Ansiktsigenkänning skapar kontroverser i USA – advokater portas från julshower
Författare: Kave Noori
Ansiktsigenkänningsteknik skapar kontroverser och debatt runt om i världen, även i EU, där politikerna för närvarande överväger nya regler. I den här artikeln tar vi upp två kontroversiella fall i USA som illustrerar vikten av att noga överväga användningen av ansiktsigenkänning. Forum för Dataskydd har tidigare rapporterat om att regimen i Iran vill använda ansiktsigenkänning för att upprätthålla slöjtvånget (läs mer här). I en kommande artikel kommer vi försöka belysa EU:s försök att reglera denna teknik.
Oskyldig man satt häktad i 10 dagar
Den 1 januari 2023 rapporterade Svenska Dagbladet (SvD) att Nijeer Parks, 35 år från USA, felaktigt fängslades i tio dagar efter att ett datorprogram oriktigt identifierat honom som gärningsman vid en grov stöld. Han hade aldrig befunnit sig på brottsplatsen och greps på felaktiga grunder av polis. Parks blev häktad utan att veta varför. Enligt artikeln drabbades han av psykisk stress, kunde varken äta eller sova och han satt bara i sin cell och dunkade huvudet i väggen.
I SvD-artikeln står det att när Parks tittade på utredningsmaterialet insåg han att åtalet kan resultera i ett femårigt fängelsestraff för stöld. Han fruktade att en tidigare fällande dom för narkotikasmuggling i belastningsregistret skulle leda till ett ännu hårdare straff. Det var inte förrän långt senare som han fick reda på att orsaken till arresteringen var att den riktiga gärningsmannen hade lämnat efter sig ett falskt körkort. Det var en ansiktsigenkänningsalgoritm som hade matchat bilden från det falska körkortet med honom.
I artikeln intervjuas även Clare Garvie, advokat vid National Association of Criminal Defense Lawyers i USA. Hon har engagerat sig i ett omfattande initiativ för att ge medborgarna insyn i polisens arbete. Tack vare detta fick de tillgång till 30 000 myndighetsdokument. På så vis kunde man avslöja att cirka 15 000 polisdistrikt i USA har tillgång till teknik för ansiktsigenkänning.
I artikeln står det att NIST (National Institute of Standards and Technology, ett federalt organ i USA) genomförde tester av den teknik som används för att identifiera misstänkta brottslingar. Denna typ av teknik betraktas ofta som en affärshemlighet och kan därmed vara svår att granska. Enligt tester fungerar vissa algoritmer bättre än andra. Enligt en studie från 2019 är det till exempel 100 gånger mer sannolikt att tekniken för ansiktsigenkänning felidentifierar personer med mörk hy och personer med asiatiskt ursprung än personer med ljus hy. Dessutom är det ännu mer sannolikt att kvinnor felidentifieras än män. Clare Garvie varnar för att vi inte vet hur träffsäker och tillförlitlig den här tekniken är och att det därför är farligt när den används i brottsbekämpande utredningar.
Amerikanskt underhållningsföretag kritiseras för överanvändning av ansiktsigenkänning
Madison Square Garden Entertainment är ett företag som driver arenor och arrangerar underhållningsevenemang, inklusive konserter och sportevenemang i USA. Företaget möter nu kritik för att ha tagit bruket av ansiktsigenkänning lite för långt.
Tidningen Daily Mail skriver att säkerhetspersonalen på Madison Square Garden (en arena i New York) kritiserats för att ha använt ansiktsigenkänningsprogram för att identifiera fans som kritiserar VD:n för Madison Square Garden, vars företag även äger New York Knicks (basketlag) och Rangers (hockeylag). Enligt artikeln har fans rapporterat att de blivit illa behandlade av säkerhetsvakter efter att ha uttryckt sitt missnöje med VD:n.
Artikeln i Daily Mail påstår också att Madison Square Garden Entertainment använder teknik för ansiktsigenkänning för att neka advokater inträde om deras arbetsgivare är i tvist med sportholdingbolaget. En domare i New York har gett advokaterna en delseger genom att häva MSG:s tillträdesförbud när det gäller musik- och teaterföreställningar men inte för idrottsevenemang. Båda sidor har lovat att överklaga domen.
Mamma nekades inträde till julevenemang
Samtidigt rapporterar NBC New York att Kelly Conlon, mamma till en flickscout, i ett annat fall inte fick komma in i Radio Music Hall och se julshowen Christmas Spectacular. Colon säger att hon informerades om att även hon hade identifierats med hjälp av ansiktsigenkänningsteknik.
Conlon nekades inträde efter att ha hört hur säkerhetsvakterna sinsemellan beskrev henne högt. Hon berättade att det fanns skyltar med information om att ansiktsigenkänning användes som en säkerhetsåtgärd, men Conlon sa att hon inte utgjorde en säkerhetsrisk, utan att vakterna nekade henne inträde för att hon är advokat. Conlon arbetar för en advokatbyrå i New Jersey som heter Davis, Saperstin and Solomon, som var inblandad i en rättstvist om en personskada mot en restaurang som förvärvats av MSG Entertainment.
Conlon förklarar att hon inte ens är verksam som advokat i New York och att hon inte heller är inblandad i något ärende som rör Madison Square Garden. Trots detta vidhåller Madison Square Garden att hon och de andra advokaterna som är knutna till firman är portade.
I artikeln från NBC New York står det att MSG (Madison Square Garden) har en policy som förbjuder advokater som är involverade i en pågående rättstvist mot företaget att delta i evenemang som hålls på någon av företagets anläggningar innan den aktuella rättstvisten har avslutats.
I en liknande nyhet från den lokala mediesajten för Staten Island, silive.com, fick en advokat som arbetar med skadeståndsfrågor inte besöka MSG Entertainments arenor på grund av en stämning som hans arbetsplats hade lämnat in mot företaget. Jonathan D’Agostino från D’Agostino Associates var på väg till en julföreställning med sin familj när han konfronterades av personal från Radio City Music Hall som också ägs av MSG. Enligt advokaten förbjöds han att komma in på MSG-anläggningen eftersom organisationen befann sig i en rättstvist från 2018 med hans arbetsgivare.
Advokaten identifierades med hjälp av ansiktsigenkänningsteknik. Det har rapporterats om ännu fler incidenter där olika advokater eskorterats från MSG:s anläggningar genom att man använt datorprogram för att identifiera många advokater genom att matcha fotografier som hämtats från Internet.
Det svenska rättsläget gällande biometrisk övervakning
Enligt dataskyddsförordningen betraktas ansiktsigenkänning som behandling av biometriska data. Det klassificeras som känsliga personuppgifter. Du kan läsa mer om ansiktsigenkänning och övervakning på IMY:s webbplats.
