Dataskyddsåret 2023 - vad hände?

Så här vid årets början är det många som blickar framåt på år 2024, men vi går tillbaka till 2023. Här samlar vi några av de stora snackisarna under 2023 som kan, på ett eller annat sätt, kopplas till området dataskydd.

Diskussioner kring AI och en kommande AI-förordning

Få saker var så aktuella under 2023 som AI. ChatGPT kom för drygt ett år sedan och är nu något som många använder regelbundet. AI:s snabba framfart gjorde att vissa blev rädda, medan andra såg möjligheter. Att lagstifta om AI har varit på tapeten inom EU i flera år, men under 2023 gick arbetet märkbart framåt. För att AI inte skulle få ett helt fritt spelrum fortsatte EU diskutera att få till en lagstiftning. I december gjordes en politisk överenskommelse mellan rådet och Europaparlamentet angående förordningen om AI. Nu måste den formellt godkännas av Europaparlamentet och även rådet innan förordningen träder i kraft. 

Uppdatering 14 mars 2024:
Nu har Europaparlamentet godkänt AI-förordningen. Förordningen förbjuder vissa AI-tillämpningar med hög risk, som exempelvis biometriska kategoriseringssystem och känsloavläsning på arbetsplatsen eller i skolor. Förordningen fastställer även tydliga skyldigheter för andra högrisk AI-system.
Pressmeddelandet hittar du på EU-parlamentets webbplats.

Läs mer i blogginlägget “ChatGPTs snabba ökning och EU:s strävan efter reglering”

GDPR fyllde fem år

I maj 2023 var det fem år sedan den europeiska dataskyddsförordningen (GDPR) började gälla. Med GDPR har enskilda individer bland annat fått en större rätt till insyn och kontroll över sina personuppgifter. Kraven har ökat på företag och organisationer att skydda uppgifter enligt konstens alla regler. Men av en ibland svår och komplicerad omställning har det skapats positiva effekter. Numera anser många organisationer att det är en värdefull investering att satsa på sitt dataskydd. 

Läs mer i blogginlägget “GDPR fyller fem år” 

Nytt beslut om adekvat skyddsnivå för USA

Den 10 juli 2023 antog EU-kommissionen ett nytt beslut om adekvat skyddsnivå, vilket innebär att personuppgifter kan föras över till USA. Beslutet grundar sig i EU-US Data Privacy Framework (”ramen för dataskydd mellan EU och USA”). Genom det ramverket bedömer EU-kommissionen att USA nu kan ge en adekvat skyddsnivå. Det innebär att det nu är möjligt att överföra personuppgifter till USA med stöd av beslutet. Detta kan man göra utan att behöva vidta ytterligare skyddsåtgärder, men det förutsätter att mottagaren finns med bland de företag som anslutit sig till ramverket. 

Läs mer i blogginlägget "Tredjelandsöverföring med standardavtalsklausuler"

Sanktionsavgifter och incidenter nådde nya rekord

DLA Piper (en global affärsjuridisk byrå) har publicerat en rapport på sin hemsida med statistik kring sanktionsavgifter och incidenter. Enligt deras rapport blev 2023 ett nytt rekordår. EU:s tillsynsmyndigheter utfärdade totalt 1,78 miljarder euro i sanktionsavgifter, vilket är en ökning med över 14 % jämfört med föregående år. I Sverige beslutade Integritetsskyddsmyndigheten (IMY) om någon form av sanktion i strax över 30 ärenden under förra året. 

Några exempel där IMY beslutat om sanktionsavgifter

• En region som röjt känsliga personuppgifter i samband med brevutskick fick en sanktionsavgift från IMY om 200 000 kronor. 
• En annan region fick en sanktionsavgift på 200 000 kronor från IMY efter att en medarbetare tappat bort ett usb-minne som innehöll personnummer och känsliga personuppgifter om nästan 2000 personer (patienter). 
• En mediekoncern fick en sanktionsavgift på 13 miljoner kronor för att ha profilerat sina kunder och webbesökare utan deras samtycke.
• En streamingtjänst fick en sanktionsavgift på 58 miljoner kronor för bristande information om hur de behandlade personuppgifter.
• Ett försäkringsbolag fick betala 35 miljoner kronor i sanktionsavgift för bristande säkerhet, efter att det upptäckts att det gick att komma åt uppgifter om hundratusentals försäkringstagare öppet på nätet.
• Utbildningsnämnden i en kommun kamerabevakade vid en skola, och fick en sanktionsavgift om 800 000 kronor, dels för att bevakningen var för omfattande, dels för att det fanns brister i hur skolan informerat om den.
• En annan kommun fick en sanktionsavgift på grund av att de inte genomfört en konsekvensbedömning vid implementeringen av Google-verktyg i sin skolverksamhet, trots att det fanns en skyldighet att göra det enligt GDPR.

Visma Draftit följer med stort intresse tillsynsmyndighetens tillsyn och kommer att fortsätta rapportera kring deras beslut under året. Enklast får du koll i nyhetsflödet och genom de brev du får om du är användare i verktyget Privacy Expert.

Kamerabevakning en aktuell fråga

En aktuell fråga på många håll under året var kamerabevakning och dess vara eller inte vara. Bland annat har regeringen velat att det ska bli enklare för kommuner och regioner att kamerabevaka, och att tillståndskravet för dem ska tas bort. En särskild utredare fick i uppdrag att föreslå lagändringar för att uppnå detta. Utredaren ska redo­visa sitt arbete under 2024, så det återstår att se vad resultatet blir. Flera initiativ från regeringen har också handlat om att göra det enklare för polisen att kamerabevaka kopplat till brottsbekämpning och ordning och säkerhet i samhället.

Det rapporterades också under året om att allt fler skolor vill kamerabevaka. Många tror att det kan vara ett effektivt sätt att förebygga skadegörelse och annan brottslighet.

I november 2023 publicerade IMY en rapport med statistik och vägledning på temat kamerabevakning. Bland annat konstaterade de att många ansökningar om tillstånd är onödiga, eftersom långt ifrån all kamerabevakning är tillståndspliktig.

Läs mer om kamerabevakning i faktabladet “Din guide till kamerabevakning” och i blogginlägget “Tveksam kamerabevakning på skolor och förskolor”.