• Om oss
    • Om Lindahl
    • Vårt arbetssätt
    • Sagt om Lindahl
    • Pressrum
    • Hitta till oss
    • Personuppgifter
  • Områden
    • Aktiemarknadsrätt
    • Fastighetsrätt
    • Företags­överlåtelser
    • Immaterialrätt
    • IT/Tech
    • Tvistlösning
    • Alla områden
    • Notarius Publicus
  • Medarbetare
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg
  • Aktuellt
    • Event
    • Insikter
    • Nyheter
    • Uppdrag
  • Karriär
    • Lediga tjänster
    • Att jobba på Lindahl
    • Student
    • Business Law Challenge
  • Kontor
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg

Nyheter inom IT/Tech | juni 2021

  • Hem
  • Aktuellt
  • Insikter
  • 2021
  • Nyheter inom IT/Tech | juni 2021

I det här nyhetsbrevet behandlar vi den senaste juridiska utvecklingen inom teknik, IT, cybersäkerhet och dataskydd. Häng med för att hålla er á jour med senaste nytt! 



Nya standardavtalsklausuler antagna av EU-kommissionen – se till att uppdatera både avtalsmallar och befintliga avtal inom tidsfristerna

Den 4 juni publicerade EU-kommissionen två nya uppsättningar av standardavtalsklausuler. Den ena uppsättningen är tänkt att fungera som personuppgiftsbiträdesavtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde och kan användas antingen fristående eller som del av ett mer omfattande avtal.

Den andra uppsättningen av standardavtalsklausuler är avsedda att användas vid överföring av personuppgifter till länder utanför EU/EES och tillhandahåller en mer flexibel lösning än de tidigare standardavtalsklausulerna. I den nya uppsättningen återfinns både allmänna klausuler och klausuler som är särskilt anpassade till olika överföringssituationer, vilket möjliggör för användaren att välja vilka av de särskilt anpassade klausulerna som är mest lämpliga att använda utifrån de omständigheter som föreligger. Standardavtalsklausulerna kan användas när:

  • En personuppgiftsansvarig överför personuppgifter till en annan personuppgiftsansvarig utanför EU/EES
  • En personuppgiftsansvarig överför personuppgifter till ett personuppgiftsbiträde utanför EU/EES
  • Ett personuppgiftsbiträde överför personuppgifter till ett personuppgiftsbiträde utanför EU/EES
  • Ett personuppgiftsbiträde överför personuppgifter till en personuppgiftsansvarig utanför EU/EES

De tidigare standardavtalsklausulerna kan användas i nya avtal i tre månader efter att EU-kommissionens beslut trätt i kraft. Därefter måste nya avtal ingås med de nya standardavtalsklausulerna. De äldre är dock fortsatt giltiga i äldre avtal under en övergångsperiod om 15 månader från att de äldre upphävs (totalt 18 månader från beslutet). Det är således dags att påbörja arbetet med att avtalsmallar och befintliga avtal.


Ny AI-reglering på ingång

Den 21 april 2021 presenterade EU-kommissionen sitt förslag till en förordning om harmoniserade regler för artificiell intelligens (“AI”). Syftet med förslaget är bland annat att harmonisera regler för AI inom EU, stärka konkurrenskraften och undvika fragmentering på den inre marknaden, säkerställa fri rörlighet av AI-system och skydda grundläggande rättigheter.

Förordningen ska tillämpas på:

  • tillhandahållare av AI-system som används på den inre marknaden oavsett om tillhandahållaren är etablerad inom EU eller inte;
  • de som använder AI-system som finns inom EU; och
  • användare och tillhandahållare av AI-system där det som genereras av AI-systemet används inom EU oavsett om tillhandahållaren eller användaren är etablerad eller befinner sig inom EU eller i tredjeland.

I förslaget presenteras en riskbaserad uppdelning av olika typer av AI-system där vissa system är helt förbjudna och andra är tillåtna under vissa förutsättningar, t.ex. att registrering skett hos ansvarig myndighet. De flesta AI-system, sådana som inte innebär någon, eller liten, risk, får användas utan restriktioner men kan omfattas av tillsynskrav.

Oacceptabel risk

AI-system som anses utgöra ett hot mot människors säkerhet, försörjningsmöjligheter och rättigheter kommer att vara förbjudna. Detta inbegriper AI-system eller tillämpningar som manipulerar mänskligt beteende för att kringgå användarnas fria vilja (t.ex. leksaker som använder röstassistans som uppmuntrar minderåriga till farliga beteenden) och system som stater kan använda för ”social poängsättning”.

