Samtiden och omvärlden

Det händer mycket som påverkar affärerna och därmed även juridiken. Vissa saker väcker debatt, andra förändrar sakernas tillstånd. Här kan du ta del av nyheter och artiklar som rör IT-advokaterna, affärsjuridik och IT-rätt.

 

2019-08-13

Rätt att lämna ut personuppgifter till amerikanska brottsbekämpande myndigheter

Om du som företag använder dig av en amerikansk leverantör av molntjänster eller elektronisk kommunikation kan du komma att påverkas av US Cloud Act (the Clarifying Lawful Overseas Use of Data Act) vilken i korthet innebär att amerikanska myndigheter kan kräva att amerikanska leverantörer av elektronisk kommunikation ska lämna ut data som lagras utomlands.

Eftersom dataskyddsförordningen (GDPR) ställer höga krav på adekvat skyddsnivå vad gäller överföring av personuppgifter till tredje land har European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS) granskat och analyserat vilka möjligheter en europeisk personuppgiftsansvarig har att följa en begäran om utlämnande av personuppgifter till amerikanska brottsbekämpande myndigheter under US Cloud Act.

Den slutsats som EDPB och EDPS landat i är att möjligheterna för en personuppgiftsansvarig inom EU att följa en direktbegäran från en amerikansk brottsbekämpande myndighet är mycket begränsad. EDPB/EDPS menar att såvida inte en arresteringsorder under US Clous Act erkänns eller är verkställbar till följd av ett internationellt avtal, kan lagligheten av överföringen inte fastställas.

EU-kommissionen har nyligen inlett förhandlingar med USA om ett internationellt avtal som behandlar gränsöverskridande tillgångsförfrågningar till elektroniska bevis, i syfte att fastställa vilka möjligheter en amerikansk verkställande myndighet har att få tillgång till information inom EU/EES.

För mer information, läs IT-advokaternas tidigare pressmeddelande om Cloud Act här eller se EDPB/EDPS analys om utlämning här.

2019-07-12

Bristande due diligence utgör risk under GDPR

Hotellkedjan Marriott International förvärvade 2016 Starwood hotels grupp. 2018 upptäcktes en cyber incident i Starwoods IT-system som tros ha pågått sedan 2014, det vill säga innan förvärvet. Mariott International riskerar nu böter under GDPR för data incidenten. Brittiska tillsynsmyndigheten ICO, som leder utredningen mot Mariott International å övriga EU-medlemsstaters vägnar, har uttalat att Marriott brustit i sin due diligence vid förvärvet, samt att Marriott borde ha gjort mer för att säkra sina system, och avser att bötfälla Mariott med över £99 miljoner.

Information Commissioner Elizabeth Denham uttalade:

The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected.

För mer information se ICO:s hemsida här.

2019-07-09

British Airways riskerar rekordbot efter IT-attack

Brittiska flygbolaget British Airways riskerar böter om drygt 2 miljarder kronor efter att datahackare kommit åt cirka 500 000 av bolagets kunders personuppgifter. IT-attacken upptäcktes i september 2018 och datahackarna kom över uppgifter om kunders namn, adresser och kredituppgifter genom att upprätta en falsk sida som kunderna dirigerades om till då de besökte flygbolagets hemsida.

Brittiska datainspektionen (ICO) har utrett bolagets säkerhetsnivåer och ansett dessa inte uppfyller GDPR:s krav. ICO kommer noggrant överväga flygbolagets synpunkter på den genomförda attacken, samt de säkerhetsåtgärder som vidtagits. Därefter kommer ICO, tillsammans med övriga berörda dataskyddsmyndigheter i Europa, fatta ett slutligt beslut. Boten flygbolaget riskerar att få motsvarar 1,5 procent av British Airways totala globala årsomsättning 2017.

För mer information se ICO:s hemsida: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/ 

2019-06-26

Över 3,5 miljoner SEK i skadestånd för IT-företag som underlåtit att göra backup

När bolaget PIVABs datorsystem utsattes för ett krypteringsvirus blev följden att innehållet i dess krypterade material inte längre var åtkomligt från den enhet där det sparats. IT-företaget Xelent, med vilka PIVAB tecknat avtal om IT-driftstöd, dömdes av Hovrätten till att betala skadestånd till PIVAB med anledning av att Xelent underlåtit att göra backup på materialet.

PIVAB hade löpande under flera år anlitat Xelent för att hantera bolagets IT-miljö. När PIVAB var i behov av ytterligare lagringsutrymme föreslog Xelent en komplettering till den befintliga servern genom installation av en ny enhet i PIVAB:s befintliga nätverk. Vid tiden för installeringen skötte PIVAB säkerhetskopieringen av serven genom backupband, en lösning som tillhandahölls av Xelent men som genomfördes av PIVAB själva. Denna lösning var dock inte tillämplig på den nya enheten.

En tid senare kom parterna att teckna ett driftavtal där Xelent tog över backuphanteringen av servern. Det nya driftavtalet kom emellertid inte att uttryckligen omfatta backup av den nya enheten, vilket föranlett den aktuella tvisten om huruvida ansvaret för backupen trots detta ska anses ligga under Xelents ansvar.

Enligt domstolen utgjorde installationen av den nya enheten ett led i Xelent:s fortlöpande verksamhet att bistå PIVAB med varor och tjänster på IT-området. Domstolen menade även att det konsultansvar som Xelent därvid hade innefattar mer än bara ett ansvar som förknippas med att man säljer eller hyr ut en viss, av kunden utpekad, produkt eller installerar ett föremål som leverantören tillhandahåller.

Xelent hade vid installationen av den nya enheten en generell kännedom om PIVAB:s verksamhet och kände väl till att PIVAB dittills låtit all information på servern omfattas av backuper. Till följd av detta menade således domstolen att Xelent, såsom konsult och expert på IT-området, i samtalen med PIVAB borde tagit upp backupfrågan beträffande den nya enheten. Domstolen ansåg att Xelents oaktsamhet således uppkom redan i samband med installationen, det vill säga innan parterna tecknade driftavtalet.

Om du vill veta mer om ovanstående vänligen kontakta en IT-advokat.

2019-06-19

Artificiell Intelligens – räcker dagens lagstiftning till för de nya teknikerna?

I februari i år bjöd Europarådet in till en konferens i syfte att diskutera Artificiell intelligens (AI) påverkan på de mänskliga rättigheterna och demokratin.

AI är ett digitalt teknikområde som utvecklas snabbt och omfattar en rad tekniker, inte minst maskininläsning och djupinläsning. Det som utmärker AI från andra metoder för automation är teknikens förmåga att lära sig och bli smartare över tid. Den nya utvecklingen på området innebär stora möjligheter, men även helt nya utmaningar. Vi lever i en värld som ständigt utvecklas och där tekniken går framåt med stormsteg, samtidigt som lagstiftningen släpar efter. Hur ska rättssystemet garantera att man kan nyttja möjligheterna som tekniken för med sig och samtidigt begränsa och förhindrar riskerna för samhället och människan i övrigt?

De flesta människor som sökt efter något på internet vet att AI påverkat upplevelsen. Sökbegrepp man använt sig av sammanställs och algoritmstyrda annonser genereras med syftet att ge en förhöjd användarupplevelse, men även frambringa säljmöjligheter för företagen. Tekniken ger upphov till fantastiska möjligheter, men baksidan av densamma är stor. De invecklade algoritmerna spårar beteenden och resultaten blir olika beroende av vilka data som matas in. Att få annonser om exempelvis glassmaskiner riktade till sig i sociala medier för att man tidigare gjort en Google-sökning på detsamma kan tyckas vara en irriterande men ofarlig konsekvens. Algoritmerna används däremot på fler områden än så, där konsekvenserna kan bli betydligt större och djupgående.

Eftersom AI är beroende av de data som från början matats in kan det leda till att samhällets fördomar färgar de resultat som uppstår. Om vi låter den tekniska världen ta beslut baserad på en viss fördom, blir risken därmed att fördomen förstärks. Vidare kommer resultaten vara svåra att bemöta då bakomliggande data som resultaten baserats på ofta inte går att få fram och därmed inte heller ifrågasättas. Ponera att vi exempelvis låter AI-tekniken bedöma vilka människor som är lämpade för att söka ett jobb som IT-chef på ett företag. Om den självlärande AI:n sammanställer tidigare data (exv. data om de tidigare anställda som haft befattningen) och kommer fram till att basera resultatet (dvs. vilka som ska ha rätt att söka jobbet) på de tidigare anställdas ålder (30-35 år) och kön (kvinnor). Detta leder således till att AI:n kommer att utesluta en ansökan från en man i 45 års ålder, trots att denne faktiskt skulle kunna varit en bra kandidat för jobbet. Genom att lägga in förutsättningar som påverkar resultatet riskerar man att få ett resultat baserat på partiska faktorer. Algoritmernas fördomsfullhet kan således ge upphov till så kallad algoritmisk diskriminering.

Ovanstående risker uppmärksammades under 2018 och EU-kommissionen tillsatte en expertgrupp med uppdrag att skapa etiska riktlinjer för AI-användning. I april i år kom expertgruppen ut med riktlinjer med förslag på områden som är viktiga att se över. Huruvida dessa riktlinjer i framtiden kommer specificeras eller omvandlas till regler och rekommendationer återstår att se. AI-utvecklingen ger upphov till en hel del för lagstiftaren och juristerna att ta tag i. Hur säkerställer man rättvishet och integritet, samtidigt som man inte i för stor utsträckning inskränker AI:s påverkan på framtiden?

Läs expertgruppens riktlinjer här, eller ta kontakt med en IT-advokat för mer information.

2019-06-04

Cloud Act – Ett ingrepp på den europeiska marknaden?

Om du som företag använder dig av en amerikansk leverantör av molntjänster eller elektronisk kommunikation kan du komma att påverkas av Cloud Act (the Clarifying Lawful Overseas Use of Data Act), vilken klubbades igenom som amerikansk lag i slutet av mars förra året. Trots att lagen varit i kraft i över ett år är det få som faktiskt tagit ställningen till och är medvetna om lagens konsekvenser.

Lagen innebär i korthet att amerikanska myndigheter kan kräva att amerikanska molntjänsteleverantörer och amerikanska leverantörer av olika slags elektronisk kommunikation ska lämna ut data som lagras utomlands. Myndigheterna har med andra ord en rätt att kräva ut data om europeiska medborgare. Detta står i strid med grundprinciperna i bland annat Dataskyddsförordningen (”GDPR”) och för med sig att säkerheten och integriteten för europeiska medborgares persondata inte kan garanteras. För att myndigheten ska ha en möjlighet att begära ut data krävs det dock att det föreligger stark misstanke om att ett konkret brott har begåtts.

Företag som använder sig av amerikanska leverantörer måste således se över den behandling som sker och utföra riskbedömningar vad gäller de data, inklusive personuppgifter, som leverantören behandlar å företagets vägnar. Det är viktigt att föra en dialog med leverantören och börja se över vilken typ av data som potentiellt kan lämnas ut.

En parantes i det hela, men däremot inte en liten sådan, är att utlämningen inte är begränsad till amerikanska myndigheter som är vana och kan säkerställa ett adekvat skydd för informationen. Detta innebär således att känslig data som företaget behandlar i molnet potentiellt kan lämnas ut till en myndighet som sällan arbetar med sekretesskyddad information.

Ytterligare en konsekvens av lagstiftningen är att företag kan tvingas kontrollera och omförhandla redan signerade avtal (exv. personuppgiftsbiträdesavtal), eftersom leverantören inte längre kan garantera dess efterlevnad. Cloud Act har länge simmat i GDPR:s kölvatten, men IT-advokaterna rekommenderar starkt att man som företag sätter sig in i och ta ställning till hur man förhåller sig till densamma.

Vill du veta mer, kontakta en IT-advokat.

2019-05-22

Friande dom för Booking.com – Avtalsvillkor om prisparitet är inte konkurrensbegränsande

Nyligen kom Patent- och marknadsöverdomstolen med sin dom (PMT 7779-18) i målet mellan hotellbokningssajten Booking.com och branschorganisationen Visita.

Målet gällde främst de avtalsvillkor om så kallad prisparitet som Booking.com tillämpar. Villkoren förbjuder hotellen att sätta lägre priser för sina rum via egna onlinekanaler än de priser som erbjuds via Booking.com. Visita ansåg att avtalsvillkoren inneburit att konkurrensen märkbart begränsats på marknaden för onlinebokningstjänster för hotell samt hotellövernattningar i Sverige och att avtalsvillkoren därför bör förbjudas. Även andra av Bookings avtalsvillkor och ageranden, såsom villkor om viss tillgång på rum och ranking, var föremål för prövning i målet.

Domstolen ansåg dock, till skillnad från underinstansen, att Visita inte visat att avtalsvillkorenhaft till syfte att  begränsa konkurrensen och inte heller resulterat i någon sådan begräsning, varken på marknaden för onlinebokningstjänster eller hotellövernattningar. Avtalsvillkoren var därmed inte förbjudna enligt konkurrensrätten.

Resultatet av domen innebär i praktiken att det tills vidare är tillåtet för Booking.com och andra hotellbokningssajter att i sina avtal med hotellen tillämpa paritetsvillkor såsom förbud mot att erbjuda lägre priser genom hotellens egna onlinekanaler.

Domen finns att läsa i sin helhet här.

Om du vill veta mer, eller få hjälp att förstå hur detta påverkar just ditt företag, vänligen kontakta en IT-advokat.

2019-05-06

Blockchain

Bakgrund
Blockchain är en teknik som har diskuterats flitigt under de senaste åren. Dess användningsområden är flera, även om den ofta förknippas med kryptovalutor och då i synnerhet Bitcoin.

Man bör vara noga med att hålla isär begreppen ”Blockchain” och ”Bitcoin”. Blockchain avser själva tekniken, medan Bitcoin är en tillämpning av tekniken. Bitcoin som skapades år 2009 av den än idag okände Satoshi Nakamoto (vilket är en pseudonym) presenterade ett nytt sätt att överföra värde digitalt, utan att behöva använda mellanhänder för att säkra transaktionerna genom att kombinera kända tekniska byggstenar från datavetenskap och kryptografi.

Blockchain har emellertid mycket mer potential än att bära kryptovalutor och IT-advokaterna förutspår att fler och fler företag kommer börja använda sig av Blockchain-tekniken framöver.

Vad är Blockchain-teknik?
Den franska Datainspektionen (Commission Nationale de l’informatique et des libertés, ”CNIL”) har definierat Blockchain som ”(…) a database in which data is stored and distributed to a large number of computers and in which all entries, called “transactions”, are visible to all users.”.

Blockchain är med andra ord en process som förespråkar transparens och spårbarhet, vilket också är två grundpelare i tekniken. Blockchain bygger på ett decentraliserat nätverk där användarna validerar (säkerställer) transaktioner, vilka adderas till kedjan (även kallat registret). För att säkerställa spårbarheten adderas den senaste informationen som överförts i nätverket och bildar tillsammans i kedjan ett ”block”. Informationen i blocken krypteras och vartdera block får ett unikt identifikationsnummer (även kallat ”hash”), vilket utgör en referens till föregående block i kedjan. På så sätt länkas blocken samman och bildar en oavbruten och spårbar blockkedja.

Blockchain är en teknik med stor potential som samtidigt väcker många frågor, däribland förenligheten med GDPR:s regler för personuppgiftsbehandling. Enligt CNIL är en blockkedja i sig inte en personuppgiftsbehandling som har ett eget syfte och ändamål, utan en teknik som kan tjäna i ett brett spektrum av olika behandlingar. Om tekniken är förenlig med GDPR:s krav har dock blivit ifrågasatt (IT-advokaternas Amelia har analyserat denna fråga, läs mer här).

IT-advokaterna närvarande även i april i år Stockholm Blockchain Forum där Blockchain-teknikens möjligheter och utmaningar diskuterades, inte minst i juridisk kontext. IT-advokaterna har sedan i höstas tagit en aktiv roll vad gäller Blockchain-teknikens användbarhet och legalitet på marknaden. Vill du veta mer om Blockchain-relaterad juridik, tveka inte att kontakta en IT-advokat.

2019-04-25

Ett år med PSD2

Allt fler betaltjänster utvecklas på marknaden där så kallade tredjepartsleverantörer fungerar som mellanhand mellan bankerna och betaltjänstanvändarna (t.ex. konsumenter). Tredjepartsleverantörerna har haft svårt att själva leverera betaltjänstlösningarna då bankerna haft monopol på kundernas kontoinformation. För att öppna marknaden för tredjepartsleverantörer genomförde EU förra året det andra betaltjänstdirektivet (PSD2).

Definitionen av betaltjänster har utvidgats i PSD2 till att även omfatta betalningsinitieringstjänster (en tjänst som initierar en betalningsorder på användarens begäran) och kontoinformationstjänster (exv. en tjänst som sammanställer kontoinformation från flera banker), vilket innebär att marknaden för tredjepartsleverantörer numera är reglerad. I och med de ändrade reglerna i PSD2 är det nu möjligt för tredjepartsleverantörerna att använda sig av bankernas information och infrastruktur för att själva leverera betaltjänstlösningar, vilket kommer ske genom att bankerna tvingas öppna sina API:er, så kallad ”Open Banking”.

För bankerna har direktivet inneburit en utmaning både i form av ökade IT-kostnader och ökad konkurrens men också en stor förändring för lönsamheten inom Fintech. Ett exempel är bolaget Tink som tidigare endast var en applikation för privatekonomi. Bolaget har nu expanderat till att sälja olika finansiella lösningar till banker och har bara sedan årsskiftet fått in nya investeringar på över en halv miljard kronor. Trots detta har den förutspådda ”boomen” av betaltjänster ännu inte riktigt tagit fart.  Konsumenterna är ännu obekanta med direktivet och har generellt sätt ganska lågt förtroende för tjänster som inte erbjuds direkt via bankerna själva. Många menar dock att det kommer att ta fart och att en stor förändring på betaltjänstmarknaden bör ske inom de närmsta åren.

Expansionen av finansiella tjänster och bankernas förlorade monopol på kundernas kontoinformation ställer givetvis stora krav på säkerheten såsom stark autentisering och säker personuppgiftshantering. Här har förhållandet mellan PSD2 och GDPR väckt frågor. Regelverken innehåller flera likartade bestämmelser såsom krav på samtycke, informationsskyldighet och incidentrapportering. Men trots att implementeringen av direktivet skedde ungefär samtidigt som GDPR finns det ingen hänvisning dem emellan och det är oklart om reglerna i PSD2 är kompletterande eller konkurrerande till GDPR.  Detta skulle exempelvis kunna innebära en risk att aktörer blir skyldiga att rapportera incidenter både till Finansinspektionen (enligt PSD2) och Datainspektionen (enligt GDPR).

Vill du veta mer om PSD2 och vilken betydelse direktivet kan ha för din affär, kontakta en IT-advokat.

2019-04-15

Europaparlamentet röstar JA för nytt Upphovsrättsdirektiv

År 2016 kom EU-kommissionen med ett förslag till en förnyelse av EU:s upphovsrättsregler, med syfte att anpassa reglerna till den digitala utvecklingen. Den 26 mars 2019 fick det nya Upphovsrättsdirektivet grönt ljus från Europaparlamentet och ska därmed implementeras i nationell lag.

Upphovsrättsdirektivet har varit kraftigt kritiserat och frågan som stått i centrum är ifall det är upphovsrätten som ska skyddas eller friheten på internet som ska värnas? I ljuset av debatten är det framförallt två artiklar i direktivet som ansetts som särskilt kontroversiella; artikel 11 (i förslagets artikel 11, numer omdöpt till artikel 15) som behandlar den så kallade ”länkskatten och artikel 13 (numera omdöpt till artikel 17) om ansvaret för upphovsrättsskyddat material.

Artikel 15 handlar om ”skälig och proportionell ersättning”. I och med direktivets ikraftträdande måste plattformar så som Facebook, Google och Youtube, ha licens för att kunna publicera utdrag ur nyhetspublikationer (exv. i samband med länkning). Syftet är att leverantörerna ska dela med sig av intäkter som genereras av innehåll som andra äger upphovsrätten till (så kallad ”länkskatt”). Leverantörerna ska med andra ord ge skälig och proportionell ersättning till medier vars material delas via den digitala plattformen.

Artikel 17 och andra sidan ställer krav på att leverantörerna av de digitala plattformarna ska ta ansvar för vad dess användare laddar upp, dvs. ansvar för uppladdning av material som kan innebära ett upphovsrättsintrång. Rent konkret innebär detta att leverantören av plattformen måste vidta rimliga åtgärder för att förhindra att upphovsrättsskyddat material laddas upp. Till följd av den mängd material som publiceras varje dag innebär detta i praktiken att leverantörerna måste ha ett så kallat ”uppladdningsfilter”, dvs. kunna blockera upphovsrättskyddat material om och när det publiceras.

Trots att direktivet blivit kraftigt kritiserat finns det branscher som jublade då det röstades igenom, bland dessa kultur- och musikbranschen. De nya reglerna medför att musiker, låtskrivare, författare, kulturskapare och journalister ska kunna få rättvis ersättning när dess verk sprids och genererar ett ekonomiskt värde digitalt.

Om du har frågor eller vill veta mer om det nya Upphovsrättsdirektivet, kontakta en IT-advokat.

2019-04-03

Datainspektionens tillsyn år 2019-2020

Datainspektionen har nu beslutat sin tillsynsplan för verksamhetsåren 2019-2020. Tillsynen fokuserar på de rättsområden, branscher och verksamheter där Datainspektionen identifierat att det finns särskild risk för att den enskildes rättigheter kan komma att kränkas. Dessa risker har identifierats genom inkomna klagomål och personuppgiftsincidenter, tidigare genomförd tillsyn, generell omvärldsbevakning och utifrån aktuella regelförändringar.

De rättsområden som prioriteras är rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde, samtycke som rättslig grund samt gränsdragningen mellan betaltjänstlagen och kreditupplysningsverksamhet.

De specifika branscher eller verksamheter som valts ut är hälso- och sjukvården, skolan, rättsväsendet, arbetsgivares behandling av anställdas personuppgifter, mobila operativsystem, detaljhandeln, betalningsförmedlare, Visa Information System (VIS) och inkassoverksamhet.

I övrigt beaktar Datainspektionen även att nya tillämpningsområden för existerande teknik och ny eller utvecklad teknik generellt är viktiga att följa för att bedöma risker och konsekvenser för integritetsskyddet. Under 2019 kommer ansiktsigenkänning att granskas, men även annan teknikanvändning kan bli föremål för tillsyn såsom exempelvis maskininlärning, automatiserade beslut, profilering och blockkedjor.

Om du vill vet mer, eller få hjälp att förstå hur detta påverkar just ditt företag, kontakta en IT-advokat.

2019-03-05

IT-advokaterna växer!

Vi kan med glädje meddela att vi förstärker teamet med ytterligare en IT-jurist.

Amelia Wallace har nyligen tagit sin juristexamen från Stockholm universitet där hon fördjupat sig inom IT-rätt. Hennes examensarbete behandlade skyddet av personuppgifter inom blockchain-teknik, ett högaktuellt men för de flesta fortfarande outforskat område. Amelia har även tidigare arbetat på JP Infonet AB som rådgivare i deras dataskyddsgrupp med GDPR som huvudsakligt arbetsområde.

Välkommen Amelia!

2019-02-25

IT-advokaternas Frida Bengtsson uttalar sig om 1177-skandalen

IT-advokaternas Frida Bengtsson uttalar sig om 1177-skandalen och Medhelps ansvar.

Läs artikeln här: https://www.dn.se/ekonomi/medhelps-polisanmalan-ett-forsok-att-flytta-fokus/

2019-02-18

Vad innebär en hård Brexit för ditt företag?

Storbritanniens utträde ur EU är inte länge en nyhet, men vad innebär egentligen en hård Brexit för ditt företag?

Bakgrund
Med rösterna 432 mot 202 röstade det brittiska parlamentet den 15 januari 2019 ned utträdesavtalet som förhandlats fram mellan Storbritannien, EU och dess 27 övriga medlemsländer. Villkoren för Storbritannienens utträde ur unionen och dess framtida relation med EU förblir således oviss.

Om inte parterna kommer överens kommer Storbritannien att lämna EU den 29 mars 2019 utan en rätt till en övergångsperiod om 21 månader, en så kallad hård Brexit. Sker detta skulle företag, konsumenter och offentliga organ tvingas reagera omedelbart och efterfölja de förändringar som ett utträde för med sig.

Konsekvenser
Vilka konsekvenserna av en hård Brexit faktiskt blir är svårt att med säkerhet förutsäga. Nedan har IT-advokaterna listat några områden som kan påverkas av Storbritanniens utträde.

  • Handel
    Storbritannien skulle återgå till Världshandelsorganisationens regler om handel. Även om Storbritannien inte längre skulle vara bunden av EU-regler skulle det behöva möta EU:s externa avgifter. Detta innebär bland annat att priset på brittiska varor kan gå upp, eftersom Sverige skulle behöva placera tullar på varor importerade från Storbritannien. Vidare kan detta även leda till långa förseningar vid gränserna eftersom tullkontrollerna ökar.

  • Avtal
    Undertecknade avtal mellan företag inom EU och Storbritannien kan få en annan innebörd. Det är således viktigt att gå igenom befintliga avtal och säkerställa att dessa är tillräckliga. Exempel på avtal som kan påverkas av en Brexit är Personuppgiftsbiträdesavtal, handelsavtal och avtal med territoriella begränsningar (exv. licensavtal).

  • Personuppgiftsbehandling
    Vid avsaknaden av en överenskommelse kommer Storbritannien att definieras som ett så kallat tredjeland från och med dess utträde ur EU. Detta innebär att överföringen av personuppgifter till Storbritannien behöver regleras av antingen (i) EU-kommissionens Standardavtalsklausuler, (ii) bindande företagsregler, (iii) uppförandekoder och certifieringsmekanismer, eller (iv) enligt undantag fastställda i GDPR. I praktiken innebär detta att alla befintliga Personuppgiftsbiträdesavtal mellan EU och Storbritannien, som inte är baserade på någon av punkterna ovan, måste revideras.

  • Fri rörlighet för personer
    Vilka rättigheter ska EU-medborgare ha i Storbritannien och vilka rättigheter ska brittiska medborgare ha i EU-länder efter Brexit?Både Storbritannien och EU kan komma att införa nya kontroller för invandring, vilket kan leda till att passkontrollerna ökar, att visum dras tillbaka eller att tidigare kvalifikationer för arbete inte längre erkänns. Idag finns det cirka 1,3 miljoner britter i EU-länder och 3,7 miljoner européer i Storbritannien - dess framtid är i dagsläget oklar.

    Om du vill veta mer, eller få hjälp att förstå hur detta påverkar just ditt företag, vänligen kontakta en IT-advokat.

2019-02-13

GDPR; 50 MEUR-frågan och mer populär än Beyoncé och Mark Zuckerberg

Om någon skulle ha missat införandet av GDPR förra året, har EU Kommissionen publicerat det perfekta faktabladet som summerar GDPR-eran hittills; existensen efter 25 maj 2018. GDPR kan ha känts som åtminstone top 3 samtalsämne på middagsbjudningar och ett konstant tema i e-postinbjudningar till seminarier, men visste du att den 25 maj 2018 Googlade fler på ’GDPR’ än på både Kim Kardashian och Beyoncé?

Facebook fick mycket uppmärksamhet under föregående år, inte minst i anledning av Cambridge Analytica-skandalen. Trots detta var GDPR omtalad i media fler gånger än Mark Zuckerberg under 2018.

Det var dock inte bara Facebook som var i en pressad situation under 2018. Sedan 25 maj tills slutet av 2018 rapporterades totalt 41 502 personuppgiftsincidenter och 95 180 klagomål lämnades till tillsynsmyndigheterna under GDPR. De vanligaste klagomålen rörde telemarketing, e-postmarknadsföring och videoövervakning/CCTV.

Sist men inte minst har vi fått hintar på frågan som varit på allas läppar, ”kommer vi att behöva betala böter på 4% av årsomsättningen?”. Endast tre böter har utdömts under GDPR i 2018, varav Google drabbades av den största, på 50 MEUR.

För mer information, se EU Kommissionens faktablad på  https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf