SWEDMA Privacy Update: Viktiga insikter och regulatoriska beslut
I veckan höll SWEDMA en efterlängtad uppdatering om dataskydd, med fokus på de senaste svenska och europeiska händelserna inom data privacy. Under ledning av Mattias Grundström, chefsjurist och expert på integritetsfrågor, fick deltagarna bland annat en fördjupad inblick i aktuella tillsynsbeslut från IMY. Genomgången belyste vad som gäller för personuppgiftsbehandling idag och hur framtida beslut kan påverka företagens hantering av data. Här sammanfattar vi de viktigaste insikterna från denna uppdatering:
IMY har en ny generaldirektör – IMY har utsett Eric Leijonram som ny generaldirektör, vilket självklart påverkar hur myndigheten leds. Nu återstår att se hur den nya generaldirektören kommer att forma strategier och initiativ för att möta framtida utmaningar inom dataskydd och efterlevnad av lagstiftningen.
Metapixeln, ständigt aktuell – Metapixel, ett analysverktyg från Meta, används för att mäta annonsers effektivitet på Facebook genom att rikta annonser baserat på hur användare beter sig på olika webbplatser. Flera företag, bland annat Avanza och Apoteket AB, har använt verktyget för att följa besökares beteenden och skräddarsy sin marknadsföring. Men ett problem har uppstått: funktionen ”Automatic Advanced Matching” har av misstag aktiverats hos vissa företag, inklusive Avanza och två stora apotek, vilket lett till att känsliga uppgifter som IP-adresser och transaktionsdata har överförts till Meta.
● Läs om apoteksfallet här.
● Läs om Avanza fallet här.
Tyskland – En omdiskuterad modell inom dataskydd är den så kallade ”pay or OK”-modellen. Den innebär att användare kan välja att inte betala och istället samtycka till att ta emot riktad reklam för att ta del av nyheter, fortsätta använda en plattform etc.. Den Europeiska dataskyddsstyrelsen (EDPB) menar att denna modell inte är förenlig med GDPR. Användare ska inte behöva betala för att undvika riktad reklam, och det bör finnas fler alternativ som inte begränsar valfriheten.
Ett exempel på denna problematik kom från Tyskland, där en användare först gick med på att få riktad reklam på Meta-plattformar som Facebook, men senare begärde att få sina uppgifter raderade och ersättning för skada. Den tyska domstolen ansåg dock att Meta hade följt reglerna, eftersom användaren initialt hade samtyckt och går således emot EDPB rekommendation. Trots att Tyskland ofta är strikt med dataskydd, fick användaren betala rättegångskostnader på 7 000 euro, vilket visar hur komplext det kan bli när det gäller samtycke och användarrättigheter på digitala plattformar.
Ungern – I Ungern har ett fall uppmärksammats där en person upptäckte att hennes personuppgifter skickades till Facebook i USA via en Facebook Connect-cookie på en nyhetssida. Detta skedde under en tid då det inte fanns ett beslut från EU KOMM om att överföra data till USA. Den ungerska dataskyddsmyndigheten erkände att överföringen var olaglig under den perioden, men valde ändå att avskriva ärendet eftersom USA nu anses vara ett ”säkert tredje land” efter Kommissionens senaste beslut
Denna pragmatiska lösning har väckt kritik, då många menar att bara för att en överträdelse upphör betyder det inte att ingen skada har skett. Fallet illustrerar den komplexitet som omger dataöverföring mellan EU och USA. Trots EU-kommissionens försök att säkra ett lagligt utbyte av data med USA, fortsätter juridiska utmaningar att påverka europeiska företag som använder amerikanska plattformar.
Portugal – I Portugal blev en konsumentorganisation bötfälld för att ha skickat olaglig e-postreklam efter att ha köpt e-postadresser från ett register. Organisationen hävdade att de hade följt reglerna, men den portugisiska dataskyddsmyndigheten ansåg att de brutit mot dataskyddsreglerna och gav dem en böter på 107 000 euro. Den portugisiska myndigheten menar att annonsören alltid är ansvarig vid e-postreklam. Samtidigt hanteras sådana överträdelser olika i olika EU-länder. I Sverige är det till exempel Konsumentverket som övervakar olaglig e-postreklam.
Alla artiklar