Hög risk 

AI-system som anses utgöra hög risk är exempelvis AI-system som används i:

  • Kritiska infrastrukturer (t.ex. transport), som kan innebära hot mot människors liv och hälsa.
  • Säkerhetskomponenter i produkter (t.ex. AI-tillämpningar för robotstöd vid operationer).
  • Anställning, arbetsledning och tillgång till egenföretagande (t.ex. mjukvara för sortering av cv:n i samband med rekrytering).
  • Väsentliga privata och offentliga tjänster (t.ex. kreditbedömning som innebär att medborgare hindras från att ta lån).

 

AI-system med hög risk kommer att omfattas av strikta skyldigheter innan de släpps ut på marknaden. Sådana skyldigheter kommer bland annat att inbegripa krav på riskbedömningar och riskreducerande system, detaljerad dokumentation om systemet och dess ändamål samt tydlig och tillräcklig information till användaren.

Begränsad risk

För AI-system som medför begränsad risk kommer särskilda transparenskrav tillämpas. Sådana transparenskrav kommer t.ex. omfatta chattbotar för att användaren ska få information om att den kommunicerar med ett AI-system.

Minimal risk

Alla AI-system som inte medför begränsad eller högre risk kan fritt användas och majoriteten av existerande AI-system bedöms falla under den här kategorin, t.ex. AI-stödda videospel eller skräppostfilter. Utkastet till förordning omfattar inga åtgärder för dessa system, eftersom de utgör en minimal eller obefintlig risk för medborgarnas rättigheter eller säkerhet.

Risk för sanktionsavgifter

Det ankommer på medlemsstaterna att implementera nödvändiga åtgärder för att kunna utfärda sanktionsavgifter för överträdelser av förordningen och för de bolag som inte möter förordningens krav kan det bli dyrt. Förordningen föreslår sanktionsavgifter upp till det högre beloppet av 30 MEUR och 6 procent av föregående års globala omsättning. Storleken på sanktionsavgiften beror bland annat på vilken typ av överträdelse som skett. 

Nästa steg

Europaparlamentet och medlemsländerna kommer att behöva anta EU-kommissionens förslag till en europeisk strategi för artificiell intelligens genom det ordinarie lagstiftningsförfarandet. När förordningen antagits kommer den att vara direkt tillämplig i hela EU.


Är europeisk licensiering av amerikansk teknik vägen framåt efter Schrems-II?

Förutsättningarna för att använda amerikanska IT-leverantörer på ett lagligt sätt har diskuterats mycket de senaste åren. Diskussionerna har främst rört det som framkommit om hur amerikanska myndigheter har möjlighet att få tillgång till uppgifter som lagras hos dessa leverantörer. Efter EU-domstolens avgörande i Schrems-II-målet har alla sökt efter lösningar för att kunna fortsätta använda amerikanska tjänster på ett sätt som efterlever EU-domstolens tolkning av dataskyddsförordningen (mer om Schrems-II kan du läsa här). 

I samband med att den franska regeringen nyligen offentliggjorde sin nationella strategi för molnet uppger de att känsliga uppgifter kan lagras säkert med användning av amerikansk teknologi – om den är licensierad till eller ägs av franska företag. Hanterade på rätt sätt kan den här typen av lösningar förhoppningsvis möjliggöra användning av amerikanska tjänster i Europa på ett sätt som inte strider mot EU-lagstiftning eller medlemsstaternas nationella lagstiftningar.

Om de amerikanska leverantörerna kommer att erbjuda sådana lösningar och i så fall i vilken utsträckning återstår att se. Vi kommer att följa utvecklingen.


EU Cloud Code of Conduct – den första uppförandekoden enligt dataskyddsförordningen

Den 20 maj godkände den belgiska tillsynsmyndigheten den första uppförandekoden enligt artikel 40 dataskyddsförordningen. Uppförandekoden är anpassad för molntjänstleverantörer och omfattar alla typer av molntjänster – mjukvaror (SaaS), plattformar (PaaS) som infrastruktur (IaaS). Däremot är uppförandekoden begränsad till ”business-to-business” och omfattar således inte tjänster som levereras till konsumenter.

Uppförandekoden ska framförallt underlätta för molntjänstleverantörer att efterleva dataskyddsförordningen och möjliggöra för dessa att visa att de tillhandahåller de garantier som krävs enligt artikel 28 dataskyddsförordningen och kan framförallt vara ett värdefullt verktyg för små- och medelstora leverantörer. Dock har flera stora molntjänstleverantörer, däribland Microsoft, redan meddelat att de ansluter sig till uppförandekoden.

En uppförandekod kan enligt artikel 46 dataskyddsförordningen utgöra en lämplig skyddsåtgärd för överföring av personuppgifter utanför EU/EES. Den här uppförandekoden utgör dock ingen lämplig skyddsåtgärd och kan därför inte användas som sådan. Arbetet pågår dock med att ta fram en särskild modul till koden anpassad för tredjelandsöverföringar.

Läs mer om EU Cloud Code of Conduct här.


Svenska anpassningar till EU:s cybersäkerhetsakt

Det europeiska ramverket för cybersäkerhetscertifiering innebär en möjlighet för tillverkare och leverantörer av informations- och kommunikatiosteknologi (IKT) att upprätta en s.k. EU-försäkran om överensstämmelse eller ansöka om ett europeiskt cybersäkerhetscertifikat som intygar att en viss IKT-produkt, IKT-tjänst eller IKT-process uppfyller kraven enligt en europeisk ordning för cybersäkerhetscertifiering. I Sverige föreslås Försvarets materielverk (FMV) bli tillsynsmyndighet. Swedac kommer att vara nationellt ackrediteringsorgan.


Ny vägledning om kamerabevakning

IMY har publicerat en rapport som redovisar myndighetens erfarenheter av att utfärda tillstånd till kamerabevakning. Rapporten innehåller ett antal rekommendationer och ett övergripande förslag på arbetsgång för verksamheter som planerar att kamerabevaka. Dessutom tas ett antal specifika fall av kamerabevakning upp mer i detalj, som exempelvis kamerabevakning i skolor, vårdinrättningar, myndighetslokaler, parkeringar, apotek, skog och mark samt flerbostadshus. Rapporten kan läsas här.

Vill du veta vad man måste tänka på innan man börjar kamerabevaka? Läs vår genomgång av vad som gäller här.


Nya vägledningar, rekommendationer och tillsynsbeslut

  • Flera beslut om sanktionsavgifter - läs Integritetsskyddsmyndighetens rapport från granskning av incidenten hos 1177 Vårdguiden
  • EDPB har tagit fram rekommendationer för vilken rättslig grund som ska användas för lagring av kreditkortsuppgifter i syfte att underlätta ytterligare transaktioner
  • ENISA har tagit fram rekommendationer för att säkerställa cybersäkerhet för självkörande och uppkopplade fordon

 

 


 

Frågor?

Vill du veta mer om någon av nyheterna eller gav de upphov till andra frågor?

Du får gärna kontakta någon av oss eller din vanliga kontakt på Lindahl.

 

Registrera dig för e-postutskick

Vill du ta del av liknande information i framtiden? Prenumerera på Lindahls nyhetsbrev!

Besök sidan

IT/Tech

Lindahls IT/Tech-team består av drygt 25 jurister med mångårig och mångsidig erfarenhet av juridisk rådgivning inom IT och teknik. Samhällets allmänna digitalisering, automatisering och mjukvaruberoende speglar våra uppdrag: våra klienter är verksamma inom alla branscher och finns inom såväl privat som offentlig sektor.

Besök sidan

Relaterat

  • 2021-04-06 16:28:55 Nyheter inom IT/Tech | april 2021
  • 2021-04-06 16:28:41 Vad gäller vid kamerabevakning?
  • 2020-12-11 09:32:30 Schrems II – Fortsättning följer

Kontakt

  • Lisa Liljekvist

    Stockholm

  • Pontus Etéus

    Göteborg

    pontus.eteus@lindahl.se +46 731 472 786
  • Mikael Olsson

    Uppsala

    mikael.olsson@lindahl.se +46 730 915 170
  • Ida Karlsson

    Örebro

    ida.karlsson@lindahl.se +46 736 721 753
  • Isabelle Selemba

    Helsingborg

Sidor
  • Start
  • Om oss
  • Områden
  • Medarbetare
  • Nyheter
  • Karriär
  • Personuppgifter
Våra kontor
  • Stockholmreception.stockholm@lindahl.se +46 8 527 70 800
  • Göteborgreception.goteborg@lindahl.se +46 31 799 10 00
  • Malmöreception.malmo@lindahl.se +46 40 664 66 50
  • Uppsalareception.uppsala@lindahl.se +46 18 16 18 50
  • Örebroreception.orebro@lindahl.se +46 19 20 89 00
  • Helsingborgreception.helsingborg@lindahl.se +46 42 17 53 00
Sociala medier
  • Följ oss i sociala medier: Instagram, Linkedin, Youtube, Facebook eller prenumerera på vårt nyhetsbrev.

Disclaimer

The material and information on this site is intended for general informational purposes only and does not constitute legal advice on any specific matter. Please note that all images on Lindahl's website, www.lindahl.se, are subject to intellectual property protection and downloading, publication, copying and/or other use of the images requires the written consent of the rights holder. You'll find Advokatfirman Lindahl KB's general terms and conditions here.

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse