Privacy-året 2022 – Vad kan vi förvänta oss?

När vi nu lämnar 2021 bakom oss kan vi konstatera att det var året som cyberbrottsligheten sannolikt gick om den globala droghandeln i omsättning. Det har varit ett år som definierats av Coronavirus, ransomware-attacker och tillsynsmyndigheter som meddelat sanktionsavgifter, i en icke sinande ström.

2022 ser ut att bli ett minst sagt lika intensivt år avseende GDPR, integritetsfrågor, lagstiftning som tar sikte på data och den digitala ekonomin, samt cybersäkerhet. I den här artikeln sammanfattar vi på FCG vad som är att vänta 2022 i Sverige, EU och världen i övrigt.

Ny lagstiftning i EU

Under den gångna tiden har EU växlat upp ordentligt avseende lagstiftning som tar sikte på den digitala ekonomin och data som ”oljan” för vår tidsålder. Med inte mindre än sju omfattande lagförslag gäller det att hålla tungan rätt i mun för att hålla koll på rättsutvecklingen och dess konsekvenser för olika branscher.

Lagar som står för dörren att fastställas är:

Digital Services Act som bland annat tar sikte på konsumentskydd för digitala tjänster, marknadsföring och plattformars ansvar för publicering av olagligt innehåll.

Digital Markets Act med udden riktad mot Big Tech (Google, Amazon, Facebook, Apple och Microsoft) syftande till att stärka den digitala konkurrensen och förhindra inlåsningseffekter för konsumenter.

Data Governance Act som syftar till att skapa ett ramverk för att dela data.

ePrivacy Regulation som bland annat kommer medföra nya regler om användning av cookies, pixlar och annan spårningsteknik på hemsidor och i appar.

Network and Information Security Directive II som syftar att höja nivån av cybersäkerhet för bland annat bankverksamhet och finansmarknadsinfrastruktur samt stärka tillsynen av cybersäkerhet i dessa branscher.

AI Act med stor påverkan på maskininlärning och automatiserat beslutsfattande.

Data Act som bland annat syftar till att skapa en inre ”datamarknad” inom EU och öka tillgången till data.

Att påstå att dessa lagar har en stor påverkan på bankverksamhet, försäkringsbransch och finansmarknaden i stort är knappast en underdrift. De är var för sig komplexa författningar och gemensamt, i kombination med till exempel GDPR, ett regulatoriskt landskap i omfattande förändring. Behovet av ett strategiskt angreppsätt är därför centralt för att undvika att fastna i enskilda detaljfrågor och förlora helhetsbilden. Du är alltid välkommen att kontakta oss på FCG om du vill veta mer av hur dessa lagar påverkar dig och din verksamhet.

EU-domstolen

EU-domstolen har för närvarande inte mindre än 37 mål avseende integritetsfrågor som väntar på förhandsavgörande. Det är självklart inte möjligt för EU-domstolen att meddela dom i samtliga dessa mål under 2022. Det kommer sannolikt ta domstolen minst tre-fyra år att avsluta dessa mål och samtidigt kommer ytterligare begäran om förhandsavgörande att lämnas in under 2022. Målbalansen kommer därför sannolikt fortsätta att ligga på nuvarande nivå om cirka 35–40 mål under överskådlig framtid. Med det sagt finns det några mål som är av särskilt intresse.

Svenska Högsta domstolen har begärt förhandsavgörande i målet Norra Stockholm Brygg. Målet tar sikte på ett s.k. editionsförfarande. I en civilrättslig tvist kan en part begära edition; d.v.s. att domstol ska förelägga motparten att utlämna viss bevisning. Det aktuella målet tar sikte på edition (utlämnande) en elektronisk personalliggare. Högsta domstolens fråga till EU-domstolen rör om GDPR:s ändamålsbegränsningsprincip medför ett hinder av utlämnande av den elektroniska personalliggaren eftersom personalliggaren förts mot bakgrund av skatterättsliga krav. Med tanke på att detta mål syftar till att precisera hur ändamålsbegränsning ska tillämpas, särskilt när personuppgifter behandlas för att fullgöra rättsliga förpliktelser, är detta ett mål som vi kommer att följa nära.

Inte mindre än tre mål hos EU-domstolen tar sikte på dataskyddsombudets (Data Protection Officer) oberoende och en aktörs möjlighet att avsluta anställningen för ett dataskyddsombud. Något förenklat är ett dataskyddsombud en regelefterlevnadsfunktion som syftar till att övervaka regelefterlevnad samt lämna rekommendationer om hur personuppgifter får hanteras i verksamheten. Det ska bli intressant att följa dessa tre mål eftersom målen direkt berör dataskyddsombudets oberoende och skyddet mot repressalier. Det ska bli särskilt intressant mot bakgrund av den långtgående tillsynspraxis som finns från tillsynsmyndigheter och som rör skyddet mot intressekonflikter. Till exempel har den belgiska tillsynsmyndigheten funnit att det innebar en intressekonflikt när en Chief Compliance Officer även innehade uppdraget som dataskyddsombud.

Målet SCHUFA Holdings tar sikte på automatiserat beslutsfattande vid kreditbedömning. Målet är det första i sitt slag som ger EU-domstolen en möjlighet att tolka vad som är ett automatiserat beslutsfattande och potentiellt vilka konsekvenser som utlämnande av prognoser som genomförts genom automatiserat beslutsfattande har för mottagaren av sådana uppgifter. Eftersom målet prövas i sammanhanget av kreditbedömningar är de potentiella konsekvenserna för kreditgivare stora. Därtill kan målet, beroende på hur domstolen tolkar automatiserat beslutsfattande, även ha konsekvenser på screening mot penningtvätt och försäkringsbeslut.

Vägledning från EDPB

European Data Protection Board (”EDPB”) är de europeiska tillsynsmyndigheternas samarbetsorgan som har till uppgift att skapa en enhetlig tillämpning av GDPR i EU. Mot den bakgrunden publicerar EDPB bland annat vägledning och rekommendationer om hur GDPR ska tolkas.

I november 2021 publicerade EDPB ett förslag på vägledning som särskilt tar sikte på vad som är en överföring av personuppgifter till ett tredjeland. Detta förslag är på remiss till och med den sista januari 2022. Det bör därför vara realistiskt att den slutgiltiga vägledningen antas under 2022. Flera delar av denna vägledning kan dock minst sagt benämnas som kontroversiella varför vi inte skulle bli förvånade om det dröjer till årsskiftet 2022/23 innan vägledningen antas. Väsentliga ändringar är ovanliga men aktörer som överför data utanför EU/EES, till exempel i en koncernstruktur, bör noga bevaka händelseutvecklingen.

2022 ser ut att bli året då EDPB publicerar ett förslag till ny vägledning om anonymisering och avidentifiering av personuppgifter. EDPB:s föregångare, den s.k. Artikel 29-gruppen, publicerade motsvarande vägledning 2014. Artikel 29-gruppens vägledning kom att få mycket begränsat genomslag och kritiserades för att vara en teoretisk konstruktion med liten praktisk användningspotential.

Genom GDPR har behovet av att kunna avidentifiera och anonymisera personuppgifter ökat. Förklaringen är att anonymiserad data inte omfattas av GDPR. Det finns ett stort behov, både kommersiellt och för produktutveckling, att kunna bibehålla och analysera data över tid. Det finns en modest förhoppning om att införandet av pseudonymisering som juridiskt begrepp – d.v.s. när en användare inte kan se vems personuppgifter denne behandlar och får åtkomst till – kommer medföra en mer pragmatisk hållning från EDPB om när personuppgifter betraktas som anonymiserade. Vad slutresultatet blir återstår att se men tveklöst är att denna kommande vägledning har potential att få stor påverkan.

Schrems II och Privacy Shield 2.0

Få har missat EU-domstolens dom i Schrems II där domstolen ogiltigförklarade handelsavtalet
Privacy Shield, mellan EU-kommissionen och USA, vilken utgjorde den juridiska grundbulten i det transatlantiska dataflödet. Det primära verktyget för internationella dataflöden utgörs idag av
EU-kommissionens standardavtalsklausuler i kombination med att den aktör som överför personuppgifter ska genomföra en s.k. Transfer Impact Assessment (”TIA”). Att teckna standardavtalsklausuler och genomföra en Transfer Impact Assessment medför en beaktansvärd kostnad för europeiska aktörer som avser överföra personuppgifter utanför EU/EES; och inte minst medför det mycket riskhantering då aktören själv behöver värdera riskerna med dataflödet.

Det finns förhoppningar om att 2022 blir året då vi ska få se fröna till ett Privacy Shield 2.0. Ändringarna i rättsläget på grundval av EDPB:s vägledning om överföring av personuppgifter till tredjeland (se avsnittet, ovan) medför dock indirekt att sammanhanget för ett Privacy Shield 2.0 ändras – inte minst för scenariot när amerikanska aktörer samlar in data direkt från EU/EES utan mellanhänder. Så även om ett förslag till Privacy Shield 2.0 inte går att utesluta, bedömer vi att det är osannolikt under 2022. Vår bedömning är istället att kombinationen av standardavtalsklausuler och Transfer Impact Assessments kommer att utgöra grunden för dataflöden till USA och övriga världen åtminstone under 2022.

IMY

Vår svenska tillsynsmyndighet Integritetsskyddsmyndigheten (”IMY”) har ett intensivt år framför sig. Införandet av en ny visselblåsarlag medför att IMY från och med den 17 juli 2022 ska ha en extern rapporteringskanal för visselblåsare inom området skydd för privatliv, personuppgifter samt nätverk- och informationssäkerhet.

På tillsynsfronten är beslut att vänta i tillsynerna mot Avanza och Länsförsäkringar. Båda tillsynerna tar sikte på om personuppgifter röjts i strid med banksekretessen när personuppgifter som insamlats genom cookies därefter tillgängliggjorts for en tredje part (Facebook som tillhandahållit en s.k. tredjeparts-cookie).

En genomgående trend under 2022 för samtliga tillsynsmyndigheter i EU, är fokus på skyddet för barns personuppgifter och skyddet för integritetskänsliga personuppgifter. Flera tillsynsmyndigheter, dock inte IMY, har meddelat att de särskilt kommer att titta närmare på behandlingen av personuppgifter som rör enskildas ekonomi. Den finansiella sektorn bör därför inte vara förvånad av att vara under lupp under 2022 och potentiellt även kommande år.

Världen utanför EU

Det är inte endast EU som har lagt i en högre växel avseende ny lagstiftning. Vi kan konstatera att de stora världsekonomierna USA, Kina och Indien har infört – eller är på väg att införa – liknande lagstiftning som tar sikte på skyddet för personuppgifter samt AI och automatiserat beslutsfattande.

USA

I USA råder det koncensus mellan demokrater och republikaner – både i Representanthuset och Senaten – om behovet av en ny lag som rör skyddet av personuppgifter på federalnivå. Med det sagt tror få bedömare att ett lagförslag kommer presenteras under 2022, eller för den delen 2023. Den mest framträdande lagen i USA på personuppgiftsområdet förblir därför Californa Consumer Privact Act of 2018 (“CPRA”) som endast är tillämplig i Kalifornien. Ytterligare två delstater – Colorado och Virginia – har ny lagstiftning som träder i kraft under de kommande 18 månaderna. Därtill har en handfull delstater ny lagstiftning som rör skyddet för personuppgifter, under beredning.

Parallellt har Biden-administrationen i Vita huset tagit ett antal initiativ avseende AI och automatiserat beslutsfattande. Dessa initiativ är fortsatt färska och det återstår att se hur dessa kan införlivas i administrationens lagstiftningsagenda. Sammanfattningsvis framstår därför den regulatoriska utvecklingen i USA som svårförutsägbar. Det framstår som att ändring i första hand kommer att ske på delstatsnivå. På federal nivå framstår det dock som att de politiska låsningarna mellan demokrater och republikaner, trots koncensus kring det faktiska behovet, försvårar och fördröjer ny lagstiftning.

Kina

I november 2021 trädde Kinas motsvarighet till GDPR – Personal Information Protection Law (”PIPL”) – i kraft. PIPL liknar på GDPR på många sätt. Bland annat finns det särskilda regler hur data får överföras utanför Kina och – i vissa fall – att data i huvudtaget inte får överföras utanför Kinas territorium. Eftersom PIPL är en lag med s.k. extraterritoriell effekt, det är med andra ord en lag som kan vara tillämplig i hela världen (även Sverige), medför det ett långtgående behov för företag att analysera om deras verksamhet faller in under PIPL och vid behov etablera governance-processer.

För det företag som överför personuppgifter till Kina medför PIPL en beaktansvärd regulatorisk förändring som behöver beaktas och värderas utifrån ett riskperspektiv. Bland annat behöver Transfer Impact Assessments uppdateras för att bland annat utreda om överföringen omfattas av både GDPR och PIPL samt om återföring av data från Kina till EU kan medföra andra risker.

Indien

Det indiska nationella parlamentet valde i slutet av 2021 att bordlägga förslaget till en ny lag om skyddet för personuppgifter. Detta arbete kommer att återupptas under 2022 och det är inte omöjligt att parlamentet kommer att godkänna en ny lag under året. Det förslag som bereds i Indien särskiljer sig tydligt från GDPR eftersom lagförslaget har ett bredare tillämpningsområde och omfattar fler typer av data (d.v.s. även icke-persondata). Med tanke på den stora mängd IT-support och IT-drift som sker i Indien kommer denna nya lag få långtgående konsekvenser. Precis som i fallet med Kinas nya lag PIPL kommer det bland annat att vara nödvändigt att uppdatera Transfer Impact Assessments och utvärdera om governance-processer behöver uppdateras.

The Unknown

Det här är en sammanfattning av vad som sannolikt kommer att ske under 2022. Därtill behöver vi ta höjd för ”the unkown unknowns”, d.v.s. händelser och situationer som vi inte vet om eller kan förutse. Det går till exempel inte att förutse vilka personuppgiftsincidenter som kommer att inträffa eller vilken tillsyn IMY kommer att initiera till följd av omvärldssituationen.

Vi på FCG följer samtliga händelseförlopp noga och du är alltid välkommen att höra av sig till oss vid frågor.

Pia Rosengren
Director & Regional Manager
pia.rosengren@fcg.se

Aron Klingberg
Manager
aron.klingberg@fcg.se

Let's connect

Privacy-året 2022 – Vad kan vi förvänta oss? Privacy-året 2022 – Vad kan vi förvänta oss?
I want an Advisense expert to contact me about:
Privacy-året 2022 – Vad kan vi förvänta oss?

By submitting, you consent to our privacy policy

Thank you for connecting with us

An error occurred, please try again later