general rule, organisations must obtain affirmative express consent (i.e. opt-in) from individuals to use sensitive information for purposes other than those for which it was originally collected or subsequently authorised by the individual (through opt-in), or to disclose it to third parties.”

I praktiken är sannolikt The Choice Principles mycket utmanande för amerikanska bolag att hantera, eftersom många bolag i dag tillämpar samtycken, som inte håller måttet jämfört med GDPR. Detta är sannolikt en princip som None of Your Business (Noyb) kan utmana om organisationen gör verklighet i att ytterligare en gång testa regelverket genom att påbörja ett nytt klagomål mot till exempel Facebook (https://noyb.eu/en/statement-eu-comission-adequacy-decision-us). Den intressanta frågan blir, om eller när så sker, om det skiljedomsförfarande som skissats upp i utkastet blir mer än en papperstiger. Med tanke på hur lite många stora amerikanska bolag förändrat sin affärsmodell kommer det att krävas många ändringar för att nå upp till principerna.

The Choice Principles är bara ett exempel. I adekvansbeslutet nämns ett antal andra förutom dem som redan uttryckligen finns i artikel 5 GDPR. Ett ytterligare exempel är ”the Security Principle” som har en direkt koppling till kraven i artikel 32 GDPR. Även registrerades rättigheter har gjorts om till principer, till exempel ”The Access Principle”, som kan översättas till rätten till tillgång (jämför artikel 15 GDPR). Ytterligare ett exempel rör ”Accountability for Onward Transfer Principle”, vilken syftar till att säkra ansvaret vid idareöverföringar.

KOMMER PRINCIPERNA ATT EFTERLEVAS I PRAKTIKEN?

Min bedömning är att de flesta principerna kommer att vara utmanande för amerikanska bolag, som ansluter sig via certifiering, om de verkligen gör sitt yttersta att följa dem. Många intressanta rättsfrågor lär uppstå. Skulle det bli en konkret beteendeförändring kommer dock adekvansbeslutet att bli betydligt starkare än dess föregångare.

En intressant passus är att DoC kommer att ”monitor on an ongoing basis the effective compliance with the Principles by EU-U.S.”. Anslutna bolag kan till exempel förvänta sig ”on spot checks” och ”ad hoc checks” (det senare om DoC får rapporter från tredje part om misskötsamhet). Därefter tar ett förfarande vid som kan leda till åtgärder.

På papperet låter detta kanske betryggande men hur mycket DoC kan och vill åstadkomma är oklart. I Annex II finns en förteckning över de fall DoC hanterade under Privacy Shield. Detta är relativt många fall men i verkligheten var det inte DoC:s tillsyn, utan Max Schrems klagomål, som ledde till reella problem för de amerikanska bolag som ville fortsätta ha europeiska kunder. Vid många överträdelser kommer dock amerikanska bolag att riskera att tas bort från listan av certifierade organisationer, vilket förstås kan få betydelse.

YTTERLIGARE EN AMERIKANSK TILLSYNSMYNDIGHET HAR MANDAT

Det är också intressant att de som ansluter sig till certifieringen även måste stå under tillsyn under Federal Trade Commission, FTC, som är en “independent authority composed of five Commissioners, who are appointed by the President with the advice and consent of the Senate”. Även FTC kan övervaka efterlevnaden och ”… enforce compliance by seeking administrative or federal court orders (including ‘consent orders’ achieved via settlements)”.

KOMMER BOLAG ATT KUNNA LÅTSAS ATT DE ÄR CERTIFIERADE?

Det finns förstås en risk att bolag påstår sig vara certifierade när de kontaktar potentiella kunder (som registrerade och personuppgiftsansvariga i EU). Här kan det vara bra att känna till att DoC kommer att ”monitor any false claims of EU-U.S. DPF participation or the improper use of the EU-U.S. DPF certification mark, both ex officio and on the basis of complaints”. Även FTC kan övervaka detta.

REGISTRERADES RÄTTSMEDEL

En av de svagaste delarna i Privacy Shield var de ineffektiva rättsmedel som registrerade hade (jämför även skrivningarna i punkt 5 i utkastet som jag redovisade tidigare). Det är därför intressant att titta närmare på hur den frågan har hanterats i utkastet (punkt 65):

”The EU-U.S. DPF, through the Recourse, Enforcement and Liability Principle, requires organisations to provide recourse for individuals who are affected by noncompliance and thus the possibility for Union data subjects to lodge complaints regarding non-compliance by EU-U.S. DPF organisations and to have these complaints resolved, if necessary by a decision providing an effective remedy. As part of their certification, organisations must satisfy the requirements of this Principle by providing for effective and readily available independent recourse mechanisms by which each individual’s complaints and disputes can be investigated and expeditiously resolved at no cost to the individual.”

Detta leder enligt EU-kommissionen till ett bra läge för de registrerade (punkt 67 i utkastet):

”Consequently, the EU-U.S. DPF provides data subjects with a number of possibilities to enforce their rights, lodge complaints regarding non-compliance by EU-U.S. organisations and to have their complaints resolved, if necessary by a decision providing an effective remedy. Individuals can bring a complaint directly to an organisation, to an independent dispute resolution body designated by the organisation, to national DPAs, the DoC or to the FTC. In cases where their complaints have not been resolved by any of these recourse or enforcement mechanisms, individuals also have a right to invoke binding arbitration.”

De registrerade anges ha flera vägar:

  • Den första möjligheten är genom direkt kontakt med ”the EU-U.S. DPF organisations”. Detta förfarande liknar det som personuppgiftsansvariga ska hantera i EU. Det tydliggörs att det är viktigt att organisationerna har bra integritetspolicyer som tydliggör kontaktvägarna.
  • Den andra möjligheten är att lämna ett klagomål till ”the independent dispute resolution body (either in the United States or in the Union) designated by an organisation to investigate and resolve individual complaints (unless they are obviously unfounded or frivolous) and to provide appropriate recourse free of charge to the individual”. Organisationer kommer att kunna välja en ”independent recourse mechanism” i antingen EU eller i USA. Ett sätt att göra detta är att frivilligt samarbeta med en europeisk tillsynsmyndighet (se nästa punkt).

  • Den tredje möjligheten är att inge ett klagomål till en tillsynsmyndighet i EU om detta valts som ”recourse mechanism”. När ”human resources data” (personuppgifter om en verksamhets anställda) behandlas kommer det senare att vara obligatoriskt.

  • Den fjärde möjligheten ligger i åtaganden från DoC att ”receive, review and undertake best efforts to resolve complaints about an organisation’s non-compliance with the Principles”.

  • Den femte möjligheten består i att organisationerna måste vara ”subject to the jurisdiction of U.S. authorities, in particular the FTC8, which have the necessary investigatory and enforcement powers to effectively ensure compliance with the Principles”.

  • Slutligen finns, om ingen av punkterna ovan ger effekt, en möjlighet för registrerade att ”invoke binding arbitration by the ‘EU-U.S. Data Privacy Framework Panel’ (EU-U.S. DPF Panel)”.

  • EU-kommissionen pekar även på en ytterligare väg, nämligen att begära skadestånd i amerikansk domstol.

Hur starka punkterna ovan är i praktiken är svårt att sia om, men de lär komma att testas om exempelvis Noyb går vidare med ett nytt klagomål. Till detta kommer de vägar som registrerade ska ha enligt president Bidens dekret om de vill rikta klagomål rörande amerikanska myndigheters hantering av personuppgifter (se vidare nästa två avsnitt).

AMERIKANSKA MYNDIGHETERS MÖJLIGHET ATT TA DEL AV PERSONUPPGIFTER I BROTTSUTREDNINGAR

Den kanske mest omdebatterade frågan efter Schrems II rör amerikanska myndigheters möjlighet att få tillgång till personuppgifter. Det är vanligt i alla rättsstater att personuppgifter kan användas både i brottsbekämpande verksamhet och för att skydda nationell säkerhet. Det kan vara rimligt och till och med önskvärt att använda personuppgifter för sådana ändamål om avvägningen görs på ett korrekt sätt. De flesta förväntar sig att stater gör det som går för att skydda människor från exempelvis allvarlig brottslighet eller terrorism. I praktiken finns därför ett starkt internationellt samarbete inom båda fälten. Allt är dock inte godtagbart, utan hanteringen måste vara proportionell i förhållande till den personliga integriteten.

I adekvansbeslutet beskrivs en rad möjliga vägar enligt nu gällande amerikansk rätt när det gäller brottsutredning:

  • En domare kan på begäran av ”a federal law enforcement officer or an attorney for the government” begära tillstånd att eftersöka eller beslagta information. En sådan begäran får endast godkännas om det finns ”‘probable cause’ that ‘seizable items’ (evidence of a crime, illegally possessed items, or property designed or intended for use or used in committing a crime) are likely to be found in the place specified by the warrant”.

  • En grand jury kan utfärda en stämning ”in the context of investigations of certain serious crimes”.

  • Brottsbekämpande myndigheter kan även få access till ”communications data”. I denna del kan en domstol ge tillstånd att samla in ”real-time, non-content dialling, routing, addressing and signalling information about a phone number or e-mail (through the use of a pen register or trap and trace device)”. För att kunna få en sådan order måste flera uppgifter specificeras, bland annat namn på den som misstänks om det är känt.

  • Brottsbekämpande myndigheter kan även genom ett domstolsbeslut få tillgång till vissa uppgifter enligt ”Stored Communications Act” om vissa förutsättningar uppfylls. Det finns även ytterligare vägar för myndigheterna att komma åt information om en domstol medger det.

I utkastet beskrivs även flera restriktioner för hur insamlad information får användas och den tillsyn som den amerikanska staten utövar. Vidare beskrivs även flera vägar man kan använda om man vill få upprättelse. Jämför man punkterna ovan med olika andra jurisdiktioner, till exempel den svenska, är det inget som direkt framstår som märkligt. Just inslag av domstolskontroll brukar vara en stark rättssäkerhetsgaranti.

AMERIKANSKA MYNDIGHETER OCH NATIONELL SÄKERHET

Nästa fråga är hur uppgifter får användas för nationell säkerhet. I Schrems II ansågs det då föreliggande regelverket för svagt då det i praktiken medgav bulkvis insamling av personuppgifter utan någon stark domstolskontroll eller några relevanta rättsmedel. Särskilt fokus låg i domen på Foreign Intelligence Surveillance Act (FISA). Även i dag kan amerikanska myndigheter med stöd av FISA samla in underrättelseinformation. Förutom avsnitt 702 nämns även avsnitt 105, 302, 402 och 501 i kommissionsutkastet. Läget har dock enligt kommissionen ändrats på grund av det nya presidentdekretet:

”The requirements laid down in this Executive Order issued by the President are binding on the entire Intelligence Community. They must be further implemented through agency policies and procedures that transpose them into concrete directions for day-to-day operations. In this respect, EO 14086 provides U.S. intelligence agencies with a maximum of one year to update their existing policies and procedures (i.e. by 7 October 2023) to bring them in line with the EO’s requirements. Such updated policies and procedures have to be developed in consultation with the Attorney General, the Civil Liberties Protection Officer of the Director of National Intelligence (ODNI CLPO) and the Privacy and Civil Liberties Oversight Board (PCLOB) – an independent oversight body authorised to review Executive Branch policies and their implementation, with a view to protect privacy and civil liberties (see recital 159 as regards the role and status of the PCLOB) – and be made publicly available. In addition, once the updated policies and procedures are in place, the PCLOB will conduct a review to ensure that they are consistent with the EO. Within 180 days of completion of such a review by the PCLOB, each intelligence agency must carefully consider and implement or otherwise address all of the PCLOB’s recommendations. ---”

Som framgår av citatet kvarstår en del att göra, vilket innebär att EU-kommissionen inte kommer att kunna anta ett nytt adekvansbeslut innan allt USA har åtagit sig är klart. EU-kommissionen noterar även att en proportionalitetsbedömning införs genom dekretet (till skillnad från tidigare generell möjlighet till bulkinsamling): ”… a proper balance must be achieved “between the importance of the intelligence priority pursued and the impact on the privacy and civil liberties of affected individuals, regardless of their nationality or wherever they might reside”. Enligt kommissionen säkrar processen i dekretet att ”privacy considerations are taken into account from the initial stage where intelligence priorities are developed”. Det noteras även att möjligheten att göra bulkinsamling finns kvar men att den begränsas liksom att det kommer att finnas begränsningar i eventuell vidarebehandling.

I utkastet nämns även att det kommer att finnas olika rättsmedel, bland annat det som skapats genom det nya presidentdekretet:

”First, a specific redress mechanism is established, under EO 14086, complemented by the AG Regulation establishing the Data Protection Review Court, to handle and resolve complaints from individuals concerning U.S. signals intelligence activities. Any individual in the EU is entitled to submit a complaint to the redress mechanism concerning an alleged violation of U.S. law governing signals intelligence activities (e.g. EO 14086, Section 702 FISA, EO 12333) that adversely affects their privacy and civil liberties interests.”

Klagomålen ska inges till en europeisk tillsynsmyndighet. Den som klagar kommer inte att behöva bevisa att hens personuppgifter faktiskt använts i signalspaning, men man kommer att behöva ange vad man tror kan ha hänt. Det domstolsförfarande som skapas har försetts med flera rättssäkerhetsgarantier.

VAD HÄNDER NU?

Utkastet visar att EU-kommissionen vill skapa ett nytt adekvansbeslut. För att kunna göra det kommer kommissionen först att behöva inhämta synpunkter på utkastet. Om kommissionen därefter beslutar det blir det gällande rätt. Detta innebär att även tillsynsmyndigheterna är bundna. Som tidigare nämnts är det endast EU-domstolen som kan upphäva adekvansbeslut.

Om adekvansbeslutet kommer att hålla beror både på om EU-domstolen anser att tillräckliga förändringar skett i förhållande till Schrems II och vilken ändring förändringarna kommer att leda till. Man kan se att EU-kommissionen har adresserat de svagheter som domstolen pekat på, vilket förstås kommer att få betydelse. Frågan är om det räcker. Eftersom sektion 702 FISA fortfarande finns kommer det sannolikt inte att saknas personer eller organisationer som vill utmana beslutet. Detta innebär att vi med stor sannolikhet kan se fram emot en ”Schrems III-dom” och det mest sannolika är väl att Noyb tar på sig ledartröjan igen.

En ytterligare aspekt att beakta är i vilken utsträckning amerikanska bolag faktiskt kommer vilja bli certifierade. Att vägen inte är enkel har redan börjat debatteras i USA, se till exempel Oida Kagans artikel ”Nothing about #SchremsX: What should companies do while EU bodies discuss the draft US adequacy decision?”. Den som vill fortsätta använda amerikanska system behöver redan nu undersöka om berört bolag har en vilja att certifiera sig.

Om europeiska organisationer vill använda sig av ett nytt adekvansbeslut kan det även vara klokt att först fundera på riskerna. Finns det bra europeiska alternativ kommer de att vara en tryggare väg att gå. Väljer man att använda icke-europeiska lösningar finns alltid risken att adekvansbeslutet röjs, vilket gör att man hamnar på ruta ett vad gäller tredjelandsöverföringar.

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet och JP Juridiskt bibliotek.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 20 jan 2023

Monika Wendleby

Jurist, managementkonsult och författare av GDPR-böcker

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

  • JP ITnet

    Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.
  • JP Registerförteckning

    Ett enkelt och användarvänligt verktyg för att uppfylla krav på dokumentation av personuppgiftsbehandling.
  • Rådgivning inom dataskydd

    Behöver du vägledning i frågor som rör GDPR och dataskydd? Våra specialiserade jurister hjälper gärna till.

Nyheter

I denna analys redogör Anders Vedin, rådgivare i vår dataskyddsgrupp, för två mer allmänna sekretessgrunder för personuppgifter.

30 jan 2023

IMY utfärdar en sanktionsavgift mot en region som skickat kallelser till patienter med känsliga personuppgifter synliga i fönsterkuvert.

19 jan 2023

IMY bedömer att personuppgiftsbehandlingen har skett i strid med principen om uppgiftsminimering och nämnden får därför en reprimand.

28 nov 2022