Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Hur påverkar EU:s regler om integritet, AI och cybersäkerhet organisationer i vår omvärld?

dataskydd-analys-om-integritet-AI-och-cybersakerhet.jpg

Man märker att GDPR har haft en stor effekt långt utanför EU när man lyssnar på jurister från olika delar av världen. Detta har betydelse när personuppgiftsansvariga ska analysera komplexa frågor som tredjelandsöverföringar, incidenthantering och ny teknik som AI. Det är tydligt att de europeiska regelverken har stor betydelse och påverkan. I USA har många kommit en bra bit men de allra flesta har mycket kvar att göra. Det finns även en oförståelse för att integritet är en mänsklig rättighet, vilket kan påverka trovärdigheten i nya adekvansbeslut. Vår expert Monika Wendleby rapporterar från en internationell advokatkonferens där bland annat dessa frågor dryftades.

BAKGRUND

Jag fick en inbjudan från Linda V. Priebe, advokat från Culhane Meadows och ledamot av American Bar Association (amerikanska advokatsamfundet), att vara med i ett panelsamtal med titeln ”How Your Company Can Prevent International Regulators from Disrupting Your Global Personal Data Flows” anordnat av den internationella sektionen av (amerikanska advokatsamfundet. Panelens fokus var att diskutera hur organisationer ska säkra överföringar till tredje land utifrån olika tillsynsperspektiv, men även frågor om hur man ska göra för att säkra regelefterlevnad i ett bredare perspektiv berördes. Under konferensen diskuterades även många aspekter av artificiell intelligens (AI) och cybersäkerhet.

Under de dagar jag tillbringade på konferensen i New York fick jag många nya insikter, som jag tror kan vara värdefulla även för andra att ta del av. I dagsläget är det många organisationer som funderar över sina relationer med tredje land (land utanför EU/EES) främst utifrån GDPR:s regelverk om tredjelandsöverföring. Denna fråga har aktualiserats efter rättsfallet Schrems II (dom den 16 juli 2020 i mål C-311/18) och många åtgärder har vidtagits efter den domen för att åstadkomma ett nytt adekvansbeslut (se min tidigare analys Kan EU-kommissionen lösa frågan om tredjelandsöverföringar till USA?). En viktig fråga som svenska organisationer numera bör ställa sig vid alla inköp och vid utveckling är om man vågar använda system från tredje land, framför allt amerikanska. Den svenska debatten har i denna del till mångt och mycket varit koncentrerad till frågan om amerikanska myndigheters åtkomst, vilket lett till att stora delar av offentlig sektor och många andra inte längre använder sådana system.

I den här analysen delar jag med mig av de intryck jag fick under konferensen i frågor som är centrala för svenska organisationer att bottna i. Jag tror det är viktigt att förstå hur utländska jurister från andra jurisdiktioner tänker, eftersom de är rådgivare till de bolag som utvecklar system. I dagsläget har många svenska organisationer frågetecken när man ska välja leverantörer i förhållande till GDPR men även till det nya NIS2-direktivet (Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148) kommer från oktober 2024 att påverka organisationerna (se min analys Vad innebär NIS2 för din verksamhet?).

De intryck jag förmedlar i den här analysen kanske kan hjälpa till att se frågorna i en omvärldskontext. De innehåller också en intressant spaning: idag är läget relativt skakigt men det finns goda förhoppningar att GDPR faktiskt kommer att skapa en standard långt utanför EU, vilket på sikt kan göra livet enklare och öka integriteten och säkerheten.

SYNEN PÅ GDPR I USA

En intressant reflektion är att GDPR uppfattas på många olika sätt i USA. Alla jag pratade med under konferensen förstod att förkortningen hänsyftade på en lagstiftning om personuppgifter som EU antagit. Alla visste att den hade en påverkan på hur européer agerar. Graden av djupare insikt var dock varierande.

Många jag samtalade med hade en ganska dimmig uppfattning om regelverket. Få verkade ha satt sig in i den och Schrems II var inte ett allmänt känt rättsfall. Jag hörde flera gånger personer fråga om GDPR inte tillkommit för att skydda EU handelsmässigt och ge europeiska företag företräde. Men det fanns även andra perspektiv och det verkade finnas en gryende insikt om att GDPR var något man behövde förhålla sig till och i vissa fall även anpassa sig efter.

I flera paneldiskussioner (inte bara den jag deltog i) lyftes GDPR upp som det striktaste regelverket. När vi pratade om det i min panel framfördes att GDPR är den tuffaste lagstiftningen i världen, vilket gör att förordningen blir den självklara referenspunkten för alla jurister som arbetar med IT-rätt. Ska man som jurist bistå en organisation i att bygga en bra standard som syftar till att skydda människors integritet måste både advokater och jurister som arbetar internt i verksamheten välja en klok strategi eftersom det numera finns så många regelverk på området i världen. För organisationer som omfattas av flera olika jurisdiktioners regelverk (för att de finns på flera olika ställen eller bedriver verksamhet som omfattas av regelverk i olika länder) är det av yttersta vikt att man hitta en gemensam nämnare. Det är omöjligt för de som agerar på flera marknader att göra separata standarder för organisationer att efterleva, det skulle bli för komplext och svåröverskådligt. Mest rationellt är då att utgå från GDPR, eftersom den som följer det regelverket också kommer att klara de andra.

Jag har flera gånger hört att det finns bra integritetslagstiftning i några amerikanska stater. Kalifornien används ofta som exempel och jag har hört amerikanska jurister säga att den kaliforniska lagen till och med är tuffare än GDPR. Under konferensen passade jag på att ta upp den aspekten med olika jurister. Svaret var att detta inte var sant, även om Kalifornien har kommit längre än de flesta. GDPR står alltså ut som det regelverk i världen som gått klart längst för att skydda integriteten.

Kanske sammanfattar följande uttalande som gjordes i en panel om AI och integritet läget: ”Vi amerikaner har inga regler som skyddar integritet. Vi gör ett storartat jobb att ta fram ny teknik, men vi reglerar inte tekniken. Det är EU som skapar reglerna och på senare tid har Kalifornien bidragit.”

SKILDA VÄRLDAR

En intressant aspekt var hur svårt det är att förstå tanken bakom GDPR. Här känns det som att EU och USA är två skilda världar. GDPR har en direkt koppling till EU:s stadga om mänskliga rättigheter. Utgångspunkten är att varje persons rätt till sina egna personuppgifter är en mänsklig rättighet, vilken enbart kan inskränkas om GDPR tillåter det. Detta innebär att EU-domstolen intar en restriktiv tolkning.

Denna syn på personuppgifter är svår att förstå utanför EU/EES. I USA är synen på personuppgifter att de är en ”company asset”, vilket innebär att utgångspunkten blir att hanteringen görs i handelsrättslig lagstiftning. Kanske är detta förklaringen till varför en del trodde att GDPR tillkommit av protektionistiska skäl.

De diametralt motsatta synsätten innebär att frågan om tredjelandsöverföring inte går att diskutera utan att man först beskriver vissa utgångspunkter i GDPR, om man vill att deltagarna ska få ut något. I vårt panelsamtal guidade Linda V. Priebe de som lyssnade genom att beskriva vissa basförutsättningar, som vi som jobbar med de här frågorna numera ser som självklarheter:

  • Att begreppet personuppgifter är brett och även omfattar datakakor.
  • Att de som skyddas av lagstiftningen (de registrerade) inte bara är konsumenter utan även kan vara anställda med flera. Linda underströk särskilt att GDPR även skyddar anställda när de använder sina personuppgifter i sitt arbete, vilket innebär att skyddet för anställda inte enbart är HR-relaterat.
  • Att överföringar mellan EU/ESS och andra länder, som USA, förutsätter att det finns ett överföringsverktyg i form av adekvansbeslut (ett beslut i vilket EU-kommissionen förklarar att landet är säkert), standardavtalsklausuler eller bindande företagsöverenskommelser.
  • Om adekvansbeslut saknas behöver organisationer även göra konsekvensbedömningar samt dokumentera hur man säkerställt tredjelandsöverföringen (kallas ibland TIA, transfer impact assessment). Hon förklarade även att man har ett långtgående ansvar i sin leverantörskedja.

Det var en ögonöppnare för mig att inse att dessa för oss ganska basala punkter behövde klargöras. Detta särskilt eftersom informationen lämnades på en konferens för advokater med intresse för internationella frågor. Rimligen var panelåhörarna mer kunniga och intresserade än genomsnittsjuristen, vilket förstås innebär att GDPR inte är något som byggs in i den rådgivning som ges. Detta behöver vi därför förstå och beakta när vi gör våra riskanalyser rörande tredjelandsöverföringar, så kallade TIA (transfer impact assessments). Samtidigt finns det organisationer som på djupet arbetar med GDPR. I min panel berättade Dawn Rogers hur hennes bolag Vericode arbetade med inbyggt dataskydd. Det arbetet skulle imponera på många organisationer i EU.

UK OCH GDPR

Efter Brexit har Storbritannien gått sin egen väg med en lagstiftning som brukar kallas UK GDPR (inledningsvis var denna en exakt kopia av EU:s GDPR). Under mitt panelsamtal diskuterades även den resa som gjorts efter Brexit. Det framhölls av den brittiske deltagaren Simon McMenemy att tanken med Brexit var att se till att Storbritannien skulle kunna bli mer handelsvänligt. Detta har lett till att ny lagstiftning tagits fram; för närvarande finns till exempel ett utkast till en lag om automatiserat beslutsfattande, som skulle göra den typen av behandling enklare att hantera för bolag.

Simon McMenemy resonerade även kring hur ett antagande av en sådan lag skulle påverka framtida adekvansbeslut för Storbritannien när det nuvarande går ut 2025. Både han och jag var rätt skeptiska till att EU skulle godta en försvagning inom det området. I diskussionen framhöll han att den makt Storbritannien velat tillskapa sig efter Brexit sannolikt är ganska ihålig. Skulle man förlora adekvansbeslutet kommer det bli mycket svårt att hantera alla europeiska kontakter, vilket skulle kunna bli förödande. Många jurister i Storbritannien tror därför att GDPR fortsatt kommer att ha stor betydelse i landet även efter Brexit.

Simon McMenemy nämnde även att brittiska underrättelsetjänster också insamlar mycket personuppgifter. Även detta skulle kunna bli en fråga som EU ser som ett problem vid kommande adekvansbeslut.

LATINAMERIKA OCH GDPR

I min panel fanns även en deltagare som presenterade den brasilianska lagstiftningen, nämligen Caio César Lima. Han berättade att lagstiftningen baserades på GDPR, men att den hade anpassats. Även i den brasilianska lagen finns begrepp som standardavtalsklausuler, men eftersom man inte tagit fram några egna sådana användes idag EU-kommissionens.

Det verkar finnas ett stort intresse för GDPR i Latinamerika. Under konferensen har jag pratat med jurister från bland annat Peru, Colombia och Chile. En av dem höll på med sin första TIA, en annan pratade om hur hens byrå ville börja använda de europeiska standardavtalsklausulerna, en tredje sa att allt man gjorde inspirerades av GDPR.

Även detta var en ögonöppnare för mig, att så många länder runt om i världen verkar använda GDPR utan att de har något adekvansbeslut eller annan juridisk anledning att göra så. Anledningen var att GDPR har de högsta kraven och genom att följa dem säkerställer man att ens klienter inte får problem.

EFFEKTER AV ETT NYTT ADEKVANSBESLUT

Syftet med det panelsamtal jag deltog i var att diskutera tredjelandsöverföringar. Därför var frågor kopplade till det adekvansbeslut som EU-kommissionen arbetar på (”COMMISSION IMPLEMENTING DECISION of XXX pursuant to Regulation [EU] 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU–US Data Privacy Framework”) och det presidentdekret (Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities [https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/]) som president Biden tagit fram centrala. Det osäkra läget efter att Europeiska dataskyddsstyrelsen presenterat sin inställning (se Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU–US Privacy Framework) och EU-parlamentet röstat nej (se Draft Motion for a Resolution, 2023/25019 från LIBE-utskottet) var centrala ingredienser i diskussionen. Vidare penetrerades även frågan om att det är osäkert vad presidentdekretet kommer att innebära och i vilken utsträckning det kommer att följas.

I Sverige debatteras ofta om ett nytt kommande adekvansbeslut (kallat Privacy Framework) kommer att bli hållbart eller underkännas igen av EU-domstolen. Jag har i en tidigare analys (Kan EU-kommissionen lösa frågan om tredjelandsöverföringar till USA?) beskrivit hur beslutet ser ut och hur det förhåller sig till det amerikanska presidentdekretet. Svaret på frågan om hållbarhet beror förstås i stor utsträckning på om de säkerhetsåtgärder som ska införas de facto kommer att genomföras på sådant sätt att det får effekt. Här kom några intressanta aspekter upp i diskussionen:

  • Enligt president Bidens dekret, som förslaget till Privacy Framework vilar på, ska det tidigare tillämpade systemet med certifieringar av amerikanska handelskammaren återinföras. Flera (både i panelen och andra deltagare) uttryckte tveksamhet om huruvida handelskammaren är rätt instans, eftersom den ses som en sorts lobbyorganisation för bolagen. Om så är fallet kan man fråga sig om det blir några egentliga muskler i den tillsyn de ska utöva. Många verkade tveksamma till hur den tillsynen skulle se ut.
  • En annan aspekt var att den säkerhetsåtgärd som skulle införas efter Privacy Shield (det adekvansbeslut som underkändes i Schrems II), ombudsmannen, visade sig vara en papperstiger. EU-domstolen underkände konstruktionen i Schrems II, men i den domen kan inte utläsas att tjänsten som ombudsman aldrig tillsattes (den innehades av en person temporärt, men verkar inte ha tagits på allvar). Konstruktionen visade sig vara ännu svagare än det som kan utläsas av domen. Detta innebär förstås ett trovärdighetsproblem. 
  • Att ombudsmannen inte tillämpades i praktiken innebär förstås inte att det nu konstruerade systemet med en domstol blir lika innehållslöst. Där behöver vi vänta och se, men det finns skäl att förhålla sig skeptisk. Vilka faktiska åtaganden som kommer att göras av amerikanska myndigheter och om de genomförs i praktiken återstår att se. Det finns därför ett värde i att ha en tät omvärldsbevakning.

Det fanns en samstämmig uppfattning i panelen att inte lita enbart på ett eventuellt adekvansbeslut utan säkra upp med standardavtalsklausuler. Detta både för att det var osäkert hur amerikanska myndigheter skulle agera i de åtaganden som gjorts, men även aspekten att det kan komma en Schrems III nämndes. Jag tror, givet den tidigare rätt skakiga tillämpningen från amerikanskt håll, att detta är en klok strategi. Detta i kombination med EDPB och parlamentets inställning gör ett kommande adekvansbeslut rätt svagt.

AI ANVÄNDS REDAN BRETT I USA

En annan fråga som var central på konferensen var AI. Den diskuterades i flera olika paneler. Här finns flera intressanta skillnader mellan EU och USA. Något som slog mig var att AI redan användes brett och djupt av amerikanska advokatbyråer. Både i paneler och hos deltagare verkade många ha egna erfarenheter och på ett rundabordssamtal mellan några managing partners på stora byråer i USA och i andra delar av världen togs ett antal HR-frågor upp kopplade till nya arbetssätt. Intressanta nya frågor dök upp, bland annat hur man ska hantera att unga medarbetare efter pandemin helst arbetar hemifrån, vilket gör att de, om AI blir ett centralt redskap, inte har ett naturligt sätt att lära sig ett kritiskt och analytiskt arbetssätt av kollegor. Det pratades även om att AI kunde ersätta 19/20-delar av slitgörat som unga jurister idag gör, vilket skulle kunna leda till goda effekter för dem (intressantare arbetsuppgifter, mindre övertid) men samtidigt till en lägre prislapp på tjänster och färre anställda. Hanteringen har redan lett till att frågor om nedskärningar av personal har aktualiserats.

I de här diskussionerna var det tydligt att debattdeltagarna inte såg AI som problematiskt utifrån regelverk om integritet. Jag lyssnade på en paneldebatt om nya arbetssätt med AI där ingen paneldeltagare ens var nära detta perspektiv. När jag ställde en fråga om huruvida byråerna inte var oroliga för att AI kan skapa juridiska problem utifrån GDPR var svaret att man förstås inte kan använda AI för konfidentiell information. Med tanke på den grunda förståelsen för begreppet personuppgifter kändes denna inställning inte helt trygg. Det noterades av en deltagare att man ”nu kunde använda Chat GPT i Italien igen” och med detta verkade alla tro att frågan var mer eller mindre utagerad. Frågan om att verktyget kunde ha inbyggd ”bias” och på så sätt vara diskriminerande berördes, fast inte utifrån begreppet personlig integritet utan utifrån risk för felslut. Många pekade på att man måste vara försiktiga och förstå hur verktyget ska hanteras för att slippa sådana effekter. Andra var tveksamma till om det skulle gå.

De amerikanska erfarenheterna visar enligt min mening hur viktigt det är med konsekvensbedömningar när ny teknik ska börja användas. Flera olika aspekter som påverkar människors fri- och rättigheter behöver analyseras. Det regelverk GDPR föreskriver med konsekvensbedömningar kanske har påverkat att utvecklingen går olika fort i USA och EU. Som en person uttryckte det: ”Här älskar man att ta sig an ny teknik och känna sig modern, någon eftertanke om att teknik kan ha negativa effekter finns det inte tid för.”

Kommer vi få en internationell reglering av AI?

I en paneldebatt presenterades och diskuterades rapporten Commission on Artificial Intelligence Compitiveness, Inclusion, and Innovation . Utredningen om AI handlade inte enbart om att utnyttja ny teknik (vilket titeln kan antyda) utan också om att hantera integritetsfrågor. Ledamöter i den amerikanska kongressen hade noterat att EU var ledande på lagstiftningsområdet genom GDPR (och förhandlingar om en kommande AI-förordning) och funderade på om det gick att skapa en amerikansk lagstiftning för att komma ifatt. 

För att utreda frågan åkte kommittén runt i olika delar i USA. Man gjorde också en resa till London, där man fick förslaget att även besöka Bryssel (förvånande att man inte redan tänkt göra det). Väl där blev man förvånad över mottagandet och diskussionsviljan. Jag fick intrycket av att man förväntat sig enbart motstånd, men EU-kommissionen angavs ha varit villig att diskutera ett internationellt regelverk. Man överenskom om att fortsätta arbeta ihop. Detta ansåg båda parterna vara viktigt bland annat eftersom ”AI kommer att få en dramatisk effekt på ekonomin de kommande åren”.

Det är intressant att USA pratar om lagstiftning och integritet. Samtidigt känns det som att en gemensam grund är långt borta. EU har redan GDPR och har förhandlat AI-förordningen länge. Från amerikansk sida verkar det viktigt att ta över ledartröjan inte bara i teknisk utveckling utan också i reglering. Samtidigt verkar det vara mycket svårt att både skapa lagstiftning och få igenom den. Idag finns ingen federal lagstiftning som skyddar integritet. De jag pratade med trodde inte på att USA skulle mäkta med att skapa en lagstiftning om det eller om AI.

CYBERSÄKERHET

Cybersäkerhet var en het konferensfråga och den diskuterades i flera olika paneler. Även här stack GDPR ut och ställdes mot olika länders lagstiftning. Problemet med många skilda regleringar och skilda synsätt över världen diskuterades. Detta skapade problem för organisationer som verkar i flera jurisdiktioner. Till detta kommer att cybersäkerhet regleras i många olika typer av lagstiftning med olika syften. Integritet var inte ett huvudsyfte i så många av de lagstiftningar som beskrevs.

Ett viktigt ämne för cybersäkerhet var incidenthantering. Här kändes det som om många inte hade något tänk i den delen alls, medan det förstås fanns exempel på de som kommit mycket långt.

Det var inte särskilt djuplodande diskussioner i ämnen som hur man skapar incidentrutiner eller hur man förebygger incidenter. Här tror jag att GDPR har gjort en stor skillnad eftersom en basal incidenthantering finns i de allra flesta organisationer idag. GDPR har alltså lett till att metoder utvecklats och att kunskap finns bredare. Med detta sagt hörde jag många exempel på bra incidenthantering också hos organisationer som inte var europeiska.

NÅGRA PERSONLIGA SLUTSATSER

Det var intressanta dagar som fick mig att känna både hopp och oro. GDPR har haft större effekt än jag trodde, men samtidigt är det få som verkar förstå lagstiftningen. Detta innebär att det kommer finnas risker för alla som interagerar med organisationer utanför EU. Finns det europeiska alternativ kan de vara säkrare och enklare att hantera, eftersom vi åtminstone har samma utgångspunkter. 

I en situation där EU-domstolen kommer med flera nya avgöranden varje månad blir det viktigare och viktigare med en bra och snabb omvärldsbevakning. Detta kommer att kräva resurser. Att samtidigt bevaka och försöka förstå hur utländska organisationer tänker och agerar är svårt.

Kanske kommer situationen se annorlunda ut om tio år, men i dag finns det mycket kvar att göra. De närmsta åren kommer visa hur mycket GDPR kommer slå igenom. Jag tror att europeiska entreprenörer har ett guldläge att ta marknadsandelar om de tar GDPR på allvar. Kanske kommer GDPR därför att få en protektionistisk effekt fast detta aldrig var tanken? Den som lever får se.

Av Monika Wendleby, jurist, managementkonsult, föreläsare och författare till GDPR-böcker.
Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 20 jun 2023

Monika Wendleby

Jurist, managementkonsult och författare av GDPR-böcker

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

3 dec 2024

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024