Läs mer
Svenska Dagbladets artikel, 1 Januari 2023, ”Nijeer Parks Fängslades – AI-Teknik Var Felaktig”
Forum för Dataskydds artikel, 24 November 2022 ”Europarådet: Förbjud autonoma mördarrobotar”
Google informerade webbplatser om borttagna sökresultat – får betala 50 miljoner kronor
Författare: Kave Noori
Högsta förvaltningsdomstolen beslutade den 20 december 2022 att inte pröva en överklagan i ett mål mellan Google och Integritetsskyddsmyndigheten (IMY). Det innebär att domen från Kammarrätten i Göteborg (mål 2232-21) vinner laga kraft och att Google måste betala en sanktionsavgift på 50 miljoner kronor.
Bakgrunden till fallet är att IMY den 10 mars 2020 beslutade att Google ska betala 75 miljoner kronor i sanktionsavgift till IMY. IMY ansåg att Google brutit mot GDPR både genom sina generella rutiner för att informera webbplatsägare om borttagna sökresultat men också för att Google felaktigt skulle ha hanterat klagomål från individer.
Google överklagade IMY:s beslut till Förvaltningsrätten i Stockholm som sänkte sanktionsavgiften till 52 miljoner kronor. Den domen överklagades därefter till Kammarrätten i Göteborg som sänkte sanktionsavgiften till 50 miljoner kronor. Förvaltningsrättens och Kammarrättens beslut om att minska sanktionsavgiften var uteslutande kopplade till Googles hantering av de enskilda klagomålen.
Kammarrätten fastställde Googles sanktionsavgift till 50 miljoner kronor för att Google utan laglig grund hade som rutin att meddela webbplatsägare om borttagna sökresultat. En delfråga gällde om EU:s plattformsförordning, en lag som är utformad för att skydda småföretag från orättvisa affärsmetoder från stora plattformar som Google, ska tillämpas när registrerade personer utövar sin rätt att bli bortglömda enligt artikel 17 i GDPR.
Google refererade till Artikel 4.5 i EU:s plattformsförordning:
”Om en leverantör av en sökmotor har ändrat rangordningen i ett visst fall eller tagit bort en viss webbplats från sökresultaten efter en anmälan från tredje part, ska leverantören göra det möjligt för företagsanvändaren av webbplatser att ta del av innehållet i anmälan.”
Kammarrätten noterade att plattformsförordningen kräver att webbplatsoperatörer generellt sett ska kunna ta del av anmälningar från användare som resulterat i att en sökmotor tagit bort ett sökresultat. Kammarrätten slog därefter fast att webbplatsägare inte ska informeras när det är just personuppgifter som tas bort från sökresultat enligt artikel 17 i GDPR. Domstolen noterade att syftet med plattformsförordningen är att skapa rättvis konkurrens och öppenhet på nätet för småföretag. Kammarrätten drog slutsatsen att rätten att bli bortglömd enligt GDPR inte krockar med plattformsförordningen. Kammarrätten förklarade att även om man inte längre kan söka på en individs namn, så kan man fortfarande söka på andra ord, t.ex. namnet på en produkt eller tjänst.
Därutöver prövade Kammarrätten om Googles rutin att meddela webbplatsägare om att sökresultat plockats bort på begäran av en registrerad person hade en rättslig grund. Google hävdade att webbplatsägaren måste underrättas eftersom en borttagning av ett sökresultat är ett ingrepp i webbplatsägarens yttrandefrihet. Google ansåg att webbplatsägaren måste få veta vad som har hänt för att ha tillgång till effektiva rättsmedel, det vill säga för att denne ska kunna få inskränkningen prövad i domstol. På denna punkt klargjorde Kammarrätten i Göteborg att en webbplatsägares rätt till rättsmedel handlar om att denne ska kunna gå till domstol och klaga på Integritetsskyddsmyndighetens beslut, inte beslut som tagits av andra privata företag.
Läs mer
Integritetsskyddsmyndighetens hemsida om rätten att få sökresultat borttagna
Kammarrätten i Göteborgs pressmeddelande den 30 november 2021
Europarådet utreder missbruk av avancerade spionprogram
Författare: Kave Noori
Under en offentlig utfrågning i Paris den 12 december vittnade inbjudna politiker och journalister från Polen, Spanien och Grekland om hur de övervakats med sofistikerade spionprogram.
Utfrågningen, som anordnades av utskottet för rättsliga frågor och mänskliga rättigheter som är en del av Europarådets parlamentariska församling, hölls för att belysa hur medlemsstater använder dessa spionprogram för att övervaka politiska motståndare och journalister.
Pieter Omtzigt, särskild rapportör och parlamentsledamot från Nederländerna, inledde utfrågningen med att säga att det är mycket allvarligt att regeringar i demokratiska länder spionerar på sina politiker och journalister. Han kallade det för ett “allvarligt missbruk av de mänskliga rättigheterna”. Omtzigt skriver just nu en rapport som ska presenteras för den parlamentariska församlingen i juni 2023.
Inbjudna talare vid utfrågningen var Krzysztof Brejza från polska parlamentet Sejm, Diana Riba spansk europaparlamentariker och Thanasis Koukakis, en grävande journalist från Grekland.
Vittnesmål 1: Polsk oppositionspolitiker övervakades av staten
Den polske senatorn Brejza vittnade om att Polens regering använde spionprogramvaran Pegasus mot honom och att en kanadensisk organisation hittade den i hans telefon. Han diskuterade de senaste årens politiska utveckling i Polen. Han berättade att det konstitutionella skyddet mot totalitarism började nedmonteras 2015 och hur åklagarmyndigheten politiserades, vilket ledde till bristfällig tillsyn av underrättelsetjänsten och spridning av propaganda för att undergräva demokratin.
Brejza förklarade att övervakningen genom Pegasus och attackerna mot valsystemet är resultatet av angreppen på den polska oppositionen. Han nämnde också att det nu regerande partiet PiS redan under sin första mandatperiod vid makten 2005–2007 började med olaglig avlyssning. Vidare nämnde han att flera chefer för polska underrättelsetjänster som blev åtalade 2015, blev benådade av president Andrzej Duda från det regerande partiet.
Krzysztof Brejza uppgav att han blev avlyssnad trots att han aldrig har begått något brott. Han sade dock att han avslöjat premiärministerns och regeringens maktmissbruk. Detta ledde till att han avlyssnades i strid med lagen. Brejza nämnde också att läckor till media och e-postmeddelanden som inhämtats genom Pegasusprogrammet användes mot honom under valkampanjen för att snedvrida bilden av honom och hans parti.
Enligt Brejza var den domstol som godkände övervakningen inte informerad om att just Pegasus användes för att övervaka honom, driva en hatkampanj och ödelägga hans och familjens privatliv. Brejza påminner om att detta är en taktik som ofta användes under den sovjetiska diktaturen. Han förklarade att gottgörelse samt rättslig och moralisk upprättelse är nödvändiga för att reparera skadorna.
Vittnesmål 2: Politiker från Katalonien övervakades av staten
Diana Riba, vice ordförande för Europaparlamentets kommitté för utredning om Pegasus och andra spionprogram, var inbjuden att tala både i sin officiella roll och som ett offer som övervakats med hjälp av Pegasus.
Riba berättade att Pegasus som är designad att användas för terrorbekämpning i allt större utsträckning används av regeringar för att övervaka journalister, akademiker, aktivister och politisk opposition, vilket strider mot europeiska mänskliga, medborgerliga och politiska rättigheter. Citizen’s Lab (Expertcenter vid Universitetet i Toronto, reds. anm.) upptäckte två attacker mot Ribas telefon, samt attacker mot 64 andra personer. Enligt Riba så delar alla dessa avlyssnade personer det gemensamma målet om ett fredligt och oberoende Katalonien.
Vidare sade hon att alla offren för övervakningen representerar en politisk rörelse. Riba menar att de styrande politikerna borde ta den politiska fighten mot sina motståndare vid valurnorna. Inte genom att regeringen använder statens makt för att förtrycka eller sätta in cybervapen som Pegasus mot oppositionen.
Första gången Diana Riba märkte att något var fel var när hennes assistent fick ett telefonsamtal där någon spelade upp en inspelning av ett telefonsamtal de nyss haft. Detta var i juni 2019, när hennes parti, Esquerra Republicana, diskuterade juridiska och politiska frågor med sina advokater för att försvara sina kandidaters politiska rättigheter i ett val.
Den andra gången Diana Riba attackerades med Pegasus var i oktober 2019, efter att katalanska regeringsföreträdare och självständighetsförespråkare hade ställts inför rätta. Hon och hennes advokater utarbetade en strategi för att driva fallen vidare inför europeiska domstolar. Den spanska federala regeringen avlyssnade därmed konfidentiella samtal, som Riba insisterar borde varit förbjudna för staten att avlyssna.
Diana Riba ser att det behövs en gemensam europeisk rättslig ram som reglerar användningen av spionprogram. Hon anser också att det behövs ett tillfälligt förbud mot användningen av denna typ av spionprogramvaror. Hon anser att undantagen från det allmänna förbudet bör vara begränsade och endast godkännas om alla nödvändiga säkerhetsåtgärder är uppfyllda.
Avslutningsvis understryker Riba att användningen av spionprogram som Pegasus medför konsekvenser för privatlivet, politiken och samhällsinstitutionerna. Missbruket leder också till att de mänskliga rättigheterna kränks samt att både rättsstatsprincipen och de demokratiska principerna urholkas.
Läs mer
Europarådets nyhet den 12 december 2022 om utfrågningen
EU-kommissionen antar utkast till beslut om överföring av uppgifter till USA
Författare: Kave Noori
Den 13 december 2022 inledde EU-kommissionen processen för att implementera ramverket för dataskydd mellan EU och USA (EU-U.S. Data Privacy Framework). Ramverket är alltså ett avtal som EU och USA har signerat. Tanken med ramverket är att det ska säkerställa ett adekvat skydd av personuppgifter (när de överförs till USA) och lösa regelkonflikterna mellan europeisk och amerikansk rätt som EU-domstolen identifierade i Schrems II-domen.
EU-kommissionens antagande av utkastet utgör ett första steg för att göra överenskommelsen till en del av EU:s rättssystem. I beslutet om adekvat skyddsnivå drar EU-kommissionen slutsatsen att USA säkerställer en adekvat skyddsnivå för överföringar av uppgifter från EU. Detta sker baserat på en bedömning av begränsningarna och skyddsåtgärderna som finns i överenskommelsen mellan EU och USA.
I EU-kommissionens FAQ (svar på frågor) kan man läsa att beslutet kommer efter att USA:s president Joe Biden undertecknade ett presidentdekret i oktober 2022. Dekretet införlivar överenskommelsen mellan EU och USA i amerikansk rätt. EU-kommissionen och USA:s regering tillkännagav redan i mars 2022 att båda parter var överens om innehållet i överenskommelsen, vilket Forum för Dataskydd rapporterade om här. Genom presidentdekretet införs nya skyddsåtgärder som begränsar amerikanska underrättelsetjänsters tillgång till överförda uppgifter och en mekanism där amerikanska myndigheter hanterar klagomål från européer.
EU-kommissionen har nu skickat utkastet till European Data Protection Board för kommentarer. Därefter står EU:s medlemskommitté och Europaparlamentet på tur för att granska beslutet. Efter dessa instansers godkännande kan EU-kommissionen anta det slutliga beslutet om adekvat skyddsnivå. Det är först då som personuppgifter kommer kunna flöda fritt från företag i EU till företag i USA som är certifierade av USA:s handelsdepartement.
I EU-kommissionens pressmeddelande står det att ramverket för dataskydd mellan EU och USA innehåller dataskyddskrav för amerikanska företag, t.ex. radering av uppgifter som inte längre behövs, samt flera möjligheter för EU-medborgare att vidta rättsliga åtgärder om deras uppgifter hanteras på ett felaktigt sätt. Det finns också skyddsbestämmelser i det amerikanska regelverket som begränsar amerikanska myndigheters tillgång till uppgifterna enligt EU-kommissionen.
Läs mer
EU-kommissionens FAQ (13 dec 2022) om utkastet till beslut om adekvat skyddsnivå
EU-kommissionens pressmeddelande (13 dec 2022) om utkastet till beslut om adekvat skyddsnivå
Uttalande från NoyB 13 dec 2022,” Statement on US Adequacy Decision by the European Commission”
IMY:s vägledning ska öka kvaliteten i lagförslag
Författare: Kave Noori
Integritetsskyddsmyndigheten (IMY) har gett ut en vägledning med titeln “Vägledning för integritetsanalys i lagstiftningsarbete” i syfte att hjälpa dem som förbereder lagförslag som rör behandling av personuppgifter. Vägledningen ger också stöd till dem som skriver direktiv till statliga
utredningar.
– Det är viktigt att integritetsfrågorna identifieras i ett tidigt skede i lagstiftningsprocessen. Den här vägledningen hoppas vi kan bidra till ökad kvalitet i lagstiftningsarbetet, säger David Törngren som är rättschef på IMY, i ett pressmeddelande den 7 december 2022.
Vägledningen innehåller en metod för att göra en integritetsanalys och fastställa huruvida GDPR och i vissa fall om brottsdatalagen är tillämpliga. Den är organiserad i sju steg, inklusive ett steg för att bedöma om konsekvenserna för den personliga integriteten är “nödvändiga och proportionella”. Vägledningen innehåller vägledande frågor och förslag till åtgärder som kan minska dataskyddsriskerna. Det finns också en checklista i bilagan till vägledningen.
Här kommer de sju stegen:
1. Kartlägg behandlingen av personuppgifter och analysera regelverken
Det första steget i en integritetsanalys är att identifiera och beskriva de behandlingar av personuppgifter som förslaget resulterar i. Det är viktigt att avgöra om denna behandling faller inom GDPR:s tillämpningsområde och kanske även andra regelverk. Som exempel kan det nämnas att en utlämning av uppgifter som behandlas av Försäkringskassan till Polismyndigheten omfattas av både GDPR och brottsdatalagen.
2. Identifiera och bedöm integritetsriskerna
Steg 2 enligt IMY är att identifiera och bedöma de potentiella integritetsriskerna med databehandlingen. Detta kan vara svårt eftersom riskerna kanske inte är uppenbara och flera små förslag tillsammans kan leda till en betydande kränkning av den personliga integriteten. Bedömningen bör omfatta alla aktörer och deras databehandlingar.
Frågor att tänka på är bland annat:
• Behandlas känsliga personuppgifter?
• Behandlas person- eller samordningsnummer?
• Behandlas uppgifter om fällande domar?
• Förekommer det andra uppgifter som medför integritetsrisker?
• Hur omfattande är databehandlingen?
• Vilket inflytande kommer de registrerade att ha över behandlingen och hur är deras förhållande till den personuppgiftsansvarige?
3. Kartlägg befintlig reglering
Steg 3 innebär enligt IMY att man identifierar befintliga bestämmelser som kan stödja behandlingen av personuppgifter, t.ex. hälso- och sjukvårdslagen och patientdatalagen. När man granskar förslaget bör man ta hänsyn till de rättsliga grunderna enligt artikel 6.1 i GDPR för alla inblandade aktörer samt befintliga verksamhets- och personuppgiftsföreskrifter för dessa. Informationsutbytet mellan de berörda parterna bör också bedömas.
4. Behovet av ny lagstiftning
Steg 4 enligt IMY innebär att man bedömer om de befintliga dataskyddsbestämmelserna är tillräckliga, utifrån proportionalitet och vad de registrerade rimligen kan förvänta sig. De integritetsrisker som identifieras i steg 2 beaktas och ytterligare skyddsåtgärder kan behöva införas, om integritetsintrånget är större än nödvändigt. Det är också nödvändigt att bedöma om känsliga personuppgifter eller personuppgifter om lagöverträdelser kommer att behandlas samt om det finns ett behov av att göra det lagligt att behandla uppgifterna vidare, t.ex. för statistiska ändamål.
5. Förenlighet med grundlagen
Steg 5 i IMY:s vägledning innebär en kontroll av förenligheten med grundlagen, vilket innebär att den föreslagna lagtexten ska bedömas i förhållande till 2 kap. 6 § andra stycket i den svenska regeringsformen.
Intensiteten eller omfattningen av en åtgärd och uppgifternas integritetskänsliga karaktär avgör om en åtgärd betraktas som övervakning eller kartläggning i regeringsformens mening. Det är bara sådant som innebär ett betydande intrång i den enskildes privata sfär som omfattas av grundlagsskyddet enligt vägledningen.
6. Utformning av en ny bestämmelse
Steg 6 i IMY:s vägledning rekommenderar att man bedömer hur reglerna ska utformas för att vara förenliga med GDPR och andra dataskyddslagar. Det kan röra sig om att utarbeta en ny registerförfattning eller att öka informationsutbytet mellan myndigheter, med beaktande av riskerna för den personliga integriteten.
IMY lyfter fram att regleringen bör utformas så att behandlingen av personuppgifter begränsas så mycket som möjligt, särskilt när det gäller känsliga personuppgifter och andra integritetskänsliga uppgifter. Man bör överväga alternativ med mindre integritetsrisker när det är möjligt.
7. En sista kontroll av proportionalitet och nödvändighet
IMY påpekar att den slutliga proportionalitetsbedömningen innefattar en bedömning av hur viktigt det önskade målet är, hur begränsningen påverkar de grundläggande rättigheterna till privatliv och personuppgiftsskydd och vilka kompensatoriska åtgärder som behövs för att minska de risker som åtgärden innebär för individuella rättigheter och friheter. Om åtgärden är oproportionerlig får den inte
föreslås eller så måste förslaget justeras.
Det är viktigt att de lagar som reglerar behandlingen av personuppgifter är väl genomtänkta för att säkerställa en lämplig balans mellan medborgarnas rätt till integritet och offentliga myndigheters förmåga att arbeta effektivt.
Om det saknas en tillfredsställande analys och bedömning av konsekvenserna för den personliga integriteten kan ett lagförslag förkastas eller fördröjas. Det har tidigare förekommit att IMY:s remissvar avstyrkt en statlig utrednings förslag och rekommenderat regeringen att göra om delar av utredningen (se exempelvis här och här).
Läs mer:
IMY:s pressmeddelande 7 december 2022
IMY:s rapport 7 december 2022, ”Vägledning för integritetsanalys i lagstiftningsarbete”
IMY: Brist på kunskap och tillit bromsar samhällets digitalisering
Författare: Kave Noori
Integritetsskyddsmyndighetens (IMY:s) rapport “Digital integritet 2022” som publicerades den 29 november 2022 visar att endast 50 % av svenskarna känner till EU:s dataskyddsförordning (GDPR)
och att endast 20 % skyddar sina personuppgifter, trots att förordningen har varit i kraft sedan maj 2018.
– Det är oroande eftersom en förutsättning för att kunna skydda sina personuppgifter i olika sammanhang är dels att känna till att bestämmelserna finns, dels att kunna använda rättigheterna när man behöver, säger Andra Amft som är analytiker på IMY och som tagit fram rapporten.
Enligt en undersökning utförd av Kantar Sifo på uppdrag av IMY har de flesta svenskar förtroende för hur myndigheter använder deras personuppgifter, men de oroar sig för hur företag använder uppgifterna. Undersökningen med 1 000 personer i åldern 18–79 år visar att 6 av 10 sällan eller aldrig läser användarvillkor, men att många ändå oroar sig för sin integritet. Endast en av fem svenskar skyddar sina uppgifter.
De viktigaste resultaten av undersökningen
Slutsats 1: Hälften av svenskarna vet för lite om sina rättigheter
IMY:s rapport visar att 50 % av svenskarna har begränsad kunskap om GDPR. Äldre respondenter hade lägst kunskap. Den mest välkända rättigheten är rätten till information om personuppgifter (80 % av respondenterna känner till den) och den mest använda rättigheten är rätten att begränsa behandlingen (15 % av respondenterna har använt den).
Slutsats 2: Många svenskar är oroliga för riskerna för den personliga integriteten
IMY:s undersökning visar att svenskarna i allmänhet känner sig trygga med hur myndigheter använder personuppgifter, men att nästan en tredjedel oroar sig för hur företag använder uppgifterna. Hälften avstår från att använda digitala tjänster på grund av osäkerhet kring deras personuppgiftshantering och mer än hälften är rädda för cyberattacker. Oron ökar med åldern och kvinnor är mer benägna att välja bort digitala tjänster än män, vilket IMY anser kan få konsekvenser för digitaliseringen.
Slutsats 3: De flesta svenskar vidtar inga åtgärder för att skydda sin personliga integritet
Enligt IMY-rapporten anser bara hälften av svenskarna att företag ger tillräcklig information om hur de använder personuppgifter, och förtroendet för dessa företag är lågt. De mest känsliga uppgifterna är enligt svenskarna själva, finansiell information, hälsouppgifter, digital identifiering och personliga foton/videor. Ändå är det många svenskar som inte vidtar åtgärder för att skydda sin integritet på nätet. Yngre människor är mer medvetna om sina valmöjligheter men gör ofta inte aktiva val.
IMY:s undersökningsresultat visar att medvetenheten och kunskapen om GDPR och dataskydd är lägst i åldersgruppen 65–79 år. 95 % av denna åldersgrupp har begränsad kunskap om hur man aktivt fattar beslut om sina personuppgifter. Detta gäller troligen även för personer över 80 år, vilket innebär att mer än 2 miljoner personer över 65 år riskerar att hamna i ett digitalt utanförskap befarar IMY.
Rekommendationer från IMY
1. Digitalt kompetenslyft för äldre
IMY föreslår att regeringen tar initiativ till ett digitalt kunskapslyft för äldre människor, som även omfattar data- och integritetsfrågor. IMY är villiga att samarbeta med andra myndigheter och kommuner för att förverkliga detta.
2. Dataskydd som en del av skolans läroplan
IMY rekommenderar att läroplanen ska inkludera relevant digital kompetens och kunskap om risker för data och personlig integritet. IMY betonar att det är viktigt att unga människor vet hur de ska skydda sin integritet och att de blir kompetenta beslutsfattare. Den nationella strategin för digitalisering av skolsystemet för 2017–2022 håller för närvarande på att revideras och bör enligt IMY även ta hänsyn till att barn och elever måste ges färdigheter för att skydda sin personliga integritet på nätet.
3. Forskning och utveckling av integritetsskyddande tekniker behöver fortsatt stimuleras
IMY diskuterar behovet av att främja forskning och utveckling av integritetsskyddsteknik för att följa EU:s allmänna dataskyddsförordning, skydda individer och maximera fördelarna med digitaliseringen. Det finns ett ökande antal forsknings- och utvecklingsinitiativ på detta område och denna utveckling bör uppmuntras ytterligare av den akademiska världen och finansiärer anser IMY.
4. Det svenska ordförandeskapet måste sätta dataskyddet högst upp på dagordningen
Enligt IMY är frågan om dataskydd och digital integritet en gemensam angelägenhet för alla EU-länder och bör hamna högt upp på dagordningen under det svenska ordförandeskapet våren 2023. EU förbereder ett stort antal reformer som rör datadelning och ny teknik som en del av EU:s digitala decennium.
IMY pekar på flera lagstiftningsinitiativ på teknikområdet som för närvarande övervägs. IMY nämner dataakten (Data Act), dataförvaltningsakten (Data Governance Act), digitala marknadsakten (Digital Markets Act), digitala tjänsteakten (Digital Services Act), akten om transparens och inriktning när det gäller politisk reklam, AI-akten och det europeiska hälsodatarummet. Därutöver kan nämnas att Forum för Dataskydd rapporterat om förslaget till ”Cyber resiliance act” samt förordningen med regler för att förebygga och bekämpa sexuella övergrepp mot barn.
IMY menar att frågan om hållbar digital utveckling och balans mellan dataskydd och samhällets behov av innovation bör diskuteras på en högre politisk nivå, t.ex. vid EU:s informella ministermöte om demokrati, grundläggande rättigheter och rättsstatsprincipen den 22 juni 2023.
IMY:s reflektioner
IMY uppmärksammar att människor i alla åldrar, särskilt de som är över 50 år, väljer bort digitala tjänster på grund av oro för användningen av personuppgifter, något som kan leda till digitalt utanförskap och begränsa möjligheterna att förverkliga Sveriges digitala agenda.
Det är särskilt slående att en tredjedel av personer i åldersgrupperna 18–29 år avvisar användningen av digitala tjänster. Detta kan tyda på att de medvetet väljer att inte bli spårade, men det kan också innebära att de avstår från viktiga tjänster som är nödvändiga för livet i det digitala Sverige. Detta kan enligt IMY vara särskilt oroande eftersom det är de yngre generationerna som kommer att leva sina liv i det digitala Sverige.
Läs mer
IMY:s pressmeddelande den 29 november 2022
Direktlänk till IMY:s rapport ”Digital integritet 2022”
Europarådet: Förbjud autonoma mördarrobotar
Av: Kave Noori
AI gör våra liv enklare, exempelvis kan vi få hjälp dygnet runt av kundtjänstrobotar, vi kan få personliga rekommendationer och AI kan också göra sökmotorerna vi använder smartare. Smarta assistenter som Siri och Alexa använder AI för att förstå våra behov och kan ge oss information eller utföra uppgifter åt oss.
En teknisk lösning som används för ett gott syfte kan i ett annat sammanhang komma att användas för att skada människor. Exempelvis kan den algoritm för ansiktsigenkänning som du använder för att låsa upp din smartphone även komma att användas av en mördarrobot för att avgöra om personen som står framför den är en civilperson eller en soldat från fienden som ska skjutas.
Än så länge finns det inte några fullfjädrade mördarrobotar som Terminator som går runt och skjuter människor. Däremot finns det redan halv-autonoma vapensystem som exempelvis används i gränskontroller.
Människorättsorganisationer är oroade över att mödarrobotar kan komma att ta livet av fel person. Det finns dokumenterade fall där ansiktsigenkänningsteknik har svårt att känna igen ansikten från minoritetsgrupper i mindre allvarliga situationer såsom en hemtentamen för högskolestudenter.
Den 15 november 2022 uppmanade utskottet för rättsliga frågor och mänskliga rättigheter i Europarådets parlamentariska församling att det internationella samfundet bör utarbeta regler om dödliga autonoma vapensystem (Lethal Autonomous Weapons Systems, LAWS).
Utskottet förespråkar en reglering som skulle förbjuda LAWS som opererar helt utan mänsklig ledning och utan en ansvarig befälsordning (chain of command). Utskottet anser att användningen av sådana system bryter mot befintlig internationell rätt.
Utskottet uppmärksammar att framväxten av dödliga autonoma vapensystem har väckt oro bland många stater och det civila samhället. 54 ideella organisationer har lanserat en kampanj för ett förebyggande förbud mot forskning och utveckling av denna nya teknik och mot användningen av vad de kallar “mördarrobotar”. Även Europaparlamentet har antagit ett principiellt ställningstagande mot dödliga autonoma vapensystem genom en resolution den 12 september 2018.
Parlamentarikerna stöder framtagandet av en internationell konvention om dödliga autonoma vapensystem (LAWS) i syfte att säkerställa tillräcklig mänsklig kontroll och ansvarsskyldighet. Utskottet anser att den bästa platsen för att komma överens om en ny konvention är konferensen för de stater som är parter till konventionen om vissa konventionella vapen (Convention on Certain Conventional Weapons, CCW) och dess grupp av regeringsexperter (Group of Government Experts, GGE). De föreslår också att en icke-bindande uppförandekod utarbetas under tiden.
Vad är dödliga autonoma vapensystem?
Enligt rapporten kan dödliga autonoma vapensystem välja ut och angripa enskilda mål individuellt och självständigt utan mänsklig inblandning. Strategiska militära beslut som annars fattas av människor fattas av en maskin. Mänskliga beslut blir begränsade till de inledande faserna som programmering av roboten och beslutet att skicka ut den på krigsfältet; under operationer finns det ingen mänsklig kontroll, förutom en eventuell allmän fjärrstyrningsfunktion som exempelvis kan inaktivera roboten.
Utskottet noterar vidare att en del människor ser utvecklingen av dödliga autonoma vapensystem som en ny militär revolution. Samtidigt pågår en kapprustning då militärmakter som inte investerar i denna nya teknik riskerar att hamna på efterkälken.
I utskottets rapport konstateras att användningen av dödliga autonoma vapensystem (LAWS) kan vara förenlig med internationell humanitär rätt om de är utformade och programmerade för att uteslutande angripa militära mål. Enligt internationell rätt måste en stat som utför en attack först bedöma om attacken är proportionerlig. Bedömningen om en attack är proportionerlig baseras dock på mänskliga värderingar och logik och tolkningar, inte baserat på siffror eller tekniska indikatorer.
Utskottet konstaterar att etiska överväganden kring användningen av dödliga autonoma vapensystem regleras av internationell rätt och uteslutande kräver mänsklig bedömning. Kommittén konstaterar också att om dessa system ska vara förenliga med den internationella rätten, särskilt Europakonventionen, måste användningen av dem regleras tydligt.
Rapport från ”världstoppmötet om artificiell intelligens” i Nederländerna
Artikelförfattaren deltog i World AI-summit den 12 oktober 2022 och lyssnade på en paneldiskussion med Sue Black Obe, moderator, professor i datavetenskap och teknikevangelist vid Durham College, Verity Coyle från Amnesty International och Ioana Puscas från FN:s institut för nedrustningsforskning (UNIDIR).
Verity Coyle anser att dödliga autonoma vapensystem är olagliga enligt gällande internationell rätt och är oroad över bristen på ansvarsutkrävande för dessa system. Hon hävdar att människor är bättre på att fatta beslut om att ta människoliv eftersom det enligt internationell rätt finns ett system där man kan ställa den som fattar militära beslut till svars. Om en mördarrobot begår ett fel så finns inget motsvarande system som kan ställa roboten till svars.
Puscas hävdar däremot att ansvarsutkrävandet är en svårare fråga när det gäller autonoma vapen eftersom det finns flera potentiellt ansvariga parter. Om en mödar robot begår ett krigsbrott blir frågan om det är tillverkaren som programmerat roboten, de som köpt in vapensystemet eller personen som bestämt sig för att skicka ut roboten i krig som ska straffas. Med konventionella vapen är det lättare att fastställa vem som ligger bakom beslutet att använda dem.
Verity Coyle diskuterar också farorna med autonoma vapensystem och kampanjen för att förbjuda dem. Hon konstaterar att dessa vapen inte bara används i väpnade konflikter utan även i en mängd olika civila situationer där de kan orsaka skada. De används även av polisen och gränsbevakningen. Det finns också en oro för att en utbredd användning kan leda till att dessa vapen kommer i händerna på kriminella gäng. Kampanjen efterlyser att kampen mot dessa vapen bedrivs på två fronter: en som förbjuder användningen av vissa typer av teknik och en som förbjuder utvecklingen och spridningen av dessa vapen.
IIoana Puscas säger att FN:s institut för nedrustningsforskning (UNIDIR) fokuserar på forskning om riskerna med att använda AI i militära system och autonoma vapensystem. Det studerar aspekter som mänsklig kontroll, datamängder och förklarbarhet för att förstå riskerna. Hon sade att FN har studerat flera utmaningar i samband med användningen av artificiell intelligens i vapensystem, bland annat frågor som rör data och förklarbarhet. Hennes arbete har visat att det finns många risker i samband med användningen av dessa vapen och att de bör tas på stort allvar.
Läs mer
Konventionen om vissa konventionella vapen
Europaparlamentets resolution av den 12 september 2018 om autonoma vapensystem
EU stärker sin cyberförsvarsförmåga och stöttar europeiska cybersäkerhetsföretag
Författare: Kave Noori
EU har presenterat en ny politik och handlingsplan för cyberförsvaret som ska förbättra EU:s förmåga att skydda sina medborgare och sin infrastruktur mot cyberhot. Detta är en följd av Rysslands aggression mot Ukraina och syftar till att göra EU bättre rustat för att hantera sådana hot.
Cyberattacker har på senare tid visat vilka risker de utgör för civila och militära mål, något som kräver fler åtgärder för att skydda samhället. EU kommer med sin nya cyberförsvarspolitik att öka samarbetet och investeringarna i cyberförsvaret för att bättre skydda, upptäcka, avskräcka och försvara sig mot det ökande antalet cyberattacker.
EU är fast beslutet att förbättra sin cyberförsvarsförmåga och bättre samordna sina insatser mellan det civila cyberförsvaret och det militära cyberförsvaret. I denna plan ingår också att minska EU:s beroende av kritisk teknik och att förbättra utbildningen och samarbetet mellan aktörer på området.
EU:s politik för cyberförsvar ska bygga på fyra pelare:
1. Gemensamma åtgärder för att stärka EU:s cyberförsvar.
2. Skydd av EU:s försvarsekosystem.
3. Investeringar i cyberförsvarskapacitet.
4. Partnerskap för att hantera gemensamma utmaningar.
Gemensamma åtgärder för att stärka EU:s cyberförsvar
EU kommer att stärka sina samordnade insatser mellan nationella aktörer och EU-aktörer på cyberförsvarsområdet för att stärka informationsutbytet och samarbetet. Detta omfattar bland annat inrättandet av ett samordningscentrum för cyberförsvar inom EU (EUCDCC), skapandet av ett operativt nätverk för milCERTs (Military Computer Emergency Response Teams) samt utvecklingen och stärkandet av EU:s cyberbefälhavarkonferens.
Skydd av EU:s försvarsekosystem EU kommer att ta initiativ till att säkra försvarsekosystemet genom att ta fram rekommendationer för standardisering och certifiering av cybersäkerhet, skapa riskscenarier för kritisk infrastruktur och främja samarbete mellan civila och militära standardiseringsorgan.
Investering i cyberförsvarskapacitet
EU kommer att vidta flera åtgärder för att ta itu med de militära utmaningarna inom cyberförsvaret. Bland annat ska prioriteringarna för kapacitetsutveckling ses över, en färdplan för EU: s cyberteknik utarbetas och en EU-akademi för cyberkompetens inrättas.
Partnerskap för att hantera gemensamma utmaningar
Europeiska unionen kommer att försöka bygga skräddarsydda cyberförsvarspartnerskap för att möta gemensamma utmaningar. Detta inkluderar att stärka samarbetet mellan EU och Nato i fråga om cyberförsvarsträning, övningar, utbildning, lägesuppfattning, standardisering och certifiering samt att hjälpa partnerna att bygga upp sin cyberförsvarskapacitet.
Europeiska investeringsbanken håller cyberförsvarsindustrin under sina vingar
Parallellt med ansträngningarna för att stärka cyberförsvaret försöker EU även stärka den digitala suveräniteten. Enligt Computer Sweden står Europa inför ett allvarligt hot mot cybersäkerheten eftersom mycket av den bästa säkerhetstekniken har sålts till andra länder. EU vidtar nu åtgärder för att behålla dessa företag i regionen. Enligt artikeln ska Europeiska investeringsbanken stödja en ny plattform som ska göra det möjligt för unga cybersäkerhetsföretag att få kontakt med investerare och offentliga finansiärer så att de kan hitta den finansiering som behövs för deras tillväxt.
Enligt Computer Sweden är cybersäkerheten viktigare än någonsin. EU ligger förvisso i framkant när det gäller forskning och innovation inom cybersäkerhet, men har halkat efter länder som USA och Israel när det gäller att utveckla och behålla högpresterande cybersäkerhetsföretag. Detta har blivit en oroväckande trend i det rådande säkerhetsläget, i artikeln kan man läsa att många unga, banbrytande företag flyttar till USA och att denna trend måste vändas.
Frågor och svar om den nya cyberförsvarspolitiken
Computer Swedens artikel den 15 november 2022 om att Europa dräneras på sin egen cybersäkerhet
Integritetsskyddsmyndighetens budget förstärks så digitaliseringståget kan tuffa vidare
Författare: Kave Noori
Den 8 november 2022 lade den nya regeringen fram ett förslag till 2023 års statsbudget till riksdagen. I förslaget ingår en kraftig ökning av den årliga budgeten för Integritetsskyddsmyndigheten (IMY).
IMY:s budget har ökat för att möta det växande antalet klagomål, kraven på en enhetlig tolkning och tillämpning av GDPR i hela EU samt den ökade användningen av övervakningskameror och artificiell intelligens.
De faktiska siffrorna
IMY:s budget för 2022 har varit cirka knappt 125 miljoner svenska kronor. Under de två kommande åren kommer IMY:s budget enligt förslaget att växa med sammanlagt 44,8 % (56 miljoner kronor). År 2023 kommer IMY:s totala budget att öka med 48 miljoner kronor till totalt nästan 178 miljoner kronor. År 2024 kommer den att öka med ytterligare 8 miljoner kronor för att landa på totalt 181 miljoner kronor.
Varför behövs denna ökning?
I sitt budgetförslag hänvisar regeringen till behovet av ett starkare integritetsskydd genom ökad tillsyn och vägledning i digitaliseringens tidsålder för att skydda andra grundläggande rättigheter och för att säkerställa att integritetsskyddet inte blir ett hinder för innovation. Dessutom har behovet av kameraövervakning ökat och myndigheten behöver ytterligare resurser för att effektivt kunna utföra sin tillsynsroll och besluta om tillstånd för kameraövervakning (se sidorna 64–65 i regeringens budgetproposition 2023, utgiftsområde 1).
Regeringens budgetförslag grundar sig på IMY:s eget budgetunderlag för 2023–2025 (som lämnades in till regeringen i mars 2022). I detta dokument förklarar myndigheten varför den bett regeringen om mer pengar.
Ny lagstiftning, fler klagomål och mer komplexa ärenden
I budgetunderlaget skriver IMY att efterfrågan på råd och stöd har ökat kraftigt, från 8 000 fall år 2017 till 25 000 fall år 2018 (året då dataskyddsförordningen trädde i kraft). Dessutom har myndigheten vuxit från 50 till över 85 anställda under samma period. Dessa förändringar har varit så omfattande att IMY beskriver sig själva som en helt ny myndighet från och med 2018.
Vidare skriver IMY att man, trots den ökade finansieringen, uppskattar att det primära uppdraget med dataskydd och kameraövervakning har varit underfinansierat med nästan 20 miljoner kronor årligen från 2018 fram till nu. Bristen på finansiering har påverkat myndighetens förmåga att fullgöra sitt uppdrag negativt, under 2021 tvingades IMY ge mindre service till enskilda individer om hur de tar vara på sina rättigheter.
Fortsättningsvis skriver myndigheten att komplexiteten i uppdraget har ökat i takt med att IMY och andra dataskyddsmyndigheter i EU/EES har vuxit in i sina roller som övervakare av dataskyddsförordningen. Bakgrunden till detta är att dataskyddsförordningen i detalj fastställer tillsynsmyndigheternas uppgifter och skyldigheter och kräver en konsekvent och enhetlig tillämpning och tolkning i hela EU. Det här medför att IMY inte längre har fullständig kontroll över sina prioriteringar, arbetssätt och beslut.
Kameraövervakning
Enligt IMY har kameraövervakningen blivit mycket enklare för många verksamheter fyra år efter att lagen om kameraövervakning trädde i kraft. Kravet på tillstånd innan man får sätta upp kameror har försvunnit för många företag, och IMY har kunnat förkorta handläggningstiden för verksamheter som måste ha tillstånd genom ökade resurser och ett intensivt utvecklings- och effektiviseringsarbete.
Samtidigt konstaterar IMY att det finns stora brister i skyddet av privatlivet när det gäller kameraövervakning. Detta beror på att det är många människor som inte känner till de rättsliga kraven, vilket leder till att många verksamheter använder kameraövervakning på ett sätt som inkräktar på den personliga integriteten. IMY konstaterar att det saknats resurser för en effektiv tillsynsfunktion som kan förhindra detta.
Övergången till klagomålsbaserad tillsyn
IMY skriver också att diskussionen om hur klagomål ska hanteras i EU har intensifierats i och med att samarbetet inom EDPB (European Data Protection Board) fördjupats så att fler gränsöverskridande ärenden hanteras inom EDPB.
Framför allt har EU-kommissionen, enligt IMY i sin utvärdering av GDPR som görs vartannat år lyft fram behovet av att harmonisera och stärka arbetet med klagomål och den klagomålsbaserade tillsynen. Europaparlamentet har konstaterat att alltför få beslut har fattats med hjälp av de kraftfulla verktygen i dataskyddsförordningen i förhållande till antalet klagomål i EU, och har uttryckt sin oro över bristen på tillsyn av förordningen skriver IMY.
EU-domstolen uttryckte i den så kallade Schrems II domen en tydlig förväntan på att individers rättigheter skulle skyddas genom att förordningen efterlevs, genom att tillsynsmyndigheterna granskar klagomålen och vidtar kraftfulla åtgärder i motiverade fall. I början av 2021 antogs interna riktlinjer inom EDPB som anger att alla klagomål från enskilda personer ska utredas.
IMY beskriver också hur dess roll som tillsynsmyndighet har förändrats. Tidigare använde myndigheten klagomål för att utveckla ett strategiskt och riskbaserat upplägg för sina tillsynsinsatser och för att fatta beslut om huruvida tillsyn ska inledas eller inte. Till följd av den ökade komplexiteten i hanteringen av klagomål har myndigheten också behövt dra ned på den tillsyn som inleds på myndighetens egna initiativ. Istället är det den klagomålsbaserade tillsynen som ökat.
IMY skriver att det också finns starka intresseorganisationer som värnar personlig integritet och dataskydd som arbetar hårt för att påskynda implementeringen av dataskyddsreglerna, bland annat genom att lämna in ett stort antal klagomål till de olika nationella tillsynsmyndigheterna. IMY menar att dessa organisationer genom sina klagomål starkt påverkar dataskyddsmyndigheternas prioriteringar.
Mer juridisk vägledning som förutsättning för innovativ digitalisering
IMY skriver att den svenska regeringen strävar efter att bli bäst i världen på att använda digitaliseringen för att lösa samhällsproblem. Tillgången till stora datamängder och artificiell intelligens ses som nyckeln till att revolutionera områden som hälso- och sjukvård, välfärdssystem, brottsbekämpning och klimatförändringar.
IMY påpekar att vi befinner oss i början av en samhällsomvandling som är lika genomgripande som industrialiseringen. Denna omvandling bygger på att vi utvecklar förmågan att skapa, använda och dela data. Precis som tillgången till arbetskraft var avgörande under industrialiseringen är tillgången till data nu avgörande för en fortsatt digitaliserad samhällsutveckling.
IMY beskriver vidare att målen för regeringens digitaliseringsstrategi är ambitiösa och konstaterar att mycket datadelning måste underlättas för att öka användningen av data för exempelvis artificiell intelligens. IMY fortsätter med att konstatera att GDPR är ett av de regelverk som ofta beskrivs som en utmaning och ett hinder för innovation. Många organisationer säger att de vill göra rätt, men att det ställer stora krav på dem och att de har ett stort behov av stöd från IMY.
Fortsättningsvis konstaterar IMY att tillgången till stora datamängder också innebär risker ur ett integritetsperspektiv. Kraftfull teknik ger enligt IMY en mängd aktörer tillgång till en mer eller mindre fullständig bild av våra liv, våra intressen, våra kontakter, vår hälsa och våra rörelsemönster, vanor och beteenden.
IMY konstaterar också att rätten till personlig integritet förutom att vara en egen grundläggande mänsklig rättighet, är en grundbult i en fungerande demokrati. Detta eftersom det är svårt att utöva andra grundläggande rättigheter, såsom åsikts-, yttrande- och organisationsfrihet, om vi inte vet om vi övervakas och av vem.
Som svar mot denna problembild menar IMY att Sverige bör ta ledningen för att skydda människors data och säkerställa en hållbar digital utveckling. IMY:s slutsats är att en offensiv digitalisering måste byggas på två lika starka ben, där digitalisering och integritet inte ses som motstridiga intressen utan som kompletterande element som tillsammans skapar förutsättningar för en hållbar och robust digital utveckling.
Läs mer här:
Förvaltningsrätten i Stockholm: förvaltningslagen krockar med dataskyddet i EU
Författare: Kave Noori
I januari 2019 lämnade en privatperson (den registrerade) ett klagomål till den österrikiska dataskyddsmyndigheten om hur ett företag hanterade hens begäran om tillgång enligt artikel 15 i dataskyddsförordningen, GDPR. I juni 2019 inledde Integritetsskyddsmyndigheten (IMY) en granskning av företagets allmänna rutiner för när en registrerad privatperson begär att få tillgång till sina personuppgifter. I november 2020 utökade IMY sin tillsyn till att omfatta tre individuella klagomål, vilket inkluderade klagomålet som det här målet handlade om.
Den 31 maj 2022 avslog IMY den registrerades begäran om att IMY ska fatta ett slutligt beslut inom fyra veckor, i enlighet med 12§ i förvaltningslagen. Enligt denna bestämmelse kan en part som inlett ett ärende hos en myndighet, om ärendet inte avgjorts inom 6 månader, kräva att myndigheten fattar ett beslut inom 4 veckor.
IMY avslog begäran eftersom myndigheten ansåg att den registrerade inte hade status som berörd part i ärendet och grundade sitt rättsliga ställningstagande på förarbetena till förvaltningslagen.
Den registrerade överklagade till Förvaltningsrätten i Stockholm. Den 31 oktober 2022 biföll domstolen överklagandet och beslutade att upphäva beslutet och återförvisa det till IMY för fortsatt handläggning. Målet har ärendenummer 13308-22.
Domstolens resonemang
Förvaltningsrätten slog fast att GDPR ger de registrerade vissa individuella rättigheter, inklusive rätten att få sina klagomål rörande behandlingen av deras personuppgifter prövade av den ansvariga tillsynsmyndigheten.
Om ett klagomål avslås måste den registrerade få ett motiverat beslut och tillgång till ett effektivt rättsmedel (en juridisk väg att få sin sak prövad, till exempel genom att kunna överklaga). Detta grundar sig på artiklarna 57(1)(f), 77 och 78 i GDPR. Enligt förvaltningsrätten ska nämnda bestämmelser tolkas i ljuset av skäl 141 och 143 i GDPR tillsammans med artikel 8 i EU:s stadga om de grundläggande rättigheterna.
Förvaltningsrätten slog fast att den behöriga tillsynsmyndigheten, i den mån det är lämpligt, är skyldig att undersöka alla klagomål som lämnas in av en registrerad person i samband med behandlingen av dennes personuppgifter. Om den registrerade inte når framgång med sitt klagomål slog förvaltningsrätten fast att den registrerade måste ges tillgång till ett effektivt rättsmedel.
Vidare konstaterade Förvaltningsrätten att IMY kan och måste inleda tillsynsärenden på eget initiativ och att de registrerade i allmänhet inte har en rätt att vara part i ett mål bara för att deras personuppgifter behandlas i ett tillsynsärende.
Samtidigt ansåg förvaltningsrätten att det skulle vara oförenligt med EU-rätten om enskilda personer som har lämnat in klagomål på behandlingen av deras personuppgifter utesluts från att vara part i tillsynsärenden. Domstolen resonerade att det skulle leda till att de registrerade skulle få en sämre rättslig ställning i fråga om deras rättigheter enligt GDPR, än vad de annars skulle ha haft.
Läs mer här:
