Samtiden och omvärlden

Det händer mycket som påverkar affärerna och därmed även juridiken. Vissa saker väcker debatt, andra förändrar sakernas tillstånd. Här kan du ta del av nyheter och artiklar som rör IT-advokaterna, affärsjuridik och IT-rätt.

 

2019-05-22

Friande dom för Booking.com – Avtalsvillkor om prisparitet är inte konkurrensbegränsande

Nyligen kom Patent- och marknadsöverdomstolen med sin dom (PMT 7779-18) i målet mellan hotellbokningssajten Booking.com och branschorganisationen Visita.

Målet gällde främst de avtalsvillkor om så kallad prisparitet som Booking.com tillämpar. Villkoren förbjuder hotellen att sätta lägre priser för sina rum via egna onlinekanaler än de priser som erbjuds via Booking.com. Visita ansåg att avtalsvillkoren inneburit att konkurrensen märkbart begränsats på marknaden för onlinebokningstjänster för hotell samt hotellövernattningar i Sverige och att avtalsvillkoren därför bör förbjudas. Även andra av Bookings avtalsvillkor och ageranden, såsom villkor om viss tillgång på rum och ranking, var föremål för prövning i målet.

Domstolen ansåg dock, till skillnad från underinstansen, att Visita inte visat att avtalsvillkorenhaft till syfte att  begränsa konkurrensen och inte heller resulterat i någon sådan begräsning, varken på marknaden för onlinebokningstjänster eller hotellövernattningar. Avtalsvillkoren var därmed inte förbjudna enligt konkurrensrätten.

Resultatet av domen innebär i praktiken att det tills vidare är tillåtet för Booking.com och andra hotellbokningssajter att i sina avtal med hotellen tillämpa paritetsvillkor såsom förbud mot att erbjuda lägre priser genom hotellens egna onlinekanaler.

Domen finns att läsa i sin helhet här.

Om du vill veta mer, eller få hjälp att förstå hur detta påverkar just ditt företag, vänligen kontakta en IT-advokat.

2019-05-06

Blockchain

Bakgrund
Blockchain är en teknik som har diskuterats flitigt under de senaste åren. Dess användningsområden är flera, även om den ofta förknippas med kryptovalutor och då i synnerhet Bitcoin.

Man bör vara noga med att hålla isär begreppen ”Blockchain” och ”Bitcoin”. Blockchain avser själva tekniken, medan Bitcoin är en tillämpning av tekniken. Bitcoin som skapades år 2009 av den än idag okände Satoshi Nakamoto (vilket är en pseudonym) presenterade ett nytt sätt att överföra värde digitalt, utan att behöva använda mellanhänder för att säkra transaktionerna genom att kombinera kända tekniska byggstenar från datavetenskap och kryptografi.

Blockchain har emellertid mycket mer potential än att bära kryptovalutor och IT-advokaterna förutspår att fler och fler företag kommer börja använda sig av Blockchain-tekniken framöver.

Vad är Blockchain-teknik?
Den franska Datainspektionen (Commission Nationale de l’informatique et des libertés, ”CNIL”) har definierat Blockchain som ”(…) a database in which data is stored and distributed to a large number of computers and in which all entries, called “transactions”, are visible to all users.”.

Blockchain är med andra ord en process som förespråkar transparens och spårbarhet, vilket också är två grundpelare i tekniken. Blockchain bygger på ett decentraliserat nätverk där användarna validerar (säkerställer) transaktioner, vilka adderas till kedjan (även kallat registret). För att säkerställa spårbarheten adderas den senaste informationen som överförts i nätverket och bildar tillsammans i kedjan ett ”block”. Informationen i blocken krypteras och vartdera block får ett unikt identifikationsnummer (även kallat ”hash”), vilket utgör en referens till föregående block i kedjan. På så sätt länkas blocken samman och bildar en oavbruten och spårbar blockkedja.

Blockchain är en teknik med stor potential som samtidigt väcker många frågor, däribland förenligheten med GDPR:s regler för personuppgiftsbehandling. Enligt CNIL är en blockkedja i sig inte en personuppgiftsbehandling som har ett eget syfte och ändamål, utan en teknik som kan tjäna i ett brett spektrum av olika behandlingar. Om tekniken är förenlig med GDPR:s krav har dock blivit ifrågasatt (IT-advokaternas Amelia har analyserat denna fråga, läs mer här).

IT-advokaterna närvarande även i april i år Stockholm Blockchain Forum där Blockchain-teknikens möjligheter och utmaningar diskuterades, inte minst i juridisk kontext. IT-advokaterna har sedan i höstas tagit en aktiv roll vad gäller Blockchain-teknikens användbarhet och legalitet på marknaden. Vill du veta mer om Blockchain-relaterad juridik, tveka inte att kontakta en IT-advokat.

2019-04-25

Ett år med PSD2

Allt fler betaltjänster utvecklas på marknaden där så kallade tredjepartsleverantörer fungerar som mellanhand mellan bankerna och betaltjänstanvändarna (t.ex. konsumenter). Tredjepartsleverantörerna har haft svårt att själva leverera betaltjänstlösningarna då bankerna haft monopol på kundernas kontoinformation. För att öppna marknaden för tredjepartsleverantörer genomförde EU förra året det andra betaltjänstdirektivet (PSD2).

Definitionen av betaltjänster har utvidgats i PSD2 till att även omfatta betalningsinitieringstjänster (en tjänst som initierar en betalningsorder på användarens begäran) och kontoinformationstjänster (exv. en tjänst som sammanställer kontoinformation från flera banker), vilket innebär att marknaden för tredjepartsleverantörer numera är reglerad. I och med de ändrade reglerna i PSD2 är det nu möjligt för tredjepartsleverantörerna att använda sig av bankernas information och infrastruktur för att själva leverera betaltjänstlösningar, vilket kommer ske genom att bankerna tvingas öppna sina API:er, så kallad ”Open Banking”.

För bankerna har direktivet inneburit en utmaning både i form av ökade IT-kostnader och ökad konkurrens men också en stor förändring för lönsamheten inom Fintech. Ett exempel är bolaget Tink som tidigare endast var en applikation för privatekonomi. Bolaget har nu expanderat till att sälja olika finansiella lösningar till banker och har bara sedan årsskiftet fått in nya investeringar på över en halv miljard kronor. Trots detta har den förutspådda ”boomen” av betaltjänster ännu inte riktigt tagit fart.  Konsumenterna är ännu obekanta med direktivet och har generellt sätt ganska lågt förtroende för tjänster som inte erbjuds direkt via bankerna själva. Många menar dock att det kommer att ta fart och att en stor förändring på betaltjänstmarknaden bör ske inom de närmsta åren.

Expansionen av finansiella tjänster och bankernas förlorade monopol på kundernas kontoinformation ställer givetvis stora krav på säkerheten såsom stark autentisering och säker personuppgiftshantering. Här har förhållandet mellan PSD2 och GDPR väckt frågor. Regelverken innehåller flera likartade bestämmelser såsom krav på samtycke, informationsskyldighet och incidentrapportering. Men trots att implementeringen av direktivet skedde ungefär samtidigt som GDPR finns det ingen hänvisning dem emellan och det är oklart om reglerna i PSD2 är kompletterande eller konkurrerande till GDPR.  Detta skulle exempelvis kunna innebära en risk att aktörer blir skyldiga att rapportera incidenter både till Finansinspektionen (enligt PSD2) och Datainspektionen (enligt GDPR).

Vill du veta mer om PSD2 och vilken betydelse direktivet kan ha för din affär, kontakta en IT-advokat.

2019-04-15

Europaparlamentet röstar JA för nytt Upphovsrättsdirektiv

År 2016 kom EU-kommissionen med ett förslag till en förnyelse av EU:s upphovsrättsregler, med syfte att anpassa reglerna till den digitala utvecklingen. Den 26 mars 2019 fick det nya Upphovsrättsdirektivet grönt ljus från Europaparlamentet och ska därmed implementeras i nationell lag.

Upphovsrättsdirektivet har varit kraftigt kritiserat och frågan som stått i centrum är ifall det är upphovsrätten som ska skyddas eller friheten på internet som ska värnas? I ljuset av debatten är det framförallt två artiklar i direktivet som ansetts som särskilt kontroversiella; artikel 11 (i förslagets artikel 11, numer omdöpt till artikel 15) som behandlar den så kallade ”länkskatten och artikel 13 (numera omdöpt till artikel 17) om ansvaret för upphovsrättsskyddat material.

Artikel 15 handlar om ”skälig och proportionell ersättning”. I och med direktivets ikraftträdande måste plattformar så som Facebook, Google och Youtube, ha licens för att kunna publicera utdrag ur nyhetspublikationer (exv. i samband med länkning). Syftet är att leverantörerna ska dela med sig av intäkter som genereras av innehåll som andra äger upphovsrätten till (så kallad ”länkskatt”). Leverantörerna ska med andra ord ge skälig och proportionell ersättning till medier vars material delas via den digitala plattformen.

Artikel 17 och andra sidan ställer krav på att leverantörerna av de digitala plattformarna ska ta ansvar för vad dess användare laddar upp, dvs. ansvar för uppladdning av material som kan innebära ett upphovsrättsintrång. Rent konkret innebär detta att leverantören av plattformen måste vidta rimliga åtgärder för att förhindra att upphovsrättsskyddat material laddas upp. Till följd av den mängd material som publiceras varje dag innebär detta i praktiken att leverantörerna måste ha ett så kallat ”uppladdningsfilter”, dvs. kunna blockera upphovsrättskyddat material om och när det publiceras.

Trots att direktivet blivit kraftigt kritiserat finns det branscher som jublade då det röstades igenom, bland dessa kultur- och musikbranschen. De nya reglerna medför att musiker, låtskrivare, författare, kulturskapare och journalister ska kunna få rättvis ersättning när dess verk sprids och genererar ett ekonomiskt värde digitalt.

Om du har frågor eller vill veta mer om det nya Upphovsrättsdirektivet, kontakta en IT-advokat.

2019-04-03

Datainspektionens tillsyn år 2019-2020

Datainspektionen har nu beslutat sin tillsynsplan för verksamhetsåren 2019-2020. Tillsynen fokuserar på de rättsområden, branscher och verksamheter där Datainspektionen identifierat att det finns särskild risk för att den enskildes rättigheter kan komma att kränkas. Dessa risker har identifierats genom inkomna klagomål och personuppgiftsincidenter, tidigare genomförd tillsyn, generell omvärldsbevakning och utifrån aktuella regelförändringar.

De rättsområden som prioriteras är rollfördelningen mellan personuppgiftsansvarig och personuppgiftsbiträde, samtycke som rättslig grund samt gränsdragningen mellan betaltjänstlagen och kreditupplysningsverksamhet.

De specifika branscher eller verksamheter som valts ut är hälso- och sjukvården, skolan, rättsväsendet, arbetsgivares behandling av anställdas personuppgifter, mobila operativsystem, detaljhandeln, betalningsförmedlare, Visa Information System (VIS) och inkassoverksamhet.

I övrigt beaktar Datainspektionen även att nya tillämpningsområden för existerande teknik och ny eller utvecklad teknik generellt är viktiga att följa för att bedöma risker och konsekvenser för integritetsskyddet. Under 2019 kommer ansiktsigenkänning att granskas, men även annan teknikanvändning kan bli föremål för tillsyn såsom exempelvis maskininlärning, automatiserade beslut, profilering och blockkedjor.

Om du vill vet mer, eller få hjälp att förstå hur detta påverkar just ditt företag, kontakta en IT-advokat.

2019-03-05

IT-advokaterna växer!

Vi kan med glädje meddela att vi förstärker teamet med ytterligare en IT-jurist.

Amelia Wallace har nyligen tagit sin juristexamen från Stockholm universitet där hon fördjupat sig inom IT-rätt. Hennes examensarbete behandlade skyddet av personuppgifter inom blockchain-teknik, ett högaktuellt men för de flesta fortfarande outforskat område. Amelia har även tidigare arbetat på JP Infonet AB som rådgivare i deras dataskyddsgrupp med GDPR som huvudsakligt arbetsområde.

Välkommen Amelia!

2019-02-25

IT-advokaternas Frida Bengtsson uttalar sig om 1177-skandalen

IT-advokaternas Frida Bengtsson uttalar sig om 1177-skandalen och Medhelps ansvar.

Läs artikeln här: https://www.dn.se/ekonomi/medhelps-polisanmalan-ett-forsok-att-flytta-fokus/

2019-02-18

Vad innebär en hård Brexit för ditt företag?

Storbritanniens utträde ur EU är inte länge en nyhet, men vad innebär egentligen en hård Brexit för ditt företag?

Bakgrund
Med rösterna 432 mot 202 röstade det brittiska parlamentet den 15 januari 2019 ned utträdesavtalet som förhandlats fram mellan Storbritannien, EU och dess 27 övriga medlemsländer. Villkoren för Storbritannienens utträde ur unionen och dess framtida relation med EU förblir således oviss.

Om inte parterna kommer överens kommer Storbritannien att lämna EU den 29 mars 2019 utan en rätt till en övergångsperiod om 21 månader, en så kallad hård Brexit. Sker detta skulle företag, konsumenter och offentliga organ tvingas reagera omedelbart och efterfölja de förändringar som ett utträde för med sig.

Konsekvenser
Vilka konsekvenserna av en hård Brexit faktiskt blir är svårt att med säkerhet förutsäga. Nedan har IT-advokaterna listat några områden som kan påverkas av Storbritanniens utträde.

  • Handel
    Storbritannien skulle återgå till Världshandelsorganisationens regler om handel. Även om Storbritannien inte längre skulle vara bunden av EU-regler skulle det behöva möta EU:s externa avgifter. Detta innebär bland annat att priset på brittiska varor kan gå upp, eftersom Sverige skulle behöva placera tullar på varor importerade från Storbritannien. Vidare kan detta även leda till långa förseningar vid gränserna eftersom tullkontrollerna ökar.

  • Avtal
    Undertecknade avtal mellan företag inom EU och Storbritannien kan få en annan innebörd. Det är således viktigt att gå igenom befintliga avtal och säkerställa att dessa är tillräckliga. Exempel på avtal som kan påverkas av en Brexit är Personuppgiftsbiträdesavtal, handelsavtal och avtal med territoriella begränsningar (exv. licensavtal).

  • Personuppgiftsbehandling
    Vid avsaknaden av en överenskommelse kommer Storbritannien att definieras som ett så kallat tredjeland från och med dess utträde ur EU. Detta innebär att överföringen av personuppgifter till Storbritannien behöver regleras av antingen (i) EU-kommissionens Standardavtalsklausuler, (ii) bindande företagsregler, (iii) uppförandekoder och certifieringsmekanismer, eller (iv) enligt undantag fastställda i GDPR. I praktiken innebär detta att alla befintliga Personuppgiftsbiträdesavtal mellan EU och Storbritannien, som inte är baserade på någon av punkterna ovan, måste revideras.

  • Fri rörlighet för personer
    Vilka rättigheter ska EU-medborgare ha i Storbritannien och vilka rättigheter ska brittiska medborgare ha i EU-länder efter Brexit?Både Storbritannien och EU kan komma att införa nya kontroller för invandring, vilket kan leda till att passkontrollerna ökar, att visum dras tillbaka eller att tidigare kvalifikationer för arbete inte längre erkänns. Idag finns det cirka 1,3 miljoner britter i EU-länder och 3,7 miljoner européer i Storbritannien - dess framtid är i dagsläget oklar.

    Om du vill veta mer, eller få hjälp att förstå hur detta påverkar just ditt företag, vänligen kontakta en IT-advokat.

2019-02-13

GDPR; 50 MEUR-frågan och mer populär än Beyoncé och Mark Zuckerberg

Om någon skulle ha missat införandet av GDPR förra året, har EU Kommissionen publicerat det perfekta faktabladet som summerar GDPR-eran hittills; existensen efter 25 maj 2018. GDPR kan ha känts som åtminstone top 3 samtalsämne på middagsbjudningar och ett konstant tema i e-postinbjudningar till seminarier, men visste du att den 25 maj 2018 Googlade fler på ’GDPR’ än på både Kim Kardashian och Beyoncé?

Facebook fick mycket uppmärksamhet under föregående år, inte minst i anledning av Cambridge Analytica-skandalen. Trots detta var GDPR omtalad i media fler gånger än Mark Zuckerberg under 2018.

Det var dock inte bara Facebook som var i en pressad situation under 2018. Sedan 25 maj tills slutet av 2018 rapporterades totalt 41 502 personuppgiftsincidenter och 95 180 klagomål lämnades till tillsynsmyndigheterna under GDPR. De vanligaste klagomålen rörde telemarketing, e-postmarknadsföring och videoövervakning/CCTV.

Sist men inte minst har vi fått hintar på frågan som varit på allas läppar, ”kommer vi att behöva betala böter på 4% av årsomsättningen?”. Endast tre böter har utdömts under GDPR i 2018, varav Google drabbades av den största, på 50 MEUR.

För mer information, se EU Kommissionens faktablad på  https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf

2019-01-23

Google 50 MEUR i böter under GDPR

Frankrikes tillsynsmyndighet CNIL har utdömt böter om 50 MEUR mot Google för brott mot GDPR, på grund av bristande transparens, otillräcklig information och frånvaro av giltigt samtycke vad gäller ”ads personalisation”. Bötern föregicks av klagomål från grupperna La Quadrature du Net och None Of Your Business; den senare ledd av Max Schrems som tidigare tagit strid mot bland annat Facebook. CNIL betonade att brotten mot GDPR inte varit en engångshändelse, utan fortfarande är pågående. CNIL kommenterade även operativsystemet Androids betydelse på den franska marknaden och det faktum att tusentals individer skapar Google-konton varje dag.

Läs mer på: https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc

2019-01-23

Japan först att utredas som tredjeland med adekvat skyddsnivå under GDPR

European Data Protection Board (EDPB) har publicerat sin bedömning av EU Kommissionens utkast på beslut om adekvat säkerhet gällande Japan. EDPB betonade beslutets stora betydelse, då det är det första sedan GDPRs ikraftträdande och därför kommer utgöra ett prejudikat för såväl framtida adekvatsbedömningar som granskningar av tidigare tagna adekvatsbeslut under direktivet (95/46). EDPB framhöll vikten av att tillse att det inte föreligger några brister i skyddet vid överföring till Japan och att skyddet uppfyller Artikel 45 GDPR. EDPB identifierade ett antal områden i EU Kommissionens utkast som problematiska, och begär därför att EU Kommissionen inkommer med ytterligare förtydliganden, bevis och förklaringar innan ett beslut om huruvida Japan säkerställer en adekvat skyddsnivå kan tas.

Läs EDPBs bedömning på: https://edpb.europa.eu/sites/edpb/files/files/file1/2018-12-05-opinion_2018-28_art.70_japan_adequacy_en.pdf

2018-12-19

IT-advokaterna önskar god jul med ett julrim!

 



Doften av lussebullar sprider sig i våra korridorer, vi vet nu att det snart dags är åter, att ta en paus för goda vänner och familj, och att fira julen med allt som där hör till. Kanske har vi olika sätt och traditioner, vissa äter sill andra champinjoner.

Det nalkas också tid att reflektera, över året som passerat.

Bra samarbeten och goda affärer till fröjd, men för en viss oro fick vi också ta höjd. Ty ingen skulle undkomma GDPR lagen, ja likt millenniumskiftet förutspåddes Domedagen. Har tomten inhämtat samtycke tro, för alla adresser dit där snälla barnen bor? Tänk så hör han av sig i senaste laget, bäst vi förstärker gardet. Så började jakten på en ny jurist, och tänk, till hösten dök hon upp till sist.

Ja ett händelserikt år har vi haft, och för det vill vi också rikta ett tack. Till er våra kära kunder, för fortsatt förtroende i alla dessa stunder. Och om ni bland snöbollar, glögg eller bak, plötsligt är i behov av en licens eller SaaS. Vet då att till IT- advokaterna kan ni alltid ringa ända in på nyårstimma.

God Jul och gott nytt år,

Önskar vi på

IT-advokaterna

2018-11-12

Passivt lagrande av licensierad programvara utgör inte upphovsrättsintrång

Högsta domstolen fastställde den 25 september 2018 att passivt lagrande av en licensierad programvara, efter det att licenstiden löpt ut, inte utgör upphovsrättsintrång.

Upphovsrättsintrång förutsätter att någon utan samtycke vidtar åtgärd med programvaran som omfattas av upphovsmannens ensamrätt. Den som förvärvat rätt att använda ett program får framställa exemplar av denna i den utsträckning det är nödvändigt för att använda programmet för dess avsedda ändamål (s.k. brukskopia). Licenstagaren har även rätt att göra nödvändiga säkerhetskopior av programmet. Säkerhets- eller brukskopior får dock inte nyttjas för andra ändamål eller användas när rätten att utnyttja programmet upphör. Krav på att kopiorna ska förstöras finns dock inte.

Rent passivt lagrande av lovligt framställda kopior utgör således inte ett intrång i upphovsmannens ensamrätt.

Kontakta en IT-advokat för mer information.

 

2018-10-30

EU investerar 1 miljard euro på superdatorer

EU har beslutat att tillsammans med både offentliga och privata delägare starta ett EU-företag (EuroHPC). Syftet är att förvärva, bygga upp och driftsätta en integrerad högpresterande datorinfrastruktur som ska vara bland de tre främsta i världen. Företaget kommer att samfinansieras av EU och de deltagande länderna med en budget på omkring 1 miljard euro.

Högpresterande databehandling (HPC) är en gren av datatekniken där man hanterar vetenskaplig och teknisk modellering och simulering som är så krävande att beräkningarna inte kan utföras med vanliga datorer. De maskiner som används för HPC kallas ofta superdatorer.

EU-kommissionen menar att det är nödvändigt med superdatorer för att kunna hantera den mängd data som sker idag. Detta för att bland annat kunna vidmakthålla en fungerande säkerhet mot cyberattacker, för att forska kring och kunna förutse konsekvenser av klimatförändringar, samt att utveckla hälso- och sjukvården. Trots att mycket arbete redan görs på området så måste de flesta som håller på med superdata vända sig till aktörer utanför EU. Detta menar kommissionen varken är bra för den digitala ekonomin eller för utvecklingen av europeisk teknik. Målet är därför att göra superdata tillgängligt för fler forskare och vetenskapsmän.

EuroHPC kommer att etableras i Luxemburg i oktober 2018 och bedriva sin verksamhet fram till slutet av 2026.

Kontakta en IT-advokat för mer information.

2018-10-23

Datainspektionen lämnar vägledande uttalanden och inleder granskningar

Under hösten drar Datainspektionen igång flera större kontroller i syfte att skapa vägledning. En av de första kontrollerna fokuserar på samtycke som rättslig grund för behandling.

Ett annat projekt syftar till att klargöra gränsdragningen mellan personuppgiftsansvarig och personuppgiftsbiträde.

"Många av dagens IT-lösningar bygger på att ett biträde sköter driften åt den som är ansvarig för de personuppgifter som hanteras. Det finns flera frågor som rör gränsdragningen mellan dessa roller som är viktiga att utreda", säger Datainspektionens generaldirektör Lena Lindgren Schelin.

Datainspektionen fortsätter även den granskning av dataskyddsombud som inleddes i juni i år. Efter kontrollen fann Datainspektionen anledning att även titta på den information som ska ges till de registrerade om vem som är dataskyddsombud och hur denne kan kontaktas.

Om du vill veta mer om ovanstående, kontakta en IT-advokat.