lagen.
Skrivelse

Utvecklingen på it-området när det gäller integritet och ny teknik

Beteckning
Skr. 2021/22:203
Typ
Skrivelse
Datum
2022-03-30

Källa

1

Regeringens skrivelse 2021/22:203 Utvecklingen på it-området när det gäller Skr. integritet och ny teknik 2021/22:203 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 24 mars 2022 Magdalena Andersson Morgan Johansson (Justitiedepartementet)

Skrivelsens huvudsakliga innehåll

I skrivelsen kommenterar regeringen Integritetsskyddsmyndighetens slutsatser, iakttagelser och rekommendationer i rapporten Integritetsskyddsrapport 2020 – redovisning av utvecklingen på it-området när det gäller integritet och ny teknik (IMY Rapport 2021:1).

3

1 Ärendet och dess beredning

I september 2019 infördes en skyldighet för Integritetsskyddsmyndigheten (före detta Datainspektionen) att vart fjärde år lämna en redovisning till regeringen av utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik (1 § andra stycket förordningen [2007:975] med instruktion för Integritetsskyddsmyndigheten). Skyldigheten infördes mot bakgrund av det förslag som den parlamentariskt sammansatta Integritetskommittén lämnade i delbetänkandet Hur står det till med den personliga integriteten? (SOU 2016:41) om att det borde införas en ordning där regeringen i en årlig skrivelse till riksdagen skulle informera om utvecklingen och det aktuella tillståndet när det gäller frågor som rör personlig integritet, informationsteknik och de legala förutsättningarna för integritetsskyddet. Kommittén var enig i den delen. Integritetsskyddsmyndigheten överlämnade sin första redovisning till regeringen den 28 januari 2021, Integritetsskyddsrapport 2020 (IMY Rapport 2021:1), se bilagan . Med denna skrivelse överlämnar regeringen Integritetsskyddsmyndighetens rapport till riksdagen. I skrivelsen kommenterar regeringen även rapportens slutsatser, iakttagelser och rekommendationer.

2 Integritetsskyddsmyndighetens rapport

2.1 Allmänt om innehållet

Vid framtagandet av rapporten har Integritetsskyddsmyndigheten genomfört ett tiotal intervjuer med experter inom integritet, ny teknik, dataskydd och angränsande områden. Slutsatserna från intervjuerna har, tillsammans med myndighetens egna bedömningar och erfarenheter, legat till grund för rapportens övergripande inriktning och urvalet av fokusområden. Materialet i rapporten bygger primärt på omvärldsbevakning där bland annat olika redovisningar av regeringsuppdrag, forskningsprojekt, rapporter från konsultföretag och nyhetsartiklar ingår, liksom på slutsatser från rapporter och beslut som Integritetsskyddsmyndigheten eller andra dataskyddsmyndigheter tidigare publicerat samt på erfarenhet hos myndighetens specialister. En viktig informationskälla har också varit externa möten och samverkan som myndigheten löpande har med andra myndigheter och organisationer. Även i utformningen av rapportens slutsatser och rekommendationer har dialog förts med vissa till Integritetsskyddsmyndigheten nära samverkansparter. Integritetsskyddsmyndigheten redogör i det som beskrivs som kärnan i rapporten för utvecklingen när det gäller digitalisering och ny teknik. I rapporten beskrivs bland annat sexton olika teknikområden som påverkar den personliga integriteten. Många av dessa områden utvecklas exponentiellt, vilket förenklat innebär att kapaciteten fördubblas ungefär vartannat år. Utöver beskrivningen av digitaliseringen och ny teknik redogör Integritetsskyddsmyndigheten i rapporten för hur bra

4

integritetsskyddet kan sägas vara i dag och för pågående forskningsinitiativ inom området. I rapporten redogör myndigheten också för sina viktigaste slutsatser och rekommendationer.

2.2 Integritetsskyddsmyndighetens övergripande slutsatser och iakttagelser

I rapporten redovisar Integritetsskyddsmyndigheten övergripande slutsatser och iakttagelser, vilka sedan ligger till grund för de rekommendationer som rapporten utmynnar i. Att teknikutvecklingen går snabbt är en helt avgörande utgångspunkt som enligt myndigheten behöver ligga till grund för alla efterföljande, mer detaljerade slutsatser och rekommendationer. Myndigheten konstaterar att det finns en mängd svåra och angelägna frågor i dataskyddsarbetet. Många organisationer uppvisar fortfarande brister i de grundläggande skyldigheter som följer av EU:s 1 dataskyddsförordning . Att tolka och tillämpa regelverket innebär utmaningar för företag och andra verksamheter, dataskyddsombud och andra som arbetar praktiskt med dataskydd samt för dataskyddsmyndigheterna runt om i Europa. Integritetsskyddsmyndigheten konstaterar vidare att med exponentiell teknikutveckling följer också exponentiellt ökade integritetsrisker, om inte riskreducerande åtgärder vidtas. Integritetsskyddsmyndigheten sammanfattar sina slutsatser under följande rubriker.

1. De flesta känner till att allt vi gör på nätet lämnar spår – men ny teknik tar datainsamlingen på nätet till nya dimensioner 2. Med Internet of things flyttar spårningen på nätet ut i städer och hem 3. Insamling av biometrisk data ökar 4. Höga ambitioner när det gäller datadriven innovation behöver kombineras med kraftfulla åtgärder för att stärka integritet och säkerhet

2.3 Integritetsskyddsmyndighetens rekommendationer

Givet den exponentiella teknikutvecklingen och för att nå regeringens vision om en hållbar digitalisering, är det enligt Integritetsskyddsmyndigheten angeläget att politiska åtgärder för att stärka datadriven utveckling, innovation och användningen av artificiell intelligens, AI, kompletteras med konkreta mål och åtgärder för att stärka skyddet för medborgarnas integritet. Särskilt angeläget är det att arbetet med att

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän 4 dataskyddsförordning).

5

digitalisera den offentliga förvaltningen matchas med handfasta åtgärder för att värna enskilda medborgares rättigheter. Tappar medborgarna förtroendet för hur offentlig sektor hanterar deras data riskerar tilliten till samhället i stort att påverkas negativt. Integritetsskyddsmyndigheten lämnar mot den bakgrunden följande rekommendationer.

Sverige behöver en integritetsskyddspolitik Integritetsskyddsmyndigheten konstaterar att regeringen de senaste åren har gjort ambitiösa satsningar för att främja användandet av öppna data, AI-tillämpning och datadriven innovation i såväl privat som offentlig sektor. Vidare har satsningar gjorts inom informations- och cybersäkerhetsområdena. Enligt Integritetsskyddsmyndigheten behöver dessa delar av politiken kompletteras med lika konkreta mål och åtgärder för att stärka skyddet för medborgarnas integritet. Myndighetens bedömning är därför att Sverige behöver en tydligare integritetsskyddspolitik. Med detta menas enligt myndigheten ett väl definierat politikområde som konkretiserar mål och åtgärder för att i den pågående digitaliseringen säkerställa människors rätt till privatliv och rätten till självbestämmande i samband med behandling av personuppgifter. En tydlig integritetsskyddspolitik behöver enligt Integritetsskyddsmyndigheten innehålla konkreta mål och åtgärder. En riskbaserad ansats bör vara utgångspunkten för arbetet och det bör framgå av den politiska inriktningen hur Sverige avser att minska riskerna kring områden som till exempel AI och biometri där integritetsriskerna är särskilt stora. Det kan enligt myndigheten också finnas anledning att särskilt utreda i vilken mån och på vilket sätt den offentliga förvaltningen bör nyttja denna typ av högriskteknik. Integritetsskyddsmyndigheten anser att det är en god ordning att styrningen av myndigheten sker från Justitiedepartementet, men att det är angeläget att en integritetsskyddspolitik integreras med andra politikområden, inte minst digitaliseringspolitiken. Integritetsskyddspolitiken behöver också integreras i regeringens satsningar på informationssäkerhet och cybersäkerhet. Sammantaget ställer en integritetsskyddspolitik krav på nära samverkan inom olika delar av Regeringskansliet, inte minst eftersom viktiga beröringspunkter också finns med till exempel konsument- och konkurrensfrågor. En central del av Sveriges integritetsskyddspolitik bör enligt Integritetsskyddsmyndigheten vara offensiva investeringar för att stimulera forskning och utveckling av teknik som skyddar människors rätt till personlig integritet. Integritetsskyddsmyndighetens bedömning är vidare att integritetsskyddspolitiska mål och aktiviteter bör integreras med det nationella arbetet med informations- och cybersäkerhet, förslagsvis genom att regeringen kompletterar den nationella strategin för samhällets informations- och cybersäkerhet med mål och åtgärder som avser dataskydd.

6

Vidta åtgärder för att främja fortsatt regelutveckling Integritetsskyddsmyndigheten konstaterar att den regulatoriska utvecklingen i huvudsak är EU-gemensam, varför det är centralt att Sverige tar en aktiv roll i det EU-gemensamma arbetet. En annan central del i att främja den fortsatta regelutvecklingen handlar om att säkerställa att ny lagstiftning är förenlig med dataskyddsregleringen. Regeringen bör enligt Integritetsskyddsmyndigheten vid framtagande av utredningsdirektiv alltid överväga om det bör framgå särskilt att en integritetsanalys ska genomföras. Myndigheten föreslår att den vägledning för kommittéväsendet kring att genomföra integritetsanalyser som myndigheten tagit fram införlivas i kommittéhandboken, för att underlätta för kommittéväsendet att säkerställa att lagförslag är förenliga med dataskyddsregelverket. En tredje aspekt för att främja fortsatt regelutveckling handlar om att öka kunskapen om dataskyddsregleringen hos Sveriges innovationsaktörer, det vill säga organisationer, människor och nätverk som driver skapande, spridning och innovativ exploatering av ny teknik. Det kan handla om till exempel forskningsfinansiärer, inkubatorer, science parks och projekt inom strategiska innovationsprogram. Syftet är att öka förmågan att ansvarsfullt bedriva datadriven innovation och teknikutveckling. Regeringen bör överväga att skapa förutsättningar för Integritetsskyddsmyndigheten och Verket för innovationssystem (Vinnova) att genomföra riktade insatser för att höja kunskapen hos privata och offentliga aktörer i det svenska innovationssystemet med avseende på integritets- och dataskyddsfrågor. Genom att skapa former som medger en dialog mellan Integritetsskyddsmyndigheten och innovationsaktörer tidigt i innovationsprocessen ökar också myndighetens kunskap om teknikutveckling och praktiska utmaningar och lösningar när dataskyddsregelverket appliceras på ny teknik, vilket gör att myndigheten kan ge mer riktat stöd och vägledning till fler aktörer. Integritetsskyddsmyndigheten anser att regeringen i förlängningen bör överväga att skapa förutsättningar för myndigheten att driva regulatorisk testverksamhet. Inom flera länder i Europa pågår försöksverksamhet med regulatorisk testverksamhet där dataskyddsmyndigheten ger en mer fördjupad vägledning till utvalda innovationsprojekt. Regeringen bör noga följa hur till exempel det norska försöket med en regulatorisk testbädd utvecklas.

Privata och offentliga verksamheter behöver fortsätta sitt grundläggande dataskyddsarbete Inom ramen för en samlad integritetsskyddspolitik bör regeringen enligt Integritetsskyddsmyndigheten vidta åtgärder för att säkerställa att privata och offentliga verksamheter fortsätter att förbättra sitt grundläggande dataskyddsarbete. Många företag och myndigheter driver ett ambitiöst dataskyddsarbete. Samtidigt visar de cirka 500 ärenden med sanktionsavgifter som hittills beslutats av tillsynsmyndigheterna inom EU att merparten av överträdelser rör grundläggande skyldigheter. Data behandlas på ett sätt som strider mot dataskyddsförordningens grundläggande principer, utan rättslig grund eller med bristfälliga

7

säkerhetsåtgärder. Sammanfattningsvis visar sanktionsavgifterna att lägstanivån i dataskyddsarbetet fortfarande behöver höjas. Regeringen bör vidare säkerställa uppföljning av hur arbetet med dataskydd utvecklas i den offentliga förvaltningen. Uppföljning skulle till exempel kunna ske inom ramen för den struktur för uppföljning av det systematiska informationssäkerhetsarbetet som Myndigheten för samhällsskydd och beredskap (MSB) har regeringens uppdrag att ta fram, alternativt genom särskilda återrapporteringskrav i myndigheters regleringsbrev.

3 Regeringens kommentarer med

anledning av Integritetsskyddsmyndighetens slutsatser,

iakttagelser och rekommendationer

3.1 Inledning

Regeringen instämmer med Integritetsskyddsmyndigheten i att satsningar på digital innovation måste kombineras med insatser för att värna den personliga integriteten om den digitala utvecklingen ska vara hållbar. Regeringen välkomnar därför Integritetsskyddsmyndighetens rapport, som på ett gediget sätt redogör för utmaningarna, men också den stora potentialen som den tekniska utvecklingen innebär. Rapportens kvalitet och omfattning gör den till en viktig informationskälla och ett värdefullt verktyg, både för regeringen och för andra aktörer i arbetet med frågor som rör integritet och ny teknik. Regeringen siktar på att Sverige ska bli världsledande inom användning av data och AI inom välfärden och ekonomin i stort och ser till exempel positivt på reglering som stödjer möjligheterna att använda AI, under förutsättning att regleringen bland annat upprätthåller skyddet i fråga om behandling av personuppgifter. Som Integritetsskyddsmyndigheten konstaterar bedrivs i dag ett ambitiöst arbete hos såväl offentliga som privata aktörer gällande integritetsfrågor och för att säkerställa att verksamheter bedrivs på ett sätt som är förenligt med kraven enligt dataskyddsregleringen. Fortsatta insatser krävs för att hantera såväl de risker som möjligheter som följer med den tekniska utvecklingen. Regeringen delar uppfattningen att samtidigt som de nya regelverken innebär att det rättsliga skyddet för den personliga integriteten är starkare än tidigare, så medför teknikutvecklingen att även hot och risker för den personliga integriteten är mer omfattande, långtgående och potentiellt allvarligare än tidigare.

3.2 En tydligare integritetsskyddspolitik

Regeringens bedömning: Regeringen bedömer att inrättandet av ett särskilt definierat område för integritetsskyddsfrågor inte är det mest

8

relevanta och effektiva sättet att säkerställa att frågorna får så stort genomslag som möjligt. Regeringen ser det som angeläget att integritets- och dataskyddsaspekter uppmärksammas inom i princip alla områden. Regeringen instämmer i att enskilda individers rättigheter och möjligheter att kontrollera sina data bör förbättras. Det behövs fortsatt arbete för att stärka samhällets hantering av informations- och cybersäkerhetshot. Det kan finnas behov av att se över och uppdatera den nationella strategin för samhällets informationsoch cybersäkerhet.

Skälen för regeringens bedömning: Regeringen delar Integritetsskyddsmyndighetens uppfattning att det är viktigt att det finns tydliga mål och åtgärder vad gäller integritetsskyddsfrågor. Integritets- och dataskyddsaspekter är centrala och måste genomsyra alla relevanta processer inom ramen för flera områden. Inte minst gäller detta, som Integritetsskyddsmyndigheten påpekar, digitaliseringspolitiken, men också till exempel det pågående arbetet med att förstärka Sveriges informations- och cybersäkerhet. Regeringen delar uppfattningen att dataskyddsarbetet behöver ske integrerat med digitaliserings-, informations- och cybersäkerhetsarbetet och att dessa frågor i högre grad behöver ses som strategiska verksamhetsfrågor. Samtidigt spänner frågor som rör skyddet för den personliga integriteten över ett brett område och är på så sätt horisontella till sin natur. Regeringens bedömning är att inrättandet av ett särskilt definierat område, av myndigheten kallat politikområde, för integritetsskyddsfrågor inte är det mest relevanta och effektiva sättet att säkerställa att frågorna får så stort genomslag som möjligt. Integritets- och dataskyddsaspekter behöver uppmärksammas inom i princip alla områden och regeringen ser det som angeläget att de lyfts in tidigt i processer samt att arbetssätt och kompetens utvecklas inom varje område. Vad gäller de mål och åtgärder som Integritetsskyddsmyndigheten föreslår avser regeringen att noga följa utvecklingen och beakta rekommendationerna i det prioriterade arbetet med integritetsskyddsfrågor som bedrivs inom de områden som berörs. Regeringen delar vidare uppfattningen att satsningar på forskning och utveckling innebär en möjlighet att stimulera innovativa tekniklösningar som skyddar mänskliga rättigheter, skapar ett säkrare samhälle och samtidigt bidrar till svensk konkurrenskraft. Sverige ska vara ett av världens främsta forsknings- och innovationsländer, där högkvalitativ forskning och innovation leder till samhällets utveckling och välfärd och ökar näringslivets konkurrenskraft. Regeringen instämmer även i Integritetsskyddsmyndighetens bedömning att enskilda individers rättigheter och möjligheter att kontrollera sina data bör förbättras. Den 1 juni 2021 redovisades det myndighetsgemensamma (Arbetsförmedlingen, E-hälsomyndigheten, Myndigheten för digital förvaltning och Skatteverket) uppdraget att undersöka förutsättningarna för hur individens möjligheter till insyn och kontroll över de data om individen som finns hos offentlig sektor, och i förlängningen även de data om individen som finns hos privat sektor, kan öka (I2021/01639). I syfte att försöka flytta fram den svenska positionen när det gäller individens ökade möjligheter till insyn och kontroll över

9

personliga data presenterades bland annat en modell som visar hur ett förvaltningsgemensamt dataekosystem skulle kunna utformas. Den visar hur framtidens dataflöden, under kontroll och insyn av individen, skulle kunna bidra till ökad effektivitet, individcentrering och innovation. Frågan bereds inom Regeringskansliet. Under hösten 2021 beslutade regeringen om en nationell datastrategi, som har till syfte att stärka välfärden, konkurrenskraften och ett hållbart samhälle (I2021/02739). Den nationella datastrategin och tillhörande regeringsuppdrag ska främja Sveriges aktiva medverkan i genomförandet av den europeiska datastrategin, med målet om en inre marknad för data till 2030 genom inrättande av gemensamma europeiska dataområden. Sex insatsområden lägger grunden för ett långsiktigt arbete där både offentliga och privata aktörer stegvis ska bli allt bättre på att dela data på ett öppet, säkert och kontrollerat sätt. Strategin omfattar inte data eller så kallade aggregerade data med bäring på allmän säkerhet, försvar eller Sveriges säkerhet, och således innebär strategin inte något krav på att dela sådana data. Som en del i strategin har Myndigheten för digital förvaltning fått i uppdrag att stötta myndigheterna i att bli bättre på delning och nyttiggörande av data och de ska dessutom främja samverkan med privata aktörer genom att upprätta en digital arena (I2021/01826). Den digitala arenan ska möjliggöra bland annat ett ökat gemensamt lärande kring frågor om data som strategisk resurs. Parallellt ska regeringen utveckla en förmåga att följa upp tillgången till och användningen av data för att kunna utveckla relevant styrning och policy på området. Regeringens uppfattning är att fortsatt arbete behövs för att stärka samhällets hantering av informations- och cybersäkerhetshot. Säkerhetsfrågor står högt på regeringens agenda och regeringen har under de senaste åren tagit fram omfattande ny reglering på säkerhetsskyddsområdet som både moderniserat och förstärkt regelverket. Ett systematiskt och fungerande informations- och cybersäkerhetsarbete bidrar till att stärka integritets- och dataskyddet. Etableringen av och arbetet med att vidareutveckla det nationella cybersäkerhetscentret är en av de mest centrala åtgärderna för att stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot på informations- och cybersäkerhetsområdet. Samtidigt är det viktigt att inte bara fokusera på antagonistiska hot utan att även ha ett allriskperspektiv som inkluderar bland annat handhavandefel, naturfenomen och systemfel. Därför bedriver bland annat MSB ett brett arbete med att stärka samhällets informationsoch cybersäkerhet för att förebygga och hantera it-incidenter, där en viktig del är att sprida råd och stöd i syfte att förebygga sådana. Den nationella strategin för samhällets informations- och cybersäkerhet antogs i juni 2017. Regeringen instämmer med Integritetsskyddsmyndigheten i att det kan finnas behov av att se över och uppdatera strategin och i det arbetet överväga de förslag som Integritetsskyddsmyndigheten lämnar, i syfte att integrera dataskyddsfrågor i arbetet med informationsoch cybersäkerhetsfrågor.

10

3.3 Åtgärder för att främja fortsatt regelutveckling

Regeringens bedömning: Åtgärder som kan främja fortsatt regelutveckling är centrala. Integritetsskyddsmyndighetens vägledning för kommittéväsendet om genomförande av integritetsanalyser kommer att vara ett användbart verktyg i kommittéväsendets arbete. Test- och experimentmiljöer, inklusive så kallad regulatorisk testverksamhet, kan vara viktiga bland annat för utvecklingen av tillförlitlig AI och annan ny teknik. Regeringen avser att fortsatt följa utvecklingen på området.

Skälen för regeringens bedömning: Regeringen instämmer med Integritetsskyddsmyndigheten om vikten av att fortsatt regelutveckling främjas och delar i stort beskrivningen i den delen. På flera av de områden där åtgärder föreslås bedrivs också ett aktivt arbete. Regeringen håller exempelvis med Integritetsskyddsmyndigheten om värdet av att Sverige tar en aktiv roll i det EU-gemensamma arbetet, inklusive vid genomförandet av den europeiska datastrategin. Regeringen instämmer också i att en annan central del i att främja den fortsatta regelutvecklingen är att säkerställa att ny lagstiftning är förenlig med dataskyddsregleringen och ser positivt på åtgärder som kan bidra till detta. Inom Regeringskansliet läggs betydande arbetsinsatser på att säkerställa att skyddet för personuppgifter upprätthålls i ny lagstiftning. I Kommittéhandboken (Ds 2000:1) finns ett avsnitt om riktlinjer för analyser av konsekvenser för den personliga integriteten. Integritetsskyddsmyndigheten har föreslagit att den vägledning för kommittéväsendet kring att genomföra integritetsanalyser som myndigheten uppdaterar ska införlivas i Kommittéhandboken. Huruvida det är en möjlig eller lämplig lösning får övervägas, till exempel i samband med den översyn som för närvarande planeras av handboken. Under alla omständigheter kommer Integritetsskyddsmyndighetens vägledning att utgöra ett bra komplement till handboken och vara ett användbart verktyg för kommittéväsendet i arbetet med integritetsanalyser. Med regulatorisk testverksamhet avses verksamhet med experiment eller försök, avgränsade i tid och rum, med syfte att utveckla teknik och regelverk parallellt. Test- och experimentmiljöer, däribland så kallade regulatoriska sandlådor eller växthus, kan enligt regeringen vara viktiga bland annat för utvecklingen av tillförlitlig AI och annan ny teknik. Genom att bredda samverkan, förstå den snabba tekniska utvecklingen, göra försök i verkliga miljöer samt införa förändringar i mindre steg höjs kunskapsnivån, och teknikutvecklingens möjligheter kan tas tillvara parallellt med att riskerna hanteras. Samtidigt är verksamhet med regulatoriska sandlådor förknippad med ett flertal frågor om ansvar och säkerhet som noga måste övervägas. Regeringen avser att fortsatt följa utvecklingen på området. Bland de åtgärder som vidtagits på området kan här särskilt nämnas att regeringen den 17 juni 2021 uppdrog åt Arbetsförmedlingen, Bolagsverket, Myndigheten för digital förvaltning och Skatteverket att främja offentlig förvaltnings förmåga att använda AI i syfte att stärka Sveriges välfärd och konkurrenskraft (I2021/01825). Uppdraget består av flera delar som 10 ska leda till att offentlig förvaltning får fler gemensamma verktyg för att

11

använda AI. Vid behov ska myndigheterna initiera eller delta i testbäddar och regulatoriska sandlådor. I november 2021 gavs vidare en särskild utredare i uppdrag att främja försöksverksamhet i kommuner och regioner (dir 2021:110). Det kan exempelvis handla om nya sätt att samverka på eller hur ny teknik kan användas. Utredaren ska bland annat identifiera uppslag till försöksverksamheter samt bedöma om och i så fall hur staten bör främja och stödja försöksverksamheterna. En delredovisning ska lämnas senast den 30 september 2022. Uppdraget ska slutredovisas senast den 14 december 2023.

3.4 Privata och offentliga verksamheters dataskyddsarbete

Regeringens bedömning: Det är angeläget att verksamheter i privat och offentlig sektor fortsätter att förbättra sitt grundläggande dataskyddsarbete. Digital teknik och data bidrar till att lösa samhällsutmaningar och är avgörande för näringslivets konkurrenskraft. Samtidigt måste tekniken nyttjas på ett ansvarsfullt sätt och regelverk följas. Det är också viktigt att säkerställa uppföljning av hur arbetet med dataskydd utvecklas i den offentliga förvaltningen.

Skälen för regeringens bedömning: Regeringen instämmer i vikten av att verksamheter i privat och offentlig sektor fortsätter att förbättra sitt grundläggande dataskyddsarbete. Inom ramen för det ovan nämnda myndighetsgemensamma uppdraget att främja offentlig förvaltnings förmåga att använda AI ska myndigheterna bland annat ta fram en guide för offentlig förvaltning. Guiden ska beskriva de steg en verksamhet behöver ta för att framgångsrikt kunna använda sig av AI. I guiden ska det till exempel framgå hur data ska struktureras och tillgängliggöras. I oktober 2021 uppdrog regeringen åt Vinnova att kartlägga och analysera bland annat behov av kompetensutvecklingsinsatser och vilka kapacitetshöjande insatser som finns i dag för att underlätta för datahantering och datadelning (I2021/02737). I uppdraget konstateras att forskning om och tillämpningar inom områden som pseudonymisering, kryptering och distribuerad AI utvecklas snabbt och har potential att genomgripande förändra förutsättningarna för en mer säker datadelning med bibehållen kontroll över bland annat sekundäranvändning. Ett utvecklat kunskapsunderlag är därför angeläget för att möta målsättningen om ett Sverige som är attraktivt för forskning, innovation och utveckling på AI- och dataområdet. Flera länder arbetar med att öka sin förmåga att kunna dela data. Svenska företag, myndigheter, regioner och kommuner kommer att behöva utveckla en förmåga att dela och använda data på nationell och europeisk nivå för att dra nytta av den inre marknad som skapas. I det arbetet måste den nationella säkerheten, informationssäkerheten och skyddet för den personliga integriteten säkerställas. Uppdraget ska slutredovisas senast den 1 juni 2022. Digital teknik och data bidrar till att lösa samhällsutmaningar och är avgörande för näringslivets konkurrenskraft. Samtidigt måste tekniken

12

nyttjas på ett ansvarsfullt sätt och regelverk följas. Därför har regeringen under våren 2021 gett Integritetsskyddsmyndigheten i uppdrag att höja kunskaperna om integritets- och dataskyddsfrågor brett i innovationssystemet (N2021/01266). I uppdraget ingår att Integritetsskyddsmyndigheten självständigt ska genomföra metod- och kunskapsutvecklande insatser för att höja den allmänna kunskapsnivån om integritets- och dataskyddsfrågor inom innovations-, utvecklings- och införandeprocesser. Vid genomförandet av uppdraget kan myndigheten vid behov samverka med Vinnova, Myndigheten för digital förvaltning samt andra relevanta myndigheter och organisationer. En delredovisning ska lämnas till regeringen senast den 31 mars 2022 och uppdraget ska slutredovisas senast den 31 mars 2023. Regeringen instämmer slutligen i att det är viktigt att säkerställa uppföljning av hur arbetet med dataskydd utvecklas i den offentliga förvaltningen. Sådant uppföljningsarbete aktualiserar bland annat frågor om incidentrapportering. Mot bakgrund av det arbete som pågår på området med uppföljning bedömer regeringen att det i nuläget inte är motiverat att vidta ytterligare åtgärder. Regeringen bevakar dock löpande frågan.

3.5 Vidare behandling av Integritetsskyddsmyndighetens rapport

Regeringen har för avsikt att fortsätta att bedriva ett systematiskt och aktivt arbete för att förstärka skyddet för den enskildes personliga integritet samtidigt som tjänster som ökar medborgarnas livskvalitet och näringslivets konkurrenskraft kan fortsätta utvecklas. I och med denna skrivelse anser regeringen att Integritetsskyddsmyndighetens rapport är slutbehandlad.

13

Integritetsskyddsrapport

2020

- redovisning av utvecklingen

på it-området när det gäller

integritet och ny teknik

IMY rapport 2021:1

14

IMY. Integritetsskyddsrapport 2020. Har du frågor om innehållet kontakta Integritetsskyddsmyndigheten, telefon 08-657 61 00, e-post imy@imy.se, eller besök www.imy.se

18

6 IMY | Integritetsskyddsrapport 2020

19

Förord

Sverige är ett av EU:s mest digitaliserade länder, Vår ambition är att rapporten ska bidra till utvecklingen med ambitionen att bli bäst i världen på att använda av Sveriges integritetsskyddspolitik. Att en sådan politik digitaliseringens möjligheter. Med hjälp av datadriven och behöver utvecklas är vår viktigaste rekommendation i digital innovation skapas nya tjänster och funktioner som vår första redovisning till regeringen. Med den snabba ger värde för samhälle, miljö, företag och ökad livskvalitet teknikutvecklingen inom till exempel Internet of things, för enskilda individer. artificiell intelligens och en ökad insamling av biometriska uppgifter riskerar Sverige annars att bygga in sig i Samtidigt skapar de enorma mängder data som samlas en storskalig insamling och användning av data som hos privata och offentliga aktörer stora risker. Möjligheten är oetisk, olaglig eller på ett allvarligt sätt inskränker att kartlägga individer, deras rörelsemönster, preferenser, kommande generationers mänskliga rättigheter. umgänge, hälsa, ekonomi med mera skapar en utsatthet för den enskilde. Genomförd tillsyn och granskningar visar att många organisationer fortfarande har grundläggande brister Regeringen gav under 2019 Datainspektionen i i sitt dataskyddsarbete. Det medför att gapet mellan uppdrag att vart fjärde år redovisa utvecklingen på teknikutvecklingen och integritets- och dataskyddet it-området när det gäller frågor som rör integritet och ny riskerar att kontinuerligt öka. För en hållbar och teknik. Denna rapport utgör den första redovisningen integritetsvänlig digitalisering behöver nu konkreta enligt uppdraget. Eftersom Datainspektionen integritetsskyddspolitiska mål och åtgärder formuleras, den 1 januari 2021 bytt namn lämnas rapporten i vilket jag hoppas rapporten kan bidra till. Integritetsskyddsmyndighetens (IMY:s) namn.

Regeringen är primär mottagare av rapporten, men

Lena Lindgren Schelin

har aviserat att rapporten också ska ligga till grund Generaldirektör Integritetsskyddsmyndigheten för en riksdagsskrivelse. Därmed är även riksdagens (IMY) ledamöter en viktig målgrupp för redovisningen. Även andra beslutsfattare och dataskyddsombud med flera som arbetar praktiskt med dataskydd, informations- eller cybersäkerhet kan sannolikt ha behållning av olika delar i rapporten.

IMY | Integritetsskyddsrapport 2020 7

20

8 IMY | Integritetsskyddsrapport 2020

21

1. Sammanfattning,

slutsatser och

rekommendationer

Hur kan utvecklingen på it-området förstås när det gäller frågor som rör integritet och ny teknik? Vad har påverkat den personliga integriteten mest de senaste åren, hur bra är integritetsskyddet idag och vad kommer ha störst betydelse om vi blickar några år framåt? I detta inledande avsnitt sammanfattar vi rapportens olika delar. Efter sammanfattningen följer centrala slutsatser och IMY:s rekommendationer.

IMY | Integritetsskyddsrapport 2020 9

22

1.1 Sammanfattning

Kärnan i rätten till privatliv handlar här om rättigheten

att även i digitala miljöer kunna ha privata förehavanden

och kommunicera förtroligt utan att bli kartlagd, spårad Vi befinner oss i den fjärde industriella revolutionen. eller övervakad – vare sig av myndigheter eller av globala

Kärnan i den pågående teknikutvecklingen handlar storföretag. I möjligheten till självbestämmande ingår

om att förmågan att skapa, använda och dela data att själv kunna kontrollera vem som använder digitala

utvecklats. Ny teknik har på kort tid gjort det enklare uppgifter som rör en själv och för vilka syften. Ingen

och billigare att samla in och med bland annat hjälp av dessa rättigheter är absolut, vilket sannolikt är en

av artificiell intelligens, AI, bearbeta och analysera förklaring till att lagstiftaren inte tydligt har definierat

stora mängder data. begreppet personlig integritet.

Inom en rad områden ger datadriven innovation Rätten till privatliv är en grundläggande mänsklig

hopp om att bättre kunna möta samtidens stora rättighet, men också i hög grad en demokratifråga

globala och nationella utmaningar och skapa ett eftersom det är svårt att utöva andra grundläggande

bättre samhälle – nu och för kommande generationer. rättigheter som åsikts-, yttrande- och organisationsfrihet

Genom nya sätt att resa, bo, konsumera, kommunicera om vi inte vet om vi övervakas och av vem. Ett gott

och leva kan vi bli bättre på att tillvarata och bevara integritetsskydd har också stor betydelse för individers

jordens resurser på ett hållbart sätt. Digitalt drivna säkerhet. I synnerhet om personuppgifter hamnar i

innovationer kring vägar, transporter och varuflöden orätta händer kan det innebära konkreta risker för den

kan till bidra till att minska klimat- och miljöpåverkan. enskilde. Ett gott integritetsskydd har betydelse också för

Samhällsplaneringen blir mer ändamålsenlig när Sveriges säkerhet. Omfattande läckage av uppgifter till

funktioner som vatten- och energiförsörjning och annan främmande makt eller andra antagonistiska aktörer kan

infrastruktur kan dimensioneras utifrån stora mängder utnyttjas som ett geopolitiskt maktmedel och påverka

data. Även livsmedelsproduktion kan optimeras, kvalitet Sveriges säkerhetsskydd.

och effektivitet i välfärden utvecklas och medicinsk

forskning på stora mängder patientdata användas för att utveckla botemedel och behandlingar mot svåra 1.1.1 Ambitiös digitaliseringspolitik

sjukdomar. Att smittspårning kan utgöra ytterligare

såväl på EU-nivå som nationellt

ett tillämpningsområde har tydliggjorts under den

pågående pandemin. Inom EU har viktiga initiativ tagits de senaste åren

för att möta den snabba tekniska utvecklingen och Tillgången till stora datamängder och möjligheterna ökande insamlingen och delningen av personuppgifter. att analysera dem innebär stora möjligheter. Samtidigt Den viktigaste integritetsstärkande reformen är att innebär den ökande insamlingen av data om vårt dataskyddsförordningen, GDPR, infördes som lag i EU:s beteende och rörelsemönster, dels på nätet, dels medlemsstater och ett direktiv på det brottsbekämpande i den fysiska världen, ofrånkomligen risker ur ett området, som implementerades i svensk rätt genom integritetsskyddsperspektiv. Kraftfull teknik för att samla brottsdatalagen och brottsdataförordningen, trädde i in data ger en mängd aktörer tillgång till en mer eller kraft under 2018. mindre fullständig bild av våra liv, våra intressen, våra

kontakter, vår hälsa och våra rörelsemönster, vanor Dataskyddsförordningen innehåller förstärkta rättigheter och beteenden. för enskilda individer, som ska kunna utöva insyn och

ha kontroll över sina personuppgifter. Samtidigt innebär Det finns ingen vedertagen definition av personlig förordningen på en rad områden skärpta skyldigheter integritet, men i de statliga utredningar som gjorts på för verksamheter som hanterar personuppgifter. området under de senaste decennierna återfinns en Skyldigheterna för verksamheterna sammanfattas i tydlig röd tråd. Även om någon fast definition inte slås fast förordningens sex grundläggande principer om laglighet, i denna rapport utgår vi från en förståelse av personlig korrekthet och öppenhet, ändamålsbegränsning, integritet som den enskilde individens rätt till privatliv och uppgiftsminimering, riktighet, lagringsminimering samt möjlighet till självbestämmande i det digitala samhället. integritet och konfidentialitet. Är inte de grundläggande Med utgångspunkt i IMY:s uppdrag ligger fokus här principerna beaktade, eller om rättslig grund saknas, enbart på personlig integritet i bemärkelsen skyddet av kan man utgå från att personuppgiftsbehandlingen personuppgifter, även om integritetsbegreppet i vidare inte är laglig. Förordningen innehåller också helt nya mening också kan omfatta skydd mot andra typer verktyg för korrigerande befogenheter, bland annat av godtyckliga intrång. kraftfulla sanktionsavgifter.

10 IMY | Integritetsskyddsrapport 2020

23

Genom dataskyddsförordningen inrättades också den Även på nationell nivå har digitaliseringspolitiken fått en Europeiska dataskyddsstyrelsen, EDPB. Styrelsen tydlig prioritering de senaste åren, bland annat genom beslutar om yttranden och vägledningar men har även framtagandet av en nationell digitaliseringsstrategi mandat att fatta beslut i gränsöverskridande ärenden. och en nationell inriktning för AI. Sverige ska enligt Styrelsens mandat är omfattande, både på policynivå regeringens digitala strategi vara bäst i världen på att och operativt. I praktiken har en stor del av den ta tillvara digitaliseringens möjligheter. Genom delmålet nationella suveräniteten när det kommer till tolkning och digital trygghet har Sveriges digitaliseringsstrategi en tillämpning av dataskyddsregleringen samt praxisbildning liknande ansats som EU-kommissionens, nämligen överlämnats till EDPB. att satsningar på innovation och datadriven utveckling behöver kompletteras med åtgärder för att möta de I sin tvåårsutvärdering av dataskyddsförordningen risker som uppstår när allt fler saker kopplas upp och vi bedömde EU-kommissionen att reformen uppfyllt det tillbringar allt mer av vår tid i digitala miljöer. övergripande målet att stärka skyddet av den enskildes rätt till skydd av personuppgifter. Samtidigt understryker Den nationella inriktningen för AI anger att Sverige kommissionen att det behövs ökade ansträngningar, ska vara ledande i att ta tillvara möjligheterna som bland annat för att medborgarnas kontroll över deras användning av AI kan ge. I den nationella inriktningen egen data ska bli reell. Att stärka enskildas rättigheter konstaterar regeringen att hur olika aktörer förmår behöver bland annat ske när det gäller tillgång till och omsätta dataskyddsförordningen i sina respektive användning av data, till exempel rätten till information och verksamheter kommer att ha betydelse för hur väl rätten till radering av data. Kommissionen menade också Sverige förmår ta hand om potentialen och hantera att harmoniseringen mellan länderna har ökat, men riskerna med AI. att det fortfarande behövs en mer enhetlig tillämpning Sedan 2018 har regeringen gett olika myndigheter en i hela unionen. rad särskilda uppdrag för att främja Sveriges förmåga att EU har höga ambitioner på digitaliseringsområdet använda AI, skapa och använda öppna data och fortsätta för de kommande åren. I februari 2020 presenterade digitalisera den offentliga sektorn. Även avseende EU-kommissionen tre strategiska dokument som anger informations- och cybersäkerhet har en nationell strategi inriktningen för EU:s digitala framtid: en övergripande utarbetats och en rad åtgärder vidtagits. Ännu saknas digitaliseringsstrategi, en datastrategi och en vitbok dock mer konkreta politiska mål och åtgärder som bygger om AI. Genomgående innehåller dokumenten en vidare på dataskyddsreformens intentioner och ger en kombination av å ena sidan offensiva satsningar tydlig inriktning för utvecklingen av Sveriges arbete med och investeringar för att bli världsledande på att dra integritets- och dataskydd. nytta av teknikens fördelar, å andra sidan åtgärder för att fortsätta stärka och säkerställa medborgarnas rättigheter. Konkreta åtgärder för att höja säkerheten 1.1.2 Sexton teknikområden som

påverkar den personliga integriteten

och skydda enskilda individers fri- och rättigheter presenterades också i den nya cybersäkerhetsstrategi som kommissionen lade fram i december 2020. I rapporten beskriver vi sexton olika teknikutvecklingsområden som tillsammans bidrar Datastrategin innehåller åtgärder för att utveckla till utveckling och Sveriges förmåga att ta tillvara ett rättsligt ramverk kring dataanvändning, ökade digitaliseringens möjligheter, men samtidigt haft investeringar för att stärka kapaciteten att använda data, stor betydelse för den personliga integriteten. Vi åtgärder för att stärka individers möjlighet att kontrollera bedömer att flera av områdena också kommer ha en deras egna data samt åtgärder för att möjliggöra avgörande påverkan på integritetsskyddet under de gemensamma europeiska datautrymmen. kommande åren. Vitboken om AI anger målsättningen att EU ska bli Teknikområdena hänger nära samman, inte minst världsledande på AI-teknik, samtidigt som medborgarnas eftersom utveckling inom ett område många gånger rättigheter säkras. Offensiva satsningar och kraftigt har förstärkt och snabbat upp utvecklingen inom andra ökade investeringar ska kombineras med ett intensifierat områden. Vi har dock i rapporten valt att dela upp arbete för att tydliggöra ett etiskt och rättsligt teknikområdena i teknik för att samla in, bearbeta och ramverk. Som ett första steg i att utveckla det rättsliga analysera, lagra, transportera, säkra och förstöra data. ramverket har ett antal etiska principer för användning av AI utarbetats.

IMY | Integritetsskyddsrapport 2020 11

24

Många av de teknikutvecklingsområden som beskrivs Utvecklingen inom Internet of things, IoT , utgör ett

i rapporten utvecklas exponentiellt, vilket förenklat särskilt riskområde ur ett integritetsperspektiv. IoT avser

innebär att kapaciteten fördubblas ungefär vartannat apparater, maskiner och fordon som har inbyggd teknik

år. Innovation möjliggör nya innovationer och skapar ett och internetuppkoppling, men typiskt sett inte ses som

slags ”ränta på ränta-effekt” som accelererar tempot datorer. Det kan vara vardagsföremål som vitvaror,

i teknikutvecklingen. Till följd av den exponentiella termostater, belysning, TV-apparater, elektroniska

utvecklingen beräknas de kommande 100 åren motsvara lås och larm, kläder eller bilar, men också utrustning

20 000 år av teknikutveckling. i industri, infrastruktur eller vården. Utvecklingen går

mot att IoT används inom allt fler samhällsområden

och på allt fler geografiska platser för att samla in data. 1.1.2.1 Ny teknik för att samla in data En stor andel IoT-enheter har visat sig ha bristande

Det övergripande teknikutvecklingsområde som sannolikt säkerhet. Forskare har till exempel visat hur man kan ta

påverkat den personliga integriteten allra mest de kontroll över en modern bil via ett trådlöst nät, eller via

senaste åren är den ökande insamlingen av data om vårt fjärrstyrning manipulera en pacemaker eller insulinpump.

beteende och rörelsemönster, dels på nätet, dels i den Med teknik för webbskrapning som kombineras med fysiska världen. Ekonomiska och affärsmässiga intressen artificiell intelligens, AI, är det förhållandevis enkelt att har varit en viktig drivkraft för utvecklingen då det finns samla in och bearbeta mycket stora informationsmängder goda möjligheter att tjäna pengar på data. Ny teknik för från nätet, exempelvis från sociala medier. att samla in data ger en mängd aktörer tillgång till en Kännetecknande är ofta att informationsmängderna blir fullständig bild av våra liv, våra intressen, våra kontakter, så stora att det blir oöverblickbart och kräver AI-teknik vår hälsa, våra rörelsemönster, vanor och beteenden. för bearbetning.

Risker för den enskilde individen med den ökande En särskild typ av datainsamling som i ökande datainsamlingen handlar bland annat om att det blir allt utsträckning används inom allt fler samhällsområden svårare att upptäcka, kontrollera eller välja bort att data handlar om insamling av biometriska uppgifter . om oss samlas in. Det faktum att uppgifter delas mellan Biometri innebär att mäta kroppens egenskaper (till olika aktörer på ett sätt som ofta är svåröverblickbart exempel hand- eller fingeravtryck, mönster i ögats både för den enskilde individen och för verksamheterna iris, ansikts- eller kroppsform och röstavtryck) eller som delar data gör integritetsriskerna större. Det individers beteenden (till exempel gångstil, rörelse- och finns också en risk för ändamålsglidning, det vill säga talmönster, handstil, ansiktsuttryck och sömnmönster) att uppgifterna används för andra ändamål än de för att verifiera, autentisera eller identifiera individer. ursprungligen samlats in för. Användning av biometriska uppgifter kan skapa ökad

Centralt i utvecklingen av teknik för att samla in data är bekvämlighet, snabbhet och säkerhet. Samtidigt medför

att sensorer och sändare utvecklas mot att bli allt mindre den ökande användningen av biometriska uppgifter

men samtidigt mer kraftfulla. Som exempel kan nämnas betydande integritetsrisker. En av de främsta riskerna

kroppsnära teknik som pulsklockor och träningsarmband handlar om att biometriska data (till skillnad från till

och geospatial teknik för positioneringsdata. exempel lösenord eller passerkort) inte kan bytas ut om

uppgifterna skulle hamna i orätta händer. De biometriska

Ytterligare ett område där teknikutvecklingen gått uppgifterna är beständiga, vilket gör en integritetsförlust

snabbt framåt de senaste åren handlar om nya former svår att reparera.

för interaktion mellan människa och dator . På kort tid har

röststyrningsteknik fått ett brett genomslag och spridits

från mobiltelefoner och datorer till bland annat bilar,

klockor, hörlurar och olika smarta prylar i hemmet som

till exempel TV-apparater. Även teknik för avläsning av

fingeravtryck och ansiktsigenkänning utvecklas snabbt.

12 IMY | Integritetsskyddsrapport 2020

25
1.1.2.2 Ny teknik för att bearbeta och Ett utvecklingsområde som kan innebära fördelar ur ett

analysera data integritetsperspektiv handlar om var data bearbetas – i

centrala datacentra och serverhallar eller lokalt. Teknik De ökade möjligheterna att samla in data skulle i för edge computing medför att bearbetning av data nu praktiken vara värdelösa om inte tekniken för att allt oftare kan ske lokalt, i uppkopplade enheter med låg bearbeta och använda uppgifterna också tagit stora kapacitet eller i lokala servrar. Detta innebär att data i utvecklingssprång. Utvecklingen av artificiell intelligens mindre utsträckning behöver transporteras och delas, (AI) har därför haft avgörande påverkan på den vilket kan skapa bättre kontroll. Med utvecklingen inom personliga integriteten under de senaste åren. De möjliga IoT ökar också behovet av lagring och säkring direkt nyttorna med AI är stora och den outnyttjade potentialen i enheterna utan att behöva transportera data i nätet. fortfarande stor. I dagsläget uppges ungefär fem procent Sådan teknik benämns ofta edge storage och edge av svenska företag och tio procent i offentlig sektor security , det vill säga att personuppgifter kan lagras använda AI i sina verksamheter. och säkras direkt i de lokala enheter där de samlas in,

exempelvis i en privatpersons smarta mobiltelefon. Samtidigt innebär AI integritetsrisker för den enskilde

i form av bland annat bristande transparens, En ökad insamling och förmåga att bearbeta och diskriminering, försvårat ansvarsutkrävande, missbruk använda data ställer också helt nya krav på infrastruktur och fientlig användning. Särskilda risker finns vid och teknik för att transportera stora datamängder. 5G automatiserade processer i beslutsfattande, när ett är nästa generation av mobila nätverk med extremt hög beslut kan få stora konsekvenser för den enskilde. kapacitet för att transportera data. För EU-kommissionen

är utvecklingen mot 6G redan en prioriterad fråga. Ett Ett av de områden där den omfattande AI-bearbetningen centralt användningsområde för 5G och 6G kommer av stora datamängder blir allra mest uppenbar för att vara IoT med till exempel uppkopplade enheter i många människor är den digitala annonsmarknaden . De industrin och i smarta städer. En integritetsrisk kopplat komplexa och icke transparenta processerna som kan till 5G handlar om att geografisk positionering kommer inkludera hundratals aktörer gör det i praktiken omöjligt vara möjligt med mycket med större precision än idag. för den enskilde att utnyttja sina rättigheter, till exempel Ett annat exempel på integritetsrisker som 5G medför är att få information raderad. Affärsmodellerna gör det i kopplat till en ökad insamling av högupplöst bildmaterial. praktiken också mycket svårt för företagen att ha kontroll Möjligheten att utan fördröjning överföra stora och uppfylla sina skyldigheter när det gäller enskildas mängder högupplösta bilder kommer sannolikt utgöra rättigheter. Såväl norska som brittiska myndigheter har en pådrivande faktor för en ökad direkt och indirekt i färska analyser kommit till slutsatsen att stora delar insamling av biometrisk data. av den digitala annonsmarknaden systematiskt bryter

mot dataskyddslagstiftningen. Andra former av digital kommunikationsteknik som

utvecklas tar sikte på kommunikation på nära avstånd, till

exempel mellan enheter i ett och samma rum eller i chip

1.1.2.3 Ny teknik för att lagra, säkra och

som kan monteras i prislappar.

transportera data

I takt med att insamlingen och bearbetningen av data blir Utvecklingen med fler uppkopplade enheter och

allt mer omfattande och sofistikerad växer också kraven ökad molnlagring har ökat antalet möjliga vägar för

på lagringskapacitet. Den teknik som hittills svarat väl angripare att komma åt system, nät, datorer, enheter

mot de stora behoven av lagringskapacitet är avancerad eller servrar. En ökad hotbild har drivit på utvecklingen

molnlagring . En utmaning med bearbetning eller lagring av ny säkerhetsteknik som till exempel automatiserade

i molntjänster är att marknaden för molntjänster idag säkerhetslösningar baserade på AI. Även nya och

domineras av amerikanska aktörer vilket kan medföra att fler lättanvända krypteringslösningar har utvecklats

lagringen, efter EU-domstolens avgörande i juli 2020 i de senaste åren. Rätt använd kan den nya tekniken

det så kallade Schrems II-målet, inte är laglig. stärka integritetsskyddet.

En konsekvens av att lagringskapaciteten har ökat och

att kostnaderna för lagring minskat är att incitamenten att

förstöra data minskat. Tidigare förstördes gammal data

för att hushålla med lagringsutrymme och göra plats för

ny. Inom övriga områden har teknikutveckling inom ett

område drivit på utvecklingen inom andra områden. När

det gäller teknik för att förstöra data har utvecklingen

snarast gått i motsats riktning, och väsentligt större fokus

har lagts på ny teknik för att återskapa raderad data , än

teknik för att permanent förstöra den.

IMY | Integritetsskyddsrapport 2020 13

26

1.1.3 Hur bra är integritetsskyddet idag?

Bland de förhandssamråd som inkommit till IMY återfinns flera där verksamheten önskar använda teknik I rapporten görs ett antal övergripande iakttagelser för ansiktsigenkänning och biometriska uppgifter. utifrån Integritetsskyddsmyndighetens, IMY:s, olika Totalt sett är det dock få verksamheter som begärt verksamhetsområden efter de första drygt två och ett förhandssamråd, vilket tyder på att åtgärden att halvt åren sedan dataskyddsreformen genomfördes. genomföra konsekvensbedömningar behöver öka.

Ett år efter att dataskyddsförordningen trädde i En av de mest centrala och mest frekvent kraft genomförde IMY en undersökning av hur återkommande synpunkterna i de remisser IMY långt dataskyddsarbetet kommit i svenska företag, svarat på under de senaste åren har rört behovet myndigheter och andra organisationer. Resultatet visade av att tidigt i lagstiftningsarbetet göra en ingående att de flesta fått grundläggande strukturer och rutiner integritetsskyddsanalys. Ju mer genomarbetad nationell på plats, men att det fortfarande i många verksamheter lagstiftning som kompletterar dataskyddsförordningen är, saknades ett systematiskt och kontinuerligt arbete. desto enklare blir det för företag, myndigheter och andra Branscher som hade större utmaningar var generellt organisationer att tolka och tillämpa dataskyddsreglerna. kommuner och regioner, transportsektorn, hotell- och Vi får då också en lagstiftning som är homogen och restaurangbranschen samt småbolag med mindre än 10 heltäckande och ger verksamheterna det stöd de anställda. Genomgående beskrev företag, myndigheter behöver för sin personuppgiftshantering.

och andra organisationer att de största utmaningarna i dataskyddsarbetet handlade om att få till fungerande processer i det löpande arbetet och att tolka regelverket. 1.1.4 Exempel på svensk forskning om

integritet och dataskydd

IMY:s övergripande bedömning är att det nu, två och ett halvt år efter att dataskyddsförordningen I rapporten ges några exempel på färsk eller pågående trädde i kraft, fortfarande i många verksamheter finns svensk forskning inom integritet och dataskydd. omfattande brister som rör grundläggande skyldigheter Forskningen har identifierat flera riskområden när det i dataskyddsarbetet. De närmare 500 sanktionsavgifter gäller personlig integritet, bland annat när det gäller AI. som hittills utfärdats inom EU visar att de vanligaste Identifierade problemområden med AI handlar bland överträdelserna handlar om att de grundläggande annat om risken för partisk AI och missbruk men också principerna inte följs, att rättslig grund för behandlingen att säkerställa ansvarsfrågor och transparens. saknas, att enskildas rättigheter inte hanteras som de ska eller att säkerhetsåtgärderna varit otillräckliga. Inom akademin finns också ett antal pågående projekt och initiativ som på olika sätt syftar till att höja Även de cirka 7 500 klagomål som skickats in till IMY ger integritetsskyddet. Ett område som flera lärosäten bilden av att det finns återkommande brister kring rättslig forskar om är transparens och nya verktyg för att grund, enskildas rättigheter och säkerhetsåtgärder. öka användarnas kunskap om och kontroll över vilka Ungefär en fjärdedel av alla klagomål handlar om de personuppgifter som samlas in och används – av rättigheter som förordningen ger medborgarna. Den vem, på vilket sätt samt eventuella konsekvenser av vanligaste rättigheten som berörs i klagomålen är rätten användningen. Integritet vid användning av appar till radering och därefter rätten till information. Andra har stått i fokus i flera studier. När det gäller inbyggt vanliga klagomål handlar om bristande säkerhet eller att dataskydd och dataskydd som standard har forskare medborgare ifrågasätter om verksamheterna har rätt att arbetat fram onlineutbildningar i dataskydd, bland hantera personuppgifter på det sätt de gör, det vill säga annat en med särskilt inriktning mot inbyggt dataskydd. om det finns rättslig grund. Forskning pågår också för att utveckla säkra molntjänster och höja säkerheten i IoT. Omkring 11 000 personuppgiftsincidenter har hittills anmälts i Sverige sedan dataskyddsförordningen trädde i kraft. En viktig slutsats från anmälningarna är att många incidenter orsakas av den mänskliga faktorn. Det accentuerar behovet av att relevanta it-säkerhetsåtgärder kompletteras med organisatoriska åtgärder i form av till exempel löpande utbildning och andra åtgärder för att öka kunskapen och medvetenheten hos medarbetarna.

14 IMY | Integritetsskyddsrapport 2020

27

1.2 Slutsatser

1.2.1 De flesta känner till att allt vi gör

på nätet lämnar spår – men ny teknik

Det är en sliten formulering att teknikutvecklingen går tar datainsamlingen på nätet till nya

snabbt. Likväl är det – i beskrivningen av utvecklingen på dimensioner

it-området när det gäller frågor som rör integritet och ny teknik – en helt avgörande utgångspunkt som behöver Att så gott som allt vi gör online lämnar spår och ligga till grund för alla efterföljande, mer detaljerade kan kartläggas förvånar knappast någon längre. slutsatser och rekommendationer. För många människor i västvärlden är den digitala

annonsmarknaden sannolikt det område där Det finns en mängd svåra och angelägna dagsaktuella omfattningen (och hastigheten) i den datainsamling som frågor i dataskyddsarbetet. Många organisationer idag sker på nätet blir som mest uppenbar. Utvecklingen uppvisar fortfarande brister i de grundläggande av AI har varit en viktig möjliggörare. Ekonomiska skyldigheter som införts genom dataskyddsförordningen. drivkrafter har också spelat stor roll och möjligheterna Att tolka och tillämpa regelverket utmanar företag att tjäna pengar på data har lett till framväxten av nya och andra verksamheter, dataskyddsombud och affärsmodeller som i stor utsträckning bygger på en andra som arbetar praktiskt med dataskydd samt ökad insamling och bearbetning av data. Vi har vant oss dataskyddsmyndigheterna runt om i Europa. Några vid att en viss sökning på internet, ett besök på en viss exempel på utmaningar som varit särskilt aktuella webbsida eller nedladdning av en viss app strax efteråt under 2020 är hur tredjelandsöverföringar (det vill säga resulterar i att annonser på samma tema syns i våra överföring av personuppgifter till länder utanför EU/EES) digitala flöden. Även om personaliserad marknadsföring ska hanteras efter EU-domstolens avgörande i Schrems på nätet för en del skapar en olustkänsla, har det blivit en II-målet och olika frågor som aktualiserats med anledning del av vår digitala vardag. av den pågående Covid 19-pandemin.

Samtidigt är det viktigt att understryka, att även om vi Med exponentiell utveckling följer också – om inte vant oss vid att vara föremål för omfattande spårning riskreducerande åtgärder vidtas – exponentiellt ökande på nätet betyder det inte att databehandlingen är laglig. integritetsrisker. I exponentiella utvecklingsprocesser Tvärtom har flera europeiska myndigheter kommit till finns alltid en risk att vi tillmäter kortsiktiga frågor slutsatsen att en stor del av den handel med data som oproportionerligt stor betydelse och att de steg och mått sker i den digitala annonsindustrin är problematisk. Flera som tas för att motverka risker är ”linjära”. myndigheter, såväl i Sverige som i andra EU-länder, har i granskningar av den digitala annonsindustrin visat på det Mot denna bakgrund är ambitionen här inte primärt stora antalet aktörer som våra personuppgifter sprids till. att beskriva frågor som i nuläget står högt på många Ett besök på en webbplats eller nedladdning av en app dataskyddspraktikers agenda utan att peka på större leder många gånger till att våra personuppgifter delas och mer övergripande slutsatser och iakttagelser. Dessa med mellan 10 och 30 andra företag utan att vi har någon ligger sedan till grund för de rekommendationer som affärsmässig relation med dem. rapporten utmynnar i.

Såväl norska som brittiska myndigheter har i skarpa uttalanden klassat stora delar av den digitala annonsindustrin som illegal. Den brittiska dataskyddsmyndigheten ICO konstaterar att datahantering som strider mot dataskyddsreglerna genomsyrar hela branschen. Tre problemområden pekas ut särskilt; brist på transparens, avsaknad av rättslig grund för att behandla uppgifterna och bristande säkerhet. Omfattningen av skapandet och delandet av konsumentprofiler är oproportionerlig, inkräktande och oriktig – särskilt som många användare är omedvetna om att processerna sker. Komplexiteten och de många aktörerna gör det svårt även för verksamheterna själva att fullt ut överblicka vem som tar del av vilken data. Att säkerställa tillräckliga säkerhetsåtgärder är därmed problematiskt, särskilt när personuppgiftsbehandlingen involverar känsliga eller särskilt integritetskänsliga personuppgifter.

IMY | Integritetsskyddsrapport 2020 15

28

Det finns tydliga tecken på att negativa konsekvenser Ett annat dilemma är att bulken av all information som av den omfattande datainsamlingen som sker på nätet samlas in är information som finns öppet tillgänglig på blivit en allt viktigare fråga för människor i Sverige nätet, inte sällan uppgifter som vi själva offentliggjort. under de senaste åren. Allt fler känner oro för hur deras I mindre mängder är uppgifterna ofta harmlösa, men personuppgifter hanteras och allt fler vidtar åtgärder för när informationsmängderna ökar exponentiellt ökar att skydda sina personuppgifter, eller avstår helt från också integritetsriskerna i samma takt. Slutligen att använda digitala tjänster som upplevs som osäkra. ökar integritetsriskerna av det faktum att uppgifter Ändå är magnituden och de potentiella konsekvenserna delas mellan olika aktörer på ett sätt som ofta är av hittills genomförd, men framför allt pågående svåröverblickbart för den enskilde individen. och kommande, datainsamling svår att kontrollera De allvarligaste överträdelserna går sannolikt att och överblicka. stävja med en kombination av kraftfull självsanering i Ett start-upbolag som erbjuder en app-lösning till branschen, skärpt tillsyn och kompletterande regelverk. brottsbekämpande aktörer är ett tydligt exempel på hur Grundläggande informationssäkerhetsåtgärder är också ny teknik tar datainsamlingen på nätet till nya nivåer. en viktig del av lösningen – med en höjd lägstanivå Företaget har med webbskrapningsteknik byggt upp en minskar risken för felaktig hantering som beror på den databas med tre miljarder ansiktsbilder som hämtats mänskliga faktorn. IMY:s bedömning är dock att problem från bland annat sociala medier. Med hjälp av AI och med olaglig datainsamling på nätet kommer att utgöra ett ansiktsigenkänningsteknik är det möjligt att ta en bild av bestående problem under lång tid framöver. en person, matcha den mot databasen och få veta vem personen är och få tillgång till all information som finns tillgänglig på nätet om personen i fråga. 1.2.2 Med Internet of things flyttar

spårningen på nätet ut i städer och hem

Sammanfattningsvis har utvecklingen av AI under de senaste åren bidragit till en kraftigt ökad insamling av Med bland annat hjälp av kroppsnära teknik och data om vårt beteende på nätet som i grunden påverkat geospatiala sändare har datainsamlingen kommit att den personliga integriteten. Att vi vant oss vid att allt oftare omfatta våra rörelsemönster och beteenden vara föremål för omfattande spårning på nätet är inte även i den fysiska världen. Till vilka adresser åker vi, hur synonymt med att den omfattande insamlingen och ofta, hur länge stannar vi, vilka andra är där samtidigt? bearbetningen av data som sker är laglig. Utvecklingen ger en mängd aktörer tillgång till en fullständig bild av våra liv, våra intressen, våra kontakter, Ur den enskilda individens perspektiv är ett centralt våra rörelsemönster, vanor och beteenden. problem att möjligheterna att med AI-teknik bearbeta och samköra stora mängder data gör att information IMY:s bedömning är att Internet of things, IoT, är ett av som ursprungligen inte är särskilt känslig – kanske de utvecklingsområden som kommer ha störst påverkan inte ens utgör personuppgifter – i kombination med på den personliga integriteten under de kommande andra datamängder kan ändra karaktär och bli väldigt åren. Att utvecklingstakten är hög när det gäller IoT integritetskränkande. Det blir därmed allt svårare visar sig genom att det är inom det här området som för enskilda att själva värdera känsligheten i en antalet patentansökningar har ökat snabbast de senaste viss information. åren. Mellan 2016 och 2019 fyrdubblades antalet patentansökningar som rör IoT. Kombinationen av Genom allt större möjligheter att indirekt identifiera utveckling inom ”smarta städer” och ”smarta hem” gör individer i stora datamängder utökas också att vi omges av allt mer högpresterande – och potentiellt integritetsskyddsområdet. Etiska frågor om integritetskränkande – teknik, såväl i det offentliga personlig integritet och praktisk tillämpning av rummet som i våra hem. dataskyddsregelverken kan därför under kommande år behöva beaktas även på områden och i frågor som Det riktigt breda genomslaget för IoT bedöms dock vid första anblick inte alls handlar om behandling fortfarande ligga framför oss. Drygt hälften av den av personuppgifter. svenska befolkningen uppgav 2019 att de hade en uppkopplad sak i hemmet. När det gäller tillämpningar i industrin och smarta städer bedöms utrullningen av 5G (och 6G) komma ha stor betydelse för en intensifierad användning de närmaste åren.

16 IMY | Integritetsskyddsrapport 2020

29

Tack vare sensorer och sändare som tar mindre Risken är stor att frånvaron av transparens som idag utrymme, men samtidigt är mer kraftfulla, har nya och genomsyrar den digitala annonsmarknaden och annan förbättrade möjligheter skapats att samla in data i alla handel med data på nätet sprider sig även till den slags former i det fysiska rummet, i allt större volymer, i fysiska världen, till smarta hem och smarta städer. nya format, på nya platser och i nya sammanhang. Nya Kännetecknande är att det i praktiken är omöjligt för den typer av sensorer och sändare kan tillsammans samla enskilde att överblicka hur ens data behandlas och av in data över ett mycket stort fysiskt område. De kan vem, men också svårt för de ansvariga verksamheterna monteras fast på till exempel byggnader, men också att ha full kontroll över data och ansvarsförhållanden. kopplas till rörliga objekt som fordon eller drönare. Även de brister som idag finns på nätet i form av Utvecklingen har kommit så långt att sensorer och omfattande personuppgiftsbehandling utan rättslig grund sändare bedöms kunna krympa till storleken av ett och med bristande säkerhet riskerar att följa med ut i den dammkorn och kopplas ihop i nätverk av ”smart damm” fysiska världen. som kan flyta med strömmar och vindar. Potentialen Sverige, och andra länder, kan komma att hamna i för utvecklingen har beskrivits som att multiplicera IoT ett läge där vi först sent i pågående digitaliseringsvåg miljoner gånger. på allvar inser vidden av hur den personliga En av de största riskerna med detta är att många av de integriteten påverkas – eller kommer att påverkas – av IoT-produkter som hittills utvecklats generellt har en låg den omfattande datainsamlingen. När funktioner säkerhetsnivå. En begränsande faktor i sammanhanget som till exempel individualiserad uppvärmning har sannolikt handlat om ekonomiska incitament – att eller avfallshantering från hushåll, nätverk av bygga in ett adekvat skydd medför kostnader som kan sensorer i ett alltmer automatiserat trafiknät eller upplevas som omotiverade så länge efterfrågan från ansiktsigenkänningsteknik i bilar för att upptäcka konsumenterna inte är mer uttalad. På informations- och rattonykterhet väl har lanserats på bred front, kan det i cybersäkerhetsområdet har flera svenska myndigheter praktiken vara omöjligt att återkalla eller begränsa en pekat på att brister kring IoT medför risker ur ett omfattande datainsamling även om den konstateras vara säkerhetsskyddsperspektiv. oproportionerlig, oriktig och integritetskränkande.

Ur ett integritetsskyddsperspektiv handlar riskerna som Erfarenheterna från hur datainsamlingen på nätet följer av IoT och nätverk av uppkopplade sensorer och utvecklats visar hur kombinationen av ekonomiska sändare främst om att enskilda individer ofrånkomligen incitament, den snabba framväxten av nya affärsmodeller riskerar att fångas upp och övervakas, även om det inte och utfasande av tidigare lösningar gör att utvecklingen är syftet med datainsamlingen. Cyberfysiska system går framåt med sådan fart att politiken och lagstiftaren inom industrin eller smarta städer kommer att utgöra har svårt att hinna med. Att ett ändamålsenligt dataskydd komplexa nätverk av fysiska maskiner, robotsystem, byggs in redan från början i den cyberfysiska infrastruktur automatiserade fordon, digitala plattformar som som nu växer fram är därför mycket angeläget. kontrolleras av människor i kombination med AI-baserad När organisationer samverkar och delar data kan nya mjukvara. risker uppstå. Eftersom det är först i de aggregerade När mängden data som kommuniceras mellan maskiner datamängderna som hela riskbilden framträder behöver ökar kraftigt, finns en uppenbar risk att den indirekta arbetssätt utvecklas där organisationer gör konkreta datainsamlingen ökar i motsvarande utsträckning. risk- och konsekvensanalyser både tillsammans och Sensorer på byggnader eller bilar kan förväntas fånga var för sig. För att bygga en hållbar utveckling behöver upp även ”irrelevanta” data, till exempel bilder av organisationer redan från början bygga in dataskydd som personer som går över gatan. Samtidigt möjliggör 5G standard och ta ansvar för säkerheten i produkterna, positionering och bildöverföring med mycket större både vad gäller det enskilda bidraget och aggregerade precision och hastighet än tidigare nätverk. Under vissa konsekvenser av hur datan delas, förädlas och omständigheter kommer det vara enkelt att identifiera återanvänds i kommande led. enskilda individer, i synnerhet om datan samkörs med Sammanfattningsvis kan utvecklingen beskrivas som andra typer av uppgifter. att den omfattande insamling av data som sker på nätet – som de flesta i någon mån känner till och som blivit en del av vår digitala vardag – nu flyttar ut i den fysiska världen där den blir än svårare att upptäcka, kontrollera och avskärma sig från. Om inte riskreducerande åtgärder vidtas är sannolikheten stor att de brister och risker som idag finns på nätet också kommer att genomsyra våra smarta hem och städer. En negativ utveckling med bristande integritetsskydd blir allt svårare att bromsa och läka i efterhand och medför också risker med avseende på informations- och cybersäkerhet.

IMY | Integritetsskyddsrapport 2020 17

30

1.2.3 Insamling av biometrisk data ökar 1.2.4 Höga ambitioner när det gäller

datadriven innovation behöver

Parallellt med att IoT och utvecklade nät genom 5G är

kombineras med kraftfulla åtgärder för

på väg att få ett bredare genomslag ökar insamlingen av biometriska uppgifter. Data om våra fysiska egenskaper att stärka integritet och säkerhet – som exempelvis hand- och fingeravtryck, ansikts-, röst- Som beskrivits ovan har Sverige en ambitiös och taligenkänning eller DNA – kompletteras i allt större digitaliseringspolitik där en rad konkreta politiska initiativ utsträckning med beteendebaserade uppgifter som vidtagits för att främja datadriven innovation. Genom gångstil, rörelse- och talmönster, handstil, ansiktsuttryck bland annat ett antal uppdrag till olika myndigheter har och sömnmönster. regeringen verkat för att främja användningen av AI Användning av biometriska uppgifter kan bidra till ökad och användandet av data som strategisk resurs. Ett bekvämlighet, snabbhet och säkerhet inom en rad antal konkreta steg har också vidtagits för att främja samhällsområden och blir allt vanligare bland annat inom digitaliseringen av offentlig sektor. offentlig förvaltning, bank- och finans samt hälso- och sjukvården. Ett konkret exempel är hur ny teknik för När det gäller åtgärder för att minska riskerna med interaktion mellan människor och datorer på kort tid fått digitaliseringen, hantera frågor om etik och säkerhet många mobiltelefonanvändare att överge säkerhetskoder och säkerställa skyddet för enskildas rättigheter, har till förmån för identifiering med fingeravtryck eller arbetet hittills inte fått lika konkreta former i Sverige. ansiktsigenkänning. Röststyrningen slår också igenom Viktiga satsningar har skett inom informations- och allt mer och de digitala assistenterna blir allt smartare. cybersäkerhetsområdena – områden som har många beröringspunkter med dataskydd – vilket är positivt. För den enskilde individen finns dock en rad inneboende Däremot saknas konkreta mål och åtgärder i stor risker som handlar om att biometriska uppgifter kan utsträckning för integritets- och dataskyddet. manipuleras eller användas för andra syften, till exempel identitetsstöld, intrång, utpressning eller bedrägerier. Utvecklingsmässigt finns ett viktigt momentum nu, innan Precis som för andra typer av data finns också en risk för det bredare genombrottet skett för bland annat AI och IoT ändamålsglidning, det vill säga att uppgifterna används och insamlingen av biometriska uppgifter ökat ytterligare. för andra syften än de ursprungligen samlades in för. Den snabba utvecklingen av den digitala annonsindustrin Biometriska uppgifter aktualiserar också särskilda och handel med data på nätet visar att när en omfattande risker kopplat till bristande transparens. Att utöva sina datainsamling väl implementerats i verksamhets- eller grundläggande rättigheter kan vara svårt om den affärsmodellen är de ekonomiska kostnaderna höga och enskilde individen inte förstår att en viss typ av uppgifter incitamenten ofta starka för att inte dra tillbaka dem. Den utgör personuppgifter – vilket för många sannolikt inte är exponentiella utvecklingen behöver därför kombineras uppenbart när det gäller teknik som bygger på vitt skilda med konkreta och kraftfulla åtgärder för att nu säkerställa biometriska egenskaper och beteenden och som nu integriteteten och säkerhetsaspekterna i utvecklingen. utvecklas i snabb takt.

Ur ett integritetsskyddsperspektiv är den mest oroväckande egenskapen hos biometriska personuppgifter att de inte enkelt kan ändras eller ersättas om de går förlorade. Ett lösenord eller passerkort kan ersättas med ett nytt om det skulle gå förlorat. Om individen förlorar kontrollen över sina biometriska personuppgifter kan de däremot inte ersättas. Integritetsskadorna kan i värsta fall bli permanenta, vilket gör integritetsfrågor kring biometri särskilt angelägna.

18 IMY | Integritetsskyddsrapport 2020

31

1.3 Rekommendationer

En tydlig integritetsskyddspolitik behöver innehålla konkreta mål och åtgärde r. En riskbaserad ansats bör vara utgångspunkten för arbetet och det bör framgå av Givet den exponentiella teknikutvecklingen och för den politiska inriktningen hur Sverige avser att minska att nå regeringens vision om en hållbar digitalisering, riskerna kring teknikutvecklingsområden som till exempel är det angeläget att politiska åtgärder för att stärka AI, IoT och biometri där integritetsriskerna är särskilt datadriven utveckling, innovation och användningen stora. Det kan möjligen också finnas anledning att särskilt av AI kompletteras med konkreta mål och åtgärder utreda i vilken mån och på vilket sätt den offentliga för att stärka skyddet för medborgarnas integritet. förvaltningen bör nyttja denna typ av högriskteknik. Särskilt angeläget är det att arbetet med att digitalisera den offentliga förvaltningen matchas med handfasta Även om integritets- och dataskyddsfrågor finns i åtgärder för att värna enskilda medborgares rättigheter. alla samhällssektorer är det angeläget att ansvaret Tappar medborgarna förtroendet för hur offentlig sektor för integritetsskyddspolitiken har en tydlig hemvist hanterar deras data riskerar tilliten till samhället i stort att inom regeringen och Regeringskansliet. Idag sker påverkas negativt. styrningen av IMY från Justitiedepartementet. Givet integritetsskyddsfrågornas starka inslag av mänskliga Mot denna bakgrund lämnar IMY följande rättigheter och det praktiska dataskyddsarbetets rekommendationer. stora inslag av rättsutveckling anser vi att det är en god ordning. För att inte gapet mellan teknik- och rättsutveckling ska öka ytterligare är det dock angeläget 1.3.1 Sverige behöver en att utformningen av en integritetsskyddspolitik integritetsskyddspolitik integreras nära med andra politikområden, inte minst digitaliseringspolitiken . De forum och strukturer som Den stora potentialen i den fjärde industriella regeringen skapat för att driva digitaliseringspolitiken revolutionen handlar om att förädla och använda data (som till exempel Digitaliseringsrådet) har som strategisk resurs. Genom datadriven utveckling därmed en roll att fylla även i utformningen av en kan Sverige och EU bättre möta samhällsutmaningar integritetsskyddspolitik. Integritetsskyddspolitiken till exempel i form av miljö- och klimatåtgärder och behöver också integreras i regeringens satsningar på utveckla en mer kvalitativ och effektiv välfärd. De stora informationssäkerhet- och cybersäkerhet. Sammantaget datamängderna skapar också tillväxt för företag och ställer en integritetsskyddspolitik krav på nära samverkan nya digitala produkter och tjänster skapar värde för inom olika delar av Regeringskansliet, inte minst medborgare. Regeringen har de senaste åren gjort eftersom viktiga beröringspunkter också finns med till ambitiösa satsningar för att främja användandet av exempel konsument- och konkurrensfrågor. öppna data, AI-tillämpning och datadriven innovation i såväl privat som offentlig sektor. Regeringen har också gjort flera satsningar inom informations- och 1.3.1.1 Satsningar på integritetsskyddsteknik cybersäkerhetsområdena, vilket är positivt. för tillväxt och konkurrenskraft

Lika mycket som exponentiella teknologier rymmer Nu behöver dessa delar av politiken kompletteras integritetsrisker är teknisk utveckling och innovation helt med lika konkreta mål och åtgärder för att säkerställa central för att utveckla morgondagens integritetsskydd. att utvecklingen är hållbar ur ett integritetsperspektiv, En central del av Sveriges integritetsskyddspolitik bör att vi inte bygger in oss i en storskalig insamling och därför vara offensiva investeringar för att stimulera användning av data som är oetisk, olaglig eller på ett forskning och utveckling av teknik som skyddar allvarligt sätt inskränker kommande generationers människors rätt till personlig integritet . mänskliga rättigheter. De senaste åren har ett antal forskningsinitiativ startats IMY:s bedömning är att Sverige behöver en tydligare med inriktning på integritetsskyddande teknik, men integritetsskyddspolitik . Med detta menar vi ett väl behoven är fortsatt stora. Det kan till exempel handla definierat politikområde som konkretiserar mål och om att utveckla metoder för att göra träning och åtgärder för att i den pågående digitaliseringen tillämpning av AI-algoritmer mer integritetsvänlig, att säkerställa människors rätt till privatliv och rätten utveckla lösningar för att säkerställa att AI-teknik inte till självbestämmande i samband med behandling diskriminerar enskilda individer, att öka säkerheten av personuppgifter. i molntjänster och IoT samt fortsätta utveckla AIbaserad säkerhetsteknik eller anonymiserings- och krypteringslösningar. Tvärvetenskapliga ansatser behövs då utveckling, säkerhet, dataskydd och integritet ofta drivs av olika professioner och en långsiktigt hållbar utveckling kräver breda ansatser.

IMY | Integritetsskyddsrapport 2020 19

32

Dataskyddsförordningen har genom kraven på 1.3.1.3 Integrera dataskydd i pågående arbete

inbyggt dataskydd och dataskydd som standard lagt med att förstärka Sveriges informations- och

en god grund. Givet de enhetliga kraven i EU – och

cybersäkerhet

hur allt fler länder även utanför Europa anpassar Både nationellt och på EU-nivå har en rad insatser sig till de europeiska dataskyddsreglerna – finns vidtagits för att höja Sveriges informations- och här goda tillväxtmöjligheter och en tydlig nisch där cybersäkerhet. Samtidigt bedömer ansvariga Sverige med sin starka it- och telekom-bransch har myndigheter på området att det behövs kraftfulla åtgärder goda förutsättningar att bli världsledande. Genom för att fortsätta höja grundnivån av informations- och satsningar på forskning och utveckling har regeringen cybersäkerhet i samhället. Dataskydd, informations- och möjlighet att stimulera innovativa tekniklösningar som cybersäkerhet – och i förekommande fall säkerhetsskydd skyddar mänskliga rättigheter och samtidigt bidrar till – kräver i stor utsträckning samma typ av kontinuerligt svensk konkurrenskraft. och systematiskt arbete, där hot, sårbarheter och risker

ur olika perspektiv analyseras löpande och ligger till

1.3.1.2 Stärk enskilda individers rättigheter och grund för att utforma, genomföra och följa upp åtgärder.

möjlighet att kontrollera den egna datan Tillsammans är de olika perspektiven länkar i en större

kedja som minskar risker för människors säkerhet Regeringen har i budgetpropositionen för 2021 och grundläggande fri- och rättigheter och skyddar aviserat ambitionen att under 2021 ta fram en nationell såväl företag och andra verksamheters tillgångar som datastrategi. Strategin är ett viktigt tillfälle för regeringen samhällets funktionalitet och robusthet. Eftersom stora att konkretisera mål och åtgärder för att stärka enskilda mängder uppgifter om andra länders medborgare kan individers rättigheter och möjligheter att kontrollera den vara ett reellt geopolitiskt maktmedel är ett effektivt egna datan – både i förhållande till myndigheter och i dataskydd också en central komponent även i skyddet av privat sektor. Det kan till exempel handla om åtgärder Sveriges säkerhet. för att främja utvecklingen av appar eller andra verktyg

som gör det enklare för människor att själva kontrollera IMY:s bedömning är att integritetsskyddspolitiska mål

och bestämma hur deras data används. Området och aktiviteter bör integreras med det nationella arbetet

är i sin linda, men i Sverige pågår forskning vid till med informations- och cybersäkerhet . Mer konkret kan

exempel Karlstad, Lund och Luleå Tekniska universitet. detta ske till exempel genom att regeringen kompletterar

Regeringen bör i framtagandet av datastrategin dra den nationella strategin för samhällets informations-

nytta av den forskning som finns på området i Sverige och cybersäkerhet med mål och åtgärder som avser

och kan också ta stöd i det arbete som kommissionen dataskydd. I nästa steg bör även handlingsplanen som

gör på området. hör till strategin och uppdraget till de myndigheter som

ansvarar för att genomföra handlingsplanen ses över. För att behålla medborgarnas tillit är det centralt hur Det befintliga samarbetet mellan IMY, Myndigheten offentlig sektor hanterar medborgarnas data. Regeringen för samhällsskydd och beredskap, MSB, och övriga uppdrog i september 2020 åt Arbetsförmedlingen, myndigheter som ansvarar för åtgärder i den nationella E-hälsomyndigheten, Myndigheten för digital förvaltning handlingsplanen bör också förstärkas. och Skatteverket att genomföra en omvärldsanalys och ta

fram ett koncepttest som visar hur individens möjligheter Såväl Säkerhetspolisen som försvarsmyndigheter har

till insyn och kontroll över de data om individen som finns uttalat att utvecklingen av 5G och IoT kommer att ha

hos offentlig sektor, och i förlängningen även de data om betydelse för svensk säkerhet under lång tid framöver.

individen som finns hos privat sektor, kan öka. Uppdraget Säkerhetsskyddslagstiftningen har också uppdaterats

ska redovisas senast den 1 juni 2021. IMY ser positivt för att omfatta fler både privata och offentliga

på uppdraget och bedömer att det sannolikt behöver verksamheter. Bland annat Försvarsberedningens

åtföljas av fler uppföljande uppdrag eller utredningar för rapporter och regeringens nationella säkerhetsstrategi

att stärka enskilda individers möjligheter att kontrollera betonar att hela samhället behöver engageras i arbetet

den egna datan. med samhällets informations- och cybersäkerhet.

Dilemmat är att det är många aktörer i samhället som Som ett led i att stärka enskilda individers rättigheter inte omfattas av regelverken på området. Eftersom kommer IMY under 2021 att utifrån inkomna klagomål dataskyddsregleringen gäller för alla verksamheter börja återkoppla de brister som klagomålen gör gällande som hanterar personuppgifter kan dataskyddsarbetet till de företag, myndigheter och andra organisationer som sägas utgöra en plattform för en stark informations- och klagomålen riktar sig mot. Vi kommer också att inleda fler cybersäkerhet i Sverige. tillsyner än tidigare baserat på klagomål. Vår bedömning

är att detta förändrade arbetssätt kan ge signaler om

förbättringsbehov och bidra till lärande i såväl granskade

som andra verksamheter. På det sättet verkar vi för ett

tryggt informationssamhälle.

20 IMY | Integritetsskyddsrapport 2020

33

Det praktiska dataskyddsarbetet förutsätter En tredje aspekt för att främja fortsatt regelutveckling att varje organisation har god kontroll på sina handlar om att öka kunskapen om dataskyddsregleringen informationsmängder, gör systematiska risk- och hos Sveriges innovationsaktörer , det vill säga konsekvensanalyser och vidtar löpande åtgärder för att organisationer, människor och nätverk som driver höja säkerheten kring informationen. Ökar kvaliteten skapande, spridning och innovativ exploatering i dataskyddsarbetet förbättras därmed även Sveriges av ny teknik. Det kan handla om till exempel förmåga att stå emot riktade cyberangrepp och minska forskningsfinansiärer, inkubatorer, science parks och riskerna för olyckor eller handhavandefel. Skyddet för projekt inom strategiska innovationsprogram. Syftet mänskliga rättigheter värnas samtidigt som Sveriges är att öka förmågan att ansvarsfullt bedriva datadriven digitala suveränitet förstärks. innovation och teknikutveckling. IMY, Vinnova och AI Sweden har under 2020 påbörjat ett samarbete för att utveckla strukturerade former för proaktiv vägledning 1.3.2 Vidta åtgärder för att främja i tidiga skeden av innovationsprojekt. Regeringen bör

fortsatt regelutveckling

överväga att skapa förutsättningar för IMY och Vinnova att genomföra riktade insatser för att höja kunskapen Dataskyddsförordningen bygger på ett antal hos privata och offentliga aktörer i det svenska grundläggande principer och omfattar ny teknik i takt innovationssystemet med avseende på integritets- och med att tekniken utvecklas. I sin tvåårsutvärdering dataskyddsfrågor. Genom att skapa former som medger av förordningen har EU-kommissionen pekat på en en dialog mellan IMY och innovationsaktörer tidigt i central utmaning som handlar om att klargöra hur innovationsprocessen ökar också myndighetens kunskap de grundläggande principerna ska tillämpas på ny om teknikutveckling och praktiska utmaningar och teknik, såsom AI, IoT eller ansiktsigenkänning. Den lösningar när dataskyddsregelverket appliceras på ny regulatoriska utvecklingen är i huvudsak EU-gemensam, teknik, vilket gör att myndigheten kan ge mer riktat stöd varför det är centralt att Sverige tar en aktiv roll i det och vägledning till fler aktörer. EU- gemensamma arbetet . I förlängningen bör regeringen överväga att skapa För IMY:s del kommer det även de närmaste åren förutsättningar för IMY att driva regulatorisk att vara en prioriterad uppgift att ta en ledande roll i testverksamhet . Inom flera länder i Europa pågår utformningen av för Sverige centrala vägledningar i försöksverksamhet med regulatoriska testbäddar där EDPB. För regeringens del kan åtgärder för att främja en dataskyddsmyndigheten ger en mer fördjupad vägledning fortsatt regelutveckling handla till exempel om att söka till utvalda innovationsprojekt. Regeringen bör noga följa koalitioner med andra medlemsstater vars uppfattning hur till exempel det norska försöket med en regulatorisk ligger nära Sveriges på teknikområden med särskilt testbädd utvecklas. stora integritetsrisker – till exempel AI, biometri och IoT – och bygga upp en pool av nationella specialister som kan nomineras när kommissionen eller EDPB formerar expertgrupper.

En central del i att främja den fortsatta regelutvecklingen handlar om att säkerställa att ny lagstiftning är förenlig med dataskyddsregleringen . Luckor eller motstridigheter i lagstiftningen riskerar annars att skapa situationer där företag och andra verksamheter i praktiken tvingas välja mellan att bryta mot olika regelverk eller inte har tydligt lagstöd för att utföra verksamhetskritiska personuppgiftsbehandlingar. Regeringen bör vid framtagande av utredningsdirektiv alltid överväga om det bör framgå särskilt att en integritetsanalys ska genomföras. För att underlätta för kommittéväsendet att säkerställa att lagförslag är förenliga med dataskyddsregelverket kommer IMY under 2021 att ta fram en uppdaterad vägledning för kommittéväsendet kring att genomföra integritetsanalyser. Vi föreslår att denna vägledning sedan införlivas i kommittéhandboken.

IMY | Integritetsskyddsrapport 2020 21

34

1.3.3 Privata och offentliga

verksamheter behöver fortsätta

förbättra sitt grundläggande

dataskyddsarbete

Inom ramen för en samlad integritetsskyddspolitik som föreslagits ovan bör regeringen vidta åtgärder för att säkerställa att privata och offentliga verksamheter fortsätter att förbättra sitt grundläggande dataskyddsarbete . Många företag och myndigheter driver ett ambitiöst dataskyddsarbete. Samtidigt visar de cirka 500 ärenden med sanktionsavgifter som hittills beslutats av tillsynsmyndigheterna inom EU att merparten av överträdelserna rör grundläggande skyldigheter. Data behandlas på ett sätt som strider mot dataskyddsförordningens grundläggande principer, utan rättslig grund eller med bristfälliga säkerhetsåtgärder. Sammanfattningsvis visar sanktionsavgifterna att lägstanivån i dataskyddsarbetet fortfarande behöver höjas. Dataskyddsförordningen anger flera verktyg för ett systematiskt dataskyddsarbete som hittills underutnyttjats, till exempel konsekvensbedömningar, förhandssamråd och uppförandekoder.

Regeringen bör säkerställa uppföljning av hur arbetet med dataskydd utvecklas i den offentliga förvaltningen . Precis som regeringen tidigare konstaterat gällande informations- och cybersäkerhet behöver företag och andra organisationer öka sin kompetens även om dataskydd. Alla typer av organisationer behöver arbeta systematiskt med dataskydd. Dataskyddsarbetet behöver integreras med informations- och cybersäkerhetsarbetet och gå från att vara en teknisk eller juridisk fråga till en strategisk verksamhetsfråga. Att offentlig sektor inte har en oproportionerlig övervakning av människor och systematiskt arbetar för att säkerställa ett gott integritetsskydd är särskilt viktigt för att behålla tilliten till digitala lösningar. Uppföljning av hur den offentliga förvaltningens arbete med dataskydd utvecklas skulle till exempel kunna ske inom ramen för den struktur för uppföljning av det systematiska informationssäkerhetsarbetet som MSB har regeringens uppdrag att ta fram, alternativt genom särskilda återrapporteringskrav i myndigheters regleringsbrev.

22 IMY | Integritetsskyddsrapport 2020

35

2. Inledning

För att den digitala utvecklingen ska vara hållbar behöver satsningar på datadriven innovation kombineras med kraftfulla insatser för att värna den personliga integriteten.

I rapportens inledande avsnitt belyser vi varför en ökad användning av data är viktig - men också hur personlig integritet kan förstås och vad det har för betydelse ur till exempel ett demokrati-, säkerhets- och hållbarhetsperspektiv.

Vi går också igenom vissa skillnader och likheter mellan dataskydd, informationssäkerhet, cybersäkerhet och säkerhetsskydd och varför det är viktigt att se de olika delarna som länkar i en större kedja.

I det inledande kapitlet beskrivs också rapportens syfte och målgrupp samt hur vi gått tillväga när vi tagit fram rapporten.

IMY | Integritetsskyddsrapport 2020 23

36

Sverige är ett av EU:s mest digitaliserade länder, En del av Datainspektionens uppdrag har sedan länge med ambitionen att bli bäst i världen på att använda handlat om att följa, analysera och beskriva utvecklingen digitaliseringens möjligheter. Allt från demokrati, regional på it-området när det gäller frågor som rör integritet utveckling, handel och arbetsliv till sociala samspel och ny teknik. Under 2019 beslutade regeringen om 4 påverkas i grunden av teknikutvecklingen. Med hjälp av ett tillägg i myndighetens instruktion innebärande att datadriven och digital innovation skapas nya tjänster och en redovisning av utvecklingen på området ska lämnas funktioner som ger värde för samhälle, miljö, företag och till regeringen vart fjärde år. Regeringen har därefter 5 ökad livskvalitet för enskilda individer. beslutat att Datainspektionen per den 1 januari 2021 byter namn till Integritetsskyddsmyndigheten. Kärnan i Datainspektionens uppdrag har sedan myndigheten bildades 1973 varit att värna medborgarnas Denna rapport utgör Integritetsskyddsmyndighetens personliga integritet. Under 2018 förstärktes det (IMY:s) första redovisning av uppdraget att följa, rättsliga skyddet för den personliga integriteten analysera och beskriva utvecklingen på it-området genom EU:s generella dataskyddsförordning när det gäller frågor som rör integritet och ny teknik. (dataskyddsförordningen, ofta kallad GDPR) . Genomgående används IMY i rapporten för att beskriva 1 Kompletterande lagstiftning trädde ikraft i form av myndighetens uppdrag och kunskapsunderlag etcetera. dataskyddslagen och annan nationell lagstiftning. Datainspektionen används vid hänvisning till rapporter 2 Ett EU-direktiv på det brottsbekämpande området som har levererats i Datainspektionen namn. implementerades i Sverige genom brottsdatalagen (BdL) och brottsdataförordningen. Sammantaget 3 innebär de nya regelverken att det rättsliga skyddet för den personliga integriteten nu är starkare än någonsin tidigare.

Samtidigt medför teknikutvecklingen att även hot och risker för den personliga integriteten är mer omfattande, långtgående och potentiellt allvarligare än någonsin tidigare. Ständigt ökande mängder data samlas in hos privata och offentliga aktörer, ofta i praktiken utan att den enskilde individen kan överblicka hur datan används, av vem eller varför.

1. Europaparlamentets och rådets förordning (EU) 2016/679 av 4. Förordning (2007:975) med instruktion för den 27 april 2016 om skydd för fysiska personer med avseende Integritetsskyddsmyndigheten, 1 §. på behandling av personuppgifter och om det fria flödet av sådana 5. Förordning (2019:555) om ändring i förordningen (2007:975) med uppgifter och om upphävande av direktiv 95/46/EG (allmän instruktion för Integritetsskyddsmyndigheten. Den första redovisningen dataskyddsförordning). ska enligt regeringens beslut överlämnas till regeringen senast 2. Lag (2018:218) med kompletterande bestämmelser till EU:s den 1 oktober 2020. Med anledning av bland annat namnbytet har dataskyddsförordning, dataskyddslagen. Integritetsskyddsmyndigheten begärt förlängd tid för att lämna in 3. Brottsdatalagen (2018:1177), brottsdataförordningen (2018:1202). rapporten till den 28 januari 2021, vilket regeringen beviljat.

24 IMY | Integritetsskyddsrapport 2020

37

2.1 Om rapporten

2.1.1 Målgrupp, syfte och innehåll

Rapporten riktar sig i första hand till regering, riksdag och andra policyskapande beslutsfattare som har ett behov av att få ökad kunskap om och förståelse för Under 2019 beslutade regeringen om teknikutveckling och integritetsskyddsfrågor. Även ett tillägg i Datainspektionens (numera dataskyddsombud och andra som arbetar mer praktiskt Integritetsskyddsmyndigheten, IMY) med dataskydd, informations- eller cybersäkerhet kan instruktion innebärande att en redovisning sannolikt ha behållning av olika delar i rapporten.

av utvecklingen på it-området när det gäller

Syftet med rapporten är att

frågor som rör integritet och ny teknik ska

lämnas till regeringen vart fjärde år. Denna

• öka den allmänna kunskapen om teknikutvecklingen

rapport utgör den första redovisningen

och vilka teknikutvecklingsområden som har störst

enligt uppdraget.

betydelse för den personliga integriteten

Rapporten riktar sig i första hand • ge en översiktlig bild av hur bra Sveriges till regeringen, riksdagen och andra integritetsskydd är idag

policyskapande beslutsfattare. • belysa vissa åtgärder som genomförts som har

central betydelse för integritetsskyddet

Rapporten innehåller bland

• fungera som underlag för prioriteringar av ytterligare

annat en beskrivning av ett antal

åtgärder och bidra till utvecklingen av Sveriges

teknikutvecklingsområden och genomförda

integritetsskyddspolitik.

åtgärder som påverkar den personliga

integriteten. Syftet är att ge underlag för

prioriteringar och bidra till utvecklingen av Arbetet med att ta fram rapporten har dessutom gett Sveriges integritetsskyddspolitik. erfarenheter och kunskaper som kan komma till nytta i

IMY:s egen verksamhet framöver.

Rapportens kärna utgörs av en beskrivning av utvecklingen när det gäller digitalisering och ny teknik som återfinns i kapitel 5. Teknikavsnittet föregås av Förslaget att ge IMY i uppdrag att kontinuerligt lämna inledande beskrivningar av de nyttor som finns med en en redovisning till regeringen av utvecklingen på itökad användning av data som strategisk resurs, hur området när det gäller ny integritet och teknik lämnades personlig integritet kan förstås och varför det är viktigt ursprungligen av Integritetskommittén år 2016. Utöver 6 (kapitel 2), en beskrivning av den politik som bedrivs att regeringen tar del av rapporten, menade kommittén på området inom EU och i Sverige (kapitel 3) samt en att det bör införas en ordning där regeringen överlämnar sammanfattning av vilka krav regelverket ställer på rapporten till riksdagen i form av en skrivelse som även skyddet av personuppgifter (kapitel 4). innehåller regeringens egna kommentarer till rapporten.

Efter teknikavsnittet följer beskrivningar av hur bra Kommittén anförde att såväl regeringen som riksdagen integritetsskyddet kan sägas vara idag, utifrån ett antal har behov av kunskap för att kunna följa den snabba iakttagelser från IMY:s verksamhet (kapitel 6), och även teknikutveckling. Kunskap behövs till exempel om vilka en kort sammanställning av forskningsinitiativ som trender som kommer att vara av betydelse i framtiden bedrivs inom området (kapitel 7) i syfte att bland annat och om hur stort det sammanlagda trycket blir på adressera hur tekniken kan fortsätta att utvecklas och den enskilda individens privata sfär. Sådan kunskap samtidigt säkerställa den personliga integriteten. behövs för att på olika sätt kunna påverka utvecklingen i önskvärd riktning. Kommittén menade även att Rapportens viktigaste slutsatser och rekommendationer kunskapen är värdefull exempelvis när det gäller att återfinns tillsammans med sammanfattningen i början av bedöma dels behov av ny lagstiftning, dels effekterna av rapporten (kapitel 1). befintlig lagstiftning och andra åtgärder som innebär att enskilda registreras eller kartläggs. 7

6. SOU 2016:41 Hur står det till med den personliga integriteten? , sid. 647 ff. 7. Dataskyddsmyndigheterna har också enligt dataskyddsförordningen i uppdrag att följa utveckling som påverkar skyddet av personuppgifter och att ge råd åt bland annat riksdag och regering om lagstiftningsåtgärder och andra administrativa åtgärder rörande skyddet för fysiska personers rättigheter och friheter när det gäller behandling av personuppgifter. Se förordningen artikel 57 där tillsynsmyndigheternas uppdrag regleras.

IMY | Integritetsskyddsrapport 2020 25

38

2.2 Ökad användning av data

2.1.2 Metod och avgränsningar

Arbetet med rapporten inleddes med att ett tiotal – varför är det viktigt?

intervjuer genomfördes med experter inom integritet, ny teknik, dataskydd och angränsande områden. Under intervjuerna ställdes frågor om bland annat vad de intervjuade ansåg varit den mest aktuella och betydelsefulla utvecklingen som påverkat den Rapporten tar avstamp i konstaterandet att personliga integriteten under de senaste tre åren och det finns en stark ambition i Sverige och om det finns eventuella riskområden som de ansåg bör övriga EU att öka förmågan att bli ännu uppmärksammas särskilt. Slutsatserna från intervjuerna bättre på att analysera och skapa värde av har, tillsammans med IMY:s egna bedömningar och stora mängder data. erfarenheter, legat till grund för rapportens övergripande

Datadriven utveckling innebär helt

inriktning och urvalet av de områden vi valt att fokusera

nya förutsättningar för att skapa ett

på. I vissa delar återges också exempel, uttalanden eller

bättre samhälle, nu och för kommande

slutsatser från experterna.

generationer. Samhällsutmaningar som

Materialet i rapporten bygger primärt på miljö- och klimatarbete, en utvecklad omvärldsbevakning där bland annat olika redovisningar och mer effektiv välfärd och medicinsk av regeringsuppdrag, forskningsprojekt, rapporter forskning är viktiga exempel där den nya från konsultföretag och nyhetsartiklar ingår, tekniken kan göra omvälvande nytta. slutsatser från rapporter och beslut som IMY eller andra dataskyddsmyndigheter tidigare publicerat samt erfarenhet hos IMY:s specialister. En viktig informationskälla har också varit externa möten och samverkan som myndigheten löpande har med andra Tillgången till stora mängder data är i mångt och mycket myndigheter och organisationer. Även i utformningen av bränslet i den pågående digitaliseringen. I Sveriges rapportens slutsatser och rekommendationer har dialog digitaliseringsstrategi konstaterar regeringen att förts med vissa nära samverkansparter till IMY. möjligheten att analysera stora datamängder öppnar för ny kunskap som inte varit möjlig att erhålla på annat sätt. Rapporten är inte avsedd att användas som vägledning för praktiskt arbete med dataskydd och Inom en rad områden ger utvecklingen hopp om att informationssäkerhet. Sådan vägledning ges i första bättre kunna möta samtidens stora samhällsutmaningar, hand på dataskyddsområdet i de EU-gemensamma inte minst i miljö- och klimatfrågor. Genom nya sätt att vägledningar som arbetas fram inom ramen för resa, bo, konsumera, kommunicera och leva kan vi bli Europeiska dataskyddsstyrelsen, EDPB. bättre på att tillvarata och bevara jordens resurser på 8 ett hållbart sätt. Digitalt drivna innovationer kring vägar, Rapporten gör inte anspråk på att vara heltäckande. transporter och varuflöden kan till bidra till att minska Stora datamängder finns i alla delar av samhället klimat- och miljöpåverkan. Samhällsplaneringen blir mer och risker för den personliga integriteten kan variera ändamålsenlig när dimensioneringen av samhällskritiska beroende på sektorspecifika förutsättningar. Området är funktioner som vatten- och energiförsörjning och annan därför mycket omfattande. Teknikutvecklingen går också infrastruktur kan bygga på analys av stora mängder data. mycket fort, vilket snabbt kan göra iakttagelser om ny Även livsmedelsproduktion kan optimeras. teknik inaktuella. Mer djupgående tekniska beskrivningar saknas genomgående. Rapporten gör slutligen inte heller Datadriven utveckling har stor potential i utvecklingen anspråk på att utgöra ett fullständigt kunskapsunderlag. av den offentliga välfärden. Nya digitala metoder och Utgångspunkten har i stället tagits i IMY:s uppdrag arbetssätt kan bidra till att höja kvalitet och effektivitet och utifrån det adresseras frågor som aktualiseras i inom till exempel hälso- och sjukvården och skolan – verksamheten och omvärlden. men också skapa förutsättningar för en mer jämlik och likvärdig offentlig service i hela landet. Att analysera stora mängder data är sedan länge också en central metod för att skapa ett tryggare och säkrare samhälle, till exempel att analysera mobildata i brottsutredningar eller att kartlägga finansiella transaktioner för att förebygga och upptäcka bedrägerier och penningtvätt.

8. https://edpb.europa.eu/.

26 IMY | Integritetsskyddsrapport 2020

39

2.3 Vad innebär personlig

Ytterligare ett område där användning av persondata skapar stora värden är den mediciniska forskningen.

integritet och varför är

Med utgångspunkt i analyser av stora mängder patientdata kan nya metoder utvecklas för att upptäcka allvarliga sjukdomar, förbättra behandlingar och det viktigt?

minska biverkningar.

För såväl privat som offentlig verksamhet medför tillgången till och användningen av data möjligheter att bättre förstå användares beteenden och behov För att den digitala utvecklingen ska vara och därmed kunna erbjuda mer användarcentrerade hållbar är det avgörande att datadriven produkter och tjänster. Innovation och utveckling innovation kombineras med kraftfulla bidrar därmed till att skapa värde för såväl insatser för att värna den personliga medborgare och kunder som företag, myndigheter och integriteten. Kärnan i personlig integritet andra organisationer. handlar om den enskildes rätt till ett

privatliv och rätten till självbestämmande.

Några exempel på konkreta användningsområden där Ett privatliv innebär att ha möjlighet att ha analyserad data kan skapa stora värden är privata tankar och förtrolig kommunikation

utan att bli kartlagd, spårad eller övervakad.

• för att utveckla och effektivisera eller skapa helt nya

Självbestämmande handlar om att själv

former av befintliga produkter och tjänster

kunna kontrollera uppgifter som rör en

• för att mer precist kunna följa upp och kontrollera själv, vem som använder uppgifterna utrustning, flöden, anställda och andra delar i och varför. en verksamhet

Rätten till skydd för den personliga

• för att bättre förstå och kunna möta medborgares och

integriteten och skyddet för privatlivet är

kunders behov och beteenden

grundläggande rättigheter som skyddas av

• för att kunna förutse, och därmed påverka,

internationella konventioner, EU-rätten och

människors beteenden

svensk grundlag. Det är också i hög grad

• för att ta fram prognoser och scenarier och förutse en demokratifråga eftersom det är svårt att utvecklingen inom olika områden utöva andra grundläggande rättigheter som • inom forskningen. åsikts-, yttrande- och organisationsfrihet

om inte integritetsskyddet finns på plats.

Därtill är ett gott integritetsskydd en

Sammanfattningsvis är användningen av data en

hållbarhetsfråga, så att de system och

viktig förutsättning för att forskning och utveckling

processer vi nu skapar för att utvinna

ska kunna bidra till ett bättre samhälle, nu och för

och använda data inte omöjliggör för

kommande generationer.

kommande generationer att utnyttja

sina rättigheter.

När skyddet av personuppgifter fallerar

kan konsekvenserna för den enskilde bli till

exempel olika former av bedrägerier och

it-brott. Det gör att integritetsskydd har stor

betydelse för individers säkerhet.

Stora mängder uppgifter om andra länders

medborgare kan vara ett reellt geopolitiskt

maktmedel. Ett gott integritetsskydd får

därmed också konsekvenser för samhällets

säkerhet. Det finns viktiga överlappningar

och beröringspunkter mellan arbetet

med informations- och cybersäkerhet,

dataskydd och säkerhetsskydd.

IMY | Integritetsskyddsrapport 2020 27

40

Hur begreppet personlig integritet ska definieras är ta del av känsliga uppgifter som rör till exempel hälsa inte självklart. Det finns ingen allmänt vedertagen eller sexualliv. För det andra måste det alltid finnas definition, vilket konstaterats bland annat i ett skydd för rätten att ”stänga om sig”, det vill säga lagstiftningssammanhang. I de utredningar som utgångspunkten måste vara att den enskilde ska vara fri gjorts om personlig integritet under de senaste 50 att kunna avskärma sig från omgivningen. 12 åren återfinns dock en tydlig röd tråd som handlar Även Integritetskommittén från 2016 fann att det inte om individens rätt till en privat sfär och rätten till var meningsfullt att försöka finna en precis definition självbestämmande. av begreppet personlig integritet, bland annat eftersom I vidare mening omfattar begreppet personlig integritet rätten till en privat sfär inte är absolut utan relaterad till även rätten till skydd mot godtyckliga ingripanden som en rad olika omständigheter, som dessutom kan variera rör till exempel familj, hem eller korrespondens. I denna över tid. Kommittén fokuserade i första hand på digital rapport ligger dock fokus på personlig integritet som rör insamling, användning och spridning av uppgifter – skyddet av personuppgifter. inklusive bilder – om enskilda och deras personliga förhållanden. Utgångspunkt togs i den enskildes rätt till Redan 1966 års Integritetsskyddskommitté menade privata tankar och förtrolig kommunikation med andra, att integritetsbegreppet var liktydigt med den enskildes samt den enskildes möjligheter att själv avgöra vem som anspråk på att information om hans eller hennes i olika sammanhang ska få ta del av uppgifter som rör privata angelägenheter inte ska vara tillgänglig för eller denne. I den rätten ligger även ett skydd mot registrering, få användas av utomstående utan hans eller hennes spridning eller annan behandling av felaktiga, kränkande vilja. Drygt 20 år senare konstaterade Data- och 9 eller påhittade uppgifter. offentlighetskommittén att, även om det fanns ett antal olika definitioner av personlig integritet, så innehöll de Genom dataskyddsförordningens införande har så gott som alltid moment av dels den enskildes rätt enskildas rättigheter stärkts. Förordningen syftar till att till en fredad sektor, dels rätten till självbestämmande. stärka enskilda individers integritet genom bland annat Gemensamma nämnare i de olika definitionerna var ofta skydd mot att uppgifter behandlas utan lagligt stöd och den enskilde individens rätt att själv bestämma vilka rätt till information om, kontroll över och insyn i hur deras uppgifter om sig själv och sina personliga förhållanden personuppgifter behandlas. som individen ska lämna ifrån sig samt hur dessa Även om någon fast definition inte slås fast här och även uppgifter ska få användas och spridas. 10 om rättigheten inte är absolut, bör personlig integritet i I och med dataskyddsdirektivet och ikraftträdande det digitala samhället sammanfattningsvis kunna förstås av personuppgiftslagen, PUL, 1998, kom begreppet som den enskildes rätt till personlig integritet i Personuppgiftslagsutredningens • Privatliv. Rätten att få vara ifred, ha privata tankar översyn av personuppgiftslagen från 2004 att riktas mot och kunna kommunicera förtroligt med andra utan att automatiserad behandling av personuppgifter. 11 bli kartlagd, spårad eller övervakad. Integritetsskyddskommittén från 2008 förde ett likartat • Självbestämmande. Att själv kunna kontrollera resonemang som tidigare utredningar och konstaterade personuppgifter som rör en själv, vem som använder att det inte var möjligt, eller i vart fall inte meningsfullt, uppgifterna och för vilka syften. Detta är särskilt att formulera en definition av personlig integritet som angeläget när det handlar om vem som ska få ta pekar ut alla situationer i vilka individen har en rätt att del av känsliga uppgifter som rör till exempel hälsa få sin integritet respekterad och skyddad. Kommittén eller sexualliv. beskrev dock ett antal moment i den personliga integriteten som är av grundläggande betydelse när I dataskyddsförordningen och andra regelverk på rättighetsinskränkande åtgärder övervägs. För det första området används genomgående begreppet dataskydd. rätten till skydd av individens kroppsliga integritet, privata Integritetsskydd kan i denna kontext förstås som åtgärder tankar och förtrolig kommunikation med andra samt den (i ett bredare perspektiv) som vidtas för att skydda enskildes möjligheter att själv avgöra om andra ska få den personliga integriteten, medan dataskydd i någon mån är ett snävare begrepp där fokus ligger på att uppfylla lagstiftningens krav och intentioner i fråga om behandling av personuppgifter.

9. Data och offentlighetskommitténs delbetänkande Integritetsskyddet i informationssamhället 3, Grundlagsfrågor , Ds Ju 1987:8. 10. Data och offentlighetskommitténs delbetänkande Integritetsskyddet i informationssamhället 3, Grundlagsfrågor , Ds Ju 1987:8. 11. Personuppgiftslagen (1998:204); Personuppgiftslagsutredningens 12. Integritetsskyddskommitténs slutbetänkande Skyddet för den betänkande Översyn av personuppgiftslagen , SOU 2004:6. personliga integriteten, Bedömningar och förslag , SOU 2008:3.

28 IMY | Integritetsskyddsrapport 2020

41

2.3.1 Personlig integritet – en

Ur ett individperspektiv har reflekterats över hur vi påverkas av att inte ha tillgång till oövervakade och

mänsklig rättighet

fria rum, där vi tryggt kan dela frågor, erfarenheter, personliga upplevelser och utvecklas i dialog med våra Personlig integritet är en grundläggande mänsklig närmaste. I en publikation redan från slutet av 1960rättighet som skyddas av internationella konventioner, talet konstaterades att skyddet av den personliga 18 EU-rätten och svensk grundlag. integriteten bland annat är viktigt för att individen ska Rätten till privatliv uttrycks i den Europeiska uppnå en känsla av personligt självbestämmande, konventionen om skydd för de mänskliga rättigheterna ett känslomässigt lugn, att fritt kunna värdera andra och de grundläggande friheterna (EKMR). människors och sitt eget handlande samt att kunna Grundläggande är rätten till respekt för privat- och kommunicera fritt med andra efter eget val.

familjeliv, hem och korrespondens. Konventionen 13 I diskussioner om personlig integritet hörs ibland har införts som lag i Sverige. Även i EU:s stadga om uppfattningen ”jag har ingenting att dölja”, vilket skulle grundläggande rättigheter uttrycks rätten till respekt legitimera en vid användning av personuppgifter. för privat- och familjeliv. Här finns också en särskild Poängen med ett starkt integritetsskydd är dock bestämmelse om rätt till skydd för personuppgifter. 14 den enskilda individens rätt att välja själv . För vissa Stadgan är rättsligt bindande för EU:s medlemsstater. kan detta innebära att ”inte dölja någonting”, medan I regeringsformen finns regler om rätt till skydd för den andra kan föredra att vara mer återhållsamma med personliga integriteten. Bland annat ges skydd mot vilken information de delar med sig av och till vem. De 15 hemlig avlyssning och mot betydande intrång i den grundläggande mänskliga rättigheterna tillförsäkrar alla personliga integriteten, om det sker utan samtycke individer ett grundläggande skydd, som staten bedömt och innebär övervakning eller kartläggning av den ska utgöra en gemensam skyddsnivå för alla, oavsett var enskildes personliga förhållanden. Utgångspunkten i individer i enskilda fall anser att gränsen borde gå. De dataskyddsförordningen är också rättighetsperspektivet skyddar på så sätt både individerna och kollektivet.

– att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. 16

2.3.2 Personlig integritet – en

Tas utgångspunkt i ett filosofiskt perspektiv snarare

demokratifråga

än ett rättsligt kan man på ett övergripande plan säga att det finns två olika huvudtyper av teoretiska skolor Förutom att personlig integritet är en rättighet som fyller om personlig integritet; de som betonar den personliga en rad behov och syften för enskilda individer finns integritetens betydelse för individen och de som snarare också ett antal argument och teorier som betonar den framhåller den personliga integritetens betydelse för personliga integritetens betydelse för kollektivet och kollektivets utveckling. 17 samspelet mellan människor.

I centrum för mer individualistiska teorier står den Rätten till privatliv är en förutsättning för att kunna utöva enskildes makt över sitt eget liv och ett begränsande andra grundläggande rättigheter som åsikts-, yttrandeav myndigheters godtyckliga makt. Rätten till personlig och organisationsfrihet. Skyddet av den personliga integritet är avgörande för att varje människa ska integriteten, som är en del i rätten till privatliv, är därmed kunna bestämma vem han eller hon vill vara. En viktig i hög grad en demokratifråga. Ett väl utvecklat offentligt aspekt av detta är den enskildes rätt att kontrollera samtal och en frisk demokrati förutsätter oövervakade uppgifter om henne eller honom och utflödet av sådan fria och privata rum där vi kan pröva tankar och åsikter personlig information. innan vi eventuellt väljer att bli mer publika.

Det är en viktig förutsättning för samspelet mellan människor att den enskilde individens rätt respekteras. Det innebär att den enskilde i varje ögonblick har vetskap om vilka personuppgifter som behandlas om honom eller henne och varför samt att den enskilde själv kan avgöra om uppgifterna ska vara publika eller komma andra till del. En uppgift som inte är känslig i ett visst sammanhang kan upplevas som djupt personlig och integritetskänslig i ett annat. Även skälen till att vi vill hålla information för oss själva kan variera. Det kan handla om vardagliga och sociala behov, men också om skydd för till exempel vår 13. Artikel 8 dataskyddsförordningen. åsiktsfrihet, vår fysiska säkerhet eller rättssäkerhet. 14. Artikel 7–8 dataskyddsförordningen. 15. 2 kap. 6 § andra stycket regeringsformen. 16. Artikel 1.2 dataskyddsförordningen. 17. En mer utförlig genomgång av olika teorier om personlig integritet finns i Integritetskommitténs delbetänkande från 2016; Hur är det ställt med den personliga integriteten , SOU 2016:41, sid. 136–141. 18. Alan Westin, Privacy and Freedom , 1967.

IMY | Integritetsskyddsrapport 2020 29

42

Även vissa former av ekonomiskt samspel i samhället Integritetsskydd kan även ses som en hållbarhetsfråga i bygger på att vi, om vi vill, kan begränsa vilken ett mer globalt perspektiv. Hållbar utveckling definieras information andra har om oss. Det kan till exempel handla ofta som ”en utveckling som tillfredsställer dagens behov om strategiska överväganden i en förhandlings- eller utan att äventyra kommande generationers möjligheter budgivningssituation. att tillfredsställa sina behov”. Om vi idag skapar och gör 20 oss beroende av system och processer där vi utvinner Ur ett samhällsperspektiv är det angeläget att säkerställa och använder stora datamängder på ett oproportionerligt ett grundläggande skydd för alla människor, som drar integritetskränkande sätt som medför omfattande upp riktlinjerna för vårt samspel och grundläggande möjligheter till kontroll och övervakning, kan kommande demokratiska värderingar. Det är särskilt angeläget att generationer komma att påverkas genom att deras säkerställa skyddet för vissa skyddsvärda grupper, till möjligheter till en privat sfär och kontroll över deras data i exempel barn och unga. När barns och ungas vardagsliv praktiken är satt ur spel. i allt högre utsträckning utspelar sig i digitala miljöer är det centralt att deras fri- och rättigheter värnas där, Bland forskarvärldens skarpaste kritiker av dagens precis som i den fysiska världen. Barn och unga rör sig omfattande handel med data har begreppets snabbt och vant mellan olika digitala tjänster, men det är ”övervakningsekonomi” använts för att beskriva hur hela inte alltid synonymt med att de inser risker eller förstår logiken i marknadsekonomin är under omstöpning. 21 konsekvenser av det, konsekvenser som dessutom kan Tesen kan sammanfattas i att den tidigare kapitalismen ligga långt in i framtiden. var industriell, och drevs framåt primärt med naturresurser. Den gick fram med sådan fart att politiken och lagstiftningen inte hann med, och i stora delar av 2.3.3 Personlig integritet – en världen har råvaror utvunnits på ett ohållbart sätt.

hållbarhetsfråga

I den nya digitala kapitalismen upprepar sig mönstret. De stora möjligheterna att tjäna pengar på data driver För att samhället ska kunna utnyttja digitaliseringens företag till ett snabbt och målmedvetet utvecklingstempo möjligheter på ett hållbart sätt är en förutsättning att där politiken har svårt att hinna med. I handeln med data människor, företag och organisationer känner tillit till skördas och analyseras nu vårt beteende i detalj, för digitala tjänster. att i nästa steg kunna förutse och forma vårt beteende. Om människor känner oro för att deras personuppgifter Uttrycket att om en tjänst på internet är gratis är det hanteras felaktigt finns en risk att de väljer att avstå sannolikt du som är produkten hörs ibland för att beskriva från att använda en digital tjänst. I en undersökning de stora digitala plattformarnas och sociala mediernas som IMY genomförde 2019 uppgav hälften av de affärsmodell. Vissa kritiska röster inom akademin går tillfrågade individerna att de ibland eller ofta avstår ännu längre och menar att vi inte är produkten – vi från att använda en digital tjänst om de upplever är istället råvaran som nu utvinns lika hårdhänt som osäkerhet kring hur deras personuppgifter kommer att naturresurser gjort tidigare. För en hållbar digitalisering, hanteras. Att behålla medborgarnas tillit till digitala där de långsiktiga utmaningarna inte blir lika alarmerande 19 lösningar är därmed avgörande för att realisera nyttan av som dagens miljö- och klimatutmaningar, efterlyses bland digitala investeringar. annat skyddade sfärer där teknologin begränsas samt åtgärder för att begränsa de stora techföretagens makt. Ett antal företag och organisationer har också fått erfara vidden av den förtroendeskada en personuppgiftsincident kan orsaka. I en hållbar affärsmodell är därför ett effektivt integritets- och dataskydd avgörande för långsiktig affärsutveckling och hållbar lönsamhet.

20. http://www.un-documents.net/our-common-future.pdf. 21. Zuboff, Shoshana, The age of surveillance capitalism. The fight for a 19. Datainspektionens rapport 2019:2 Nationell integritetsrapport 2019 . human future at the new frontier of power , 2019.

30 IMY | Integritetsskyddsrapport 2020

43

2.3.4 Personlig integritet – en fråga om

Informationssäkerhet används ofta som ett övergripande

begrepp och innefattar skydd av all information och i

individers säkerhet

både fysisk som digital form. Dataskydd fokuserar 24

på just personuppgifter och dataskyddsförordningen När skyddet för digitala personuppgifter fallerar kan innehåller särskilda bestämmelser om säkerhetsåtgärder konsekvenserna i värsta fall bli att information hamnar för skyddet av personuppgifter som i stora delar hos olika hotaktörer. Konkreta risker för den enskilde avser åtgärder med bäring på informationssäkerhet. individen kan då handla om till exempel olika former av Verksamheter är skyldiga att vidta lämpliga tekniska bedrägerier eller andra brott. och organisatoriska åtgärder för att säkerställa en

säkerhetsnivå som är lämplig i förhållande till risken. 25 När det gäller risken att utsättas för brott avgör många

gånger sammanhanget om en viss information är känslig Samtidigt som överlappningarna är stora mellan eller inte. För många är det sannolikt djupt olustigt om dataskydd och generellt informationssäkerhetsarbete kriminella aktörer får tillgång till uppgifter om en, även finns en grundläggande skillnad, som handlar om ur om uppgifterna i andra sammanhang uppfattas som vilket perspektiv riskbedömningar sker. Utgångspunkten förhållandevis harmlösa, som till exempel uppgifter om i dataskyddsförordningen är risker för kränkningar av ålder eller adressuppgifter. Ett exempel kan tas i det enskilda individers fri- och rättigheter. Mer konkret stora antal klagomål som inkommit till IMY om så kallade kan det resultera i att individer utsätts för olika personsöktjänster. Bland klagomålen finns ett antal typer av bedrägerier, finansiell förlust, id-kapning medborgare som upplever oro för att det är så enkelt att eller diskriminering. söka fram uppgift om till exempel äldre personer som bor

ensamma i ett visst område och som kan utgöra måltavla I ett systematiskt informationssäkerhetsarbete bedöms för olika brottsupplägg. 22 risker ur ett bredare perspektiv. Det handlar om att

analysera samtliga tänkbara hot och bedöma hur När allt fler föremål och delar av samhället kopplas sannolika de är och vad konsekvenserna blir. Det kan, upp mot internet öppnas samtidigt upp även för mer även här, handla om risker för enskilda medborgare, men fysiska hot mot individers liv, hälsa och egendom. Det här tillkommer också risker för verksamheten. kan handla om lokaliseringsdata och kontroll av var

personer befinner sig, som möjliggör inbrott och andra

brott mot den personliga sfären. Säkerhetsforskare

2.3.5 Personlig integritet – en del

har också demonstrerat hur bristande säkerhet i uppkopplade enheter öppnar upp för fysiska attacker av samhällets säkerhet

mot människor, utfört på distans, då de bland annat Som beskrivits ovan är personuppgifter en har kunnat ta kontroll över självkörande bilar, men även typ av information som regleras särskilt i hacka sig in i medicinisk utrustning som pacemakers dataskyddsreglerna. Andra uppgifter omfattas och insulinpumpar. 23 av informationssäkerhetsregelverket då

information i olika verksamheter ska klassas ur ett 2.3.4.1 Informationssäkerhet och dataskydd – informationssäkerhetsperspektiv. Mer känsliga uppgifter

överlappar men skiljer sig också åt kräver en högre skyddsnivå och säkrare hantering. Det

finns även särskild reglering kring information som är De senaste åren har informationssäkerhet fått allt större sekretessbelagd med hänsyn till Sveriges säkerhet fokus i Sverige och kraven har skärpts på verksamheter genom säkerhetsskyddsregleringen. 26 att vidta åtgärder för att fortlöpande säkerställa att

Säkerhetsskydd handlar om att skydda information och • informationen alltid finns när vi behöver verksamheter som är av betydelse för Sveriges säkerhet den (tillgänglighet) mot spioneri, sabotage, terroristbrott och vissa andra hot. • går att lita på att den är korrekt och inte manipulerad

eller förstörd (riktighet) samt

• endast behöriga personer får ta del av

den (konfidentialitet).

22. Datainspektionen rapport 2020:1 Klagomål mot personsöktjänster med frivilligt utgivningsbevis maj 2018–oktober 2019 . 24. Myndigheten för samhällsskydd och beredskap, MSB, har i uppdrag att samordna och stödja samhällets arbete med informationssäkerhet. 23. The Economist; A connected world will be a playground for hackers , 2019 https://www.economist.com/technology-quarterly/2019/09/12/a- 25. Artikel 5.1 f, 24 och 32 dataskyddsförordningen. connected-world-will-be-a-playground-for-hackers. 26. Säkerhetspolisen är tillsynsmyndighet på området.

IMY | Integritetsskyddsrapport 2020 31

44

Det förändrade säkerhetspolitiska läget i Sveriges Såväl inom Sverige och inom EU används också allt omvärld i kombination med teknikutvecklingen har oftare begreppet cybersäkerhet. Antagonistiska hot medfört ett ökat hot som riskerar att få allvarliga som riktar sig mot digitala system och digital information konsekvenser för samhällets funktionalitet. benämns cyberhot, och arbetet med skyddsåtgärder Säkerhetspolisen, som är tillsynsmyndighet för de flesta som cybersäkerhet. I EU:s cybersäkerhetsakt definieras myndigheter när det gäller säkerhetsskyddslagen, har vid cybersäkerhet som ”all verksamhet som är nödvändig upprepade tillfällen beskrivit hur främmande makt i takt för att skydda nätverks- och informationssystem, med teknikutvecklingen använder allt fler metoder för att användare av dessa system och andra berörda personer inhämta information. Inhämtningen av känsliga uppgifter mot cyberhot”. Definitionen beaktar med andra ord den sker hela tiden och riktas mot såväl våra grundläggande antagonistiska faktorn. 29 individuella rättigheter, vårt ekonomiska välstånd, vårt Sammanfattningsvis finns tydliga överlappningar politiska oberoende som vår territoriella suveränitet. mellan dataskydd, informations- och cybersäkerhet Syftet är bland annat att kunna destabilisera Sverige som samt säkerhetsskydd – men också skillnader i vilken nation – om eller när det behövs. Detta innebär ett nytt, utgångspunkt som tas för arbetet. Arbetet med fördjupat säkerhetshot. Säkerhetspolisen understryker att dataskydd fokuserar på personuppgifter och risker teknikutvecklingen inom till exempel 5G och utvecklingen för enskilda, medan informationssäkerhet innefattar av Internet of Things, IoT, kommer att påverka Sveriges samtliga typer av information, hot och risker. Arbetet säkerhet för lång tid framåt. Den snabba digitaliseringen med säkerhetsskydd tar istället sikte på det som ur ett i kombination med fortsatt stora brister i it-säkerheten samhällsperspektiv är allra mest skyddsvärt, till exempel bedöms av Säkerhetspolisen innebära att riskerna för verksamheter inom totalförsvaret, rättsväsendet, störningar i samhällsviktiga verksamheter ökar. 27 energi- eller vattenförsörjningen, telekommunikationer Sverige fick 2019 en ny säkerhetsskyddslag i syfte att öka eller transportsektorn. I cybersäkerhetsbegreppet Sveriges gemensamma förmåga att stå emot angrepp. ligger fokus på antagonistiska hot. Gemensamt för alla 28 Den som bedriver säkerhetskänslig verksamhet ska områdena är skyddet för information som genom den genomföra en säkerhetsskyddsanalys och dokumentera snabba digitaliseringen och teknikutvecklingen blir allt den. Viktiga frågor i säkerhetsskyddsanalysen är om mer angeläget. verksamheten hanterar säkerhetsskyddsklassificerade Förenklat kan förhållandet mellan informationssäkerhet, uppgifter, vilka antagonistiska hot som finns mot dataskydd, cybersäkerhet och säkerhetsskydd beskrivas verksamheten och vilka skyddsåtgärder som är som i tabellen nedan – där informationssäkerhet är den nödvändiga. Säkerhetsskyddsåtgärder ska vidtas övergripande benämningen för skydd av all information. inom områdena informationssäkerhet, fysisk säkerhet samt personsäkerhet.

Tabell 1. Förhållandet mellan informationssäkerhet, dataskydd, cybersäkerhet och säkerhetsskydd.

Informationssäkerhet Dataskydd Cybersäkerhet Säkerhetsskydd

Personuppgifter (alla Information som är

Typ av

uppgifter som avser sekretessbelagd med information All information All digital information en identifierad eller hänsyn till Sveriges

som skyddas

identifierbar individ) säkerhet

Utgångspunkt Hot, sårbarheter och Alla typer av risker som Risker för enskilda Risker kopplade till i risk- och skyddsåtgärder av påverkar den aktuella individers fri- och cyberangrepp eller konsekvens- betydelse för Sveriges verksamheten rättigheter cybersårbarheter bedömningar säkerhet

Antagonistiska hot,

Typ av hot

Alla hot Alla hot Antagonistiska cyberhot primärt spioneri,

som beaktas

sabotage och terrorism

27. Säkerhetspolisens årsbok 2019. 28. Säkerhetsskyddslag (2018:585), säkerhetsskyddsförordning 29. SOU 2020:58 EU:s cybersäkerhetsakt – kompletterande nationella (2018:658). bestämmelser om cybersäkerhetscertifiering .

32 IMY | Integritetsskyddsrapport 2020

45

Det är centralt att inte se arbetet med dataskydd, Andra exempel från de senaste åren på hur informations- och cybersäkerhet och – i förekommande dataskyddsfrågor och säkerhetsskydd överlappar kan fall – säkerhetsskydd som isolerade företeelser, utan tas i avslöjandet om hur data från en träningsapp kan som länkar i en större kedja. De olika perspektiven användas för att lokalisera såväl hemliga militärbaser kräver i stor utsträckning samma typ av kontinuerligt och som enskilda soldater. Den positioneringsdata som systematiskt arbete, där risker (ur alla olika perspektiv) samlats in när användare laddat upp sina löpturer i analyseras löpande och ligger till grund för att utforma, träningsappen Strava visade sig vara så detaljerad genomföra och följa upp åtgärder. Verksamheter att information om både militärt känsliga platser och som strävar efter att integrera de olika perspektiven persondata riskerade att röjas. Ytterligare ett exempel i ett och samma ledningssystem har sannolikt större rör it-attacken mot det finska vårdbolaget Vastaamo, förutsättningar att nå kvalitet och ett effektivt skydd för där tusentals patientjournaler läckt ut och patienter vars uppgifterna och också för verksamheten. uppgifter läckt har utpressats för att stoppa spridningen av de privata uppgifterna på nätet. Om en sådan attack En av de viktigaste förändringarna i den nya skulle omfatta även personer i säkerhetsklassade säkerhetsskyddslagen är att den omfattar fler befattningar skulle utpressning kunna användas av verksamheter än tidigare lagstiftning på området och att främmande makt för att till exempel förmå individer att det i lagstiftningen förtydligats att det gäller både privata delta i spionage. och offentliga verksamheter. Händelserna ovan omfattas primärt av lagstiftningen Att arbetet med olika former av säkerhet gällande på dataskyddsområdet, men får konsekvenser även information är sammanlänkande innebär att ur ett säkerhetsskyddsperspektiv. Stora mängder de också ger stöd åt varandra. Det innebär att uppgifter om andra länders medborgare är ett reellt dataskyddsförordningen, som gäller alla verksamheter geopolitiskt maktmedel som kan underlätta eventuella som hanterar personuppgifter, skapar en grund för en framtida angrepp. World Economic Forum, WEF, listade stark informationssäkerhet i Sverige. Det påverkar i i sin riskanalys år 2019 cyberhotet som en av de allra sin tur även cybersäkerheten och Sveriges förmåga allvarligaste globala riskerna. WEF underströk också att att stå emot riktade angrepp. Samtidigt är ett skydd morgondagens geopolitik i stor utsträckning kommer att mot angrepp på samhället en viktig förutsättning för avgöras av hur olika stater väljer att använda den data de att det offentliga ska kunna skydda den enskildes sitter på om sina egna och andra staters medborgare. 31 rätt till privatliv.

Ur ett riskperspektiv är det i vissa fall svårt att dra skarpa gränser mellan vad som är en risk för enskilda individer och vad som utgör risker för Sveriges säkerhet. Ett exempel kan tas i den omfattande personuppgiftsincident som under 2018 uppdagades hos hotellkedjan Marriott. Under flera års tid hade en antagonistisk hotaktör haft olovlig åtkomst till namn, kontaktuppgifter, födelsedatum, passnummer och andra personuppgifter i hotellets databas. Totalt drabbade intrånget, som enligt internationell media kunde spåras till kinesiska aktörer, cirka 500 miljoner medborgare. Överträdelsen 30 resulterade i en av de hittills största sanktionsavgifterna från någon dataskyddsmyndighet i Europa när brittiska ICO beslutade om en sanktionsavgift på 20 miljoner Euro. Ett annat välkänt exempel är företaget Cambridge Analytica, där data om över 50 miljoner användare som utvunnits i ett personlighetstest på Facebook, skapat psykologiska profiler som använts i den amerikanska presidentvalskampanjen.

30. New York Times; Marriott Data Breach Is Traced to Chinese Hackers as U.S. Readies Crackdown on Beijing , https://www.nytimes. 31. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019. com/2018/12/11/us/politics/trump-china-trade.html pdf.

IMY | Integritetsskyddsrapport 2020 33

46

34 IMY | Integritetsskyddsrapport 2020

47

3. Integritetsskyddspolitiken

i EU och Sverige idag

Både på EU-nivå och i svensk politik finns Vi konstaterar att det saknas en uttalad idag en ambitiös digitaliseringspolitik med politik och en allmänt vedertagen ett uttalat mål om att vara bäst i världen på definition av det politikområde som rör att ta tillvara digitaliseringens möjligheter. I den personliga integriteten, men väljer att det här kapitlet beskriver vi ett antal viktiga beskriva politikområdet under rubriken digitaliseringspolitiska initiativ som tagits ”integritetsskyddspolitik” och beskriver ett de senaste åren och som påverkar den antal åtgärder som vidtagits de senaste personliga integriteten. åren. Den viktigaste förändringen handlar om att dataskyddsreformen genomförts.

IMY | Integritetsskyddsrapport 2020 35

48

3.1 EU:s digitaliseringspolitik

Planen för att ta EU in i framtiden innehåller tre strategiska dokument; en övergripande digitaliseringsstrategi , en datastrategi och en 32 33 vitbok om AI . Dessa innehåller förslag på aktiviteter 34 och åtgärder som kommer genomsyra och prägla initiativ från kommissionen under kommande år och

Digitalisering är ett av EU:s högst

sannolikt också kommer att ställa krav på anpassningar

prioriterade områden. I februari 2020

i medlemsstaternas lagstiftning eller på en höjd

presenterade EU-kommissionen tre

ambitionsnivå inom respektive område.

strategiska dokument som anger

inriktningen för EU:s digitala framtid: en

övergripande digitaliseringsstrategi, en

datastrategi och en vitbok om AI. 3.1.1 Att forma EU:s digitala framtid -

EU:s digitaliseringsstrategi

EU:s digitaliseringsstrategi listar ett antal

konkreta åtgärder som tillsammans ska Kommissionens övergripande digitaliseringsstrategi bär skapa värde för medborgare, för företag och rubriken Att forma EU:s digitala framtid och presenterar för samhället i stort. Föreslagna åtgärder insatser inom tre grundpelare som kommissionen med bäring på integritetsskyddsfrågorna kommer att fokusera på under de kommande fem åren. är bland annat ett utvecklat regelverk kring Det handlar om teknik som skapar genuint värde för internetplattformars ansvar samt strategier medborgare och samhälle, åtgärder för en rättvis och för kvantdatorer och blockkedjeteknik. konkurrenskraftig ekonomi och åtgärder för ett öppet och demokratiskt samhälle. 35

Datastrategin innehåller åtgärder för

att utveckla ett rättsligt ramverk kring Digital suveränitet är ett centralt begrepp i dataanvändning, ökade investeringar för digitaliseringsstrategin, inte minst i bemärkelsen att att stärka kapaciteten att använda data, minska Europas beroende av amerikanska och kinesiska åtgärder för att stärka individers möjlighet tech-företag. Kommissionen understryker att EU behöver att kontrollera den egna datan samt säkerställa motståndskraften i datainfrastruktur, nätverk åtgärder för att möjliggöra gemensamma och kommunikation. Det kräver enligt kommissionen att europeiska datautrymmen. Europa skapar rätt förutsättningar för att utveckla och sprida sina egna nyckelförmågor, och därmed minska

Vitboken om AI anger målsättningen att

beroendet av andra delar av världen för de viktigaste

EU ska bli världsledande på AI-teknik,

teknikområdena. Kommissionen pekar här på följande

samtidigt som medborgarnas rättigheter

centrala områden.

säkras. Offensiva satsningar och kraftigt

ökade investeringar ska kombineras med Teknik som skapar värde för människor – Fokus ett intensifierat arbete för att tydliggöra ett ligger på utveckling, etablering och användning etiskt och rättsligt ramverk. Som ett första av teknik som gör en verklig skillnad i människors steg i att utveckla det rättsliga ramverket dagliga liv och bidrar till en stark och konkurrenskraftig har ett antal etiska principer för användning ekonomi som behärskar och formar teknik på ett av AI utarbetats. Framtida regelverk för AI sätt som respekterar europeiska värden. Centrala bör enligt kommissionen ha en riskbaserad åtgärder är bland annat en vitbok om AI (se nedan), utgångspunkt, där både bransch och typ av en reviderad förordning om superdatorer, en uppdaterad AI-tillämpning beaktas. cybersäkerhetsstrategi, europeiska strategier för kvantdatorer och blockkedjeteknik, en översyn av nätverks- och informationssystemsdirektivet (NIS) samt en uppdaterad handlingsplan för 5G och 6G. I paketet finns också en handlingsplan för digital Kommissionens nuvarande ordförande Ursula utbildning och en förstärkt kompetensagenda för von der Leyen har sedan hon tillträdde framhållit digitala färdigheter i hela samhället. klimatomställning och digitalisering som kommissionens två prioriterade kärnområden under de närmaste åren. I februari 2020 presenterade kommissionen ett större paket med inriktning för framtidens digitala Europa. 32. COM (2020) 67 Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén om Att forma EU:s digitala framtid . 33. COM (2020) 66 Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén om En EU-strategi för data . 34. COM (2020) 65 Vitbok om artificiell intelligens - en EU-strategi för spetskompetens och förtroende . 35. Regeringskansliet faktapromemoria 2019/2020 FPM 23; Digital strategi, AI-vitbok och datastrategi

36 IMY | Integritetsskyddsrapport 2020

49

3.1.2 EU:s strategi för data

En rättvis och konkurrenskraftig ekonomi – Företag

i alla storlekar och i alla sektorer ska kunna konkurrera

på lika villkor och utveckla, marknadsföra och använda Datastrategin beskriver behovet av samlade europeiska

digital teknik i en omfattning som förbättrar deras insatser för att på ett mer effektivt sätt nyttja data som

produktivitet och globala konkurrenskraft och där strategisk resurs. Syftet är att göra EU till den mest

konsumenterna kan vara säkra på att deras rättigheter attraktiva, säkra, dynamiska och snabbrörliga datadrivna

respekteras. Centrala åtgärder utgörs bland annat av ekonomin i världen, och därmed förbättra beslutsfattande

den europeiska datastrategin – samt ett meddelande och livskvalitet för samtliga medborgare. Tillgång till samt

om ett rättsligt ramverk för styrning av data samt en kontroll över relevanta data, baserat på gemensamma

eventuell rättsakt om data. Paketet innehåller aktiviteter regelverk och standarder, bedöms vara av strategisk

inom konsument- och konkurrensområdena, bland annat betydelse för utvecklingen av digital innovation,

en utredning om konkurrensfrämjande förhandsregler särskilt AI, inom EU.

för stora plattformar, som en del av lagpaketet Digital Services Act . Åtgärderna i datastrategin bygger på fyra områden:

Ett öppet, demokratiskt och hållbart samhälle – Ett rättsligt ramverk för datatillgång och

Fokus ligger på en pålitlig miljö för medborgarna som ska användning – Kommissionens vision går bland annat

kunna dra nytta av data de tillhandahåller både online ut på att till 2030 skapa gemensamma europeiska

och offline, en europeisk metod för digital transformation datautrymmen som ska kunna stödja utvecklingen inom

som stärker demokratiska värderingar, respekterar samhällssektorer som tillverkning, hälsa och mobilitet.

grundläggande rättigheter och bidrar till en hållbar, I datastrategin aviserade kommissionen att de under klimatneutral och resurseffektiv ekonomi. Centrala 2020 hade för avsikt att prioritera ett rättsligt ramverk för åtgärder är bland annat nya och reviderade regler för styrning av gemensamma europeiska datautrymmen. internetplattformars ansvar, vilket inkluderar en översyn I november 2020 presenterade kommissionen av e-handelsdirektivet, inom ramen för lagpaketet också ett förslag till förordning om dataförvaltning Digital Services Act och en översyn av förordningen om (eng. data governance). Syftet är att ange riktlinjer 36 elektronisk identifiering med mera. Paketet omfattar för utbyte och användning av data, samt prioritera också främjande av system för utbyte av medicinska gemensamma övergripande krav och standarder, till journaler i hela EU. exempel om hur forskningsdata kan utbytas i linje med

Sammanfattningsvis kan konstateras att kommissionen dataskyddsförordningen. Även frågor för att göra det

har höga ambitioner på digitaliseringsområdet och att lättare för individer att låta deras data användas för publik

ett antal konkreta aktiviteter planeras under kommande nytta i enlighet med dataskyddsförordningen ingår.

år. Aktiviteter med direkt eller indirekt bäring på Inom ramen för en datarättsakt under 2021 förutser integritets- och dataskyddsfrågorna samt utvecklingen kommissionen också att utveckla rättsliga ramverk av ny teknik är bland annat datastrategin, vitboken som ytterligare ska underlätta delning av data om AI och förslaget till rättsakt om data som beskrivs inom näringslivet samt mellan näringslivet och nedan. Därtill kommer initiativet om nya och reviderade offentlig förvaltning. regler för internetplattformars ansvar och strategier för

kvantdatorer och blockchain. Konkreta åtgärder för att

Investeringar för att stärka Europas kapacitet för

höja säkerheten och skydda enskilda individers fri- och bearbetning och användning data – under perioden rättigheter presenterades också i den uppdaterade 2021–2027 kommer kommissionen att investera 2

cybersäkerhetsstrategi som kommissionen lade miljarder euro för att främja utvecklingen av infrastruktur,

fram i december 2020. verktyg och arkitektur för att dela data och använda

AI. Investeringarna kommer bland annat att dedikeras Det kan också noteras att ett särskilt fokus för till edge computing, högpresterande datorer och kommissionen är att höja den digitala kompetensen hos kvantberäkning, cybersäkerhet, lågeffektprocessorer medborgare, bland annat genom en handlingsplan för och 6G-nätverk. Projektet ska främja den gradvisa digital utbildning och en förstärkt kompetensagenda för balanseringen mellan centraliserad datainfrastruktur digitala färdigheter. i molnet och distribuerad och smart databehandling

genom decentraliserad AI (edge computing).

36. COM(2020) 767 Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om dataförvaltning ( Dataförvaltningsakten )

IMY | Integritetsskyddsrapport 2020 37

50

Kommissionen betonar också vikten av EU-baserade Dessa dubbla huvudspår löper som två tydliga molntjänstleverantörer. Under 2022 har kommissionen röda trådar såväl genom AI-strategin som genom målsättningen att ta fram ett ramverk för de olika kommissionens senare dokument på AI-området: reglerna (inklusive självreglering) för molntjänster i form offensiva satsningar och kraftigt ökade investeringar ska av en ”molnregelbok”. Regelboken kommer att omfatta kombineras med ett intensifierat arbete för att tydliggöra befintliga molnkoder för uppförande och certifiering av ett etiskt och rättsligt ramverk. säkerhet, energieffektivitet, servicekvalitet, dataskydd Kopplat till AI-strategin finns en handlingsplan för åren och dataportabilitet. 2019–2025 som understryker att tillämpningen av AI ska Stärka individers möjlighet att kontrollera egen data främjas och kapaciteten stärkas i alla medlemsstater. och den digitala kompetensen – genom att förstärka I februari 2020 följde EU-kommissionen upp AIrätten till dataportabilitet enligt dataskyddsförordningen strategin med en vitbok om AI. Vitboken följer 38 kan individer få mer kontroll över vem som kan få åtkomst de dubbla huvudspår som kommissionen stakade till och använda maskingenererade data. Det kan ut i AI-strategin från 2018: åtgärder för att främja enligt kommissionen handla till exempel om att införa utveckling och användning av AI kombineras med strängare krav på gränssnitt för realtidsdataåtkomst och åtgärder för att adressera de risker som finns att göra maskinläsbara format obligatoriskt för data från kopplade till AI- användning. uppkopplade enheter i hemmet.

Vitbokens första del fokuserar på främjande åtgärder Dessutom menar kommissionen att regler för för att flytta fram EU:s position att bli världsledande på leverantörer av personliga appar och nya dataförmedlare att utnyttja AI:s möjligheter. Kommissionen konstaterar kan övervägas för att garantera att de förmedlar att investeringarna i forskning och utveckling som neutral data. avser AI har ökat mycket kraftigt inom EU under de Vidare avser kommissionen att satsa på omfattande senaste åren. Samtidigt har utvecklingen gått ännu utbildningar i ny teknik för att minska behovet av snabbare i andra delar av världen. Kommissionens 39 it-specialister, men även basutbildning för att höja mål är att AI-investeringarna inom EU ska uppgå till medborgarnas digitala kompetens. Särskilt stöd ska 20 miljarder Euro per år. också ges till små, medelstora och nystartade företag för Ambitionen är att skapa ett ekosystem av excellens som att de fullt ut ska kunna nyttja de många möjligheterna täcker hela värdekedjan från forskning och utveckling som finns i databaserade affärsmodeller. till användning av AI. Kommissionen konstaterar att Gemensamma europeiska datautrymmen – förutsättningarna på många plan är goda; inom EU finns slutligen avser kommissionen att arbeta för utveckling högteknologiska forskningsmiljöer, en stark tech-industri, av gemensamma europeiska datautrymmen inom innovativa startup-företag och god tillgång på offentlig vissa strategiska sektorer. Datautrymmena ska tas data. Sex åtgärder presenteras i vitboken för att främja fram i enlighet med dataskyddsregler och högsta AI-utvecklingen. Åtgärderna är: cybersäkerhetstandard. Syftet är att underlätta • att anta en ny version av den samordnande innovation och datadriven utveckling. De utpekade handlingsplanen för AI sektorerna är industri/tillverkning, miljö- och klimatarbete, mobilitet och transport, hälsodata, finansiella sektorn, • att främja etablerandet av test- och excellensmiljöer energi, jordbruk, offentlig förvaltning och utbildning. • att stötta universitet och forskningsmiljöer för att

attrahera forskare och erbjuda världsledande mastersprogram

3.1.3 AI ett viktigt fokusområde för EU-

• att etablera minst en europeisk digital kommissionen innovationshubb per medlemsstat med hög

specialisering mot AI samt att tillgängliggöra Nära förknippad med kommissionens datastrategi riskkapital för AI-utveckling via den europeiska är den vitbok om AI som presenterades samtidigt investeringsfonden med strategin. Vitboken bygger i stor utsträckning på • att inrätta ett offentligt-privat partnerskap för AI, data den AI-strategi som kommissionen lade fram i april och robotik samt 2018. Strategins övergripande målsättning är att 37 EU ska bli världsledande på AI-teknik, samtidigt som • att förbereda ett särskilt program för att stötta offentlig medborgarnas rättigheter säkras. sektor i upphandling av AI-system.

38. COM (2020) 65 Vitbok om artificiell intelligens - en EU-strategi för spetskompetens och förtroende . 39. Under 2016 investerades 3,2 miljarder Euro i AI inom EU, medan 37. https://ec.europa.eu/digital-single-market/en/artificial-intelligence. motsvarande siffra för Asien var 6,5 miljarder och 12,1 miljarder för USA.

38 IMY | Integritetsskyddsrapport 2020

51

I vitbokens andra del presenterar kommissionen I juli 2020 publicerade en expertgrupp utsedd av initiala resonemang för hur ett rättsligt ramverk för AI EU-kommissionen ett ramverk med etiska principer bör utformas. Det rättsliga ramverket ska bidra till att och tillhörande bedömningslista för utveckling och skapa ett ekosystem av förtroende för AI i Europa. De tillämpning av AI. Efter att gruppen, som bestod av drygt främsta riskerna med AI handlar enligt kommissionen om 50 internationella experter, tagit fram ett första utkast har skyddet för grundläggande rättigheter (inklusive rätten 350 privata och offentliga aktörer givits möjlighet att testa till skydd för privatliv och frånvaro av diskriminering), och komma med synpunkter på de etiska riktlinjerna och säkerhet samt frågor om tillförlitlighet. För att säkerställa den tillhörande checklistan innan den publicerades. 41 en proportionerlig reglering förordar kommissionen Ramverket innehåller sju etiska principer som beskrivs att ett framtida regelverk för AI bör ha en riskbaserad som centrala för att den fortsatta AI-utvecklingen ska utgångspunkt. Riskbedömningen bör beakta både vara säker och pålitlig. De rör 1) mänsklig medverkan vilken bransch AI-tekniken är tänkt att användas i och och tillsyn, 2) teknisk robusthet och säkerhet under vilken typ av AI-tillämpning det rör sig om. Sektorer där alla faser av ett AI-systems livscykel, 3) dataskydd betydande risker kan förväntas uppstå är till exempel och kontroll på data; varje medborgare ska ha full hälso- och sjukvård, transport, energibranschen och kontroll över sin data och att den inte används emot delar av offentlig sektor. en själv, 4) transparens och öppenhet, 5) mångfald, För tillämpad AI som bedöms medföra en hög icke-diskriminering och rättvisa, 6) nyttjande av AI risk anser kommissionen att krav bör ställas på för att lösa samhällsutmaningar, inte minst avseende förhandsgranskning, till exempel i form av obligatoriska hållbarhet och miljöfrågor samt 7) ansvarsskyldighet och tester, inspektion och certifiering innan en produkt ansvarsutkrävande. får släppas på EU:s inre marknad. Utöver detta anger Kopplat till den etiska principen om dataskydd och kommissionen att även efterhandskontroller kommer kontroll på data innehåller checklistan påminnelser om att behövas. För AI-tillämpningar med lägre risk kan ett en rad skyldigheter som följer av dataskyddsförordningen system med frivillig märkning vara ett alternativ. Som ett och som kan aktualiseras i utvecklingen och första steg behöver en ordentlig analys göras över vilka tillämpningen av AI-teknik. I checklistan nämns till risker med AI som behöver hanteras och hur befintliga exempel följande skyldigheter: regelverk möter dessa risker. För att möjliggöra en riskbaserad ansats behövs tydliga kriterier för att kunna • att utse ett dataskyddsombud och involvera dem skilja på AI-tillämpningar med olika risknivåer. tidigt i utvecklingsarbete, upphandlingar och implementering av AI-teknik Ett huvudspår i att utveckla ett gemensamt europeiskt etiskt och rättsligt ramverk har varit framtagandet av • att genomföra en konsekvensbedömning om gemensamma etiska principer för AI. Under de senaste behandlingen av personuppgifter kan förväntas åren har det i enskilda medlemsstater publicerats en innebära en hög risk för enskilda individer stor mängd principer och riktlinjer på temat etik inom AI. • att beakta den grundläggande principen om Bland upphovsmakarna finns allt från universitet och uppgiftsminimering, i synnerhet när det rör sig om forskningsinstitut till privata tech-företag eller enskilda känsliga personuppgifter länders förvaltningar. Området är dock fortfarande under • att säkerställa människors grundläggande rättigheter utveckling och ännu råder ingen internationell samsyn så att det till exempel är möjligt att återkalla ett kring vad etisk AI innebär i praktiken. Forskare har i samtycke, att få felaktiga uppgifter rättade eller att få en kartläggning av 84 olika dokument med principer uppgifter raderade och riktlinjer för etik inom AI konstaterat betydande • att begränsa och kontrollera åtkomsten till data olikheter i bland annat hur etiska principer som öppenhet, genom till exempel behörighetsstyrning och loggning rättvisa, att inte göra skada, ansvarsutkrävande och integritetsskydd ska tolkas, förstås och implementeras. • att vidta åtgärder som säkerställer inbyggt dataskydd 40 och dataskydd som standard, till exempel genom Mot denna bakgrund har kommissionen sett det som kryptering, pseudonymisering, aggregering av data angeläget och brådskande att det inom EU utvecklas och anonymisering gemensamma etiska principer för AI. Risken är annars • att överväga integritetsrisker som kan uppstå löpande att skillnader mellan olika medlemsstater försvårar och under AI-systemets livscykel eller kopplat till data som skapar hinder på EU:s inre marknad. inte innehåller personuppgifter.

40. Jobin, A., M. Ienca, et al. (2019). The global landscape of AI ethics guidelines . Nature Machine Intelligence 1, September 2019, sid. 41. The Assessment List for Trustworthy Artificial Intelligence (ALTAI) 389-399. for self assessment.

IMY | Integritetsskyddsrapport 2020 39

52

3.2 EU:s

Ett av de viktigaste stegen i EU:s integritetsskyddspolitik handlar om initiativet att förhandla fram

integritetsskyddspolitik –

dataskyddsförordningen, GDPR. Förordningen trädde i kraft den 25 maj 2016 men började tillämpas den införandet av GDPR och 25 maj 2018. Lika viktigt var en EU-gemensam reglering 42

brottsdatadirektivet en

av personuppgiftshanteringen på det brottsbekämpande området genomfördes brottsdatadirektivet, som

historisk reform

införlivades i svensk rätt genom brottsdatalagen den 1 augusti 2018. 43

Genomförandet av den nya dataskyddsregleringen är historisk på flera sätt. Dataskyddsförordningen har Fundamentet i EU:s integritetsskyddspolitik lagt en grund för all personuppgiftshantering som även är dataskyddsförordningen, GDPR, genomsyrar regleringen på det brottsbekämpande som började tillämpas i maj 2018 området och annan dataskyddsreglering. Förordningen och brottsdatadirektivet som innehåller utökade rättigheter för enskilda, som införlivades i svensk rätt genom ska kunna utöva insyn och ha kontroll över sina brottsdatalagen i augusti 2018. personuppgifter. Dessa rättigheter motsvaras av utökade skyldigheter för alla som hanterar Dataskyddsförordningen innehåller personuppgifter. Förordningen innehåller också helt förstärkta rättigheter för enskilda, som nya verktyg för korrigerande befogenheter, bland annat ska kunna utöva insyn och ha kontroll kraftfulla sanktionsavgifter.

över sina personuppgifter, och utökade

skyldigheter för alla verksamheter som Utöver att ange det regelverk som gäller på området hanterar personuppgifter. Förordningen och återupprepa sedan tidigare gällande krav på ett innehåller också helt nya verktyg för starkt oberoende för dataskyddsmyndigheterna, kan korrigerande befogenheter, bland annat det som gör reformen historisk sammanfattas i att kraftfulla sanktionsavgifter. dataskyddsförordningen

Dataskyddsförordningen är unik på så • är en förordning och därmed direkt tillämplig som lag i sätt att den detaljerat reglerar bland annat samtliga medlemsstater dataskyddsmyndigheternas uppdrag • anger dataskyddsmyndigheternas uppdrag och och befogenheter och föreskriver befogenheter

att dataskyddsmyndigheten ska

• inrättar en styrelse, Europeiska dataskyddsstyrelsen

vara oberoende.

(EDPB), som utgör ett eget rättssubjekt, som har att fatta beslut om vägledningar och yttranden

Genom dataskyddsförordningen

samt för tillsynsmyndigheterna bindande beslut i

inrättades också den Europeiska

gränsöverskridande ärenden

dataskyddsstyrelsen, EDPB. Genom

att EDPB beslutar om riktlinjer men • innehåller omfattande bestämmelser om krav på även har mandat att fatta beslut i vissa harmoniserad tillämpning inom EU gränsöverskridande ärenden har styrelsen • föreskriver långtgående krav på samverkan mellan ett stort mandat – både på policynivå och dataskyddsmyndigheterna

operativt. I praktiken har en stor del av den

• anger en tvistlösningsmekanism vid oenighet.

nationella suveräniteten när det kommer till

tolkning och tillämpning av förordningen

Förordningen har i grunden påverkat

samt praxisbildning överlämnats till EDPB.

företag, myndigheters och andra Kommissionen menade i organisationers dataskyddsarbete liksom sin tvåårsutvärdering av tillsynsmyndigheternas verksamhet.

dataskyddsförordningen att

harmoniseringen mellan länderna ökar,

men att det fortfarande behövs en mer

42. Förordningen gäller också för EES-länderna Norge, Island och

enhetlig tillämpning i hela unionen.

Lichtenstein. Kraven på harmonisering har i flera 43. Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 avseenden redan inneburit att IMY behövt april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra,

anpassa sina arbetssätt.

utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (brottsdatadirektivet). I Sverige genomfördes direktivet genom brottsdatalagen (2018:1177) och brottsdataförordningen (2018:1202). Samtidigt trädde nya bestämmelser på kameraområdet i kraft genom kamerabevakningslagen (2018:1200), som ersatte den tidigare kameraövervakningslagen.

40 IMY | Integritetsskyddsrapport 2020

53

3.2.1 Omfattande krav på samverkan 3.2.2 Kommissionen menar

och harmonisering inom EU att harmoniseringen behöver

öka ytterligare

Det har redan nämnts att dataskyddsförordningen har inneburit stora förändringar för tillsynsmyndigheterna. I syfte att säkerställa efterlevnaden av förordningen För att säkerställa ett kraftfullt genomförande genomför kommissionen utvärderingar vart fjärde år. regleras, som nämnts, myndigheternas uppdrag och Den första genomfördes i anslutning till tvåårsdagen av befogenheter i förordningen. 44 dataskyddsförordningens införande, våren 2020. 47 Förordningen ställer krav på en harmoniserad tillämpning Sammanfattningsvis ansåg kommissionen två år efter inom EU och på långtgående samverkan mellan införandet av dataskyddsförordningen att förordningen dataskyddsmyndigheterna. Detta säkerställs genom uppfyllt sina mål att stärka skyddet av den enskildes rätt dataskyddsstyrelsen, EDPB. Styrelsen, som består av till skydd av personuppgifter och att garantera det fria respektive lands tillsynsmyndighets chef och Europeiska flödet av personuppgifter inom EU. datatillsynsmannen, EDPS, har till uppgift bland annat att ta fram vägledningar och yttranden. Dessa processas i Kommissionen konstaterar att harmoniseringen någon av de närmare 15 arbetsgrupper som förbereder mellan länderna ökar, men att det fortfarande finns underlag för styrelsen. Beslut om vägledningar och viss fragmentisering. Kommissionen pekar på att det yttranden med mera fattas genom omröstning och de framgent behövs en mer enhetlig tillämpning inom hela nationella tillsynsmyndigheterna har därefter att anpassa unionen och att inslagen av nationell lagstiftning behöver den nationella praxisbildningen utifrån dessa. minska. För att förordningen ska nå sin fulla potential är det viktigt att skapa ett harmoniserat tillvägagångssätt för En ny ordning, som tar kraven på harmoniserad gränsöverskridande fall samt en gemensam europeisk tillämpning till en ny nivå, är föreskrifter om en datakultur. Kommissionen efterfrågar därför en ännu mer enhetlighetsmekanism som ställer krav på samarbete effektiv, harmoniserad hantering vid gränsöverskridande mellan dataskyddsmyndigheterna i ärenden som ärenden, samt pekar särskilt på behovet av större rör gränsöverskridande behandlingar. Ytterst finns 45 samstämmighet avseende förfarandet vid hantering en tvistlösningsmekanism som anger hur frågor ska av klagomål. Man vill också se ett ytterligare utökat processas och beslutas om medlemsstaterna inte samarbete mellan dataskyddsmyndigheterna, till kan komma överens om hur regelverkets ska tolkas exempel genom gemensamma utredningar. och beslut utformas. Beslutsbefogenheterna för 46 respektive medlemsstat utövas genom röstning och Dataskyddsmyndigheterna bedöms ha en balanserad styrelsens beslut i medlemsstatens ärende blir bindande användning av de stärkta korrigerande befogenheterna. för tillsynsmyndigheterna. Det konstateras dock att det finns en stor efterfrågan på mer praktisk vägledning och råd som rör tillämpningen I praktiken innebär inrättandet av EDPB att en av förordningen. stor del av den nationella suveräniteten när det kommer till tillsynsmyndigheternas tolkning och Vissa områden pekas ut där behovet av stöd och tillämpning av förordningen samt praxisbildning har vägledning bedöms vara särskilt stort eller där utveckling överlämnats till styrelsen. Utrymmet för de nationella behövs. Det rör främst tillsynsmyndigheterna att självständigt ge stöd • Små och medelstora företag – stöd behövs och och vägledning, att göra tolkningar av regelverket praktiska verktyg behöver tas fram, till exempel i ärendehanteringen och att utmejsla praxis är formulär för personuppgiftsincidenter samt förenklade på så sätt inskränkt. Regelverket ökar kraven på behandlingsregister. tillsynsmyndigheten att bidra till en harmoniserad tillämpning. Samtidigt ökar behovet av att IMY deltar • Forskning, hälsa och ny teknik – stöd behövs i form och tar en aktiv roll i det unionsgemensamma arbetet, i av riktlinjer för bland annat vetenskaplig forskning, AI syfte att få så stort genomslag som möjligt för svenska och blockkedjeteknik rättstraditioner, att kunna upprätthålla nationell praxisbildning och förvaltningsrättsliga principer. Utan en stark röst riskerar vi att behöva följa en utveckling som vi själva inte varit med och påverkat och som kan strida mot svensk praxis och rättstradition.

44. Artikel 51–59 dataskyddsförordningen. 45. Artikel 56, 60–62 dataskyddsförordningen. 46. Artikel 65 dataskyddsförordningen. Ett (1) ärende har hittills avgjorts efter tvistlösning, https://edpb.europa.com, Decision 01/2020 on the 47. COM (2020) 264 Meddelande från Kommissionen till Europaparladispute arisen on the draft decision of the Irish Supervisory Authority mentet och rådet: Dataskydd som en pelare för medborgarnas egenmakt regarding Twitter International Company under Article 65(1)(a) GDPR | och EU:s strategi för den digitala övergången – tillämpning av den European Data Protection Board (europa.eu) allmänna dataskyddsförordningen under två års tid .

IMY | Integritetsskyddsrapport 2020 41

54

• Utvecklingen av ny teknik – dataskyddsförordningen Utöver löpande anpassning efter de gemensamma bygger på principer och omfattar ny teknik i takt med tolkningar som görs och beslut som fattas, har att tekniken utvecklas. De framtida utmaningarna harmoniseringen för Sveriges del bland annat inneburit består i att klargöra hur de beprövade principerna att vi har fått anpassa vår tolkning av den så kallade ska tillämpas på specifik teknik, såsom AI, one-stop-shopmekanismen. Mekanismen innebär blockkedjeteknik, IoT eller ansiktsigenkänning. att ett ärende ska utredas där ett företag eller annan Kommissionen uppmanar dataskyddsmyndigheterna verksamhet har sitt huvudsakliga verksamhetsställe, 48 att följa utvecklingen i ett tidigt skede. och att ärendet så att säga flyttar med verksamheten om den etablerar sig eller byter huvudsakligt • Medborgarnas kontroll över sin egen data måste verksamhetsställe under en utrednings gång, vilket bli reell – enskildas rättigheter behöver stärkas bland för Sveriges del innebar att ett långt framskridet annat när det gäller tillgång till och användning av tillsynsärende rörande Google under 2019 fick data, till exempel rätten till information och radering överlämnas till Irländska dataskyddsmyndigheten av data. Åtgärder behöver vidtas för att underlätta för vidare hantering. 49 utökad användning av dataportabilitet, och för att ge medborgarna större kontroll över vem som kan få Som kommissionen pekar på i sin utvärdering krävs tillgång till och använda maskingenererad data. harmonisering i tillsynsmyndigheternas hantering av • Särskilda insatser behöver riktas mot barn klagomål. Medlemsstater har haft olika processer för – exempelvis behöver frågor om samtycke från hantering av klagomål. En utredning har pågått under barn adresseras och det behövs tydligare riktlinjer 2019 och 2020 om hur klagomål ska hanteras och beslut gällande användning av barns data. fattas inom EDPB i början av 2021 om en gemensam

• Överföring till tredje land – det är centralt att verka hanteringsordning. Det kommer för Sveriges del innebära för att de verktyg som finns för överföring till tredje att IMY kommer att utreda klagomålen mer ingående och land används och utvecklas och framåt behövs inleda tillsyn i väsentligt många fler fall än tidigare. fokus på att stärka dialogen med verksamheter I fråga om överföring av personuppgifter till tredje utanför EU i syfte att stödja likriktningen av land har EU-domstolen i Schrems II den 16 juli 2020 dataskyddsreglerna globalt. uttalat att enskildas rättigheter är starka och att det är en förutsättning för att deras rättigheter ska kunna tillgodoses att klagomål i sådana ärenden utreds 3.2.3 Konsekvenser av kraven på och att myndigheternas korrigerande befogenheter

harmonisering för Sveriges del

utnyttjas om utredningen skulle visa att en otillåten överföring av medborgarnas uppgifter sker till USA. De krav som ställs på harmonisering gäller Efter domen har ett stort antal klagomål som rör medlemsstaterna. Olika tolkningar, rättsliga olaglig överföring av personuppgifter till USA kommit in till tillsynsmyndigheterna. Sverige är ansvarig 50 traditioner och nationella regelverk har gjort att tillsynsmyndigheterna går in i samarbetet tillsynsmyndighet i sex av dessa ärenden. Samtliga inom Europeiska dataskyddsstyrelsen utifrån klagomål samordnas genom en särskild arbetsgrupp olika förutsättningar. Kraven på harmonisering inom EDPB i syfte att hantera och bedöma dessa på ett gäller dock och det är genom dialog, men ytterst enhetligt och harmoniserat sätt. genom röstningsförfarande i EDPB, som vägen Kraven på en enhetlig och harmoniserad hantering framåt läggs fast. och bedömning har även i gränsöverskridande ärenden lett till att medlemsstaterna – även Sverige – nu utreder dem och inleder tillsyn i väsentligt högre utsträckning än tidigare.

48. Artikel 56.1 dataskyddsförordningen. 49. IMY drev i EDPB uppfattningen att ett påbörjat tillsynsärende av bland annat effektivitets- och förutsebarhetsskäl bör avslutas av den tillsynsmyndighet som inlett ärendet, även om ett företag under utredningens gång flyttar sitt huvudsakliga verksamhetsställe. Efter omröstning i EDPB landade dock styrelsen i uppfattningen att ärendet ska flyttas om det huvudsakliga verksamhetsstället flyttar. 50. Drygt 100 klagomål som rörde påstådd överföring av personuppgifter till USA lämnades efter Schrems II-domen in av intresseorganisationen NOYB (None of Your Business), som förestås av M. Schrems.

42 IMY | Integritetsskyddsrapport 2020

55

3.3 Exempel på politik

Lagstiftning som ligger nära eller i vissa fall specifikt adresserar integritetsskyddsfrågorna är till exempel

inom angränsande

NIS-direktivet, e-privacydirektivet och förhandlingarna om en ny e-privacyförordning samt direktivet om öppna lagstiftningsområden data, det så kallade PSI-direktivet. Även initiativen inom

betaltjänstmarknaden och genomförandet av det andra betaltjänstdirektivet, PSD2, visar hur politiken inom EU verkar för ett fritt flöde av uppgifter, att minska hinder, skapa större förutsättningar för fler aktörer och att det

Exempel på EU-lagstiftning som ligger nära

krävs harmoniering mellan regelverken. På nationell nivå

integritetsskyddsfrågorna är NIS-direktivet,

ställer det krav på samverkan (i olika konstellationer)

e-privacydirektivet samt direktivet om

mellan myndigheter, bland annat IMY, Myndigheten

öppna data, det så kallade PSI-direktivet.

för samhällsskydd (MSB) och beredskap, Post- och telestyrelsen (PTS), Säkerhetspolisen, Myndigheten för

För att få ett tillämpbart, effektivt

digital förvaltning (DIGG) och Finansinspektionen. Bland

och sammanhållet regelverk på

annat finns anledning att samordna incidentrapportering

integritetsskyddsområdet är det angeläget

som ska ske till olika myndigheter utifrån olika krav, där

att övriga lagstiftningsprodukter på EU-nivå

själva incidenten många gånger är sprungen ur ett och

harmonierar med förordningen.

samma händelseförlopp.

Centralt är återigen att påpeka att dataskyddsförordningen är ett centralt regelverk när det gäller personuppgiftsbehandling. Övriga Det har, som vi har sett, genomförts ett stort antal initiativ lagstiftningsprodukter på EU-nivå, såväl om inom EU som rör digitalisering och teknikutveckling, men det avser förordningar och direktiv som andra också integritetsskyddsfrågor. Det finns också ett antal lagstiftningsprodukter, behöver ofta harmoniera med initiativ inom angränsande lagstiftningsområden. Denna förordningen i syfte att skapa ett tillämpbart, effektivt och utveckling inverkar sällan direkt på utvecklingen inom sammanhållet regelverk på integritetsskyddsområdet. integritetsskyddsområdet, men när lagstiftningsområden Detsamma gäller också för den kompletterande angränsar till varandra och förhandlingsarbetet sker nationella lagstiftning, som utfärdas som ett led i isolerat, finns risk för att regelverken inte harmonierar, implementeringen av EU-direktiven i nationell rätt. Här medför glapp, eller i alla delar inte går att förena. I sådana krävs ofta en bred samordning och gemensamberedning fall får myndigheter och verksamheter ett stort ansvar för mellan olika politikområden i syfte att få en harmoniserad att tolka och ta ställning i regelkonflikter. reglering när det gäller personuppgifter inom olika samhällssektorer. Många gånger ska dataskyddsförordningen tillämpas för personuppgiftsbehandlingen och finns då kompletterande nationell överlappande reglering kan det skapa otydlighet i hur regelverken ska tillämpas. Ett exempel är hur reglerna om samtycke till kakor enligt lagen om elektronisk kommunikation förhåller sig till samtyckesregleringen enligt dataskyddsförordningen. Frågorna rör bland annat hur långt samtycket sträcker sig enligt respektive regelverk och om det ställs samma krav på samtycke enligt lagen om elektronisk kommunikation som enligt dataskyddsförordningen.

IMY | Integritetsskyddsrapport 2020 43

56

3.4 Sveriges

3.4.1 Digital trygghet – en viktig del av

Sveriges digitaliseringsstrategi

digitaliseringspolitik

Utgångspunkten för svensk digitaliseringspolitik de senaste åren har varit regeringens digitaliseringsstrategi För ett hållbart Sverige – en digitaliseringsstrategi , som beslutades i maj 2017. Det övergripande målet

Digitaliseringspolitiken har även på

i digitaliseringsstrategin är att Sverige ska vara bäst

nationell nivå fått en tydlig prioritering de

i världen på att använda digitaliseringens möjligheter.

senaste åren, vilket märkts bland annat

I digitaliseringsstrategin bryts det övergripande målet

genom framtagandet av en nationell

ned i fem delmål:

digitaliseringsstrategi och en nationell

inriktning för AI. • Digital kompetens • Digital trygghet

Sveriges digitaliseringsstrategi anger

det övergripande målet att Sverige • Digital innovation ska vara bäst i världen på att använda • Digital ledning

digitaliseringens möjligheter. Digital

• Digital infrastruktur.

trygghet, där personlig integritet ingår,

är ett av strategins delmål.

Personlig integritet ingår i strategin som en uttalat viktig Den nationella inriktningen för AI anger del av delmålet om digital trygghet.

att Sverige ska vara ledande i att ta tillvara

möjligheterna som användning av AI kan Delmålet digital trygghet är viktigt för att alla individer och ge. I den nationella inriktningen konstaterar organisationer ska kunna känna tillit till att samhället är regeringen att hur olika aktörer förmår rustat för de risker som finns i en digital värld. Regeringen att omsätta dataskyddsförordningen i konstaterar i digitaliseringsstrategin att det krävs säkra sina respektive verksamheter kommer att digitala system, som värnar den personliga integriteten ha betydelse för hur väl Sverige förmår och att identifierade sårbarheter hanteras när människor ta hand om potentialen och hantera och samhället i allt högre grad blir beroende av att teknik riskerna med AI. är uppkopplad och kommunicerbar via internet.

Sedan 2018 har regeringen gett olika Delmålet digital trygghet har i sin tur konkretiserats myndigheter en rad särskilda uppdrag för ytterligare i sex olika områden:

att främja Sveriges förmåga att använda

• En digital identitet

AI, skapa och använda öppna data och

fortsätta digitalisera den offentliga sektorn. • Höga krav på säkerhet • Integritet i det digitala samhället • Demokratin värnas i digitala miljöer • En trygg och mobil arbetsmarknad • Fungerande digitala marknader och trygga När integritetsskydd stått i fokus i svensk politik konsumenter. har det ofta varit i kontexten digital utveckling. Digitaliseringspolitiken har även på nationell nivå fått en tydligare prioritering de senaste åren, vilket I anslutning till att den nationella digitaliseringsstrategin märkts bland annat genom framtagandet av nationell antogs inrättade regeringen också ett digitaliseringsråd digitaliseringsstrategi och en nationell inriktning för AI. inom Regeringskansliet. Syftet med rådet är att bidra till bättre samordning och ett effektivt genomförande Digitaliseringspolitik omfattar bland annat arbete av regeringens strategiska arbete med digitalisering. med att digitalisera offentlig förvaltning och att skapa Regeringen fattade i slutet av 2020 beslut om att förlänga goda förutsättningar för digital infrastruktur genom till digitaliseringsrådets uppdrag i ytterligare tre år. 51 Under exempel bredband, digital identitet och 5G. Andra delar 2018 inrättades också Myndigheten för digital förvaltning av digitaliseringspolitiken handlar om att skapa goda (DIGG), som tillsammans med Digitaliseringsrådet av förutsättningar för utveckling och användning av data regeringen beskrivs som viktiga delar i arbetet med och ny teknik som AI. Även arbete med att främja digital utvecklingen och styrningen av digitaliseringspolitiken. 52 kompetens och digitalt ledarskap hör till området.

51. https://www.regeringen.se/pressmeddelanden/12/fortsatt-arbete-for-digitaliseringsradet. 52. Prop 2020/21:1 Budgetpropositionen för 2021 , utgiftsområde 22 Kommunikationer.

44 IMY | Integritetsskyddsrapport 2020

57

3.4.2 Särskilda insatser med fokus på

Under 2018 sammanställde Digitaliseringsrådet

lägesbilder till regeringen om samtliga

AI och öppna data

digitaliseringsstrategins delområden. I arbetet med

lägesbilden om digital trygghet, som publicerades Områden inom digitaliseringspolitiken som fått särskilt i oktober 2018, konstaterades att vissa områden fokus rör AI och öppna data. I maj 2018 beslutade var återkommande i intervjuer och workshops som regeringen om en nationell inriktning för AI. Syftet var 53 Digitaliseringsrådet genomfört på temat digital trygghet. att peka ut en övergripande färdriktning för AI-arbetet i Dessa områden är bland annat att Sverige och lägga en grund för kommande prioriteringar.

Alla medborgare behöver grundläggande

Inriktningen för AI knyter på ett tydligt sätt an till den kunskaper – Viktiga områden där allmänhetens kunskap övergripande digitaliseringsstrategin. Det är regeringens behöver öka är medie- och informationskunnighet (MIK), målsättning att Sverige ska vara ledande i att ta tillvara kunskap om hur personuppgifter används av olika företag möjligheterna som användning av AI kan ge, med och myndigheter samt informationssäkerhetskunskap. syftet att stärka både den svenska välfärden och den

svenska konkurrenskraften.

Företag och organisationer behöver öka

kompetensen om informations- och cybersäkerhet

Regeringen anger i den nationella inriktningen att

och det behöver ses som en strategisk

Sverige behöver verksamhetsfråga – Alla typer av organisationer

behöver arbeta systematiskt med informationssäkerhet. • utveckla regler, standarder, normer och etiska

Säkerhetsområdet behöver gå från att vara en principer i syfte att vägleda etisk och hållbar AI och

teknikfråga till en strategisk verksamhetsfråga. användning av AI

Vid sidan om it-relaterade roller behöver • verka för svenska och internationella standarder ledningsfunktioner kunna ta ett större ansvar. För det och regelverk som främjar användning av AI och krävs kompetens och kunskap. För detta behöver även förebygger risker säkerhetsfrågorna i högre grad integreras i de vanliga • kontinuerligt se över behovet av digital infrastruktur styrningsprocesserna, till exempel befintliga ledningsför att tillvarata möjligheterna som AI kan ge och ekonomistyrningssystem. • fortsätta arbetet med att tillgängliggöra data som kan

Avvägningar mellan den personliga integriteten utgöra en samlad infrastruktur för att använda AI på

och möjligheten att utveckla nya innovativa områden där det tillför nytta

tjänster med data som en resurs behöver löpande • fortsätta att ta en aktiv roll i EU:s arbete med att

hanteras – Många av de stora möjligheter som främja digitalisering och med att möjliggöra nyttan

digitaliseringen medför uppstår på grund av, och är som användningen av AI kan medföra. beroende av, de stora mängder data som samlas in från

allmänheten till exempel vid användandet av digitala Centrala områden för att ta arbetet vidare är utbildning, tjänster. Detta gäller både för det offentliga och det forskning, innovation och användning samt ramverk privata. Digitaliseringsrådet konstaterar att en av de och infrastruktur. När det gäller ramverk konstaterar största utmaningarna som följer av digitaliseringen regeringen att dataskyddsförordningen är en viktig del ligger i att hitta en balans mellan användandet av i ramverket för AI. Hur olika aktörer förmår att omsätta insamlad personlig data och den personliga integriteten dataskyddsförordningen i sina respektive verksamheter som inte hämmar utvecklingen och samtidigt gör att kommer att ha betydelse för hur väl Sverige förmår ta personers integritet värnas och att de känner tillit till de hand om potentialen och hantera riskerna med AI. digitala miljöerna.

Regeringen påtalar också att många av de regelverk

och riktlinjer som Sverige har att förhålla sig till kommer

från EU. För att Sverige ska kunna tillgodoräkna sig

satsningar som görs inom EU behöver vi delta och ta en

aktiv roll i det unionsgemensamma arbetet.

Sedan 2018 har regeringen också gett olika myndigheter

en rad särskilda regeringsuppdrag för att främja Sveriges

förmåga att använda AI och driva datadriven innovation.

53. Näringsdepartementet; Nationell inriktning för artificiell intelligens .

IMY | Integritetsskyddsrapport 2020 45

58

Bland annat har DIGG ett regeringsuppdrag att främja I och med att myndigheterna går mot att standardisera den offentliga förvaltningens förmåga när det gäller AI. och bygga ut det förvaltningsgemensamma digitala 54 Statistiska centralbyrån (SCB), redovisade i november informationsutbytet blir det extra viktigt att från början 2020 ett regeringsuppdrag att kartlägga användningen av etablera ett gemensamt informationssäkerhetsarbete. AI samt analys av stora datamängder i Sverige. Verket Eftersom det är först i de aggregerade datamängderna 55 för innovationssystem (Vinnova) har bland annat haft som hela riskbilden framträder behöver arbetssätt i uppdrag att kartlägga hur väl AI och maskininlärning utvecklas där organisationer gör konkreta risk- och kommer till användning i svensk industri och det svenska konsekvensanalyser både tillsammans och var för samhället samt att göra en förstudie för etableringen sig. För att bygga en hållbar utveckling behöver 56 av digitala innovationshubbar utifrån kommissionens organisationer redan från början bygga in dataskydd som digitaliseringsstrategi. Det pågår också en stor mängd standard och ta ansvar för säkerheten i produkterna, initiativ inom forskningsområdet. både vad gäller det enskilda bidraget och aggregerade 57 konsekvenser av hur datan delas, förädlas och Ett antal initiativ har också tagits i Sverige som rör öppna återanvänds i kommande led. data. Grundtanken är att data, genom att göras helt öppen eller tillgänglig inom olika digitala ekosystem,

3.4.3 Digitalisering av offentlig sektor

ska kunna användas av flera parter på ett enkelt och effektivt sätt. Därmed ökar också behovet av att kunna standardisera data på olika sätt – till exempel Ett centralt område i digitaliseringspolitiken är genom en sammanslutning av aktörer utvecklar digitaliseringen av offentlig sektor. Ett viktigt initiativ gemensamma regelverk eller principer, genom för att pröva och utvärdera former för samordnad gemensamma informationsmodeller eller genom att och säker it-drift inom staten är Försäkringskassans göra data maskinläsbar. Inom offentlig sektor används tidsbegränsade uppdrag om att erbjuda it-drift för vissa benämningen nationella grunddata om uppgifter som statliga myndigheter. 59 flera aktörer har behov av och som är viktiga i samhället, och ett ambitiöst arbete pågår för att underlätta utbytet Regeringen har också tillsatt en särskild utredare av sådan data. I näringslivet har projektet Digitala med uppdrag att kartlägga och analysera statliga Stambanan ett liknande syfte. Projektet utgår från tesen myndigheters behov av säker och kostnadseffektiv it-drift samt hur dessa behov tillgodoses. Den så 60 att dataströmmar i den nya ekonomin blir minst lika viktiga som fysiska flöden av råvaror och produkter. kallade it-driftsutredningen ska bland annat lämna Projektet kartlägger behov och möjligheter med digitalt förslag på mer varaktiga former för en samordnad statlig informationsutbyte i svensk industri. it-drift och tydliggöra de rättsliga förutsättningarna för att på ett säkert sätt kunna anlita privata leverantörer Sverige saknar flera av de förvaltningsgemensamma av it-drift. Uppdraget att kartlägga och analysera lösningar för informationsutbyte som finns i jämförbara statliga myndigheters it-drift och den offentliga länder. Bristen på en nationell digital infrastruktur har förvaltningens rättsliga förutsättningar för utkontraktering lett till många olika myndighets- och sektorsspecifika med bibehållen säkerhet, inklusive eventuella lösningar, som skiljer sig från varandra. Mot denna författningsförslag, redovisades den 15 januari 2021, bakgrund har DIGG fått ett regeringsuppdrag att leda medan förslagen till mer varaktiga former för samordnad arbetet med att skapa ett varaktigt, säkert och effektivt statlig it-drift ska redovisas senast den 15 oktober 2021. informationsutbyte inom och med den offentliga sektorn. Uppdraget genomförs tillsammans med Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, MSB, Riksarkivet samt Skatteverket.

54. Myndigheten för digital förvaltning (DIGG) Främja den offentliga förvaltningens förmåga att använda AI . Delrapport i regeringsuppdrag I2019/01416/DF och I2019/01020/DF. 55. Statistiska centralbyrån (SCB) Artificiell intelligens i Sverige , 2020. 56. Vinnova slutrapport VR 2018:08 Artificiell intelligens i svenskt näringsliv och samhälle - Analys av utveckling och potential . 57. Se vidare avsnitt 7. 58. Uppdrag att etablera en förvaltningsgemensam digital infrastruktur 59. I2019/02515/DF. för informationsutbyte. I2019/03306/DF, I2019/01036/DF (delvis), 60. Dir. 2019:64 Säker och kostnadseffektiv it-drift för den offentliga I2019/01361/DF (delvis), I2019/02220/DF. förvaltningen .

46 IMY | Integritetsskyddsrapport 2020

59

3.4.4 Digitaliseringspolitikens

En central fråga i utredningen handlar om statliga

myndigheters möjligheter att anlita privata leverantörers

fortsatta inriktning

molntjänster. Risker med att statliga myndigheter

använder molntjänster som tillhandahålls av privata I budgetpropositionen för 2021 bedömde regeringen leverantörer har tidigare bland annat belysts i sammantaget att förutsättningarna är goda att nå det Försäkringskassans vitbok om molntjänster i övergripande målet för digitaliseringspolitiken. Samtidigt, samhällsbärande verksamhet. I vitboken ifrågasätter 61 konstaterar regeringen, finns utmaningar som bidrar till Försäkringskassan bland annat lämpligheten i att att Sverige ännu inte är bäst i världen på att använda svenska myndigheter avhänder sig kontrollen över digitaliseringens möjligheter. 65 uppgifter i den verksamhet som vi benämner som

samhällsbärande till privata företag eller andra För att nyttja AI och annan ny teknik på ett sätt som

länder. Till detta kommer olika säkerhetsrelaterade svarar mot målen på digitaliseringsområdet och

aspekter. Som exempel nämner Försäkringskassan invånarnas förväntan på den offentliga förvaltningen

i vitboken en ökad allmän sårbarhet, ökade risker för understryker regeringen att det behöver finnas en

att obehöriga får tillgång till data samt svårigheter att balans mellan innovation och grundlig analys för att

säkerhetspröva personal och upprätta rättvisande säkerställa säker, resurseffektiv och ändamålsenlig

risk- och sårbarhetsanalyser. 62 användning av ny teknik. Data är en grundförutsättning

för att kunna nyttja potentialen i AI och annan digital EU-domstolens avgörande i Schrems II-målet, där 63 innovation. Arbetet behöver fortsätta med säker tillgång domstolen slår fast att det så kallade Privacy Shieldtill öppna data och användningen av data som strategisk beslutet som möjliggör överföring av personuppgifter resurs, med respekt för regler om dataskydd och den från EU/EES till USA inte ger ett tillräckligt skydd för personliga integriteten. Samverkan mellan olika aktörer personuppgifter när dessa förs över till USA, har för behöver enligt regeringen främjas för att åstadkomma ett många verksamheter ställt frågan om USA-baserade livskraftigt innovationsklimat, särskilt samordning av testmolntjänster på sin spets. och experimentmiljöer.

En tänkbar väg framåt kan vara en europeisk Regeringen påtalar också att möjligheterna till digital och molntjänstinfrastruktur. Tyskland och Frankrike har inom datadriven innovation kan förbättras genom ett effektivt ramen för projektet GAIA-X påbörjat ett arbete med en utnyttjande av initiativ på europeisk nivå inom ramen sådan infrastruktur. Projektet syftar bland annat till att för bland annat EU:s digitaliseringsstrategi, datastrategi stärka den europeiska digitala suveräniteten, att minska och satsningar på AI och blockkedjor. Efter ett förslag beroendet och inlåsningseffekter kopplat till enskilda från DIGG har regeringen aviserat att man under 2021 kommersiella aktörer, att göra molntjänster mer attraktiva avser ta fram en nationell strategisk inriktning för data, på bredare front, särskilt för små och medelstora företag som bland annat ska bidra till ett ökat utbud av och samt att skapa ett europeiskt ekosystem för datadriven tillgänglighet till öppna data. innovation. Från Sveriges håll har Skatteverket

regeringens uppdrag att bevaka arbetet med projektet. 64 Regeringen avser också att vidta åtgärder i syfte att

säkerställa långsiktighet och kontinuitet när det gäller Ett regeringsuppdrag under 2020 tar specifikt sikte att samlat följa upp och analysera hela samhällets på integritetsskydd och medborgarnas kontroll över digitalisering. Regeringen bedömer vidare att data som finns hos offentlig sektor. Det handlar om ett lagstiftningen kan behöva anpassas ytterligare för att ge uppdrag till Arbetsförmedlingen, E-hälsomyndigheten, ett tillräckligt stöd för en digital och datadriven offentlig DIGG och Skatteverket att genomföra en omvärldsanalys förvaltning. Regeringen genomför också en satsning för och ta fram ett koncepttest som visar hur individens att DIGG ska kunna vägleda och ge rättsligt stöd till den möjligheter till insyn och kontroll över de data offentliga förvaltningen. om individen som finns hos offentlig sektor, och i

förlängningen även de data om individen som finns

hos privat sektor, kan öka. Resultatet av uppdraget ska

redovisas till Regeringskansliet senast den 1 juni 2021.

61. Försäkringskassan Vitbok – Molntjänster i samhällsbärande verksamhet – risker, lämplighet och vägen framåt Föräkringskassans diarienummer: 013428-2019. 62. Förslag till hantering av dessa problem lämnas i prop. 2019/20:201 Tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter . 63. Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (Case C-311/18, “Schrems II”). 65. Prop. 2020/21:1 Budgetpropositionen för 2021 Utgiftsområde 22, 64. I2020/02296/DF. avsnitt 4.5.1.

IMY | Integritetsskyddsrapport 2020 47

60

3.5 Sveriges

Försvarsberedningen framhöll i sin rapport Motståndskraft: Inriktningen av totalförsvaret och

integritetsskyddspolitik

utformningen av det civila försvaret 2021–2025 att cybersäkerhetsfrågor får allt större betydelse i utrikes- och säkerhetspolitiken liksom för den nationella säkerheten. De globala cyberdiskussionerna 66 befinner sig i ett formativt skede, där frågorna På informations- och spänner över ett brett fält med bland annat folkrätt, cybersäkerhetsområdet har en försvars- och säkerhetspolitik, mänskliga rättigheter nationell strategi utarbetats och och global utveckling.

en rad åtgärder vidtagit. De sju

myndigheterna i Samverkansgruppen Försvarsberedningen påtalade vidare att de mest för informationssäkerhet (SAMFI) skyddsvärda verksamheterna är beroende av ansvarar tillsammans för att genomföra funktionalitet och säkerhet inom andra verksamheter. den handlingsplan som finns kopplad Arbetet med skydd för de mest skyddsvärda till strategin. verksamheterna kan därför inte bedrivas isolerat, utan måste ske koordinerat med det samlade arbetet Införandet av dataskyddsförordningen, med samhällets informations- och cybersäkerhet. brottsdatalagen och kompletterande Skyddsarbetet är ett gemensamt ansvar för hela regelverk är utan tvekan det samhället och måste enligt Försvarsberedningen mest betydelsefulla direkta bedrivas på central, regional och lokal nivå, hos integritetsskyddspolitiska arbetet myndigheter, företag och organisationer i Sverige. Den under senare år. tekniska säkerheten behöver fortsatt stärkas samtidigt som hänsyn tas till att det i många fall är den mänskliga

Integritetskommittén lämnade 2017 ett

faktorn som ligger bakom incidenter eller utnyttjas vid

antal förslag för att stärka den personliga

angrepp. De åtgärder som vidtas för att exempelvis höja

integriteten. Ett antal förslag har realiserats,

lägstanivån i informations- och cybersäkerhetsarbetet

främst avseende informationssäkerhet och

anses av Försvarsberedningen hänga samman med

digitalisering av offentlig sektor. Bland de

arbetet att skydda samhället mot avsiktliga cyberattacker.

förslag som inte lett till åtgärder finns en

rad branschspecifika åtgärder till exempel Ett liknande anslag återfinns i den nationella avseende uppförandekoder. säkerhetsstrategi som regeringen fattade beslut om 2017. En robust cyberförsvarsförmåga framhålls som 67 en viktig del av vår samlade ansats att stå emot riktade angrepp och försök till påverkan. I strategin framhålls att det, för att bemästra utmaningarna inom informations- Sveriges integritetsskyddspolitik grundar sig på och cybersäkerhetsområdet är viktigt att fortlöpande ett förstärkt grundlagsskydd för den personliga arbeta för att minska sårbarheter. Detta är en uppgift för integriteten som infördes i 2 kap. 6 § andra alla aktörer i samhället, menar regeringen. Förmågan stycket regeringsformen år 2011. Skyddet för den att förebygga, identifiera och hantera it-incidenter personliga integriteten i samband med behandling och antagonistiska attacker behöver förbättras inom av personuppgifter har blivit mer uttalat under 2018 alla samhällsviktiga funktioner. De mest skyddsvärda genom genomförandet av dataskyddsförordningen, verksamheterna ska dessutom svara upp mot de krav brottsdatalagen och ett stort antal kompletterande som ställs i säkerhetsskyddslagstiftningen. Arbetet med regelverk på integritetsskyddsområdet. Ett omfattande att minska sårbarheter tar sin grund i verksamhetens arbete har också bedrivits med att stärka arbetet inom risk- och sårbarhetsanalys och/eller säkerhetsanalys. En informationssäkerhets- och cybersäkerhetsområdet. förutsättning för arbetet är en utvecklad samordning och samverkan mellan myndigheter och andra aktörer, för att identifiera vad som ska skyddas och vilka ytterligare 3.5.1 Informations- och cybersäkerhet säkerhetsåtgärder som behöver sättas in.

Ett viktigt område för att öka den digitala tryggheten handlar om informations- och cybersäkerhet. Givet att de aktörer som har störst kapacitet att utföra cyberangrepp utgörs av främmande makt är informations- och cybersäkerhetsfrågor sedan några år tillbaka en viktig del i svensk försvarspolitik.

66. Ds 2017:66 Motståndskraft Inriktningen av totalförsvaret och utformningen av det civila försvaret 2021–2025 . 67. Statsrådsberedningen; Nationell säkerhetsstrategi , 2017.

48 IMY | Integritetsskyddsrapport 2020

61

I oktober 2018 beslutade regeringen om en nationell MSB har också en central roll i arbetet med strategi för samhällets informations- och cybersäkerhet. implementeringen av NIS-direktivet i Sverige. 68 69 I strategin framhålls att ett strukturerat och riskbaserat Lagen ställer krav på leverantörer av samhällsviktiga arbete med informations- och cybersäkerhet bidrar till tjänster inom sju utpekade sektorer samt, under att säkerställa den fortsatta digitaliseringen av samhället vissa förutsättningar, leverantörer av digitala och samtidigt hävda Sveriges säkerhet och nationella tjänster. De sju sektorerna för samhällsomfattande intressen. Ett strukturerat och riskbaserat arbete med tjänster är energi, transport, bankverksamhet, informations- och cybersäkerhet är också en viktig finansmarknadsinfrastruktur, hälso- och sjukvård, förutsättning för svensk tillväxt och konkurrenskraft, samt leverans och distribution av dricksvatten samt digital en nödvändighet för att näringslivet ska kunna utveckla infrastruktur. För var och en av sektorerna finns en och tillhandahålla konkurrenskraftiga varor och tjänster. utpekad tillsynsmyndighet. MSB:s uppdrag på området innefattar bland annat föreskriftsrätt och samordning för För att informationshantering och it-användning de olika sektorsspecifika tillsynsmyndigheterna i syfte i samhället ska kunna utvecklas på ett tryggt och att säkerställa en effektiv och likvärdig tillsyn. MSB är säkert sätt krävs att alla aktörer har en helhetssyn på också mottagare av incidentrapporter. informationssäkerhet, som ska vara en självklar och integrerad del i allt arbete på alla nivåer i samhället. Vidare har regeringen beslutat att ett nationellt Strategin innehåller sex strategiska prioriteringar: cybersäkerhetscentrum ska startas och gett FRA, Försvarsmakten, MSB och Säkerhetspolisen i uppdrag • säkerställa en systematisk och samlad ansats i att tillsammans vidta förberedande åtgärder. Det arbetet med informations- och cybersäkerhet nationella cybersäkerhetscentret ska stärka Sveriges • öka säkerheten i nätverk, produkter och system samlade förmåga att förebygga, upptäcka och hantera • stärka förmågan att förebygga, upptäcka och hantera antagonistiska cyberhot mot Sverige och minska cyberattacker och andra it-incidenter cybersårbarheterna. Det ska ge ett utvecklat och samordnat stöd om hur privat och offentlig sektor kan • öka möjligheterna att förebygga och bekämpa itskydda sig mot cyberattacker. relaterad brottslighet • öka kunskapen och främja kompetensutvecklingen • stärka det internationella samarbetet. 3.5.2 Integritetsskyddspolitiken i

Sverige – dataskyddsreformen har

Med utgångspunkt i den nationella strategin har implementerats regeringen gett sju myndigheter i uppdrag att gemensamt utarbeta en handlingsplan med aktiviteter för att I Sverige har integritetsskyddspolitiken främst fått tydliga genomföra strategin. Det handlar om myndigheterna uttryck genom införandet av dataskyddsförordningen och i Samverkansgruppen för informationssäkerhet övriga regelverk på dataskyddsområdet. Bland annat (SAMFI); MSB, Försvarets radioanstalt (FRA), har kompletterande nationell lagstiftning genomförts Försvarets materielverk (FMV), Försvarsmakten, genom dataskyddslagen, men på området har också Post- och telestyrelsen (PTS), Polismyndigheten ett EU-direktiv rörande personuppgiftsbehandling samt Säkerhetspolisen. Handlingsplanen spänner i brottsbekämpande verksamhet implementerats över åren 2019–2022 och SAMFI-myndigheterna genom införandet av brottsdatalagen. I samband med har regeringens uppdrag att fortsätta arbeta med införandet av dataskyddsförordningen, dataskyddslagen åtgärderna i handlingsplanen. och brottsdatalagen genomfördes också omfattande ändringar och anpassningar i nationell kompletterande Regeringen har också gett MSB ett antal särskilda sektorsspecifik lagstiftning. Detta innebär att regeringen 70 regeringsuppdrag avseende informationssäkerhet. har säkerställt att grundläggande regelverk finns på plats Det har bland annat handlat om riktade som har integritetsskyddsaspekterna i fokus. utbildningsinsatser till statliga myndigheter, kommuner, regioner och länsstyrelser för att höja nivån på Vilka krav regelverket ställer på behandling av data informationssäkerhetsarbetet i offentlig sektor beskrivs övergripande i kapitel 4 och något mer fördjupat samt att ta fram en struktur för uppföljning av det i en bilaga till rapporten. systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. Myndigheten har också haft i uppdrag att bidra till att öka allmänhetens kunskap om 69. Som en del i EUs strategi på cybersäkerhetsområdet antogs NIS-diinformationssäkerhet, vilket bland annat resulterat i den rektivet (EU Network and Information Security Directive) 2016. Det var nationella kampanjen Tänk säkert! ett av de första initiativen för att skapa en EU-övergripande reglering, i syfte att öka cybersäkerheten över hela unionen. Eftersom det är ett direktiv har det implementerats i resp. medlemsstat genom nationell lagstiftning, i Sverige genom lag (2018:1174) och förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. 70. Det kan på sina håll fortfarande finnas bristande harmonisering mellan medlemsstaternas nationella kompletterande lagstiftning. 68. Skr. 2016/17:213 Nationell strategi för samhällets informations- och Svenskt näringsliv pekar på detta som ett problem i sin skrift ” Vad är fel cybersäkerhet . med GDPR? ”.

IMY | Integritetsskyddsrapport 2020 49

62

3.5.3 Regeringen har agerat på ett

I enlighet med kommitténs förslag har regeringen också

utarbetat ett lagförslag om tystnadsplikt för leverantörer

antal av Integritetskommitténs förslag

av molntjänster och andra personuppgiftsbiträden. 74 från 2017 Riksdagen har antagit regeringens förslag och

lagändringen trädde ikraft den 1 januari 2021. Vidare 75 Inom ramen för integritetsskyddspolitiken har regeringen har regeringen, i enlighet med vad som ursprungligen också agerat på ett antal förslag som tidigare lämnats. föreslogs av Statens Servicecenter och tillstyrktes av Integritetskommittén lämnade i sitt slutbetänkande Integritetskommittén, tillsatt en utredning för att utreda 2017 totalt 36 förslag på åtgärder som kommittén ansåg 71 förutsättningarna för inrättandet av en statlig molntjänst kunde stärka skyddet för den personliga integriteten. För som den offentliga förvaltningen ska kunna använda ungefär hälften av kommitténs förslag har någon form sig av (it-driftsutredningen som beskrivs ovan). av åtgärder vidtagits, även om det inte nödvändigtvis är

exakt i enlighet med kommitténs förslag. Flest åtgärder

har vidtagits inom områdena informationssäkerhet 3.5.3.2 Förslag som inte har genomförts

och e-förvaltning. En rad av kommitténs förslag rörde uppförandekoder i

olika branscher. Kommittén föreslog att regeringen bör

3.5.3.1 Förslag som har genomförts initiera och stödja framtagandet av uppförandekoder

inom konsumentområdet, skolan, hälso- och sjukvården, Flera av Integritetskommitténs förslag om arbetslivet och e-förvaltningen. Mer specifikt lämnade informationssäkerhet har genomförts, bland annat kommittén förslag på regeringsuppdrag till bland annat i delar som avser uppdrag till MSB. Bland annat Konsumentverket, Skolverket, E-hälsomyndigheten föreslogs att MSB skulle få ett tillsynsuppdrag avseende och Arbetsmiljöverket för att initiera och stödja arbetet statliga myndigheters informationssäkerhet, att MSB med uppförandekoder i olika branscher. Några sådana skulle få uppdraget att utveckla en styrmodell för regeringsuppdrag har inte lämnats. informationssäkerhetsarbete i staten samt följa upp

statliga myndigheters informationssäkerhetsarbete. Generellt när det gäller uppförandekoder kan

Som redovisats ovan har MSB också fått ett antal konstateras att IMY endast fått in ett fåtal ansökningar

regeringsuppdrag som rör informationssäkerhet. om godkännande av uppförandekoder sedan maj 2018

och att ingen avser de föreslagna branscherna eller Vidare uppmanade Integritetskommittén att regeringen sektorerna. Det kan också konstateras att främjandet borde följa upp Riksrevisionens rekommendationer av instrument för att säkerställa integritetsskyddet, avseende kompetens och metod för utredning av bland annat uppförandekoder, är ett av fokusområdena it-brott. Regeringen har också gett Polismyndigheten i för kommissionens fortsatta utvärdering av uppdrag att ta fram en långsiktig plan för att säkerställa dataskyddsförordningens genomförande. att rätt kompetens finns att tillgå i verksamheten för att

utreda it- brott. 72 Kommittén lämnade också ett antal branschspecifika

förslag där åtgärder inte vidtagits. Förslagen handlade Integritetskommittén lämnade också flera förslag till exempel om att utreda en lagreglerad tystnadsplikt rörande e-förvaltning, varav merparten genomförts. för försäkringsföretag och deras anställda avseende Ett av förslagen handlade om att den myndighet som får personuppgifter och reglering av ett teknikoberoende det samlade ansvaret för den offentliga förvaltningens skydd för den enskildes integritet vid kreditupplysning. digitalisering – vilket kom att bli DIGG – i sin instruktion

bör ha särskilt uttalat att myndigheten ska främja Vidare menade Integritetskommittén att regeringens

skyddet av den personliga integriteten. Av instruktionen digitala strategier bör kompletteras med uttryckliga mål

för DIGG framgår att myndigheten ska bedriva arbetet som avser den personliga integriteten. Målet, ansåg

med digitalisering av den offentliga förvaltningen på kommittén, bör vara att Sverige inte bara ska vara bäst

ett sätt som säkerställer skyddet av säkerhetskänslig i världen på att utnyttja digitaliseringens möjligheter,

verksamhet och informationssäkerhet i övrigt samt utan också världsledande på att skydda den personliga

skyddet av den personliga integriteten. Även i flera av 73 integriteten. Något sådant mål har inte fastställts.

myndighetens regeringsuppdrag framhålls att särskilt fokus ska läggas på säkerhet, informationssäkerhet, Integritetskommittén konstaterade också att det finns

sekretess och integritetsskydd. ett behov av att i högre grad integrera arbetet med att

skydda den personliga integriteten med det traditionella

informationssäkerhetsarbetet.

71. SOU 2017:52 Så stärker vi den personliga integriteten . 74. Prop. 2019:20:201 Tystnadsplikt vid utkontraktering av teknisk 72. Ju2020/00378/PO. bearbetning eller lagring av uppgifter . 73. Förordning (2018:1486) med Instruktion för Myndigheten för digital 75. Lag (2020:914) om Tystnadsplikt vid utkontraktering av teknisk förvaltning , 8 §. bearbetning eller lagring av uppgifter .

50 IMY | Integritetsskyddsrapport 2020

63

Ett förslag som inte heller genomförts rör inrättandet Kommittén konstaterade att digitalisering och av ett kompetenscenter för frågor som rör personlig integritet är ett område som förtjänar större anskaffning och användning av externa it-tjänster. uppmärksamhet i forskningen, både för att höja Upphandlingsmyndigheten tillhandahåller dock kunskapsnivån men också för att bidra till att finna generellt stöd och vägledning för upphandling lösningar av tekniska och legala utmaningar. De föreslog och avtalsförvaltning och MSB har tagit fram en därför att regeringen skulle ge Vetenskapsrådet i uppdrag vägledning för att upphandla informationssäkert. att fördela anslag till tvärvetenskaplig forskning på temat, 76 Integritetskommittén menade att ett dedikerat samt att Vinnova ges ett uttalat uppdrag att främja projekt kompetenscenter skulle kunna bidra till att den offentliga som involverar integritetsstärkande teknik och arbetssätt förvaltningen blir bättre kravställare i upphandlingar, samt att upplysa om dataskyddsförordningen i sitt arbete. bland annat vad gäller kraven på inbyggt dataskydd och Någon direkt koppling till Integritetskommitténs förslag dataskydd som standard. kan inte spåras, men forskning inom digital utveckling och personlig integritet bedrivs vid flera lärosäten 3.5.3.3 Förslag som har rört tydligare i Sverige. Exempel på pågående forskning ges i reglering i lag kapitel 7 i rapporten.

Även när det rör lagreglering lämnade Vinnova fick också i december 2019 ett regeringsuppdrag Integritetskommittén förslag som inte har genomförts. att stödja offentliga aktörer i deras arbete med regel- och Ett inledande konstaterande från kommittén policyutveckling. Vinnova ska tillhandahålla stöd till var till exempel att det är otillfredsställande att offentliga aktörer, däribland regelgivande myndigheter, regeringsformens skydd av den personliga integriteten för att stärka deras förmåga att proaktivt arbeta med tillämpas på så olika sätt av utredningar, myndigheter och regel- och policyutveckling. Vinnova är också en av inom Regeringskansliet. Kommittén menade att mycket 77 finansiärerna till AI Sweden, en paraplyfunktion som ska tid skulle kunna sparas i lagstiftningsprocessen om det utgöra en samlande kraft för tillämpad AI för Sverige. En framgick tydligare i utredningar vilka avvägningar rörande del av den nationella stödfunktionens uppdrag handlar den personliga integriteten som ett lagstiftningsförslag om att stödja arbetet med rättsutveckling, där frågor som aktualiserar. Mot denna bakgrund föreslog kommittén rör dataskyddsförordningen utgör en viktig del. en ändring i kommittéförordningen (1998:1474) med innebörden att om förslagen i ett betänkande har För att klargöra vilket anslag, vilka resurser och vilka betydelse för den personliga integriteten i de fall som kompetenser som dataskyddsmyndigheten behöver avses i 2 kap. 6 § andra stycket regeringsformen, ska de närmaste åren, ansåg Integritetskommittén att konsekvenserna anges i betänkandet. Något sådant regeringen bör ge Statskontoret i uppdrag att utföra en krav har inte förts in i kommittéförordningen, även om myndighetsanalys av IMY. En sådan myndighetsanalys det i vissa enskilda utredningsdirektiv specifikt anges att har utförts och presenterades av Statskontoret i juni 2020. 79 utredaren särskilt ska beskriva vilka konsekvenser de förslag som lämnas har för den personliga integriteten. Andra förslag på tydligare reglering har inte åtgärdats. Utredningen föreslog därtill att regeringen bör utvärdera, Det rör till exempel nya integritetsstärkande regler i utveckla och vid behov uppdatera IMY:s vägledning för patientdatalagen, reglering av medborgarprofilering, integritetsanalys, vilket inte genomförts. Ett arbete pågår utredning av ett utökat sekretesskydd för uppgifter om dock inom IMY med att uppdatera vägledningen och den elever i skolans it-system samt lagreglering av vissa avses publiceras första halvåret 2021. integritetskänsliga spaningsmetoder. Dessa frågor har fortsatt hög aktualitet. Inom vissa områden menade Integritetskommittén att det saknas viktig reglering om hur personuppgifter ska hanteras, vilket lämnar de personuppgiftsansvariga i ett svårt läge. Kommittén menade till exempel att det behövs en ny socialtjänstdatalag som reglerar den personuppgiftsbehandling som sker inom socialtjänsten. En sådan utredning har också tillsatts. 78

76. MSB 1177; Upphandla informationssäkert – en vägledning . 77. 2 kap. 6 § andra stycket regeringsformen. 78. SOU 2020:47 Hållbar socialtjänst – En ny socialtjänstlag (innehåller 79. Statskontorets rapport 2020:14 Myndighetsanalys av förslag till lag om socialtjänstdataregister). Datainspektionen .

IMY | Integritetsskyddsrapport 2020 51

64

52 IMY | Integritetsskyddsrapport 2020

65

4. Vilka krav ställer

regelverket på skydd

för personuppgifter?

Skyddet för våra personuppgifter har förstärkts väsentligt genom dataskyddsreformen. I det här kapitlet ges en kort bakgrund till dataskyddsförordningen och en sammanfattning av de viktigaste förändringarna som lagstiftningen innebar. Vi gör också en kort genomgång av det dryga tiotal domar som kommit från EU- domstolen sedan dataskyddsförordningen trädde i kraft.

En mer utförlig redovisning av de rättigheter och skyldigheter som regleras i dataskyddsförordningen återfinns i en bilaga till denna rapport.

IMY | Integritetsskyddsrapport 2020 53

66

4.1 Från direktiv till förordning

En av grunderna för att stärka enskildas rättigheter genom en förordning vara att det fortfarande fanns brister i hur länderna implementerat och tolkat direktivet, vilket lett till rättsosäkerhet och återstående betydande risker för enskilda individer, särskilt vid användning av internet. Genom förordningen avsågs en konsekvent

Ett viktigt syfte med införandet av

och enhetlig tillämpning av bestämmelserna om skydd

dataskyddsförordningen var att möta

av fysiska personers grundläggande rättigheter och

den snabba tekniska utvecklingen och

friheter vid behandling av personuppgifter säkerställas

ökande insamlingen och delningen av

i hela unionen.

personuppgifter.

Det som är nytt efter att dataskyddsförordningen

Till skillnad från det tidigare

infördes är att den idag är det primära regelverket när det

dataskyddsdirektivet gäller

gäller personuppgiftsbehandling. Personuppgiftslagen

dataskyddsförordningen direkt i

var subsidiär i förhållande till andra bestämmelser,

medlemsstaterna och förordningen är

det vill säga den gällde bara om det inte fanns

primär rätt, vilket innebär att all nationell

andra bestämmelser på området. Idag måste all 82

lagstiftning ska anpassas till förordningen.

personuppgiftsbehandling uppfylla kraven enligt dataskyddsförordningen. Nationell rätt ska ha anpassats till förordningen och utgör kompletterande lagstiftning. 83 Det räcker således inte att uppfylla nationella föreskrifter och om det uppstår konflikt mellan regelverk går Ett första stort steg på integritetsskyddstrappan togs dataskyddsförordningen före. 1973 då datalagen infördes. Sverige var först ut med att inrätta en tillsynsmyndighet på området och den Dataskyddsförordningen innehåller 99 artiklar och 173 1 juli 1973 inrättades Datainspektionen. Nästa stora beaktandesatser. Detta utgör regelverket i sin helhet steg togs 1998 då dataskyddsdirektivet infördes, och och ytterligare förarbeten saknas. I beaktandesatserna, genom direktivet togs det första gemensamma steget där syftet bakom regleringen beskrivs, betonas att den i syfte att åstadkomma en harmoniserad tillämpning tekniska utvecklingen och de nya möjligheter som idag inom EU. Direktivet infördes i svensk rätt genom 80 finns att ta tillvara digitaliseringens möjligheter behöver personuppgiftslagen (1998:204). balanseras med ett effektivt integritetsskydd.

Mot bakgrund av bland annat den snabba tekniska Av beaktandesatserna framgår vidare att ett utvecklingen och den omfattande insamlingen och effektivt skydd av personuppgifter över hela unionen delningen av personuppgifter bedömdes att det krävs en förutsätter att de registrerades rättigheter förstärks stark och mer sammanhängande ram för dataskyddet och specificeras, att de personuppgiftsansvarigas inom unionen, uppbackad av ett kraftfullt tillsynsarbete. och personuppgiftsbiträdenas skyldigheter vid Efter ett långvarigt förhandlingsarbete infördes behandling av personuppgifter klargörs, att det finns dataskyddsförordningen den 25 maj 2018. Förordningen likvärdiga befogenheter för övervakning, att det gäller nu direkt som lag i samtliga EU:s medlemsländer. 81 säkerställs att reglerna för skyddet av personuppgifter I anslutning till detta arbetades en stor mängd regelverk efterlevs samt att sanktionerna för överträdelser är fram och anpassningar har som tidigare nämnts skett i likvärdiga i medlemsstaterna. stor omfattning av sektorsspecifika regelverk.

82. I 2 § personuppgiftslagen angavs att om det i en annan lag eller i 80. Direktiv 94/95/EG om skydd för enskilda personer med avseende en förordning finns bestämmelser som avviker från denna lag, ska de på behandling av personuppgifter och om det fria flödet av sådana bestämmelserna gälla. uppgifter antogs 1995 och implementerades i nationell rätt genom per- 83. Ett område där detta möjligen inte uppfattas som tillräckligt klart sonuppgiftslagen 1998. är kamerabevakning – även om man har fått tillstånd till bevakning 81. Ett nytt direktiv på det brottsbekämpande området genomfördes för behöver bevakningen uppfylla regleringen i GDPR. Detta gäller också Sveriges vidkommande per den 1 augusti 2018 genom brottsdatalagen om verksamheten inte behöver tillstånd – dataskyddsförordningen gäller (2018:1177) och brottsdataförordningen (2018:1202). för bevakningen.

54 IMY | Integritetsskyddsrapport 2020

67

4.2 Förstärkta rättigheter och

Enskildas rättigheter balanseras med utökade och omfattande skyldigheter för den som behandlar

skärpta skyldigheter

personuppgifter, oftast personuppgiftsansvariga men även biträden till dessa har fått uttalade skyldigheter. Kraven på en personuppgiftsansvarig är bland annat att man vid behandling av personuppgifter följer förordningens sex grundläggande principer, som rör 84

Genom dataskyddsförordningen har

enskildas rättigheter stärkts. Samtidigt • Laglighet, korrekthet och öppenhet – uppgifter innebär förordningen på en rad områden ska behandlas på ett lagligt, korrekt och öppet sätt i skärpta skyldigheter för alla verksamheter förhållande till den registrerade som hanterar personuppgifter. • Ändamålsbegränsning – uppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade

Skyldigheterna för verksamheter som

ändamål och inte senare behandlas på ett sätt

behandlar personuppgifter utgår från

som är oförenligt med dessa ändamål (den så

förordningens sex grundläggande principer

kallade finalitetsprincipen)

och att det krävs en rättslig grund för att

• Uppgiftsminimering – uppgifter ska vara adekvata,

få behandla personuppgifter. Är inte de

relevanta och inte för omfattande i förhållande till de

grundläggande principerna beaktade

ändamål för vilka de behandlas

eller om rättslig grund saknas kan man

utgå från att personuppgiftsbehandlingen • Korrekthet – uppgifter ska vara korrekta och om inte är laglig. nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål • Lagringsminimering – uppgifter får inte förvaras i en Centralt för att skapa den tillit som behövs för att utveckla form som möjliggör identifiering av den registrerade den digitala ekonomin över hela den inre marknaden under en längre tid än vad som är nödvändigt för de är att enskilda individer har kontroll över sina egna ändamål för vilka personuppgifterna behandlas. personuppgifter. Dataskyddsförordningen innebär på en • Integritet och konfidentialitet – uppgifter ska rad områden stärkta rättigheter för enskilda. behandlas på ett sätt som säkerställer lämplig säkerhet – inbegripet skydd mot obehörig eller Det handlar bland annat om rätten till (klar och otillåten behandling och mot förlust, förstöring eller tydlig) information, rätten att få personuppgifter skada genom olyckshändelse – med användning av rättade, raderade eller överförda, rätten att få göra lämpliga tekniska eller organisatoriska åtgärder. invändningar (till exempel om uppgifter används för direktmarknadsföring) och rätten att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling. Därutöver anges principen om ansvarsskyldighet – den personuppgiftsansvarige ska ansvara för och kunna visa Den enskildes rättigheter är långtgående och förutsätter att de grundläggande principerna efterlevs. att den som hanterar personuppgifter har ordning och reda och kan härleda personuppgifter som kan kopplas Är inte de grundläggande principerna beaktade eller till en viss individ samt också rutiner och processer för om rättslig grund saknas kan man utgå från att man inte att ge enskilda den insyn och kontroll över sina uppgifter uppfyller de närmare förskrifterna i förordningen och att personuppgiftsbehandlingen därmed inte är laglig. Följs 85 de har rätt till. de grundläggande principerna har man också till stora delar säkerställt att enskildas rättigheter tillgodoses.

84. Artikel 5.1 (a–f) dataskyddsförordningen. 85. Rättsliga grunder regleras i artikel 6 och, för känsliga personuppgifter, dessutom i artikel 9 i dataskyddsförordningen.

IMY | Integritetsskyddsrapport 2020 55

68

4.3 EU-domstolens tolkning

För att en personuppgiftsbehandling ska vara laglig krävs att den ansvariga verksamheten säkerställt att

av förordningen

det finns en rättslig grund för att behandla uppgifterna. Rättslig grund kan utgöras av (ett frivilligt och uttryckligt) samtycke. Andra rättsliga grunder kan handla om att behandlingen är nödvändig för att verksamheten ska kunna uppfylla en rättslig förpliktelse, ett avtal, att skydda ett (för den enskilde) vitalt intresse eller utföra en Sedan GDPR trädde i kraft har EUuppgift av allmänt intresse. En rättslig grund kan också domstolen meddelat ett tiotal domar som vara att verksamheten gjort en intresseavvägning – där rör integritetsskydd. Genomgående kan verksamhetens intresse av att få behandla uppgifterna konstateras att domstolen ofta gjort en bedömts väga tyngre än den enskildes intresse. strikt tolkning av dataskyddsreglerna.

Att säkerställa att de grundläggande principerna uppfylls Ett av de mer uppmärksammade målen rör och att det finns en rättslig grund förutsätter i grunden ett det så kallade Schrems II-ärendet från juli kontinuerligt och systematiskt arbete med att säkerställa 2020 där domstolen klargör vad som gäller att man har kontroll över vilka uppgifter som hanteras, vid överföring till tredje land. EU-domstolen varför, på vilket sätt och av vem. slog i ärendet fast att Privacy Shield-avtalet

mellan EU och USA inte ger ett tillräckligt

Verksamheter som hanterar personuppgifter är också skydd för personuppgifter när dessa förs skyldiga att vidta säkerhetsåtgärder och genomföra över till USA, vilket i praktiken innebär att konsekvensbedömningar för att bedöma de risker som många dataöverföringar mellan Europa och uppstår genom att personuppgifter behandlas. Om USA blev olagliga. behandlingen innebär en hög risk för enskildas integritet ska förhandssamråd begäras med tillsynsmyndigheten. Andra avgöranden från EU-domstolen Myndigheten kan då antingen lämna råd eller behandlar bland annat hur och när förbjuda behandlingen. samtycke kan användas som rättslig

grund för att vara giltigt, hur det så

För att säkerställa ett kraftfullt tillsynsarbete har kallade privatundantaget ska tolkas, tillsynsmyndigheterna fått utökade och mer långtgående hur personuppgiftsansvaret ska tolkas korrigerande befogenheter där sanktionsavgifter när företag eller andra organisationer numera är huvudregel vid överträdelse av förordningen. driver konton på Facebook eller andra Sanktionsavgifterna är höga och kan vid överträdelser sociala plattformar och vilka skyldigheter som bedöms särskilt allvarliga för privata aktörer uppgå sökmotorer har när det gäller rätten att få till 20 miljoner euro eller 4 procent av företagets globala information borttagen. årsomsättning, beroende på vilket belopp som är högst. 86 För myndigheter kan sanktionsavgiften enligt svensk rätt som mest uppgå till 10 miljoner kronor. 87

I syfte att säkerställa ett enhetligt och harmoniserat I detta avsnitt ges en kortfattad beskrivning av den genomförande av dataskyddsförordningen har som praxis som hittills utvecklats av EU-domstolen när beskrevs i kapitel 3 inrättats ett särskilt organ inom det gäller integritetsskydds- och dataskyddsfrågor. EU, Europeiska dataskyddsstyrelsen (EDPB), med ett Domstolen har sedan den 25 maj 2018 meddelat ett självständigt mandat som sträcker sig långt. 88 tiotal domar på området. Sammanställningen ger en bild av hur domstolen ser på integritetsskyddet. Noterbart är att domstolen ofta gjort en strikt tolkning av dataskyddsreglerna.

86. Artikel 58.2 (f), artikel 83 dataskyddsförordningen. 87. 6 kap. 2 § dataskyddslagen. 88. Artikel 69–76 dataskyddsförordningen, se vidare avsnitt 3.2.1–2.

56 IMY | Integritetsskyddsrapport 2020

69

Ett av de mer uppmärksammade målen rör EU- Flera mål har rört personuppgiftsansvaret och dess domstolens underkännande av Privacy Shield där gränser. I fallet Wirtschaftsakademie angav domstolen 92 domstolen klargör vad som gäller vid överföring till att enbart den omständigheten att någon använder tredje land (Schrems II). EU-domstolen slår i målet i sig av ett socialt nätverk inte innebär att en användare 89 juli 2020 fast att Privacy Shield-avtalet mellan EU och blir medansvarig för detta nätverks behandling av USA inte ger ett tillräckligt skydd för personuppgifter personuppgifter. Genom att skapa en sida och på när dessa förs över till USA. Domstolen ansåg att den ge Facebook möjlighet att placera kakor hos en kommissionens beslut om standardavtalsklausuler är person som besöker sidan, oavsett om denne har ett fortsatt giltigt och att sådana kan användas vid överföring konto hos Facebook, ansågs administratören dock ha till länder utanför EU, men att det kan behövas ytterligare medverkat till att fastställa ändamålen och medlen för skyddsåtgärder. Så är fallet om mottagarlandet genom behandlingen och betraktades därför som gemensamt sin lagstiftning eller praxis inte kan anses tillförsäkra en personuppgiftsansvarig med Facebook för behandlingen. i allt väsentligt likvärdig skyddsnivå för uppgifterna som I Fashion ID-målet konstaterades att genom 93 inom EU. Domstolen uttalar också tydligt en förväntan att integrera ett insticksprogram från ett socialt på tillsynsmyndigheterna att granska de klagomål som nätverk på sin webbplats, som översänder kommer in, i vart fall i gränsöverskridande ärenden, då webbplatsbesökarnas personuppgifter till det sociala det är grundläggande för att kunna tillförsäkra enskilda nätverket, hade företaget tillräckligt stort inflytande deras grundläggande rättigheter. över behandlingen för att bestämma att den ska inledas eller avslutas och var därmed gemensamt

4.3.1 Flera mål rör samtycke,

personuppgiftsansvarigt med det sociala nätverket för den del av personuppgiftsbehandlingen som utfördes

personuppgiftsansvar och

genom insticksprogrammet. I bedömningen togs även privatundantagets gränser hänsyn till att företaget hade ett ekonomiskt intresse i att

behandlingen utfördes. Ett par ärenden förtydligar vad som gäller för att använda samtycke som rättslig grund för Domstolen har slutligen konstaterat att ett utskott i ett personuppgiftsbehandlingen. I det så kallade Planet49- delstatsparlament är personuppgiftsansvarig, i den mån målet uttalade domstolen att ett samtycke måste 90 utskottet ensamt eller tillsammans med andra fastställer lämnas genom en otvetydig viljeyttring vilket förutsätter ändamålen och medlen för behandlingen. 94 ett aktivt beteende från den som lämnar sitt samtycke. Att man måste ”avmarkera” en på förhand ikryssad Ett par fall har rört det så kallade privatundantagets ruta för att vägra sitt samtycke utgör därmed inte ett gränser. Insamling av personuppgifter som medlemmar giltigt samtycke. I fallet Orange Romania 91 förtydligade i ett religiöst samfund ägnar sig åt inom ramen för domstolen att ett samtycke inte är giltigt, när villkoren sitt predikoarbete genom dörrknackning och senare behandlar omfattas inte av privatundantaget. För 95 i avtalet kan vilseleda den enskilde individen om möjligheten att ingå avtalet även om han eller hon vägrar att privatundantaget ska vara tillämpligt får inte att ge sitt samtycke. Ett samtycke är inte heller giltigt föras register, särskilda förteckningar eller andra när den personuppgiftsansvarige på ett otillbörligt sätt arrangemang som medger sökning. Vidare konstateras påverkar möjligheten att fritt motsätta sig behandlingen att samfundet ska anses ansvarigt för behandlingen av genom att kräva att individen fyller i ytterligare ett personuppgifter som samlats in av dess medlemmar. formulär för att ge uttryck för denna vägran. EU-domstolen har också i ett mål bekräftat tidigare praxis att privatundantaget inte omfattar spridning av personuppgifter på internet till ett obegränsat antal personer. Inspelning av ett videoklipp på en polisstation som publicerats på internet ansågs vara en form av personuppgiftsbehandling där privatundantaget inte var tillämpligt. 96

92. Dom av den 5 juni 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388. 89. Dom av den 16 juli 2020, Facebook Ireland och Schrems, C-311/18, 93. Dom av den 29 juli 2019, Fashion ID, C-40/17, EU:C:2019:629. EU:C:2020:559. 94. Dom av den 09 juli 2020, Land Hessen, C-272/19, EU:C:2020:535. 90. Dom av den 1 oktober 2019, Planet49, C-673/17, EU:C:2019:801. 95. Dom av den 10 juli 2018, Jehovan todistajat, C-25/17, 91. Dom av den 11 november 2020, Orange Romania, C-61/19, EU:C:2018:551. EU:C:2020:901. 96. Dom av den 14 februari 2019, Buivids, C-345/17, EU:C:2019:122.

IMY | Integritetsskyddsrapport 2020 57

70

Domstolen förtydligade också att behandling av personuppgifter uteslutande för journalistiska ändamål sker om behandlingen endast syftar till att sprida information, åsikter eller idéer till allmänheten. Undantaget för journalistiska ändamål ska dock endast tillämpas om det är nödvändigt för att förena rätten till skydd för personuppgifter med rätten till yttrandefrihet.

4.3.2 Mål som rör sökmotorer

Ett par avgöranden rör sökmotorer. EU-domstolen konstaterade i ett mål rörande Google att det vid 97 begäran om borttagande (rätten att bli bortglömd) inte finns någon automatisk skyldighet att göra sökträffar otillgängliga globalt. Vid borttagning av sökträffar är dock sökmotorleverantörerna ansvariga att vidta åtgärder som ska hindra eller i betydande utsträckning avhålla andra internetanvändare från att komma åt de aktuella länkarna genom att söka på personens namn. Det omfattar att ta bort länkar från alla versioner av sökmotorn som finns på EU-medlemsstaternas toppdomäner, såsom.se, .fr eller. dk. Däremot behöver länkar inte per automatik göras otillgängliga vid sökningar från tredje länder.

EU-domstolen konstaterade samtidigt att förbudet mot 98 behandling av känsliga personuppgifter och uppgifter om lagöverträdelser är tillämpligt för en sökmotorleverantör i sin egenskap av personuppgiftsansvarig. Behandling av känsliga personuppgifter kan ibland vara motiverad, men en registrerad kan ha rätt att få sökträffar borttagna ändå. Om en sökträff innehåller känsliga personuppgifter så kan personuppgiftsbehandlingen utgöra ett synnerligen allvarligt ingrepp i den personliga integriteten, vilket ska vägas in i bedömningen.

Det finns också några avgöranden som avser lagstiftning som angränsar till dataskyddslagstiftningen. 99

97. Dom av den 24 september 2019, Google, C-507/17, EU:C:2019:772. 98. Dom av den 24 september 2019, GC m.fl., C-136/17, EU:C:2019:773. 99. Till exempel har EU-domstolen förtydligat sin praxis gällande ingrepp i den enskildes rätt till skydd av elektronisk kommunikation (dom av den 2 oktober 2018, Ministerio Fiscal, C-207/16, EU:C:2018:788) och möjligheterna att ålägga en leverantör av elektroniska kommunikationstjänster att utföra lagring av trafik- och lokaliseringsuppgifter i syfte att bekämpa brott i allmänhet eller för att skydda nationell säkerhet (dom av den 6 oktober 2020, Privacy International, C-623/17, EU:C:2020:790 och dom av den 6 oktober 2020, La Quadrature du Net m.fl., förenade målen C-511/18, C-512/18 och C-520/18, EU:C:2020:791).

58 IMY | Integritetsskyddsrapport 2020

71

5. Digitalisering och

teknikutveckling

Detta kapitel är rapportens kärna, Vi har delat upp teknikutvecklingsområdena här beskrivs digitaliseringen och i teknik som påverkar olika delar av teknikutvecklingen de senaste åren personuppgifternas livscykel - där uppgifter uppdelat på sammanlagt sexton olika samlas in, bearbetas och analyseras, teknikutvecklingsområden. Vissa lagras, säkras, transporteras och förstörs. avsnitt är mer fördjupade, medan andra Kapitlet inleds med ett avsnitt om tempot i innehåller mer övergripande beskrivningar. teknikutvecklingen. Vi ger exempel på vilka nyttor och användningsområden som finns med tekniken, men också vilka integritetsrisker.

IMY | Integritetsskyddsrapport 2020 59

72

5.1 Hastigheten i

En annan faktor som bidragit till att förstärka och

snabba på utvecklingen är att många teknikområden

teknikutvecklingen är

relativt nyligen gått från att primärt vara forsknings- och

utvecklingsområden till att nu användas i praktiken. exponentiell Under de senaste åren har många verksamheter tagit

steget från att bevaka teknikutvecklingen till att faktiskt

börja använda den i praktiken. När tekniken går från

teoretiska koncept till faktiska produkter och tjänster tas

ytterligare steg i innovationsprocessen. Därmed sker 100

Hastigheten i teknikutvecklingen är

kommersialisering, anpassning, vidareutveckling och

exponentiell, vilket förenklat innebär

korsbefruktning med annan teknik i snabb takt.

att kapaciteten fördubblas ungefär

vartannat år. Ett välkänt sätt att beskriva hastigheten i dagens

teknikutveckling är den så kallade Moores lag, uppkallad

Genombrott inom ett teknikområde skapar

efter en av företaget Intels grundare Gordon E. Moore.

förutsättningar för framsteg inom andra

Förenklat kan Moores lag sammanfattas i att antalet

områden. Att teknik som till exempel

transistorer i en integrerad krets fördubblas ungefär

beräkningskraft, uppkopplingshastighet,

vartannat år, vilket också skett de senaste decennierna.

lagringsutrymme och kamerasensorer

Moores lag kan, utöver beräkningskraft, appliceras på

utvecklas exponentiellt innebär

allt från uppkopplingshastigheter, lagringsutrymme,

sammantaget att de kommande 100 åren

kamerasensorer och annan teknik som är central inom

beräknas komma att motsvara 20 000 år

digitalisering. Allt som har beräkningar som grund, och

av teknikutveckling.

som digitaliseras, kan alltså utvecklas enligt denna

exponentiella lag. Det här har skett inom en mängd

Teknikutvecklingen kan också illustreras

områden, men vi är ännu bara i början. 101

med antalet publicerade patent. Under de

tre senaste åren har antalet patent som

Exponentiellt tänkande är inte intuitivt. I en värld med

avser maskininlärning, molnlösningar,

exponentiell utveckling ökar därför diskrepansen mellan

biometri, Internet of things (IoT) och big

den värld vi lever i och vår förmåga att förstå och förutspå

data fördubblats. Störst är ökningen

framtiden. Ett exempel kan tas i om vi tar 30 linjära steg

inom IoT där en fyrdubbling skett

jämfört med 30 exponentiella. 30 linjära steg tar oss

2019 jämfört med 2016.

ungefär 30 meter bort. 30 exponentiella steg tar oss

däremot en miljard meter bort, eller motsvarande 26

varv runt jorden. Översatt till teknikutveckling kommer

de kommande 100 åren, enligt denna exponentiella lag

kallad The Law of Accelerating Returns , att motsvara Den tekniska utvecklingen och implementeringen av 20 000 år av teknologisk utveckling. 102

ny teknik går mycket snabbt framåt. Genombrott inom

ett teknikområde skapar förutsättningar för framsteg Ett annat sätt att illustrera hastighet och fokus i

inom andra områden och sammantaget ändras teknikutvecklingen är genom statistik över antalet

förutsättningarna kontinuerligt. Ett konkret exempel på patentansökningar. FN-organet World International

hur utvecklingen inom olika teknikområden förstärker Property Organization (WIPO) publicerar regelbundet

varandra är att intresset för AI tagit ordentlig fart tack global statistik över antalet patentansökningar. En 103

vare tillgången på stora datamängder (big data) i sökning i deras publika databas över globala patent

kombination med ökad lagringskapacitet i molnet och avseende maskininlärning, molnlösningar, biometri,

ökad processorkraft. Med ökad användning av AI Internet of things (IoT) och big data illustrerar trenden

ökar i sin tur efterfrågan på data ytterligare, eftersom tydligt. Enbart under perioden 2016 – 2019 har antalet

AI-baserade system behöver stora mängder relevant publicerade patent fördubblats.

information att lära av. Innovation möjliggör nya Diagrammet nedan visar tillväxten av antalet publicerade innovationer och skapar ett slags ”ränta på ränta-effekt” patent som innefattar nyckelorden machine-learning, som accelererar tempot i teknikutvecklingen. cloud computing, biometric, IoT, big data och

cryptographic mellan åren 2011 och 2019.

100. https://www.fincalabs.com/agile-innovation-framework-en/. 101. https://greentech.warpinstitute.se/exponentiella-lagar/.

102. https://greentech.warpinstitute.se/exponentiella-lagar/.

103. https://patentscope.wipo.int/search/en/search.jsf.

60 IMY | Integritetsskyddsrapport 2020

73

Antal publicerade patent som innehåller respektive sökterm, 2011-2019

150 000

Cryptographic 100 000 Big Data IoT Biometric Cloud computing 50 000 Machine-learning

0 2011 2012 2013 2014 2015 2016 2017 2018 2019

En närmare fördjupning i statistiken visar att det är inom IoT som den största ökningen skett. Under år 2019 publicerades mer än fyra gånger så många patent som innehöll sökordet IoT under jämfört med år 2016. Diagrammet nedan visar den procentuella tillväxten av antalet publicerade patent per år i en jämförelse mellan åren 2016 och 2019. Tillväxten i antalet publiceringar var mer än 40 procent per år för samtliga söktermer. 104

Tillväxt i antalet publicerade patent per år vid en jämförelse mellan åren 2016 och 2019

428%

400 350 300

246%

197%

200 150 100

53% 47%

41%

50 0 IoT Machine-learning Big Data Cloud computing Cryptographic Biometric

104. https://patentscope.wipo.int/search/en/search.jsf (sökningen genomfördes med inställningen ”Any Field”).

IMY | Integritetsskyddsrapport 2020 61

74

5.2 Personuppgifternas

I den tidiga datoriserade bearbetningen av personuppgifter skedde behandlingen som regel i en

livscykel

bestämd och förutsägbar ordning. Efter den inledande insamlingen/upprättandet, följde lagring och säkring, bearbetning/användning, eventuell med en eller flera transporter och sist förstörande. Den tekniska utvecklingen har medfört att de olika stegen i livscykeln Personuppgifter hanteras vanligen i en idag kan ha en annan, mer oförutsägbar ordningsföljd livscykel som börjar med att uppgifterna och ske i ett antal loopar.

samlas in och avslutas med att de förstörs.

Däremellan lagras, säkras, bearbetas och Idag finns till exempel teknik där uppgifter säkras används samt transporteras uppgifterna genom kryptering och bearbetas direkt i enheten – men inte nödvändigtvis i den ordningen. som uppgifterna samlats in med – det vill säga innan Redovisningen av utvecklingen på it- uppgifterna lagras eller transporteras. Uppgifter kan området delas här in utifrån livscykelns också samlas in, bearbetas och förstöras i en och samma olika delar. enhet och i realtid, utan att behöva transporteras. I andra fall sker transport av stora volymer personuppgifter kontinuerligt mellan samtliga steg i livscykeln – exempelvis när uppgifterna lagras och bearbetas i molntjänster som administreras av en tredje part.

För att beskriva teknikutvecklingen har utgångspunkten Totalt beskrivs i det följande avsnittet sexton aktuella tagits i vad som kan sägas vara personuppgifternas teknikutvecklingsområden, fördelade på de olika delarna livscykel. Cykeln börjar med att uppgifterna samlas in/ i livscykeln. Vissa avsnitt innehåller mer djuplodande upprättas och avslutas med att uppgifterna förstörs eller fördjupningar, medan andra avsnitt mer utgör allmänna arkiveras. Inom vissa verksamheter finns krav på att beskrivningar av teknikområden som många gånger uppgifter ska sparas, antingen för viss tid eller för evigt. förutsätter insamling, bearbetning, transport, säkring, I sådana fall avslutas livscykeln med att uppgifterna lagring och förstöring/arkivering av stora mängder data. arkiveras. Däremellan lagras, delas, bearbetas och Ofta dessutom personuppgifter. används uppgifterna – men inte nödvändigtvis i den ordningen. Under hela livscykeln behöver också personuppgifterna säkras.

62 IMY | Integritetsskyddsrapport 2020

75

5.3 Teknik för att samla in data

De omfattande affärsmöjligheter som ligger Risker för den enskilde individen med

i stora datamängder har skapat starka den ökande datainsamlingen handlar

incitament för att utveckla teknik för att bland annat om att det blir allt svårare att

samla in data. upptäcka, kontrollera eller välja bort att

data om vårt beteende och rörelsemönster

Nya typer av sensorer och sändare

samlas in – dels på nätet, dels i den

utvecklas mot att bli allt mindre men

fysiska världen.

samtidigt mer kraftfulla, vilket gjort

det väsentligt lättare att samla in En särskild typ av datainsamling som i

stora datamängder. ökande utsträckning används inom allt fler

samhällsområden handlar om insamling

Ytterligare ett område där

av biometriska uppgifter. Biometri innebär

teknikutvecklingen gått snabbt framåt de

att mäta kroppens egenskaper (till exempel

senaste åren handlar om nya former för

hand- eller fingeravtryck, mönster i

interaktion mellan människa och dator. På

ögats iris, ansikts- eller kroppsform och

kort tid har röststyrningsteknik fått ett brett

röstavtryck) eller individers beteenden (till

genomslag och spridits från mobiltelefoner

exempel gångstil, rörelse- och talmönster,

och datorer till bland annat bilar, klockor,

handstil, ansiktsuttryck och sömnmönster)

hörlurar och olika smarta prylar i hemmet

för att verifiera, autentisera eller identifiera

som till exempel TV-apparater. Även

individer. Användning av biometriska

teknik för avläsning av fingeravtryck och

uppgifter kan skapa ökad bekvämlighet,

ansiktsigenkänning utvecklas snabbt.

snabbhet och säkerhet. Samtidigt medför

den ökande användningen av biometriska

Utvecklingen inom Internet of things,

uppgifter betydande integritetsrisker.

IoT, utgör ett särskilt riskområde. Den

En av de främsta riskerna handlar om

omfattande insamlingen av data som sker

att biometriska data (till skillnad från

på nätet flyttar genom IoT ut i den fysiska

till exempel lösenord eller passerkort)

världen. Kombinationen av utveckling

inte kan bytas ut om uppgifterna skulle

inom ”smarta städer” och ”smarta hem”

hamna i orätta händer. De biometriska

gör att vi omges av allt mer potentiellt

uppgifterna är beständiga, vilket gör en

integritetskränkande teknik – såväl i det

integritetsförlust svår att reparera.

offentliga rummet som i intima hemmiljöer.

En stor andel IoT-enheter har visat sig

ha bristande säkerhet. Forskare har till

exempel visat hur man kan ta kontroll över

en modern bil via ett trådlöst nät, eller via

fjärrstyrning manipulera en pacemaker Personuppgifter har kommit att bli ett centralt värde i eller insulinpump. den digitala ekonomin och jämförs inte sällan med olja, guld eller ett slags valuta. Jämförelsen med olja bygger Ytterligare ett riskområde är teknik på att data är ett nödvändigt bränsle i så gott som alla för webbskrapning som automatiskt branscher. Liksom olja behöver data också förädlas för samlar in data från exempelvis sociala att vara användbar.

medier. Kännetecknande är ofta att

informationsmängderna blir så stora I princip alla företag, myndigheter och organisationer att det blir oöverblickbart. Ett färskt behandlar idag personuppgifter på ett eller annat exempel är ett företag som samlat in sätt. För en del företag utgör data själva grunden för tre miljarder ansiktsbilder från miljoner affärsmodellen och i de allra flesta verksamheter finns olika webbplatser. också stora möjliga nyttor och vinster med att på olika sätt bearbeta, analysera och dela data.

IMY | Integritetsskyddsrapport 2020 63

76

Data är också själva grunden för tillväxt inom åtskilliga Konsumentverket lät 2017 göra en kartläggning av branscher och utgör därmed en renodlad handelsvara. hur personuppgifter används som betalningsmedel. Personuppgifter säljs som produkt och insamling av Problematiska beteenden som Konsumentverket uppgifter erbjuds som tjänst. Att uppskatta omsättningen identifierat handlar bland annat om svepande i den globala handeln med data är svårt, men som datainsamling som inte är transparent, det vill säga fingervisning kan nämnas att enbart intäkterna för när mer data samlas in än vad som behövs för det datamäklarbranschen (eng. data brokers) år 2018 uttalade syftet och tredjepartsinsamling , det vill säga när uppskattades till 21 miljarder amerikanska dollar. personuppgifter samlas in och hanteras av någon annan 105 part än den som en konsument har en tydlig relation Datamäklare är företag som har som affärsidé att samla till. Även spel riktade till barn , med marknadsföring in personuppgifter och sälja dem vidare, ofta paketerade eller köpuppmaningar i spelen, och så kallad clickbaittill exempel som konsumentprofiler. En konsumentprofil journalistik , det vill säga webbinnehåll som syftar till kan innehålla både demografiska och geografiska att generera inkomster från online-annonsering med uppgifter, men också uppgifter om den enskildes livsstil sensationella rubriker eller iögonfallande bilder som och intressen. Personuppgifterna kan komma från vitt lockbete ses av Konsumentverket som problematiskt. 106 skilda källor: sociala medier, offentliga register eller andra företags kundregister. Sammantaget kan informationen Drivkraften att samla in och bearbeta personuppgifter användas till exempel för att anpassa marknadsföring, kan vara så stark att verksamheter väljer att göra det upptäcka bedrägerier eller göra risk- och utan att enskilda individer är medvetna om insamlingen, kreditbedömningar. När den här typen av datapaketering samtycker till den eller samtycker till hela tjänstens köps som tjänst ingår ofta såväl insamling, rensning, omfattning. Detta strider mot dataskyddsförordningens 107 löpande uppdatering och anpassning av data. grundläggande principer och krav på rättslig grund för behandlingen, men riskerar i hög utsträckning Möjligheterna att tjäna pengar på data utgör en stark att förbli oupptäckt. drivkraft bakom utvecklingen av teknik för att samla in personuppgifter. En stor andel av uppgifterna samlas in Möjligheten att tjäna pengar på personuppgifter gör med den enskilde individens medgivande exempelvis det också till en attraktiv tillgång för olika typer av via sociala media, strömningstjänster, appar, digitala hotaktörer. På Darknet – den hemliga, dolda delen av tjänster eller när vi handlar via nätet. För att kunna internet där en hel del olaglig verksamhet pågår – går använda en digital tjänst ombeds vi bli medlemmar det att beställa olaglig insamling av personuppgifter eller starta ett konto, där vi i användarvillkoren som tjänst. I rapporten ”In the dark” beskrevs hur godkänner att uppgifter om oss samlas in. Samtidigt stulna och känsliga personuppgifter säljs via olika är komplexiteten stor i hur data delas mellan företag. handelsplatser på Darknet. Prislistor figurerar med 108 Ofta är det för den enskilde individen oöverskådligt och information om hur mycket det kostar att komma över svårt att bedöma vilka företag som kommer få tillgång en individs inloggningsuppgifter till olika bank- och till ens personuppgifter och varför. Hur handel med betalningstjänster, sociala media-lösenord etcetera. data i den digitala annonsindustrin går till beskrivs mer Det går också att beställa attacker mot ett företag eller utförligt i avsnitt 5.4.3. en organisation som hanterar stora mängder känsliga personuppgifter. I rapporten ges också exempel på I flera av de intervjuer som IMY genomfört i arbetet med försäljning av stora datafiler från tidigare genomförda denna rapport framhålls den ökande insamlingen av data dataintrång riktade mot specifika webbplatser. Som om vårt beteende och rörelsemönster, dels i den fysiska ett exempel kan nämnas att det enligt rapporten världen, dels på nätet, som den mest betydelsefulla kostar 3 200 amerikanska dollar att få tillgång till 65 teknikutvecklingen som påverkat den personliga miljoner dataposter från en av de marknadsledande integriteten under de senaste åren. Utvecklingen ger en släktforskningstjänsterna. mängd aktörer tillgång till en fullständig bild av våra liv, våra intressen, våra kontakter med mera. Det faktum att uppgifter delas mellan olika aktörer på ett sätt som ofta är svåröverblickbart för den enskilde individen gör integritetsriskerna större.

Företag driver på utvecklingen genom att kontinuerligt utveckla nya affärsmodeller som bygger på att erbjuda en digital tjänst mot att företaget får tillgång till – och därmed kan tjäna pengar på – data om användaren.

106. Konsumentverket rapport 2017:4; Personuppgifter som betalningsmedel . 107. Detta förutsätter att den rättsliga grunden är samtycke. 108. https://vpnoverview.com/privacy/anonymous-browsing/in-the- 105. The Economist; Are data more like oil or sunlight? . dark/.

64 IMY | Integritetsskyddsrapport 2020

77

Det finns också flera exempel på hur företag och Exempel på användningsområden för sådana myndigheter har utsatts för utpressningsförsök mikroskopiska sändare finns till exempel inom när bedragare på något sätt har kommit åt försvarsindustrin, meteorologiska mätningar, kontroll av inloggningsuppgifter i en verksamhet eller på annat sätt miljöföroreningar och skogsbränder samt bevakning av fått tillgång till omfattande datasamlingar. Ett exempel produktionsprocesser och anläggningar. Potentialen 111 är den omfattande läckan av privata patientjournaler i utvecklingen har – på gott och ont – beskrivits som från finska psykoterapibolaget Vastaamo som har att multiplicera Internet of Things miljoner gånger. 112 beskrivits som en omfattande och sällsynt hackerattack. Konkreta integritetsrisker som följer av denna typ Journalerna innehåller intima uppgifter om patienternas av sensorer och sändare handlar om att enskilda privatliv men även deras adresser och fullständiga individer ofrånkomligen riskerar att fångas upp, även namn. Patienter vars journaler läckt har utpressats att om det inte är syftet med datainsamlingen. Under betala pengar för att stoppa spridningen av de privata vissa omständigheter kan det vara enkelt att identifiera uppgifterna på nätet. Ett antal journaler ska ha lagts enskilda individer, i synnerhet om datan samkörs med ut på darknet. andra typer av uppgifter. 109

Sammanfattningsvis kan konstateras att incitamenten En typ av sensorer och sändare som har blivit allt för att utveckla teknik för att samla in data är stora, vanligare i takt med att tekniken och funktionaliteten givet de omfattande affärsmöjligheter som ligger utvecklats, är kroppsnära teknik, så kallade ”wearables”, i värdet av data. Nedan ges fördjupningar inom som kan mäta kroppens signaler och skicka feedback till några teknikutvecklingsområden som särskilt ökat användaren. Träningsarmband, pulsklockor och smarta möjligheterna att samla in data. klockor är några exempel på sådan kroppsnära teknik. En rad uppgifter om den enskildes hälsa och aktiviteter samlas in och individen får löpande återkoppling på 5.3.1 Sensorer och sändare dessa faktorer. Särskilt användbar blir utrustningen om den kopplas ihop med andra data från individen. En rad En förutsättning som gjort det betydligt lättare att samla exempel på hur kroppsnära teknik kan skapa stor nytta in mer data är utvecklingen av nya typer av sensorer och finns inom sjukvården. Med hjälp av biosensorer kan sändare. Tack vare sensorer och sändare som tar mindre olika värden hos patienten följas upp på ett helt nytt sätt. utrymme, men samtidigt är mer kraftfulla, har nya och Kopplas tekniken till nätverk av kommunicerande enheter förbättrade möjligheter skapats att samla in data i alla med inomhuspositionering på sjukhusens personal och slags former: bild, ljud, rörelse, temperatur, tryck, ljus, utrustning kan också sjukhusens logistik effektiviseras. position, lutning, magnetism etcetera. Data kan samlas in i allt större volymer, i nya format, på nya platser och i Olika typer av sensorer och sändare används för att nya sammanhang. följa till exempel rörelsemönster eller beteenden hos enskilda individer. De kan användas för uppföljning Nätverk av sensorer kan tillsammans samla in data med återkoppling till den enskilde, för riktad över ett mycket stort fysiskt område. De kan monteras marknadsföring av olika varor eller tjänster, eller också fast – på till exempel en byggnad – men också kopplas i kontrollsyfte. Ett exempel är uppkopplade sensorer till rörliga objekt som fordon eller drönare. Vissa typer i försäkringstagares fordon, som samlar in detaljerad av sensorer kan också följa med i naturens rörelser, till data om förarens körmönster med mera, som bearbetas exempel flyta med i vattendrag. Eftersom sensorer och av försäkringsbolagen och används för bland annat sändare beräknas kunna krympas till samma storlek dynamisk prissättning av försäkringarna i realtid. 113 som ett dammkorn beskrivs teknikutvecklingen ibland Ett annat exempel är nya biosensorer som kan mäta som ”smart damm”. 110 organiska material och bakterier med hög precision 114 och kan användas inom bioteknikområdet.

111. International Working Group on Data Protection in Technology: Working Paper on Sensor Networks (Smart Dust) . 112. https://www.forbes.com/sites/bernardmarr/2018/09/16/smart-dustis-coming-are-you-ready/?sh=f729bcd5e41a. 109. https://www.svt.se/nyheter/utrikes/tusentals-journaler-lack- 113. https://www.pwc.co.uk/issues/data-protection/insights/the-interta-fran-finskt-terapiforetag. net-of-things-is-it-just-about-gdpr.html. 110. https://www.forbes.com/sites/bernardmarr/2018/09/16/smart-dust- 114. https://www.startus-insights.com/innovators-guide/biotech-innois-coming-are-you-ready/?sh=f729bcd5e41a. vation-map-reveals-emerging-technologies-startups/.

IMY | Integritetsskyddsrapport 2020 65

78

En typ av sensorer och sändare som är extra Den här typen av appar medför en rad intressant ur integritetssynpunkt är teknik med integritetsutmaningar, kopplade till hur de utformas och koppling till geospatial teknologi. Området omfattar används. De kan innefatta både geografisk spårning bland annat geografiska informationssystem, och i vissa fall även ansiktsigenkänning, vilket utgör geografiska positioneringssystem (exempelvis GPS), ett särskilt riskområde. I den utsträckning apparna informationsinsamling om jorden via satelliter och har utvecklats snabbt, utan att personuppgifts- och höghöjdsflygplan samt navigering. Dessa sensorer integritetsskyddsperspektivet fullt ut har beaktats, och och sändare kan bland annat användas för att samla utan att de långsiktiga effekterna och konsekvenserna in data om var en person befinner sig och hur enskilda av dem har analyserats, kommer det ha stor betydelse individer rör sig. hur apparna monteras ner på ett ansvarsfullt sätt, när 115 pandemin är under kontroll. Som bland annat tidningen New York Times visat i flera större artiklar utgörs en stor integritetsrisk av att det även Även under andra omständigheter än en i ”anonyma” dataset, som innehåller många poster och världsomspännande pandemi ger utvecklingen och positioneringsdata, ofta är enkelt att identifiera enskilda användningen av nya sensorer och sändare upphov till individer. Utifrån ett dataset med 50 miljarder poster en rad integritetsrisker. Oproportionerligt omfattande positionsdata om 12 miljoner människor som samlats in datainsamling och att datan används för andra ändamål i appar lyckades New York Times enkelt identifiera ett än de ursprungligen samlats in för är några exempel. antal enskilda individer till exempel genom hur en viss Frågor som aktualiseras rör till exempel hur information telefon återkommande rörde sig mellan en viss adress ska ges till enskilda när verksamheter har många på dagtid (en arbetsplats) och en annan på kvällstid sensorer utspridda över stora geografiska områden, hur (hemmet). Med några enkla kompletterande sökningar i – om samtycke används som rättslig grund – samtycke öppna källor gick det lätt att identifiera enskilda. När en ska kunna samlas in innan sensorer samlar in data och viss telefon väl har kopplats till en enskild individ är det hur sensorerna ska kunna exkludera individer som inte i nästa steg möjligt att få en komplett bild av personens gett sitt samtycke. 119 rörelsemönster med allt ifrån läkar- eller kyrkobesök till För den enskilde individen handlar integritetsriskerna besök hos vänner och familj. 116 kopplat till nya typer av sensorer och sändare bland En särskild typ av datainsamling med geografisk annat om att det blir allt svårare att överblicka vem positionering som aktualiserats under 2020 är olika som har vilken information om individen och för vilka typer av appar som utvecklats för att spåra kontakter syften. Teknik som utvecklas för att öka tryggheten kan, och smittvägar med anledning av coronapandemin. i fel händer, enkelt vändas till ett säkerhetshot. GPS- Såväl Google och Apple som statliga myndigheter sändare med larm används bland annat i äldreomsorgen i flera länder har utvecklat och implementerat olika och upplevs av många anhöriga öka tryggheten. I fel applikationer för smittspårning. Tjänsterna bygger på de händer kan de utnyttjas för att identifiera äldre som är sensorer och sändare som finns inbyggda i användarnas tacksamma offer för bedrägerier eller annan brottslighet. smarta telefoner – exempelvis bluetooth och GPS. I Ett annat exempel på användningsområde är när dess enklaste form meddelar appen användaren om föräldrar använder GPS-teknik för spårning av barns denne potentiellt exponerats för coronavirussmitta, och ungas mobiler – oftast i trygghetsskapande syfte. men apparna kan också användas av myndigheter för Samma teknik kan dock användas för en illegitim kontroll att spåra hur viruset sprider sig och för att övervaka och övervakning av barn och ungdomar. Kvinnojourer i var potentiellt smittade personer befinner sig. I vissa Sverige har också rapporterat om ett växande problem länder är användandet av appen frivilligt och i andra är i att män övervakar kvinnor genom GPS-spårning det obligatoriskt. Några är transparenta i hur insamlade via till exempel appar i mobiltelefonerna för att kunna personuppgifter behandlas och andra inte. En del är kontrollera var kvinnan befinner sig. 117 120 designade med en decentraliserad modell där data om användarna stannar på användarnas mobiler, medan andra skickar alla data till en central server. 118

115. https://www.geospatialworld.net/article/geospatial-industry-trends-2020-be-disruptive-or-be-irrelevant/. 116. https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html. 119. Även vid andra rättsliga grunder är det viktigt att veta hur 117. https://www.technologyreview.com/2020/05/07/1000961/ information om insamlingen kan ges, så att den blir transparent för den launching-mittr-covid-tracing-tracker/. registrerade. 118. https://computersweden.idg.se/2.2683/1.733648/frankrike-blue- 120. https://sverigesradio.se/sida/artikel.aspx?programid=160&artitooth-corona. kel=7090304.

66 IMY | Integritetsskyddsrapport 2020

79

Sammanfattningsvis erbjuder nya typer av sensorer De digitala assistenterna har också blivit smartare och sändare stora möjligheter, men innebär samtidigt med åren. För svenska användares del har tekniken integritetsrisker som behöver adresseras och tas på blivit mer relevant i takt med att flera av de digitala allvar. Det är i praktiken inte möjligt för den enskilde assistenterna under de senaste åren lanserats på individen att överblicka all datainsamling som sker svenska. År 2019 uppgav 1 av 20 svenskar att de har en via sensorer och sändare. Det är därför viktigt att uppkopplad högtalare hemma, till exempel Google Home verksamheter som samlar in information tar det ansvar eller Amazon Echo. 122 som följer av dataskyddsreglerna så att insamlingen Från att röststyrning introducerats på marknaden i görs transparent för den enskilde. Ett underminerat mobiltelefoner, på webbplatser och i datorer, är det idag integritetsskydd riskerar att helt undergräva vanligt att tekniken finns i bilar, klockor, hörlurar och olika medborgarnas rätt till privatliv om teknikutvecklingen smarta prylar i hemmet som till exempel TV-apparater. tar sin utgångspunkt i redan bristfälliga modeller, där Ett annat konkret exempel på en ny form av interaktion integritetsskyddsaspekterna inte utvecklas i samma takt mellan användare och teknik som på kort tid slagit som tekniken. Betydelsen av att perspektiven går hand igenom på bred front är ansiktsigenkänningsteknik för att i hand accentueras ytterligare mot bakgrund av den låsa upp mobiltelefoner. exponentiella utvecklingstakten i digitaliseringen.

Teknik som bygger på igenkänning av en specifik individ – till exempel en digital assistent som känner

5.3.2 Teknik för interaktion mellan

igen och enbart lyder kommandon från en viss röst, människa och dator eller en mobiltelefon som låses upp genom avläsning

av ägarens fingeravtryck – innebär att biometriska Ett annat område där teknikutvecklingen gått uppgifter hanteras. För den enskilde individen finns snabbt framåt de senaste åren handlar om nya här inneboende risker som handlar till exempel om former för interaktion mellan människa och dator. att inspelade frågor eller kommandon i fel händer kan Utvecklingsområdet omfattar planering, design och manipuleras eller användas för andra syften, till exempel studier av interaktiva produkter och tjänster. Det stölder, intrång eller bedrägerier. är ett tvärvetenskapligt ämne som knyter samman exempelvis datavetenskap och informatik med Även när kommunikationen mellan människa och flera andra forskningsområden som till exempel teknik inte handlar om att identifiera en specifik individ kognitionsvetenskap. Inom detta område pågår en snabb finns konkreta integritetsrisker. De stora tech-bolagen teknisk utveckling som förändrar förutsättningarna för hur Google, Amazon, Facebook, Apple och Microsoft har vi interagerar med datorer och vilken information om oss alla fått kritik för att ha gett underleverantörer tillgång och vår omgivning som samlas in och bearbetas. till användares röstinspelningar för bearbetning i syfte

att förbättra assistenternas talanalys. För att digitala Från de första datorernas hålkort, via tangentbord, assistenter ska kunna svara på annat än väldigt grafiska operativsystem, pekdon och tryckkänsliga enkla frågor krävs omfattande beräkningskraft, vilket skärmar – bygger dagens teknik ofta på röststyrning eller innebär att frågor och kommandon behöver överföras avläsning av fingeravtryck och ansiktsigenkänning. till leverantörens centrala servrar och analyseras där. Tekniken kan bara utvecklas kontinuerligt med hjälp av Allt fler användare nyttjar möjligheten att kommunicera feedback – vilket ges dels från användare, dels genom med till exempel sin mobiltelefon, en TV eller en smart att teknikföretagets anställda kontinuerligt lyssnar på och högtalare i hemmet via kommandon eller frågor till en kontrollerar ett stort antal ljudinspelningar. digital assistent. Även om de digitala assistenterna lanserades redan i början av 2010-talet har antalet användare som nyttjar röststyrning ökat kraftigt de senaste åren. En bidragande förklaring till detta är att tekniken, genom att den blivit mindre och kopplats mot molnlösningar, nu kan nyttjas i en rad andra befintliga produkter med bred spridning. 121

121. International Working Group on Data Protection in Telecommunications; Working paper on data protection risks of voicecontrolled devices , 2020. 122. Internetstiftelsen Svenskarna och Internet 2019.

IMY | Integritetsskyddsrapport 2020 67

80

Forskning har visat att Apples Siri, Amazons Alexa att IoT används inom allt fler samhällsområden och på allt och Google Assistant aktiveras av misstag upp till 19 fler geografiska platser för att samla in data. Sverige har gånger per dag. Ett uppmärksammat exempel på ett strategiskt innovationsprogram inriktat mot IoT, som 123 hur Siri aktiverats av misstag gavs när den brittiska finansieras av Vinnova, Energimyndigheten och Formas försvarsministern 2018 under ett tal i brittiska underhuset samt externa aktörer. Programmet ger stöd till innovativa ljudligt avbröts av sin digitala assistent – någon del projekt, inriktade på sakernas internet, som genomförs av hans anförande om säkerhetsläget i Syrien hade över hela landet. 127 råkat aktivera assistenten. Även under direktsända När det handlar om utrustning som vanligen finns i presskonferenser i Vita huset eller nyhets- och hemmet används ibland begreppet ”det smarta hemmet” sportsändningar har det hänt att Siri plötsligt inflikat eller ”det uppkopplade hemmet”. Antalet uppkopplade en kommentar eller fråga. Att det är vanligt att 124 saker i de svenska hemmen har ökat de senaste åren. I talassistenter aktiveras av misstag har också bekräftats undersökningen Svenskarna och Internet 2019 uppgav av visselblåsare från de stora tech-företagen. I praktiken 54 procent av den svenska befolkningen över 16 år att innebär detta att anställda hos underleverantörer de har en uppkopplad enhet hemma, mobiltelefoner och regelbundet kunnat avlyssna situationer som de datorer exkluderat. Det var en ökning från 2018 (vilket var inblandade högst sannolikt inte velat dela med sig av – första året frågan ställdes i undersökningen) då siffran affärsmöten, läkarbesök, droguppgörelser och sexuella var 50 procent. De flesta uppger dock att de bara har möten för att ge några exempel. 125 några enstaka uppkopplade saker. För 39 procent rör det Gränssnittet mellan människan och datorer handlar sig om 1–5 uppkopplade saker, medan 9 procent uppgav dock inte bara om röststyrning. Tekniken kompletteras att de har 6–10 saker. Det finns en okunskap kring om nu allt oftare med rörelsesensorer och kameror som kan man har några uppkopplade saker hemma och sannolikt identifiera och tolka gester. Användaren slipper därmed kring vad begreppet ”uppkopplad sak” innebär, för liksom gå fram till den tekniska enheten för att till exempel trycka 2018 anger 7 procent att de inte vet om de har någon på en start-knapp – det kan räcka med att göra en viss uppkopplad sak i sitt hushåll. 128 gest. Samtidigt som bekvämligheten ökar, ökar även Även inom ramen för ”smarta städer” blir uppkopplade risken för att tekniken aktiveras av misstag. Det blir också apparater och sensorer i det offentliga rummet allt allt svårare för enskilda individer att välja bort att fångas vanligare. De bakomliggande syftena med att samla upp av teknik som installerats av andra, till exempel in data kan exempelvis vara att effektivisera och röststyrd teknik som finns i vänners hem. automatisera olika typer av kontroller och mätningar. Exempel på användningsområden finns till exempel i

5.3.3 Internet of Things

transportsektorn, där det kan handla om att koppla ihop fordon med smarta telefoner, andra fordon och IoT- Som beskrevs i avsnitt 5.1 är Internet of Things, IoT, ett sensorer i väg- och järnvägsnätet eller i kollektivtrafiken för ökad trafiksäkerhet, fordonsdiagnostik med mera. 129 av de teknikområden där antalet beviljade patent ökat allra mest under de senaste åren. Området innefattar På fastigheter kan sensorer till exempel samla in data för effektivare hantering av säkerhet, ljus och diagnostik 130 olika apparater, maskiner, mätutrustning och fordon som har inbyggd teknik och internetuppkoppling, men typiskt Uppkopplade enheter kan också finnas till exempel i sett inte ses som datorer. mätutrustning och ställdon i smarta elnät och transport- 126 och vattensystem. Genom att enheterna är anslutna till Begreppet IoT används vanligtvis för att beskriva internet kan de fjärrstyras av människor eller av andra ett nätverk av smarta enheter som känner av eller maskiner. De kan också skicka data som används för interagerar med omgivningen. Enheterna i nätverket mätningar, diagnos och automatisk styrning. 131 kan kontinuerligt samla in information, reagera på den och kommunicera både med människor och med andra enheter. IoT kan vara vardagsföremål som vitvaror, termostater, belysning, TV-apparater, elektroniska lås och larm, kläder eller bilar, men också utrustning i industri, infrastruktur eller vården. Utvecklingen går mot

123. https://www.forbes.com/sites/kateoflahertyuk/2020/02/26/ 127. Komet kommenterar 2020:27 Sakernas internet – korta faktablad new-amazon-apple-google-eavesdropping-threat-should-you-qu- om aktuell teknik . it-your-smart-speaker/. 128. Internetstiftelsen Svenskarna och Internet 2019 . 2020 års rapport 124. https://www.theguardian.com/commentisfree/2019/jul/30/apple-si- var primärt inriktad på effekter av coronapandemin och uppgifterna om ri-voice-assistants-privacy. uppkopplade saker, IoT, omfattades inte av 2020 års mätning. 125. https://www.theguardian.com/technology/2019/jul/26/apple-con- 129. https://www.startus-insights.com/innovators-guide/automotitractors-regularly-hear-confidential-details-on-siri-recordings. ve-innovation-map-reveals-emerging-technologies-startups/. 126. Tekniken i IoT utgörs ofta av sensorer och sändare. Under rubriken 130. https://www.iotsworldcongress.com/iot-smart-buildings-beco- Internet of things ligger här fokus på hur tekniken används, till exempel i ming-part-of-the-smart-grid/. smarta städer och uppkopplade hem. 131. https://it-ord.idg.se/ord/sakernas-internet/.

68 IMY | Integritetsskyddsrapport 2020

81

I handeln kan insamling av data med IoT-enheter redan har och fortsätter att drastiskt försämras. Det

användas för att skapa bättre beslutsstöd kring är också svårt för enskilda individer att flytta och ”byta

kundupplevelser, lagerhållning, produktplacering, logistik plats” om de till exempel skulle vara missnöjda med

med mera. Uppkopplade sensorer, så kallade beacons, i personuppgiftsbehandlingen i en smart stad. I takt med

till exempel butiker och köpcentrum kan också användas att den här utvecklingen sker blir det allt svårare att hitta

för att erbjuda kunderna anpassade erbjudanden utifrån privata utrymmen för enskilda.

hur de rör sig i lokalerna. IoT kan också användas inom Internetstiftelsen lyfter i sin guide om IoT flera tillverkande industri genom insamling och bearbetning integritetsrisker, bland annat att såväl privata som av data kring tillverkning, leverans, underhåll och offentliga aktörer kan ha starka intressen att både öka lagerhantering genom smarta sensorer i syfte att datainsamlingen och använda insamlad data för andra optimera processerna och produktionen, samt för att ge ändamål än vad de ursprungligen samlats in för. Att direkt överblick över ett produktionssystem i realtid. 132 sälja data om användarna är en del av intäktsplanen för

Även offentlig sektor kan ha omfattande nytta av IoT i många IoT-företag. 135

publika miljöer. Möjliga användningsområden kan vara Säkerhetsutmaningarna kopplade till IoT kan röra sig smarta övervakningskameror för att öka trygghet och om angrepp mot enskild utrustning med omfattande förebygga brott, uppkopplade enheter som bidrar till en negativa konsekvenser, både för enskilda individer effektiv hantering av vattenförsörjning, kollektivtrafik och verksamheter. Forskare har till exempel visat hur eller parkeringskontroll eller IoT för att förebygga eller man kan ta kontroll över en modern bil via ett trådlöst upptäcka miljöutsläpp eller naturkatastrofer. Sveriges 133 nät, eller via fjärrstyrning manipulera en pacemaker kommuner och regioner, SKR, menar att IoT kan skapa eller insulinpump. 136 nya möjligheter för välfärd och samhällsbyggnad.

SKR har beskrivit hur tekniken kan komma till användning En mer vardagsnära integritetsrisk handlar om att de inom hälso- och sjukvård, fastigheter samt miljö och flesta medborgare sannolikt har otillräckliga kunskaper stadsutveckling. Samtidigt lyfter SKR frågor om säkerhet när det gäller att tömma uppkopplade saker på och integritet. SKR ser också behov av att klargöra information vid en eventuell andrahandsförsäljning, gränssnitt och standarder och menar att kommuner vilket kan resultera i att stora mängder personliga data och regioner som köper produkter kan påverka detta oavsiktligt hamnar i den nya ägarens händer. genom att vara tydliga med vilka krav de ställer när

de gör upphandlingar. 134 Riktas angrepp mot uppkopplade saker inom industrin

kan angripare få kontroll över samhällskritiska processer Flera av de experter IMY intervjuat i arbetet med denna inom exempelvis värme, vatten, el, transport eller rapport framhåller IoT som ett av de utvecklingsområden finansiella tjänster. Försvarets forskningsinstitut (FOI) som haft störst påverkan på den personliga integriteten har i en rapport om risker relaterade till IoT beskrivit under de senaste tre åren. Kombinationen av utveckling att ett av problemen är den stora mängden produkter inom ”smarta städer” och ”smarta hem” gör att vi omges med bristande säkerhet. Många av dessa produkter har av allt mer potentiellt integritetskränkande teknik – såväl i standardlösenord som är lätta att komma över. Ofta är det offentliga rummet som i våra hem. de inte designade med hänsyn till säkerhet alls och det

fysiska skyddet är i allmänhet svagt. En systemägare 137 Ett sätt att uttrycka det är att den omfattande insamling kanske inte ens känner till att de har utrustning som är av data som sker på nätet – som de flesta människor nåbar via internet. Ett exempel på hur IoT med bristande i åtminstone någon mån känner till – nu flyttar ut i säkerhet kan utnyttjas är ett it-säkerhetsföretag, som vid den fysiska världen där den blir betydligt svårare att ett test lyckades komma över omfattande datamängder upptäcka, kontrollera och avskärma sig från. från ett amerikanskt casino. Angreppet skedde via

I det ”smarta hemmet” sker insamling av data i en ett i casinot nyinstallerat akvarium, där vattnets

påfallande intim miljö, med ljudinspelning av barn och temperatur och salthalt kontinuerligt kontrollerades och

andra som inte väljer själva. Uppkopplade saker som kunde fjärrstyras. 138

ringklockor, lås, larm, kameror eller högtalare kan samla

in persondata också om andra än ägaren. Detta innebär

att möjligheten för enskilda personer att välja bort

potentiellt integritetskränkande teknik

135. Internetstiftelsen; Internetguide #43 Internet of things – En guide till sakernas internet . 132. https://www.startus-insights.com/innovators-guide/manu- 136. The Economist; A connected world will be a playground for facturing-innovation-map-reveals-emerging-technologies-startups/. hackers . 133. https://www.allerin.com/blog/4-ways-the-government-sector-can- 137. Totalförsvarets forskningsinstitut (FOI) NCS3 Studie - IoTbenefit-from-iot. relaterade risker och strategier . 134. Komet kommenterar 2020:27 Sakernas internet – korta faktablad 138. The Economist A connected world will be a playground for om aktuell teknik . hackers .

IMY | Integritetsskyddsrapport 2020 69

82

5.3.4 Webbskrapning

Amerikanska poliser uppger att de med hjälp av söktjänsten kunnat lösa ett antal brott, allt från Ytterligare ett teknikutvecklingsområde som bedrägerier till barnpornografibrott och mord. Samtidigt ökat möjligheterna att samla in stora mängder är väcker tjänster som Clearview AI omfattande frågor webbskrapningsprogram. Med hjälp av speciella program ur ett integritetsskyddsperspektiv. Tekniken gör det kan stora mängder data samlas in automatiskt, från enkelt att söka rätt på enskilda individer – oavsett exempelvis webbsidor och sociala media. 139 Exempel syfte – och belyser den ständigt närvarande risken för på webbskrapning är de tjänster som gör automatiska ändamålsglidning. Även om tjänsten har utvecklats för prisjämförelser mellan olika företag på internet. Tekniken brottsbekämpande myndigheter och säkerhetsföretag benämns ”skrapning” eftersom programmen hämtar har det framkommit hur tjänsten också använts som information från webbsidor, inte från de bakomliggande ett verktyg av vissa privatpersoner för att göra egna databaserna. Programmen påminner om den indexering bakgrundskontroller av nya bekantskaper. Sofistikerad sökmotorer gör när de samlar in innehållet på webbsidor, säkerhetsteknik blir, även om den ursprungligen med den skillnaden att webbskrapningsprogrammen utvecklats för offentliga eller kommersiella syften, inte samlar in all information utan letar efter särskilda snabbt attraktiv även för privatpersoner. Bredare typer av information. spridning av ett sådant verktyg skulle i grunden förändra förutsättningarna för allt mänskligt samspel – både för Datan kan sedan bearbetas på sätt som de enskilda behjärtansvärda syften, men också mer illasinnade. individerna varken godkänt eller är medvetna om. Möjligheten att, öppet eller i smyg, kunna ta ett foto av Kännetecknande är ofta att informationsmängderna blir en person på gatan och på några sekunder få tillgång så stora att det blir oöverblickbart. Det finns idag företag till både personens identitet och utförlig information som utvecklar och erbjuder webbskrapningstjänster. om personen skulle på ett genomgripande sätt kunna Ett exempel är ett internationellt företag som, för att förändra den personliga integritetens förutsättningar. möta behoven hos sina närmare 2 000 företagskunder, Talande är att när tidningen New York Times, som var använder de sig av teknik som varje månad söker igenom först med att skriva om Clearview AI, släppte nyheten om åtta miljarder webbsidor. 140 den kontroversiella appen var det med rubriken ”Slutet för

den personliga integriteten?”. 144 Med de mängder personuppgifter som finns tillgängliga på sociala medier är det lätt att se lockelsen för aktörer som av olika skäl vill kartlägga stora mängder individer.

5.3.5 Insamling av biometriska uppgifter

Facebook tillåter formellt inte att deras plattform webbskrapas. Samtidigt är angrepp förhållandevis enkla En särskild typ av datainsamling som utvecklats snabbt att genomföra och svåra att upptäcka. Hösten 2018 de senaste åren handlar om insamling av biometriska offentliggjorde Facebook att de raderat närmare ett uppgifter. Biometri innebär att mäta kroppens sjuttiotal konton, appar och sidor som tillhörde två ryska egenskaper eller individers beteenden, och på så företag som utvecklar ansiktsigenkänningsteknik för vis hitta särskiljande egenskaper hos olika individer. den ryska regeringen. Enligt Facebook hade företagen Biometriska personuppgifter berättar vilka vi är, och de genom webbskrapning samlat in foton från andra kan inte enkelt ändras och inte heller ersättas om de användares konton i syfte att identifiera dem. 141 går förlorade. De är därför användbara för att identifiera Clearview AI är ett exempel på en tjänst som unika identiteter, men innebär samtidigt särskilda risker baseras på personuppgifter som samlats in med ur ett integritetsperspektiv.

webbskrapningsteknik. Webbtjänsten uppger att de 142 Att mäta kroppens egenskaper eller individers beteenden samlat tre miljarder ansiktsbilder från Facebook, YouTube för att hitta särskiljande egenskaper hos olika personer och miljoner andra webbplatser. Tjänsten, som sålts är inte ett nytt fenomen. Fingeravtryck har använts bland annat till rättsvårdande myndigheter i USA, gör inom polis- och rättsväsendet i syfte att identifiera det möjligt att med hjälp av ansiktsigenkänningsteknik brottslingar i mer än hundra år och redan på 1800-talet matcha bilder av okända personer mot den gigantiska kunde signalister identifieras utifrån mönster i hur de databasen. Sökträffarna berättar i många fall både 143 signalerade punkter och bindestreck i morsekod. 145 vem personen är, men ger också en förhållandevis Men området har utvecklats till att innefatta många heltäckande bild av till exempel personens aktivitet andra tekniker, användningsområden och biometriska på sociala medier. egenskaper, som kan samlas in både i fysisk kontakt med individen och på distans. 139. http://whitepapers.virtualprivatelibrary.net/Web%20Data%20 Extractors.pdf. 140. www.scrapinghub.com. 141. The New York Times; Facebook Says Russian Firms ‘Scraped’ Data, Some For Facial Recognition . 142. https://www.svt.se/nyheter/inrikes/detta-ar-clearview-ai och New York Times The Secretive Company That Might End Privacy as We Know It . 144. New York Times; The Secretive Company That Might End Privacy 143. IMY inledde under 2020 ett tillsynsärende där eventuell as We Know It . användning av Clearview AI inom svensk brottsbekämpning utreds. 145. https://www.gemalto.com/govt/inspired/biometrics.

70 IMY | Integritetsskyddsrapport 2020

83

Biometriska uppgifter är extra känsliga personuppgifter Trenden går mot att i allt större utsträckning även eftersom de i grunden beskriver vem individen är . använda individens beteende för biometriska analyser. Uppgifterna rör en persons ”fysiska, fysiologiska AI och annan teknisk utveckling har gjort det möjligt att eller beteendemässiga egenskaper” och gör det använda uppgifter som tidigare ansågs oanvändbara – möjligt att identifiera människor. De två huvudsakliga och kanske inte ens betraktades som personuppgifter användningsområdena för biometriska uppgifter är att – till att identifiera individer med stor säkerhet. Denna verifiera eller autentisera (till exempel att kontrollera att form av biometri används bland annat för att upptäcka en individ verkligen är den som individen utger sig för avvikande mönster hos bankkunder (i syfte att förebygga att vara) och att identifiera en enskild individ. Biometri bedrägerier) och för att identifiera och övervaka används inom många samhällsområden och i olika grupper och individer. syften, som exempelvis bevakning och övervakning, Exempel på beteendebaserad biometri är gångstil, släktforskning, inloggning i mobila enheter och personlig rörelse- och talmönster, handstil, ansiktsuttryck och anpassning av tjänster och produkter. sömnmönster. Det kan också handla om mönster i hur Den ökade insamlingen och användningen av användaren svarar på olika stimuli i en app, använder biometriska uppgifter har i stor utsträckning möjliggjorts mobilen, skrollar i och skiftar mellan dialogfönster på och påskyndats av utvecklingen inom en rad andra webben eller använder tangentbordet. teknikutvecklingsområden: De senaste åren har teknikutvecklingen inneburit att det • Sensorer och sändare – gör det möjligt att samla in kontinuerligt tillförs nya biometriska egenskaper, med data som kan omvandlas till biometriska uppgifter, på unika styrkor och svagheter. Några aktuella exempel på fler platser, både vid direktkontakt och på distans. biometriska egenskaper som det utvecklas ny teknik för • är hjärnans signaler (EEG), hjärtrytm (ECG), doftprofil, Människa-datorinteraktion – bygger på användningen av röst, personliga uttryck venernas struktur under huden, läppar och dess rörelsemönster, svett, blod och öronens utseende. 147 och beteendemönster för att interagera med datorerna och är därmed närbesläktat med Varje biometrisk egenskap har sina för- och nackdelar beteendebaserad biometri vad gäller möjligheten att identifiera och särskilja • IoT – innefattar bland annat kameror och annan individer. Det kan handla till exempel om hur stor andel av uppkopplad utrustning som kan användas för att alla individer som har den aktuella egenskapen, hur unik samla in och bearbeta biometrisk data egenskapen är och om egenskapen är permanent eller • AI och big data – har stor inverkan på förändras över tid. Även hur lätt det är att samla in data beteendebaserad biometri eftersom de möjliggör om den aktuella egenskapen spelar in, liksom hur robust, avancerad bearbetning av ett mycket stort antal träffsäker och accepterad tekniken är och hur lätt den är parametrar, samtidigt och i realtid att kringgå, förfalska eller lura. 146 148 • Molnifiering av lagring – möjliggör platsoberoende lagring och åtkomst av stora databaser med biometriska mallar.

Användning av biometriska uppgifter ställer därför extra stora krav på den som behandlar uppgifterna.

5.3.5.1 Olika typer av biometriska uppgifter

Traditionellt har biometri handlat om att samla in och analysera fysiska egenskaper . Det kan exempelvis handla om hand- eller fingeravtryck, DNA, mönster i ögats iris, öronform, ansikts- eller kroppsform och röstavtryck. Denna typ av biometri är mycket vanlig idag och används bland annat för att låsa upp smarttelefoner, till accesskontroll i byggnader och för registrering vid gränskontroller.

147. https://onlinelibrary.wiley.com/doi/full/10.1002/spy2.44, kap. 2. 146. https://aibusiness.com/machine-learning-and-biometrics-how-ai- 148. http://oaji.net/articles/2019/2698-1549883755.pdf, sid. 3 958 och is-becoming-more-human/. 3 961.

IMY | Integritetsskyddsrapport 2020 71

84

Utvecklingen går också fort framåt när det gäller Även så kallad ”friktionsfri biometri” blir allt vanligare, beteendebaserad biometri. Tillämpningen har hittills vilket innebär att biometriska uppgifter samlas baserats i huvudsak på inlärda beteenden, såsom hur vi in från individer utan att de behöver interagera använder ett tangentbord eller en mus, vår handstil och aktivt med tekniken eller ens märker att biometrisk hur vi rör oss. En pågående utvecklingstrend är att istället teknik används. Det används bland annat för 153 studera mer reflexmässiga beteenden och beteenden övervakning och verifiering av individers identitet som bygger på kognition – viljestyrda processer, som på flygplatser. Fördelarna är bland annat ökad 154 handlar om individens kunskap, tänkande och minne. snabbhet och bekvämlighet, men på bekostnad av Några exempel på aktuella forskningsområden inom uppenbara integritetsrisker. denna trend är 149

• medvetna och omedvetna ansiktsuttryck (mäts 5.3.5.2 Särskilda nyttor med biometri via blinkningar, ögonrörelser, pupillernas storlek Möjligheten att kunna identifiera en individ på ett snabbt, med mera), enkelt och relativt träffsäkert sätt – utan att behöva • kognitiv belastning – hur stor ansträngning som hantera personliga koder eller säkerhetsprodukter krävs av individen för att ta emot och behandla viss som kort och ”blippar” – medför stor nytta i många information (mäts via EEG, ögonrörelser med mera) situationer och den övergripande trenden är att • inhämtning av visuell information – hur individen biometriska data används i större utsträckning inom allt söker och upptäcker visuell information (mäts via fler samhällsområden. Forskningen kring DNA-analys EEG, reaktionstider med mera) har gått raskt framåt de senaste åren och i dag finns • reaktion på specifika stimuli – exempelvis reaktion på det en uppsjö av internationella tjänster riktade mot konsumenter som kan användas för att matcha DNA. 155 fotografier av specifik/stor betydelse individen (mäts via EEG, ECG med mera) Vanliga användningsområden för DNA-analys handlar till exempel om släktforskning, att utreda sitt ursprung eller olika hälsoutredningar. Andra exempel på hur biometrisk Ett relativt nytt forsknings- och utvecklingsområde data används är biometriska ID-kort inom hela EUinom biometri handlar om att samla in och analysera området, biometrisk incheckning på flera av de största information om en persons interaktioner och beteende flygplatserna, kameror och ansiktsigenkänningsteknik i sociala media – och använda den informationen för för att bevaka storstäder och utbyte av biometrisk att verifiera att individen är den denne utger sig för att information mellan EU-länder är några exempel. vara. Genom att kartlägga en persons beteende till exempel i sociala nätverk, chatforum, bloggar, dataspel, De mest uppenbara nyttorna med biometri – ur meddelandeappar, fildelningstjänster kan man identifiera användarens perspektiv – är ökad bekvämlighet, mönster som är unika för användaren – och som därmed snabbhet och säkerhet. Användaren behöver inte kan användas för att identifiera personen. Mönstren kan längre komma ihåg, eller löpande byta ut, krångliga exempelvis baseras på en analys av när användaren lösenord. Glömda eller avmagnetiserade passerkort är uppkopplad (tider), hur/var/med vem personen och ”blippar” är inte längre ett problem. Med biometri interagerar, innehållet i interaktionerna (preferenser, sätt kan verifieringen i vissa fall ske utan att slutanvändaren att uttrycka sig etcetera) och användarens strategier behöver göra någonting alls, exempelvis i de fall då vid onlinespelande. 150 kameror och andra sensorer samlar in uppgifterna på distans. Ofta går den biometriska verifieringen också Ett annat område där teknikutveckling sker är så kallad betydligt snabbare än att mata in lösenord, vilket bland ”multimodal biometri”, vilket innebär att flera olika annat fått många smarttelefonanvändare att övergå till biometriska egenskaper kombineras vid identitetskontroll, fingeravtrycks- eller ansiktsigenkänning. för att uppnå ökad säkerhet och tillförlitlighet. Det 151 kan exempelvis röra sig om en kombination av ögon-, venmönster och handavtrycksigenkänning. 152

149. https://onlinelibrary.wiley.com/doi/full/10.1002/spy2.44, kap. 2.2.2. 150. https://books.google.se/books?id=WlM7DwAAQBAJ&pg=PA3&lpg=PA3&dq=%22cancelable+biometrics%22+%22artificial+biometrics- %22&source=bl&ots=1ribUC1UTe&sig=ACfU3U3EJn0tS5hh46pF- F4-hr6NwfcpbZw&hl=en&sa=X&ved=2ahUKEwiXqrHyjoHpAhVOx4sK- HXCEC50Q6AEwA3oECAkQAQ#v=onepage&q=%22cancelable%20 biometrics%22%20%22artificial%20biometrics%22&f=false, sid.2-5. 153. https://www.sciencedirect.com/science/article/abs/pii/ 151. https://www.intechopen.com/online-first/multimodal-biome- S0969476517301558. trics-for-person-authentication. 154. https://www.independent.co.uk/travel/news-and-advice/air- 152. https://www.intechopen.com/online-first/multimodal-biome- port-biometrics-trial-face-recognition-klm-brisbane-sita-a7813271.html. trics-for-person-authentication. 155. https://digital.di.se/artikel/dna-boomen-ar-pa-vag-till-sverige.

72 IMY | Integritetsskyddsrapport 2020

85

Säkerheten kan också förbättras såtillvida att • Fingeravtrycks- och ansiktsigenkänning i bankomater användaren kan minska eller helt undvika bland annat och betalterminaler, ersätter PIN-koder och minskar risker som att någon smygtittar över axeln när ett därmed stölder och kortbedrägerier som banken lösenord matas in, passerkort eller en ”blipp” stjäls eller annars måste lägga resurser på att utreda. 162 förloras eller att någon spärrar användarens passerkort • Tangenttryckningsmönster och rörelsemönster vid och begär ut ett nytt i användarens namn. Säkerheten användning av mobila enheter, analyseras löpande kan också motverka falska log-in-skärmar eller hårdvara för att identifiera avvikande beteenden och minska som installeras för att stjäla användarens lösenord eller riskerna för bedrägerier. 163 överbelastningsattacker där någon medvetet matar in felaktiga lösenord upprepade gånger för att låsa en

Inom hälso- och sjukvården

produkt eller mjukvara. 156

• IoT och bärbara sensorer, för att samla in och Biometri skapar också nytta för verksamheter inom analysera patienters biometriska data i syfte att allt fler samhällsområden. Speciellt där man har löpande bevaka patientens hälsotillstånd på distans, behov av att höja säkerhetsnivån vid åtkomst- eller smittspårning med mera. 164 tillträdeskontroller och önskar göra identifierings- och autentiseringsförfaranden säkrare genom att kombinera • Fingeravtrycks-, retina- och ansiktsigenkänning, biometri med andra metoder, och inom sektorer där man underlättar för vårdgivarna att kontrollera vem som önskar förenkla, snabba upp och öka bekvämligheten ska ha tillträde till faciliteter och känslig information.

för den enskilde. 157 • Fingeravtrycks- och venmönsterigenkänning, för att på ett enklare och mer träffsäkert sätt identifiera Nedan ges exempel på användning och nyttor av patienter och hålla koll på patienten när den flyttas biometri inom några av de sektorer där biometri hittills mellan olika verksamheter och avdelningar. 165 fått allra störst genomslag. • Fingeravtrycksigenkänning, för att förhindra Inom offentlig förvaltning bedrägerier kring sjukersättningar och mediciner. 166

• Fingeravtryck och biometrisk bildinformation inbyggt i

Inom it och telekommunikation

ID-kort och pass, gör dessa svårare att förfalska. 158

• Automatisk ansiktsigenkänning vid gränskontroller, • Fingeravtrycks- och ansiktsigenkänning, i mobila gör det lättare att upptäcka eftersökta individer. 159 enheter för snabbare och säkrare identifiering och • Kameraövervakning och ansiktsigenkänning vid av accesskontroll till enheter och i mobila applikationer.

allmänna platser, gör övervakningen mer träffsäker • Biometriska sensorer och IoT, för accesskontroll och och mindre personalkrävande. 160 identifiering i smarta fordon och på platser där fast • Ansiktsigenkänning, fingeravtryck och DNA- internetuppkoppling inte är tillgänglig.

analyser vid brottsutredningar är viktiga verktyg • ”Biometrics as a service”, tillgängliggör biometriska för att kunna identifiera misstänkta personer med lösningar som en tjänst vilket gör tekniken både stor träffsäkerhet. billigare och snabbare att implementera och

ställer inte samma krav på expertkunskaper hos användaren. 167

Inom bank- och finanssektorn

• Röstigenkänning för att identifiera kunder som Det finns med andra ord ett stort antal områden kontaktar banken via telefon, ersätter hantering av där nyttan kan vara stor med att använda krångliga säkerhetsfrågor via telefonbanken och biometriska uppgifter. sparar tid både för banken och kunderna 161

156. http://oaji.net/articles/2019/2698-1549883755.pdf, sid. 3 958. 157. https://www.regeringen.se/49c627/contentassets/13d9126efb- 162. https://findbiometrics.com/topics/atm/. b94e2cb5b084132275f184/hur-star-det-till-med-den-personliga-integri- 163. https://www.paymentscardsandmobile.com/are-you-being-trackteten---en-kartlaggning-av-integritetskommitten-sou-201641, sid. 116. ed-behavioural-biometrics-being-implemented-by-banks-to-redu- 158. https://www.biometricupdate.com/201904/standard-for-eu-bio- ce-fraud/. metric-id-cards-one-step-from-approval-after-passing-european-parli- 164. https://www.biometricupdate.com/202004/liechtenstein-to-proviament. de-citizens-with-biometric-bracelets-to-contain-coronavirus. 159. https://www.gemalto.com/govt/coesys/eborder/entry-exit-system. 165. https://www.biometricupdate.com/wp-content/uploads/2015/02/ 160. https://ico.org.uk/media/about-the-ico/documents/2616184/ Biometrics-in-Healthcare.pdf, sid. 12. live-frt-law-enforcement-opinion-20191031.pdf. 166. https://www.biometricupdate.com/wp-content/uploads/2015/02/ 161. https://emerj.com/ai-sector-overviews/voice-speech-recogni- Biometrics-in-Healthcare.pdf, sid. 12. tion-banking/. 167. https://www.biometricupdate.com/tag/biometrics-as-a-service.

IMY | Integritetsskyddsrapport 2020 73

86
5.3.5.3 Särskilda integritetsrisker med biometri 2019 – San Francisco blir den första amerikanska staden

som förbjuder användning av ansiktsigenkänning. Samtidigt är det uppenbart att användningen av Tekniken får inte användas av lokala myndigheter, till biometriska uppgifter medför betydande risker för den exempel stadens transportmyndighet, eller av lokala personliga integriteten. Ett lösenord kan enkelt ersättas brottsbekämpande myndigheter. USA:s tull- och 171 med ett nytt om det skulle gå förlorat. Detsamma gränsskydd offentliggör att bilder på resenärer och deras gäller för passerkort och liknande teknik för verifiering, registreringsskyltar har stulits i en cyberattack riktad autentisering och identifiering. Om individen förlorar mot en underleverantör. Israeliska säkerhetsforskare 172 kontrollen över sina biometriska personuppgifter kan de påstår sig ha kommit över biometriska data till fler än en däremot inte enkelt ersättas. Integritetsskadorna kan i miljon registrerade personer, via en databas som ägs av värsta fall bli permanenta och det är en aspekt som gör företaget Suprema. Företagets biometritjänster används integritetsfrågor kring biometri extra brådskande. av bland annat polis, banker och försvarsmakten i flera

länder. Kinesiska säkerhetsexperter demonstrerar hur 173 I flera av intervjuerna som genomförts i arbetet de kan överlista samtliga befintliga fingeravtrycksläsare med denna rapport framhålls utvecklingen och på bara 20 minuter. I Florida tillåts polisen använda 174 användningen av teknik kring biometri som ett av de dna-data från webbplatsen GEDmatch – en behandling viktigaste utvecklingsområdena som påverkat den som de 1,3 miljoner användarna inte godkänt. 175 personliga integriteten under de senaste tre åren.

Som exempel nämns i intervjuerna teknik för ansikts- 2020 – Tyska säkerhetsexperter upptäcker att över en och taligenkänning som används av rättsvårdande miljon dokument med hälsouppgifter och medicinskt myndigheter. De integritetsrisker som följer av en bildmaterial kopplade till patienter i Indien är åtkomliga ökad användning av biometriska uppgifter framhölls via en felkonfigurerad, uppkopplad databas. 176 av Integritetskommittén redan 2016. Kommittén 168 New York Times skriver ett reportage om företaget konstaterade att en ökad användning av olika biometriska Clearview AI, som samlat in tre miljarder fotografier tekniker i samhället riskerar att göra det mycket svårt på nätet och behandlar dessa med avancerad AIatt någonstans i det offentliga rummet kunna vara helt ansiktsigenkänningsteknik. Svensk polis lyckas för 177 anonym. När kameror och annan utrustning i omvärlden första gången lösa en mordutredning genom att testa kan läsa av och identifiera den enskildes kropp eller DNA-prov mot släktforskningsdatabaser. Polisens personliga beteende och koppla ihop de biometriska utvärdering visar att en del aspekter av arbetssättet uppgifterna med uppgifter från andra datakällor blir detta behöver utredas mer, men utvärderingen utmynnar i avsevärt mycket svårare. Sammantaget ansåg kommittén slutsatsen att målet bör vara att detta arbetssätt ska bli att användningen av tekniker som involverar många och ytterligare ett verktyg för polisen. 178 detaljerade biometriska uppgifter innebär en påtaglig risk

för den personliga integriteten. En risk är att biometriska uppgifter behandlas för nya

ändamål som är oförenliga med de ändamål för vilka Ett antal händelser som fått stort utrymme i media uppgifterna ursprungligen samlades in. Exempelvis de senaste åren kan exemplifiera och konkretisera kan biometriska uppgifter om gångstil och ansikte riskerna ytterligare: användas inte bara för att identifiera enskilda, utan också

för att identifiera oönskade beteenden eller särskilda 2018 – Kina lägger till gångstilsigenkänning till sitt övervakningsnätverk som innehåller uppskattningsvis behov hos enskilda.

170 miljoner kameror. Systemet innefattar bland annat

teknik för ansiktsigenkänning och AI och är kopplat till

landets ”sociala kreditsystem”. Systemet, som ska vara

fullt fungerande under 2020, övervakar och betygsätter

medborgare baserat på deras beteende. Tre nya 169

förordningar antas om Schengens Informationssystem

(SIS), som bland annat innebär att SIS kommer att

kunna användas för fler ändamål än tidigare, att fler 171. https://www.bbc.com/news/technology-48276660.

uppgifter kan registreras i SIS och att fingeravtryck 172. https://edition.cnn.com/2019/06/10/politics/customs-and-bor-

i högre utsträckning ska kunna användas för der-protection-images-travelers-data-breach/index.html.

173. https://www.silicon.co.uk/security/cyberwar/biometrics-breachatt identifiera personer. 170 not-so-big-suprema-280807.

174. https://www.forbes.com/sites/daveywinder/2019/11/02/ smartphone-security-alert-as-hackers-claim-any-fingerprint-lock-broken-in-20-minutes/#79740fb46853. 175. https://www.sciencemag.org/news/2019/11/judge-said-police-cansearch-dna-millions-americans-without-their-consent-what-s-next. 176. https://economictimes.indiatimes.com/tech/internet/german-firmfinds-one-million-files-of-indian-patients-leaked/articleshow/73921423. 168. SOU 2016:41 Hur står det till med den personliga integriteten , cms?from=mdr. sid 116. 177. https://www.nytimes.com/2020/01/18/technology/clearview-priva-

169. https://apnews.com/bf75dd1c26c947b7826d270a16e2658a. cy-facial-recognition.html. 170. https://www.regeringen.se/rattsliga-dokument/departementsse- 178. https://www.svt.se/nyheter/lokalt/ost/polisen-vill-fortsatrien-och-promemorior/2019/12/ds-201927/. ta-med-slaktforskning-och-dna.

74 IMY | Integritetsskyddsrapport 2020

87

En annan risk är att fler biometriska uppgifter hanteras När det upptäcks att ett traditionellt lösenord har än vad som behövs för ändamålet, till exempel att hela hackats kan användaren oftast enkelt byta lösenordet fingeravtryck samlas in och lagras när det i själva verket mot ett nytt och därefter få fortsatt tillgång eller tillträde hade varit tillräckligt att bara hantera vissa mätpunkter till tjänsten. Om biometriska data hackas så kan det från fingeravtrycket. Detsamma kan inträffa när uppgifter däremot medföra betydligt värre konsekvenser för den om DNA inte bara möjliggör identifiering, utan även enskilde. Om en individs biometriska data – exempelvis avslöjar något om den registrerades hälsotillstånd, venernas struktur under huden – har hamnat i orätta sjukdomsbenägenhet eller etniska ursprung. händer så kan denne inte ersätta den med annan data. De biometriska uppgifterna är beständiga, vilket ofta gör Ytterligare en risk är att biometriska uppgifter inte integritetsförlusten mycket svår att reparera. Förutom skyddas tillräckligt och som en följd av detta blir svårigheten att förändra de biometriska uppgifterna är tillgängliga för aktörer som kan använda uppgifterna de dessutom ofta svåra att hålla för sig själv. Ett ansikte, för exempelvis identitetsstöld eller olika former av avtryck från fingrar eller ett rörelsemönster är något som bedrägerier och utpressning. hela tiden exponeras mot omvärlden.

Det finns också en risk för att biometriska uppgifter En risk är att någon använder stulna uppgifter för att kan användas utan att den enskilde känner till det eller skapa en artificiell, fysisk kopia av de biometriska lämnar sitt samtycke, till exempel vid publicering av uppgifterna som kan användas vid tillträdes- eller bilder på nätet eller i sociala medier där det finns särskild åtkomstkontroll. En annan risk är att biometrisk data programvara för ansiktsigenkänning. Idag kartläggs vårt avslöjar känsliga uppgifter om den registrerade – digitala liv i form av till exempel vilka sökningar vi gör på exempelvis information om en medfödd sjukdom – som internet, vilka sidor vi besöker och tidningar vi läser, vad kan användas för att skada den enskilde. Ytterligare 180 vi handlar och vilka som är våra kontakter. Kombineras en potentiell risk är att en biometrisk uppgift – som till sådan webbläsardata med biometriska uppgifter som exempel en venprofil – svartlistas, om det blir allmänt till exempel kroppstemperatur, blodtryck och puls skulle känt att den är hackad. Därmed kan personen komma att slutsatser kunna dras om till exempel vilka nyheter eller nekas tillträde till platser och åtkomst till produkter och kontakter som får en individ att reagera på olika sätt. tjänster som bygger på autentisering med hjälp av just Denna typ av scenarier har fått vissa bedömare att venernas struktur under huden. utfärda kraftfulla varningar för omfattande insamling av biometriska uppgifter, och konstatera att en sådan En rad åtgärder kan vidtas för att minska riskerna kring datainsamling ”kommer att få Cambridge Analyticas biometriska data. En grundläggande utgångspunkt hacking taktik att framstå som något från stenåldern”. är att ha en restriktiv hållning och bara använda 179 biometriska uppgifter när det är absolut nödvändigt. Därtill bör nämnas risken för överutnyttjande av biometri Säkerhetsåtgärder som att säkerställa att sensorer när tekniken blir billigare, enklare och därmed mer inte kan manipuleras, säker lagring av mallar, lättillgänglig. Alla sammanhang kräver inte den höga kryptering och säkra kommunikationsvägar samt precision som biometri kan erbjuda. multifaktorsautentisering kan också minska riskerna. Andra riskminimerande åtgärder kan handla om att Cyberattacker är en risk för alla system som ska använda artificiell biometridata (som kan bytas ut). förhindra otillbörlig åtkomst och tillträde och lösningar baserade på biometri är inget undantag. Potentiella Biometriska uppgifter betraktas som en särskild kategori säkerhetshot kan handla till exempel om att förfalska av personuppgifter (så kallade känsliga personuppgifter) uppgifter. Det går att replikera de flesta biometriska enligt dataskyddsförordningen. Det är som utgångspunkt data med hjälp av exempelvis 3d-printteknik och förbjudet att behandla känsliga personuppgifter. högupplösta bilder. Sensorer som används för Behandling av sådana uppgifter är tillåten om något av insamlingen av uppgifterna kan manipuleras på många de undantag som anges i förordningen är tillämpligt, olika sätt och angripare kan också återanvända gammal till exempel uttryckligt samtycke från den enskilde. 181 data – exempelvis ett fotografi som tidigare använts För den som behandlar denna typ av uppgifter gäller för ansiktsigenkänning. Om en angripare tar sig in vidare bland annat att det vanligen krävs en högre i systemet som bearbetar insamlad data så kan det säkerhetsnivå än för mer harmlösa personuppgifter. gå att påverka resultatet. Angripare kan också tillföra Behandling av biometriska uppgifter har också betydelse förfalskad information, avlyssna kommunikationen där för riskbedömningen när personuppgiftsansvarig gör insamlade data matchas mot lagrade mallar eller stjäla konsekvensbedömningar och kan vara avgörande och förfalska mallar. för om personuppgiftsansvarig måste rapportera en personuppgiftsincident, då incidenter som omfattar biometriska uppgifter ofta medför en hög risk för enskilda.

179. https://www.ft.com/content/19d90308-6858-11ea-a3c9-1fe6fed- 180. https://eprint.iacr.org/2004/106.pdf, sid. 1. cca75. 181. Artikel 9 dataskyddsförordningen.

IMY | Integritetsskyddsrapport 2020 75

88

Sammanfattningsvis har tekniken stor potential att lösa Det finns ännu ingen rättspraxis som rör en rad olika samhällsutmaningar, men förändrar samtidigt dataskyddsförordningens eventuella tillämplighet på spelreglerna för den personliga integriteten i grunden. deep fakes. Det är uppenbart att upplärningen av Hamnar biometriska uppgifter i orätta händer kan AI-modellen omfattas av dataskyddsreglerna, eftersom integritetsskadan vara permanent, eftersom biometriska stora mängder biometriska personuppgifter används uppgifter inte, som ett lösenord, enkelt går att byta ut. i denna fas, men när modellen väl är upplärd behövs inte längre personuppgifterna. Då är det modellen som skapar ny data som efterliknar biometriska 5.3.5.4 Särskilt om deep fakes personuppgifter. Om deep fake-material är att betrakta Avslutningsvis finns ett riskområde som förtjänar som personuppgifter och om dataskyddsförordningen att omnämnas särskilt, så kallade deep fakes. Deep är tillämpbar på material skapat med deep fakefake är en benämning på falsk information som så metoder är några av de rättsliga frågor som kommer att behöva prövas. 183 genomarbetad att den verkar äkta, även vid relativt omfattande granskning. Området omfattar bland annat ”konstgjord media” – filmer, ljudinspelningar och fotografier – som efterliknar verkliga personer. Tekniken bygger bland annat på användning av AI och djupinlärning. Med hjälp av filminspelningar, fotografier och ljudinspelningar – data som kan ha biometriskt innehåll – av en verklig person kan en AI-modell läras upp till att skapa konstgjorda återgivningar av personen som är så verklighetstrogna att de är svåra att särskilja från äkta. Deep fake-videor kan till exempel visa ansiktet eller kroppen på en ”riktig” person, som pratar med en röst som är mycket lik dennes faktiska röst och agerar och använder mimik på ett sätt som denna brukar göra i verkliga livet. Men ansiktet, kroppen, rösten och rörelserna skapas av AI-modellen.

Den brittiska regeringen har tagit fram en rapport om deep fakes och vilseledande information. En slutsats är att det inte räcker med lagstiftning för att hantera risker, det krävs även investeringar i ny teknik för att avslöja manipulationer. Den brittiska regeringen ser också behov av utbildningssatsningar för att höja kunskap om deep fakes bland medborgarna. Exempel på svensk forskning inom området är utveckling av en app som kan avslöja deepfakes. 182

183. Frågor som reses rör exempelvis hur en film som skapats helt artificiellt, baserat på publik biometrisk data (röst, utseende, 182. Komet kommenterar 2020:27 Deep fakes, manipulerade filmer – rörelsemönster etc.) från bland annat sociala media, ska hanteras ur ett korta faktablad om aktuell teknik . personligt integritetsperspektiv.

76 IMY | Integritetsskyddsrapport 2020

89

5.4 Teknik för att bearbeta

De enorma informationsmängder som kan samlas in med hjälp av ny teknik skulle i praktiken vara värdelösa om

och använda data

inte tekniken för att bearbeta och använda uppgifterna också tagit stora utvecklingssprång. De senaste decenniernas utveckling av olika Big data-metoder har utgjort en viktig förutsättning för förmågan att hantera den faktiska mängden data. Centralt i de senaste årens De ökade möjligheterna att samla in utveckling är att AI och andra tekniker som tidigare var data skulle i praktiken vara värdelösa tillgängliga endast för resursstarka och specialiserade om inte tekniken för att bearbeta och aktörer, tillgängliggörs nu på bred front, exempelvis via använda uppgifterna också tagit stora allt billigare och mer lättanvända molntjänster med stor utvecklingssprång. kapacitet att behandla data. En mer komplex bearbetning av personuppgifter kan därmed genomföras av fler.

Utvecklingen av AI är ett av de

Tekniska lösningar för att bearbeta data är inte i särskilt

utvecklingsområden som haft störst

stor utsträckning beroende av användarens tekniska

påverkan på den personliga integriteten

förkunskaper eller förståelse för hur tekniken påverkar

under de senaste åren. De potentiella

integritetsskyddet.

nyttorna är stora och Sveriges mål är

enligt den nationella inriktningen för Större datamängder kan bearbetas på kort tid och AI att bli bäst i världen på att utnyttja bearbetningen genererar resultat som tidigare inte AI:s möjligheter. I dagsläget använder var möjliga att uppnå. I allt fler fall sker bearbetningen ungefär 5 procent av svenska företag av data med helt eller delvis automatiserade och 10 procent i offentlig sektor AI. metoder, i självlärande system som kontinuerligt Samtidigt innebär AI integritetsrisker utvecklas och förfinas.

för den enskilde i form av bland annat

bristande transparens, diskriminering, Tekniken skapar stor nytta och håller på att försvårat ansvarsutkrävande, missbruk förändra flera branscher i grunden. Att anpassa och och fientlig användning. Särskilda risker använda AI-lösningar på ett effektivt sätt spås bli en finns vid automatiserade processer i överlevnadsfråga inom många branscher. Drivkrafterna beslutsfattande, när ett beslut kan få att snabbt implementera dem är därför mycket stark.

rättsliga konsekvenser för den enskilde.

Både de stora volymerna personuppgifter som bearbetas En pågående förändring med potential med den nya tekniken, samt resultaten av bearbetningen, att påverka integritetsskyddet positivt innebär nya integritetsutmaningar. Några av dem handlar om var data i bearbetas – i centrala behandlas i det följande.

datacentra och serverhallar eller lokalt.

Teknik för edge computing medför att

bearbetning av data nu allt oftare kan ske 5.4.1 Artificiell intelligens

lokalt, i uppkopplade enheter med låg

Utvecklingen av artificiell intelligens, AI, har gjort stora

kapacitet eller i lokala servrar. Detta innebär

framsteg under de senaste åren och dess potential

att data i mindre utsträckning behöver

är på många områden lovande. Sedan begreppet

transporteras och delas, vilket kan skapa

AI först användes på femtiotalet har tekniken fått

bättre kontroll.

en allt större spridning. Förklaringarna finns bland Ett av de områden där den omfattande annat i mer sofistikerade algoritmer, väsentligt ökad bearbetningen av stora datamängder blir beräkningskapacitet och allt fler användningsområden som mest uppenbar för många är den inom såväl näringsliv som samhälle. En annan orsak är digitala annonsmarknaden. De komplexa utveckling av hårdvara i datorer, vilken möjliggör snabb och icke transparenta processerna som hantering av stora datamängder. Till exempel kan dagens kan inkludera hundratals aktörer gör det AI system gå igenom tusentals patientjournaler på några i praktiken omöjligt för den enskilde att sekunder. Slutligen har såväl modeller som algoritmer utnyttja sina rättigheter, till exempel att utvecklats över tid, vilket medfört att data kan komma till få information raderad. Såväl norska som användning på fler, och mer kraftfulla, sätt. 184

brittiska myndigheter har i färska analyser

kommit till slutsatsen att stora delar av den

digitala annonsmarknaden systematiskt

bryter mot dataskyddslagstiftningen.

184. Komet informerar 2020:30; Den nya tekniken – så fungerar den .

IMY | Integritetsskyddsrapport 2020 77

90

Regeringen har i den nationella inriktningen för artificiell Vissa typer av maskininlärning bygger på samma intelligens från 2018 slagit fast att Sverige ska vara principer som den mänskliga hjärnans nervnätverk ledande i att ta tillvara möjligheterna som användning med ett inmatningsskikt, ett eller flera dolda lager och av AI kan ge, med syftet att stärka både den svenska ett utgående lager. Om det finns mer än ett dolt lager välfärden och den svenska konkurrenskraften. Ett talar man om djupinlärning. Ofta används även termen genomgående tema bör enligt den nationella inriktningen neurala nätverk för denna typ av maskininlärning. vara hållbarhet, med innebörden att AI-applikationer bör Antalet lager i ett neuralt nätverk kan variera, men vara etiska, säkra, pålitliga och transparenta. Etiska och som exempel kan nämnas att Microsoft 2016 vann en säkerhetsmässiga överväganden kan enligt regeringen tävling i bildigenkänning med ett nätverk bestående inte vara en eftertanke i AI-applikationer, utan måste vara av 152 lager. 188 en integrerad del från det tidiga designarbetet. 185 Samtidigt som AI är en förutsättning för att förädla och I de intervjuer som IMY genomfört framhålls AI som ett dra nytta av stora datamängder är AI-algoritmerna av de utvecklingsområden som varit mest aktuella och beroende av stora datamängder för att läras upp. haft störst påverkan på den personliga integriteten under Begreppen AI och big data är därför nära förknippade de senaste tre åren. med varandra. Big data, som på svenska ibland översätts till stordata eller stora data, syftar på mycket stora datamängder som kräver speciella metoder för analys. 5.4.1.1 Vad är AI? Uttrycket syftar oftast på ostrukturerade data, som inte Begreppet AI har ingen entydig definition eller allmänt kan ordnas i tabeller eller kalkylark. Datamängderna är vedertagen avgränsning. Oftast används termen som så omfattande att de i praktiken inte kan bearbetas med ett paraplybegrepp för teknik som kan lära av sina egna traditionella program för analys och datautvinning. Big erfarenheter, bli smartare över tid och mer eller mindre data kan ha många olika format och komma till exempel självständigt lösa komplexa problem i olika situationer. från sociala medier och webbplatser (till exempel Vinnova definierar AI som förmågan hos en maskin att Facebook, Youtube bloggar, foton och videofilmer), efterlikna intelligent mänskligt beteende . 186 företagssystem (till exempel transaktioner, kundregister, kreditkortsdata och medicinska register) och IoT (till Statistiska Centralbyrån, SCB har i en rapport definierat exempel sensordata om väder, trafik, mobiltelefoner AI som system som uppvisar intelligent beteende genom och satellitbilder). Vissa bedömare menar att själva att analysera sin omgivning och agera, med någon tekniken för AI (till exempel maskininlärning) och data nivå av självbestämmande, för att uppnå specifika är så intimt förknippade med varandra att en definition mål . AI-baserade system kan vara ren mjukvara eller av AI bör inkludera båda dessa huvudkomponenter; inbyggda i hårdvara. 187 algoritmer och data. 189

Den stora uppmärksamhet som AI fått globalt de Även om begreppet AI ibland används synonymt med senaste åren beror framför allt på en ökad användning maskininlärning och djupinlärning finns även andra typer av maskininlärning i olika tillämpningar. Maskininlärning av AI-teknik. Det kan handla om system som gör det är teknik som gör det möjligt för datorer att ”tänka” och möjligt för datorer att förstå hur olika typer av begrepp bli smartare över tid. Genom att skapa matematiska hör ihop och ska sorteras hierarkiskt (eng. ontology algoritmer baserade på omfattande mängder data engineering ) eller system som gör det möjligt för datorer drar systemet slutsatser, lär sig och bygger nya att hantera värden mellan ja och nej (eng. fuzzy logic ). 190 algoritmer – utan att en människa behövt ge programmet den specifika instruktionen. Utvecklingen inom maskininlärning har gått mycket fort framåt de senaste 5.4.1.2 Utveckling hittills av AI och dess åren, bland annat till följd av den ökade tillgången potential i Sverige på större datamängder samt större och billigare I en kartläggning av Vinnova som presenterades processorkraft och lagringskapacitet. 2018 konstaterades att tillämpningar av AI redan haft stor betydelse för utveckling av internetplattformar, informationssökning, bildigenkänning och automatöversättning. Samtidigt hade det praktiska genomslaget för AI enligt Vinnova varit begränsat i stora delar av näringslivet och inom offentlig verksamhet i Sverige. 191

188. Datatilsynet; Kunstig intelligens og personvern , 2018. 185. Näringsdepartementet; Nationell inriktning för artificiell intelligens , 189. COM (2020) 65 Vitbok om artificiell intelligens - en EU-strategi för https://www.regeringen.se/49a828/contentassets/844d30fb0d594d1b- spetskompetens och förtroende . 9d96e2f5d57ed14b/2018ai_webb.pdf 190. Vinnova rapport 2019:5, AI-miljöer i Sverige En översikt över 186. Vinnova rapport 2018:08 Artificiell intelligens i svenskt näringsliv miljöer som bidrar till utvecklingen av artificiell intelligens . och samhälle – Analys av utveckling och potential 191. Vinnova rapport 2018:8, Artificiell intelligens i svenskt näringsliv 187. Statistiska Centralbyrån (SCB) Artificiell intelligens i Sverige . och samhälle – Analys av utveckling och potential .

78 IMY | Integritetsskyddsrapport 2020

91

Sverige har sedan dess inrättat ett nationellt center Bland de förslag som DIGG anser bör prioriteras först

för artificiell intelligens, AI Sweden, som finansieras ingår att inrätta ett förfarande eller en mekanism för

i samverkan mellan offentlig och privat sektor. att ta fram författningsstöd för försöksverksamhet,

Centret arbetar för att påskynda användningen av eftersom det skulle kunna stimulera offentlig förvaltning

AI till förmån för samhället, svensk konkurrenskraft till att genomföra försök med att använda AI. De

och landets invånare. regulatoriska sandlådor som prövats i bland annat 192

Storbritannien framhålls av DIGG som ett gott exempel. Statistiska centralbyrån, SCB redovisade i november För att underlätta en ändamålsenlig rättsutveckling 2020 ett regeringsuppdrag att kartlägga användningen föreslog DIGG också etableringen av rättsligt av AI samt analys av stora datamängder i Sverige. 193 beredningsorgan – ett förslag som tidigare lämnats av Kartläggningen visade att användning av AI är vanligare Digitaliseringsrättsutredningen 2018. inom offentlig än i privat sektor. Bland privata företag

uppgav 5,4 procent att de använt AI i någon form i sin

verksamhet under 2019, medan motsvarande siffra inom 5.4.1.3 Exempel på nyttor och risker med AI

den offentliga sektorn var 10,2 procent. Den vanligaste AI-teknik kan tillämpas på en rad olika områden. Bland anledningen att använda AI var bland företag att förbättra de samhällsutmaningar som AI kan bidra till att lösa finns en existerande produkt eller tjänst, medan det i offentlig till exempel bättre förmåga att upptäcka, diagnostisera, sektor var vanligast att använda AI för att förbättra förebygga och behandla allvarliga sjukdomar, ett mer interna processer. När det gäller hinder för att använda effektivt jordbruk, nya metoder för klimat- och miljöskydd, AI uppgav privat sektor att kostnad för tjänster eller minskad energianvändning, färre trafikolyckor, en bättre utrustning utgjorde det största hindret för användning av och mer effektiv offentlig sektor och ett säkrare samhälle. AI. Inom offentliga sektorn utgjorde istället anställdas

kompetens, utbildning eller erfarenhet det största hindret. Exempel på vanliga uppgifter för ett AI-system är

att välja den bästa åtgärden eller föreslå det bästa Vinnova har i flera sammanhang understrukit att handlingsalternativet givet ett specifikt mål. Uppgiften regulatorisk utveckling när det gäller data och kan exempelvis innefatta mönsterigenkänning, datatillgång kommer att vara av avgörande betydelse bildanalys, talförståelse, prediktiv analys skapande för Sveriges AI-utveckling. Fundamentala behov av 194 av bevis och spel. Systemet lär sig vilken åtgärd som tillgång till data behöver balanseras med integritetsskydd, ska vidtas eller vilket handlingsalternativ som ska etik, tillit och samhällsskydd. Ett sätt att driva regulatorisk rekommenderas genom att ta in och bearbeta data utveckling är enligt Vinnova att relevanta aktörer med och lära upp algoritmer som är anpassade till det expertis och ansvar för reglering och regelövervakning specifika ändamålet. bör medverka i innovationsprocesser där nya AI-

tillämpningar utvecklas. Ett särskilt användningsområde handlar om olika system

för automatisering och intelligent automatisering där Även DIGG framhåller regulatorisk utveckling som mjuk- eller hårdvara utvecklas för att kunna fungera en framgångsfaktor för att främja AI-tillämpningen. I autonomt, utan att behöva styras eller kontrolleras av en rapport från januari 2020 om AI i offentlig sektor en människa. Det som automatiseras kan exempelvis konstaterade DIGG att det finns stor potential för offentlig vara informationsbearbetning, utförande av uppgifter förvaltning att använda AI men att det också krävs att och beslut. Intelligent automatisering innebär att ett antal förmågor utvecklas. Förmågor som behöver 195 automatiseringen är AI-baserad, med helt eller delvis utvecklas är till exempel tydligare styrning och ledning, autonoma system som är självlärande och som kan ändamålsenlig rättsutveckling, bättre förutsättningar för bearbeta stora mängder data. 196 kompetensförsörjning, gemensam digital infrastruktur

(teknik och data), data som strategisk resurs och Intelligent automatisering och robotisering spänner

ekosystem för samarbete och innovation. över ett stort antal sektorer och innebär bland annat

att personuppgifter behandlas på nya sätt och på fler

platser. Exempel på sektorer där teknikutveckling genom

automatisering pågår är hälsovård, konsumentprodukter,

polis och rättsväsende, samt logistik och transport. 197

192. https://www.ai.se/en/about-aisweden

193. Statistiska centralbyrån (SCB) Artificiell intelligens i Sverige .

194. Se till exempel Vinnova rapport 2018:8, Artificiell intelligens i svenskt näringsliv och samhälle – Analys av utveckling och potential . 196. https://www.mckinsey.com/featured-insights/future-of-work/ai-

195. Myndigheten för digital förvaltning (DIGG) Främja den offentliga automation-and-the-future-of-work-ten-things-to-solve-for.

förvaltningens förmåga att använda AI . Delrapport i regeringsuppdrag 197. https://www.eu-robotics.net/cms/upload/downloads/ppp-do-

I2019/01416/DF och I2019/01020/DF. cuments/Multi-Annual_Roadmap2020_ICT-24_Rev_B_full.pdf.

IMY | Integritetsskyddsrapport 2020 79

92

Nedan listas kortfattade exempel på konkreta Kommittén för teknologisk innovation och teknik (Komet) användningsområden för AI inom olika sektorer som ger har i en kommentar om AI betonat urvalets betydelse en bild över olika tillämpningsområden och potentialen för etisk träning av algoritmer vid maskininlärning. Om med utvecklingen inom olika sektorer. träningsdata inte är neutrala och rättvisande finns en risk 198 för snedvridning och systematiska fel. 202 • Hälso- och sjukvård – automatiska/bildbaserade diagnoser och dialogrobotar. Utvecklade De stora datamängder som kan analyseras med AI datorprogram som ska kunna föra en ändamålsenlig medför att enskildas kontroll över sina personuppgifter dialog med människor, till exempel svara på frågor. försvagas och ansvarsfrågor blir komplexa. Vem ska 199 • hållas ansvarig om en diagnos eller ett beslut som fattats Offentlig sektor – effektivisering av arbetsflöden, automatisering av beslutsgångar och prediktion, att med hjälp av AI blivit fel? Den som skapat algoritmerna, kunna förutse vad som kommer att hända. 200 den som matat in data eller den som tillämpat AIlösningen? När en personuppgiftsincident inträffar kring • Cybersäkerhet – automatiserad realtidsanalys av big data kan också mycket stora mängder uppgifter stora system och flera parallella säkerhetshot. 201 förloras och ett stort antal registrerade individer drabbas. • Försäkring – automatiserad riskbedömning och upptäckt av försäkringsbedrägerier. Den ökade förmågan att finna samband i stora • datamängder innebär också att det blir allt svårare för Finans – robotrådgivare och automatiserade beslutsstöd baserade på kunddata och annan data konsumenter att värdera vilka typer av data som är som företagen har tillgång till. särskilt känsliga och i vilka sammanhang. När stora datamängder samkörs och analyseras ökar förmågan • Bioteknik – analys av mycket stora datamängder att identifiera individer även utifrån data som inte och prognostisering. ursprungligen utgör personuppgifter, exempelvis med • Handel – analys och förståelse av kundbeteenden stöd av appar eller rörelsemönster som samlats in med för att förutsäga framtida köpbeteenden och anpassa IoT. Därmed utökas successivt integritetsskyddsområdet. erbjudanden. • Särskilda risker finns vid automatiserade processer Tillverkande industri – automatiserad diagnos och kvalitetskontroll. i beslutsfattande, när ett beslut kan få konsekvenser för den enskilde. I dataskyddsförordningen begränsas • Telekommunikation – optimering av nätverk och möjligheten att fatta beslut som enbart grundar sig på förstärkt cybersäkerhet. automatiserad behandling (inklusive profilering). Det 203 • Transport – säkerhetsfunktioner genom löpande finns flera risker kopplade till automatiskt beslutsfattande, övervakning och analys av förarens beteenden bland annat hur man säkerställer förfaranden som är och uttryck. rättssäkra och möjliggör att man kan uppmärksamma • Underhållning – filmmanus och musik som och utreda fel i bakomliggande tekniska förfaranden. 204 skapas via djupinlärning baserad på personlig data I förordningen betonas vikten av att automatiskt och marknadsdata. beslutsfattande omgärdas av lämpliga skyddsåtgärder och transparens, bland annat information till den registrerade, rätt till mänskligt ingripande och rätt att få Samtidigt som AI rymmer stora möjligheter i de flesta en förklaring till beslutet. 205 sektorer aktualiserar utvecklingen både rättsliga utmaningar, säkerhetsfrågor och etiska dilemman. Riskerna för enskildas fri- och rättigheter innefattar bland annat bristande transparens, diskriminering, försvårat ansvarsutkrävande eller missbruk och fientlig användning men också risken för felaktig programmering av algoritmer, som leder till felaktiga eller snedvridna beslutsunderlag. Vissa av dessa risker beskrivs ytterligare i avsnitt 7.1.7 som ger exempel på 202. Ett välkänt exempel är experimentet The moral machine från forskning om AI. 2018 som undersöker moraliska dilemman för självkörande fordon. I experimentet studeras hur etiska principer till grund för styrning av maskiner varierar mellan olika länder och kulturer och om ställningstagande i ett dilemma skiljer sig åt beroende på kön, ålder eller inkomst. Experimentet illustrerar vikten av insyn i vilka data som använts för att träna en algoritm, för att kunna bedöma hur maskinen kommer att bete sig i ett skarpt läge. Komet lyfter bland annat fram att det kan finnas utmaningar med system som byggs i ett land med vissa preferenser, säljs i ett annat och används i ett tredje. Komet informerar 2020:30; Den nya tekniken – så fungerar den . 198. https://www.startus-insights.com/innovators-guide/insurtech-inn- 203. Artikel 22 dataskyddsförordningen. Även förvaltningslagen ovation-map-explains-emerging-technologies-startups/. innehåller en bestämmelse om automatiskt beslutsfattande, 28 §. 199. https://en.wikipedia.org/wiki/Artificial_intelligence_in_healthcare. 204. SOU 2018:25 Juridik som stöd för förvaltningens digitalisering . 200. https://www.arbetsgivarverket.se/nyheter--press/nyheter/2018/ 205. I beaktandesats 71 till dataskyddsförordningen anges att tekniska lunchforelasning-ai/. och organisatoriska åtgärder ska vidtas som bland annat säkerställer 201. https://towardsdatascience.com/cyber-security-ai-defined-explai- att risken för fel minimeras och att personuppgifterna säkras genom att ned-and-explored-79fd25c10bfa. diskriminerande effekter förhindras.

80 IMY | Integritetsskyddsrapport 2020

93

Även strukturer som bygger på mänskliga bedömningar I den vitbok om AI som EU-kommissionen publicerade kan resultera i systematiska fel, till exempel om en 2020 förutspås att vi kommer att se en stor förändring verksamhet har undermåliga rutiner eller fel kompetens i bearbetningstekniker inom de närmsta åren. Idag hos dem som handlägger ärenden. Kännetecknande för sker 80 procent av bearbetningen och analysen av fel eller brister i ett automatiserat förfarande är dock att data i datacenter och serverhallar och ungefär 20 de på kort tid kan reproduceras i stor skala. procent i uppkopplade enheter, till exempel i bilar eller i uppkopplade prylar i hemmet. Till 2025 förutspås att I Australien har det så kallade Robodept-fallet väckt relationerna är de omvända. 209 stor uppmärksamhet och nationell frustration kring automatiserade beslut. AI-lösningen Robodept Nyttorna med bearbetning av data genom edge introducerades 2015 med syftet att upptäcka bedrägerier computing anses bland annat vara följande. 210 i välfärdssystemet. Systemet jämförde automatiskt de • Ökad hastighet och minskad fördröjning i inkomstuppgifter som redovisades av bidragstagare bearbetningen av insamlad data vilket möjliggör med uppgifter från skattemyndigheten. Upptäcktes beslut i realtid. diskrepanser registrerades en skatteskuld automatiskt. Eftersom algoritmen inte beaktade den stora volatiliteten • Ökad driftsäkerhet. i många låginkomsttagares inkomst ledde systemet till • Ökade möjligheter att hantera IoT-enheter centralt att tusentals australiensare felaktigt fick skatteskulder från molnet och använda enheterna utan anslutning registrerade och krävdes på pengar. I ett par fall eller med tillfällig anslutning. hävdar anhöriga att denna motgång blev så tung för • Reducerade bandbreddskostnader. de enskilda att det utlöste självmord. Det numera • Ökad säkerhet och kontroll på data, eftersom den nedlagda systemet har varit föremål för ett mycket stort kan krypteras och bearbetas lokalt och inte behöver antal utredningar, rättsprocesser och parlamentariska transporteras för att bearbetas någon annanstans. utfrågningar i Australien. 206

I Sverige upptäckte Arbetsförmedlingen vid en intern Edge computing är bland annat en viktig förutsättning för kontroll 2019 att mer än vart sjunde beslut om indraget den fortsatta utvecklingen av autonoma fordon. För att aktivitetsstöd kan ha varit felaktigt till följd av brister i ett autonom körteknik ska ersätta mänskliga förare måste automatiserat system. Potentiellt bedömdes tiotusentals fordonen kunna reagera på incidenter och avvikelser, beslut ha blivit fel under den tid som systemet var i drift. 207 exempelvis en trafikolycka, i realtid. I genomsnitt kan det ta 100 millisekunder för dataöverföring mellan fordonsensorer och ett molnbaserat datacenter, vilket när

5.4.2 Edge computing

det gäller körbeslut kan vara för lång tid. Genom att data kan bearbetas och analyseras lokalt i fordonet snabbas Edge computing översätts ibland på svenska till tekniken upp väsentligt. ”databehandling i utkanten av nätverken”. Även benämningar som ”decentraliserad AI” eller ”federated Teknik som 5G och AI banar ytterligare väg för edge learning” förekommer. Mer konkret innebär edge computing. 5G hjälper till att distribuera datorkapacitet computing att ny bearbetning av data sker direkt i till enheter i utkanten av nätverket och AI skapar enheten, ofta i utkanterna av ett nätverk. Det kan till förutsättningar för beslutsfattande i realtid. 211 exempel handla om avancerad kamerateknik som samlar in data, men också krypterar, lagrar och bearbetar data Teknikutvecklingen inom detta område innebär risker, lokalt och i realtid, utan att behöva transportera den via bland annat om lokal bearbetning sker i enheter med nätet till en central server eller dator. Edge computing kan låg säkerhet. Men det innebär också möjligheter för den också handla om att data är lokaliserad i lokala nätverk, personliga integriteten, bland annat beroende på vilken till exempel på ett antal sjukhus, och decentraliserade bearbetning som görs och i vilka syften, hur säker data algoritmer placeras ut lokalt för att träna på datan. Olika är i enheten där den bearbetas, samt vilken kontroll lokala algoritmer förs sedan samman i en central lösning. den registrerade själv ges över sina personuppgifter. 212 Därmed kan algoritmer tränas på stora datamängder Tekniken kan medföra att individen får bättre kontroll utan att själva datan behöver centraliseras eller delas, på sina personliga data, om den bearbetas i den egna vilket förespråkarna menar skulle kunna vara ett sätt att enheten (exempelvis den egna telefonen) eller i ett lokalt möta dataskyddsförordningens krav. nätverk och aldrig transporteras därifrån. 208 213

209. https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf. 210. https://techworld.idg.se/2.2524/1.683223/edge-computing. 211. https://www.bmc.com/blogs/edge-computing/. 206. https://www.bbc.com/news/world-australia-54970253. 212. https://www.zdnet.com/article/edge-computing-the-cyber-securi- 207. https://www.svt.se/nyheter/inrikes/svt-avslojar-stort-data- ty-risks-you-must-consider/. fel-hos-arbetsformedlingen-tusentals-kan-ha-forlorat-ersattning. 213. https://blog.westerndigital.com/designing-ed- 208. https://www.ai.se/en/node/81535/federated-learning ge-5-trends-smart-security/.

IMY | Integritetsskyddsrapport 2020 81

94

5.4.3 Den digitala annonsmarknaden

Den omfattande spårningen och profileringen av

konsumenter är enligt undersökningen till sin natur

och realtidsbudgivningar

explorativ. Det saknas insyn och transparens vilket gör

konsumenterna sårbara för manipulation, särskilt då för Ett av de områden där den omfattande bearbetningen av dem helt okända företag har mycket omfattande kunskap stora datamängder blir som mest uppenbar för många är om dem. Systemet bygger idag enligt Forbrukerrådet den digitala annonsmarknaden. De flesta människor som helt på användning av illegalt insamlad persondata. använder sociala medier har idag personliga erfarenheter Medborgarna har små eller inga möjligheter att skydda av hur en viss sökning på Internet eller ett besök på en sig mot exploateringen av deras uppgifter och den viss webbsida resulterar i att annonser på samma tema genomgripande profileringen. Alternativet är ofta att helt kort därefter syns i nyhetsflödet. avstå från att använda en viss app. Affärsmodellerna

Den digitala annonsmarknaden omsätter enorma behöver ändras i grunden om aktörerna inom

belopp. Under 2019 spenderades globalt omkring 330 AdTech-sektorn ska uppfylla kraven enligt

miljarder dollar på den digitala annonsmarknaden, dataskyddsförordningen och respektera konsumenters

vilket var en ökning med drygt 17 procent jämfört med grundläggande fri- och rättigheter.

året innan. Samtidigt sker merparten av den digitala 214 I rapporten delas aktörerna på den digitala datainsamlingen av personuppgifter utan att den enskilda annonsmarknaden in i fyra större huvudkategorier; individen förstår eller är medveten om det. Processerna publicister, annonsörer, tredjepartsaktörer och de större kring insamling, analys, samkörning, profilering och plattformsföretagen. Gränserna mellan aktörernas försäljning av personuppgifter till tredjepartsaktörer verksamheter kan i vissa fall vara otydliga. är komplexa och för den enskilde individen är det i

stort sett omöjligt att förstå och påverka hur de egna • Publicister – består av alla typer av webbsidor personuppgifterna används. och mobilappar som tillhandahåller information och

interaktiva tjänster till användarna. Publicisterna En bidragande förklaring till komplexiteten är det erbjuder annonsplatser och kan samtidigt sälja stora antalet aktörer som är involverade i den digitala användardata. annonsmarknaden (så kallad AdTech). Dagens internet genomsyras av komplicerade nätverk av aktörer som • Annonsörer – vill främst erhålla nya men även

samlar in, köper, säljer, förmedlar, förädlar och analyserar behålla befintliga kunder och finns till exempel inom

data på olika sätt för en mängd olika syften. detalj- och dagligvaruhandeln, researrangörer,

telekombolag och säljare av finansiella tjänster. Norska konsumentskyddsmyndigheten Forbrukerrådet

publicerade i början av 2020 en omfattande kartläggning Utöver publicister och annonsörer, som har direktkontakt av den digitala annonsindustrin. I undersökningen 215 med användarna, finns ett antal aktörer som kunder och granskades tio vanliga Android-appar. Bedömningen besökare på webbplatser inte kommer i kontakt med. var att AdTech-sektorn utnyttjar stora mängder data

från apparna, som överför data till en stor mängd • Tredjepartsaktörer – kan vara annonsnätverk, tredjepartsaktörer. Det var i olika kombinationer analysföretag och datamäklare (databrokers) frågan om överföring av persondata, ibland känsliga som på olika sätt är involverade i den digitala personuppgifter, GPS-koordinater, IP-adresser, Wi-Fi annonsmarknaden. Aktörerna hanterar och processar accesspunkter och i något fall en lista över installerade stora mängder personuppgifter, men varken appar i användarnas telefoner. Av rapporten framgår publicister eller annonsörer har någon större kontroll vidare att det också förekom en omfattande möjlighet att över hur datan hanteras och används. sammanställa information från olika enheter, exempelvis • Plattformsföretag som Google och Facebook – har från mobil, dator och laptop. De enskilda hade sällan multipla roller i industrin och kan agera som både kunskap eller kännedom om att deras data fördes publicister och tredjepartsaktörer. Google och vidare till tredjepartsaktörer. Var och en av apparna Facebook är centrala och dominerande aktörer i den delade data med flera tredjeparter och de undersökta tio digitala annonsindustrin eftersom de kontrollerar apparna överförde tillsammans användardata till minst stora delar av leveranskedjan av personuppgifter. 135 tredjepartsaktörer för användning i marknadsföring

eller beteendeprofilering (i första ledet). Rapportens

slutsats är att AdTech-sektorn delar och behandlar data

helt ”out of control”.

214. https://www.emarketer.com/content/global-digital-ad-spending-2019. 215. Forbrukerradet Out of control, How consumers are exploited by the online adversiting industry , sid. 23.

82 IMY | Integritetsskyddsrapport 2020

95
5.4.3.1 Hur fungerar den digitala Tredjepartsaktörer tillhandahåller olika tjänster,

annonsindustrin i praktiken? och kan därmed antas använda informationen från

tredjepartskakor på olika sätt. Vissa aktörer erbjuder Varje gång en individ besöker en webbsida eller system som möjliggör att en annons visas för en använder en mobilapp, sänds information till publicisten, viss konsument eller ett visst segment av kunder men även till ett stort antal tredjepartsaktörer. vid ett visst tillfälle. Förfarandet kallas spårning eller tracking. Den vanligaste

spårningsmetoden är genom kakor (eng. cookies), vilket En särskild kategori tredjepartsaktörer är datamäklare

är små textfiler som webbplatsen skickar till användarens som samlar in data från en mängd olika källor, både

webbläsare. Filen sparas i användarens dator, antingen offline och online och där uppgifterna inte alltid är

bara under tiden användaren besöker webbplatsen (så användargenererade. Personuppgifterna kan komma

kallad sessioncookie) eller för en längre tid. Varje gång från publika källor eller vara köpta från företag, och

användaren besöker en viss webbsida skickas innehållet sammanställs för att skapa konsumentprofiler som

i dessa kakor med. På så vis kan webbplatsen identifiera säljs vidare. En sådan konsumentprofil kan till exempel

och komma ihåg användaren. innehålla data från mobiltelefoner som app-användning,

annons-ID eller annan användaridentifiering och Om webbplatsen har ett avtal med en tredje part (till användarens kontakter. Personuppgifterna kan också exempel Google eller Facebook) kan tredjeparten sätta omfatta webbrowser-användning, uppkopplade enheter en egen kaka (”tredjepartskaka”) på webbplatsen. Denna och offentliga data. Det är ett stort antal olika företag kaka kommer sen att skickas till tredjepartsaktören som levererar data till olika datamäklare. Leverantörerna även när användaren besöker andra webbplatser kan vara andra datamäklare, analysföretag, som använder sig av samma tredjepart. På så vis kan kreditkortsföretag och många andra företag. Det är inte tredjeparter kartlägga, eller ”följa”, användare mellan alltid uppenbart var den insamlade informationen från olika webbplatser och ta fram profiler utifrån vad andra tredjepartsaktörer initialt kommer ifrån. 218 användaren gör.

Information från spårningen av användare används Kakor är den vanligaste, men inte den enda metoden sedan för att rikta de annonser som visas för användaren. för att spåra och identifiera användare på nätet. Processen innebär att potentiella annonsörer kan se Eftersom kakor är förhållandevis enkla att ta bort och information om användarna, till exempel information om blockera har det nu också utvecklats mer sofistikerade vilken enhet som används, vilken webbplats som besöks spårningsmetoder, till exempel via digitala fingeravtryck och vilket land användaren befinner sig i. Informationen som tas fram genom att kombinera ett antal datapunkter kan också vara mer detaljerad, och inkludera om en individ. Det kan handla till exempel om tidigare besökta webbplatser, användarens intressen användarens webbläsare, operativsystem, skärmstorlek, eller till exempel vilka hälsoproblem användaren språkinställning, tidszon, installerade typsnitt och sökt information om. insticksprogram, hårdvara och mycket annat. 216

När en annons visas på en webbsida eller i en app, är det Konkurrensverket har nyligen låtit göra en kartläggning resultatet av en komplicerad budgivningsprocess i realtid av spårningen med kakor på ett antal svenska (real-time-bidding, RTB), där hundratals annonsörer webbplatser. Kartläggningen omfattade 116 217 inom någon bråkdels sekund kan ha budat om att få webbplatser inom branscherna media, handel, bank/ visa sin annons. Själva auktionen kan ske på olika sätt; försäkring, hälsa och offentlig sektor. Resultatet visade som en öppen auktion där många kan delta, mer slutna att de flesta webbplatsbesök medför att en stor mängd budgivningar eller genom överenskommelser med fast tredjeparter samlar in data och spårar besöket, om inte pris. Olika plattformar med olika tekniker för budgivning särskilda åtgärder tagits av användaren för att förhindra möjliggör processen. detta. Flest tredjepartsaktörer fanns på webbplatser inom

media, där varje besök på en webbplats i genomsnitt

ledde till att 35 tredjepartsaktörer kontaktades.

Motsvarande siffra för andra branscher var inom handeln

17, bank/försäkring 10, hälsa 9 och offentlig sektor 6.

216. Stefan Larsson Dataekonomier - Om plattformar, tredjepartsaktörer och behovet av transparens på digitala marknader , Konkurrensverket uppdragsforskning rapport 2020:4. 217. Stefan Larsson Dataekonomier - Om plattformar, tredjepartsaktörer och behovet av transparens på digitala marknader , Konkurrensverket 218. Forbrukerradet Out of control, How consumers are exploited by the uppdragsforskning rapport 2020:4. online adversiting industry .

IMY | Integritetsskyddsrapport 2020 83

96
5.4.3.2 Nyttor och risker med den Ur ett användar- och medborgarperspektiv innebär den

digitala annonsindustrin digitala annonsmarknaden och realtidsbudgivningarna

stora risker för den personliga integriteten. Hela Hastigheten, omfattningen och komplexiteten i den digitala annonsindustrin bygger på en stark realtidsbudgivningen är tekniskt imponerande och drivkraft att samla in så mycket uppgifter som möjligt, underlättar försäljningen av annonsutrymme. Inkomster vilket normalt strider mot dataskyddsförordningens genereras till publicisterna och värde för annonsörerna. princip om uppgiftsminimering. Möjligheten att ta För den enskilde beskrivs ofta nyttan i termer av att fram avancerade konsumentprofiler medför också vi får ett anpassat och mer relevant annonsutbud en uppenbar risk för ändamålsglidning, det vill säga presenterat för oss. att personuppgifter används för andra ändamål än

vad de ursprungligen samlats in för. Ett av de mest I en studie finansierad av Handelsrådet som publicerades kända exemplen på ändamålsglidning är skandalen i december 2020 undersöks konsumenters inställning kring Cambridge Analytica. Ett annat exempel har till hur handeln använder deras data, om rimligheten i rapporterats från Indien, där ett fintechbolag använde utbytet och kunskapen om tredjeparters inblandning. 219 personuppgifter hämtade från musikappar som en del Trots det ofta framförda argumentet om att datainsamling i sin kreditprövning. Kontaktlistor, user-ID och GPSoch kundprofilering motiveras med att skapa relevanta lokalisering inhämtades och användes för beslut om reklamerbjudanden visar studien att en majoritet beviljande av lån. Medborgarna som sökte lån kände (57 procent) av konsumenterna inte tycker att det är dock inte till att informationen användes, och kunde rimligt att företag samlar in personlig information som därmed varken protestera mot användningen eller motprestation för rabatterade varor och tjänster. Endast invända mot besluten. 220 omkring 1 av 5 tycker att utbytet är rimligt, med något

högre acceptans hos den yngre generationen. Stödet Integritetsriskerna på den digitala annonsmarknaden för identifiering via smartphone eller filmande i fysisk bottnar i stor utsträckning i att större delen av den butik är särskilt svagt, där bara 1 av 10 tycker att det är komplexa processen sker i det dolda och utan rimligt i utbyte mot förmåner eller förbättringar av sina möjligheter till transparens för enskilda individer. I 221 shopping-upplevelser. Datadelning till tredjepartsaktörer, användarvillkoren nämns tredjepartsaktörerna ofta det vill säga andra företag, ses som en av de känsligaste inte vid namn, och även när namnen framgår, måste frågorna och på frågan om det är ok att företag delar samtliga aktörers villkor läsas för att användarna ska kunders personliga information med andra företag förstå hur de samlar in och använder personuppgifterna. svarade hela 4 av 5 “Nej, aldrig”. Oroande för förtroendet Användarvillkoren är dessutom svåra att förstå och i för företag inom svensk handel är att närmare hälften (44 regel otillräckliga för att användarna ska kunna överblicka procent) saknar tilltro till att deras personuppgifter inte omfattningen av insamlingen, användningen och dess delas eller säljs vidare utan deras vetskap. konsekvenser. Många gånger är det också krångligt att

förstå vilka handgrepp eller inställningar som krävs för

att neka insamling av personuppgifter. Sammantaget

är det i praktiken omöjligt för medborgarna att få en

överblick av hur deras personuppgifter används av

tredjepartsaktörer. 222

Ytterligare en integritetsrisk handlar om möjligheten

att faktiskt identifiera enskilda individer i de stora

datamängderna. Många företag hävdar att uppgifterna

som samlas in är avidentifierade och inte kan kopplas

till en individ. I realiteten går det dock ofta att identifiera

enskilda individer via till exempel IP-adress eller user-ID.

Dessutom innebär många olika uppgifter om en person

att denne ofta går att identifiera.

220. https://www.huffingtonpost.in/entry/fintech-apps-privacy-snooping-credit-vidya_in_5d1cbc34e4b082e55373370a?guccounter=1. 221. Draft – Working Paper on the Risks emerging from the Tracking and Targeting Ecosystem in the Digital Advertising Market , International Working Group on Data Protection in Telecommunications, meeting 4-5 March 2020, Tel Aviv (Israel). 219. Larsson, Emanuelsson och Thiringer; Tillit eller tvång? 222. Forbrukerrådet Out of control – How consumers are exploited by Konsumenters förtroende för handelns datainsamling . the online adversiting industry ,

84 IMY | Integritetsskyddsrapport 2020

97

Norska Forbrukerradet kom i rapporten Out Säkerhet – en realtidsbudgivning kan, inom någon of Control till slutsatsen att stora delar av den bråkdels sekund, inkludera dussintals eller till och med datadrivna reklambranschen systematiskt bryter mot hundratals aktörer. ICO:s kartläggning visar att dataskyddslagstiftningen (och därmed är illegal). 223 • Komplexiteten och de många aktörerna gör det Även den brittiska dataskyddsmyndigheten ICO har, svårt även för verksamheterna själva att fullt efter en ingående kartläggning och probleminventering ut överblicka vem som tar del av vilken data. med fokus på realtidsbudgivningar i den digitala Att säkerställa tillräckliga säkerhetsåtgärder är annonsindustrin, kommunicerat en liknande slutsats. därmed problematiskt. Sammanfattningsvis pekar ICO ut tre områden där • Konsekvensbedömningar saknas. de bedömer att den digitala annonsindustrin på ett Realtidsbudgivningar inkluderar ofta den typ av oroväckande sätt bryter mot dataskyddsförordningen. personuppgiftsbehandling som gör att det enligt dataskyddsförordningen finns krav på att genomföra

Transparens

en konsekvensbedömning. Många aktörer inom • Användarvillkor och personuppgiftspolicy är ofta den digitala annonsindustrin tycks enligt ICO otydliga och ger inte användarna full insyn i vad som dock varken känna till eller förstå kraven på händer med deras personuppgifter. konsekvensbedömningar.

• De komplexa och icke transparenta processerna gör det svårt, eller i praktiken omöjligt, för den ICO menar att problemen i den digitala annonsindustrin enskilde att utnyttja sina rättigheter, till exempel att få genomsyrar hela branschen och kräver kraftfulla initiativ information raderad. och självsanering i branschen för att lösas. Brittiska • Omfattningen av skapandet och delandet av aktörer har också påbörjat flera förbättringsåtgärder med konsumentprofiler är oproportionerlig, inkräktande utgångspunkt i ICO:s probleminventering, bland annat och oriktig – särskilt som många användare är har en branschorganisation för digital marknadsföring omedvetna om att processerna sker. utarbetat en vägledning och tagit fram utbildningar på området. ICO är positiva till dessa åtgärder, men konstaterar samtidigt att arbetet hittills inte varit tillräckligt Rättslig grund – de flesta aktörerna i för att komma till rätta med problemen. Den brittiska realtidsbudgivningar tycks enligt ICO:s kartläggning dataskyddsmyndigheten bedömer därför att en ökad stödja sig på samtycke eller intresseavvägning reglering, antingen i form av lagstiftning eller föreskrifter, som laglig grund. I många fall används även avtal i kombination med en skärpt tillsynsverksamhet behövs som rättslig grund. ICO menar att en stor del av som ett nästa steg. personuppgiftsbehandlingen är olaglig eftersom Sammanfattningsvis har tekniker för att bearbeta • Avtal inte är lämpligt att använda som rättslig och använda stora datamängder utvecklats i lika grund, givet det stora antalet involverade aktörer stor utsträckning som teknik för att samla in data. och karaktären på de personuppgifter som Användningen av AI är avgörande för att kunna utvinna delas i realtidsbudgivningar. värde ur stora mängder data. Med allt mer komplexa • Samtycke sannolikt inte kan anses vara frivilligt och och icke transparenta processer försvåras dock den jämlikt, och därför inte är en giltig rättslig grund. enskilde individens förutsättningar att utöva sina • Det är inte ovanligt att personuppgiftsbehandlingen rättigheter och kontrollera vem som använder ens data inkluderar även känsliga personuppgifter, vilket och för vilka syften. enligt dataskyddsförordningen bara får ske i vissa undantagsfall. Ett sådant undantag kan vara att den enskilde uttryckligen lämnat sitt samtycke. Sannolikt är det svårt för den enskilde individen att överblicka vad ett sådant samtycke innebär.

223. Forbrukerradet Out of control – How consumers are exploited by the online advertising industry

IMY | Integritetsskyddsrapport 2020 85

98

5.5 Teknik för att lagra data

5.5.1 Molnifiering av lagring

Den teknik som hittills svarat väl mot de stora behoven av lagringskapacitet är avancerad molnlagring. ”Molnifiering” av lagring innebär att personuppgifter I takt med att insamling och bearbetning och annan data flyttas över till molnlösningar med stor av data blir allt mer omfattande och lagringskapacitet som gör det möjligt för användarna att sofistikerad växer också kraven på enkelt dela data mellan flera enheter. Inom molnlösningar lagringskapacitet. Inom de flesta sker också teknisk utveckling för att passa användarnas samhällsområden finns ett starkt behov olika behov av säkerhet, kontroll och kapacitet. av billig, snabb och anpassningsbar Ett fåtal globala aktörer kontrollerar idag en stor lagring, med kapacitet att hantera stora andel av marknaden.

mängder data.

Molntjänster är förenklat ett stort antal sammankopplade Den teknik som hittills svarat väl mot de servrar som gentemot användarna fungerar som en stora behoven av lagringskapacitet är enhet. Användarna vet att de lagrar sina data i ett avancerad molnlagring. En utmaning med ”moln”, men de vet sällan var i molnet eller på vilka bearbetning eller lagring i molntjänster är servrar de finns, och behöver för funktionen vanligen att marknaden för molntjänster domineras inte veta det. Filerna kan flyttas om i molnet utan att det av amerikanska aktörer, vilket kan medföra påverkar användarens tillgång till dem. Man kan säga att lagringen efter EU-domstolens att användaren bara behöver veta resursens namn, inte avgörande i juli 2020 i det så kallade dess adress. Servrarna i ett moln kan vara spridda över Schrems II-ärendet inte är laglig. ett större område, kanske i flera länder. Moln av servrar används för att sköta internetbaserade program och Även utvecklingen inom IoT kräver ny för att lagra stora datamängder. Tekniken ger möjlighet lagringsteknik, som ger möjlighet till att tilldela resurskrävande program den kapacitet som lagring, säkring och bearbetning direkt i behövs vid varje tidpunkt. 224 ”Multi-cloud” innebär att enheterna utan att behöva transportera användaren utnyttjar flera parallella molnlösningar för data i nätet. Sådan lagring benämns olika datamängder, användningsområden och behov. ofta edge storage. ”Hybrid cloud” innebär molnlösningar där användaren blandar molnteknik som denne själv kontrollerar med molnteknik som kontrolleras av någon annan. 225

En av drivkrafterna inom området är den växande insamlingen av data i kapacitetskrävande format, som I takt med att insamlingen och bearbetningen av exempelvis rörlig bild och ljud, samt användarnas data blir allt mer omfattande och sofistikerad växer önskemål att komma åt och kunna bearbeta all insamlad också kraven på lagringskapaciteten. Inom de flesta data överallt och närsomhelst. samhällsområden finns ett starkt behov av billig, snabb och anpassningsbar lagring, med kapacitet att hantera Molnifieringen av lagring har också en koppling till mycket stora mängder data. utvecklingen inom digitalt samarbete, som omfattar verktyg, system och plattformar som syftar till att Ny lagringsteknik är exempelvis en förutsättning för underlätta samarbeten, både lokalt och på distans. utvecklingen inom AI-området, eftersom AI ofta kräver Digitala funktioner som delade dokumentarkiv och att omfattande datamängder i blandade format måste videokonferenser har fått ett stort genomslag i samband kunna lagras och hämtas mycket snabbt. Detta kräver med att Covid19-pandemin ökat hemarbetet väsentligt. hög kapacitet och prestanda i lagringslösningarna.

Även utvecklingen inom IoT kräver ny lagringsteknik, som ger möjlighet till lagring, säkring och bearbetning direkt i enheterna utan att behöva transportera data i nätet.

224. https://it-ord.idg.se/ord/moln/. 225. https://www.omg.org/cloud/deliverables/CSCC-Practical-Guide-to-Cloud-Management-Platforms.pdf.

86 IMY | Integritetsskyddsrapport 2020

99

5.5.2 Edge storage och nya

Molnifieringen väcker integritetsrelaterade frågeställningar kring bland annat ansvarsfördelning och

lagringsmedia

vem som har tillgång till lagrade personuppgifter, i de fall uppgifterna lagras i molntjänst som kontrolleras av Precis som behandling av data kan ske direkt i olika en tredje part. Offentlig sektor har särskilda utmaningar lokala enheter, genom edge computing, kan även lagring om sekretessbelagt material behandlas av en aktör av data ske lokalt. Istället för att lagra all data centralt i som inte omfattas av sekretess. Uppgifterna får då ett nätverket kan data lagras lokal i till exempel en IoT-enhet. svagare skydd om den som driftar tjänsten kan ta del av Sådan lagring benämns vanligen edge storage. uppgifterna i klartext. 226 Nya lagringsmedia och ökad prestanda på En utmaning med bearbetning eller lagring i molntjänster lagringstekniken möjliggör snabbare, flexiblare och är att dessa tjänster inte sällan är globala. För att få säkrare lagring. Utveckling sker bland annat inom överföra personuppgifter till länder utanför EU krävs flashminnen och fiberteknik, samt anpassning av 228 att det är tillåtet enligt dataskyddsförordningens regler lagringslösningar för att passa AI-tillämpningar som om tredjelandsöverföring. Det är en utmaning för den kräver mycket stor kapacitet. 229 personuppgiftsansvarige att i användning av molntjänster ha kontroll både på om personuppgifter överförs till Utvecklingen påverkar bland annat var personuppgifter tredje land och om det i så fall är tillåtet. Marknaden lagras och förutsättningarna att spåra och förstöra för molntjänster har, i vart fall hittills, dominerats av lagrad data, vilket innebär att den även kan påverka den amerikanska aktörer, vilket kan medföra att lagringen personliga integriteten. efter EU-domstolens avgörande i det så kallade Schrems II-ärendet inte längre är laglig. Domstolen 227 slog i ärendet fast att kommissionens så kallade Privacy 5.5.2.1 Nyttor med nya lagringslösningar

Shield-beslut om överföring av personuppgifter från EU I detta avsnitt ges kortfattade exempel på konkreta till USA är ogiltigt efter som det inte ger ett tillräckligt användningsområden för molnlagring och edge skydd för personuppgifter när dessa förs över till USA. storage inom olika sektorer, som ger en bild över olika Privacy Shield är en mekanism för självcertifiering som tillämpningsområden och potentialen med utvecklingen finns i USA. Den innebär att företag i USA kan anmäla sig inom olika sektorer. till det amerikanska handelsdepartementet och meddela att de uppfyller de krav som ställs i Privacy Shield. Det Bank, finans och försäkring – avancerade har tidigare varit tillåtet för personuppgiftsansvariga i molnlösningar gör det möjligt att dra nytta av den stora EU att överföra personuppgifter till amerikanska företag mängd personuppgifter som företagen samlar in och som har anslutit sig till Privacy Shield. EU-domstolens att snabbt utveckla och implementera nya tjänster som ogiltigförklarandet av Privacy Shield innebär att det inte kan användas både av företagens egen personal och i längre är tillåtet för personuppgiftsansvariga i EU att kundernas stationära och mobila enheter. 230 med Privacy Shield som grund överföra personuppgifter till mottagare i USA. Tillverkande industri – molnlösningar används för att hantera de stora datamängder från flera olika datakällor som krävs för att bland annat automatisera produktionsprocesser. Ny lagringsteknik används 231 också för industriella AI-applikationer i krävande miljöer, där tekniken måste fungera tillförlitligt trots föroreningar, stora temperaturskillnader och vibrationer.

228. Ett flashminne är en typ av minne som bevarar lagrade data när strömtillförseln stängs av. Flashminne används som alternativ till en hårddisk i till exempel musikspelare, bärbara datorer, mobiltelefoner, USB-minnen och annan bärbar utrustning. https://it-ord.idg.se/ord/ flashminne/ 229. https://www.ieee.org/content/dam/ieee-org/ieee/web/org/about/ corporate/ieee-industry-advisory-board/digital-storage-memory-tech- 226. Försök att komma tillrätta med detta behandlas i den tidigare nology.pdf. nämnda propositionen, prop. 2019/20:201 om tystnadsplikt vid utkon- 230. https://www2.deloitte.com/global/en/pages/financial-services/ traktering. articles/bank-2030-financial-services-cloud.html. 227. Dom av den 16 juli 2020, Facebook Ireland och Schrems, 231. https://www.startus-insights.com/innovators-guide/indu- C-311/18, EU:C:2020:559. stry-4-0-innovation-map-reveals-emerging-technologies-startups/.

IMY | Integritetsskyddsrapport 2020 87

100

5.6 Teknik för att

Handel – stora volymer av kunddata lagras och behandlas i molnlösningar. Molnlösningar för att lagra

transportera data

personuppgifter och annan data gör det möjligt för handlarna att hantera verksamhetskritiska funktioner såsom prissättning, individanpassad marknadsföring, lojalitetsprogram, lagerhantering och koordinering mellan försäljningskanaler i realtid och på ett mer resurseffektivt sätt. Handlare kan även använda edge storage i En ökad insamling och förmåga att 232 form av övervakningskameror som tillfälligt lagrar data bearbeta och använda data ställer också direkt i kameraenheterna, vilket bland annat medför att helt nya krav på infrastruktur och teknik för bevakningen fungerar även om nätet inte gör det. att transportera stora datamängder. 233

Hälso- och sjukvård – molnlösningar används för att 5G är nästa generation av mobila lagra patientdata och enkelt dela den mellan sjukhus, nätverk med extremt hög kapacitet apotek och andra aktörer som patienten kommer för att transportera data. Ett centralt i kontakt med. Molnlösningarna gör det möjligt för användningsområde för 5G kommer att aktörerna att hantera lagringen av stora mängder vara IoT med till exempel uppkopplade personuppgifter i patientjornaler, patientportaler, enheter i industrin och i smarta städer. mobilapplikationer och liknande på ett koordinerat, En integritetsrisk kopplat till 5G skalbart och kostnadseffektivt sätt. Med edge storage handlar om att geografisk positionering 234 kan nya medicinska enheter både samla in och bearbeta kommer vara möjligt med mycket större patientdata i realtid, utan behov att skicka och hämta precision än idag. data från centraliserade datacenter. 235

Andra former av digital

Media – ny lagringsteknik används bland annat för att kommunikationsteknik som nu utvecklas hantera strömmande media i resurskrävande format, tar sikte på kommunikation på nära som ska kunna distribueras till många mottagare avstånd, till exempel mellan enheter i samtidigt. Lätt skalbara molntjänster används ett och samma rum eller i chip som kan också för att hantera svängningar i belastning på monteras i prislappar. exempelvis beställvideotjänster. 236

Transporter – molnbaserade tjänster och plattformar används i bilar och andra fordon. 237 Personlig data som samlats in transporteras ofta många Användningen av molntjänster påverkar den personliga gånger mellan olika enheter och användare inom en integriteten på flera sätt; det handlar om vilka verksamhet. Det kan vara frågan om verksamheter personuppgifter som lagras, hur och var de lagras, hur som inte har data och analysresurser samlade på en många olika ställen som uppgifterna lagras på samtidigt enda plattform och som behöver överföras till en annan och vem eller vilka som kontrollerar lagringen och har plattform. Det kan också vara frågan om att man behöver åtkomst till uppgifterna. En mer lokal lagring kan innebära kombinera data från olika källor på ett effektivare sätt. ett förstärkt integritetsskydd, men förutsätter samtidigt att Därför finns ett behov av att kunna transportera data på säkerheten i den lokala enheten är god. ett snabbt och säkert sätt.

Data transporteras också mellan olika verksamheter. Tidigare har transport bland annat kunnat ske genom olika former av lagringsmedium, såsom disketter, USBminnen eller externa hårddiskar. Idag bidrar internet och molnifieringen till att möjliggöra nya former av transport i olika dataflöden.

232. https://www.mckinsey.com/business-functions/mckinsey-digital/ our-insights/the-cloud-as-catalyst-for-retail. 233. https://www.axis.com/sv-se/technologies/edge-storage. 234. https://www.healthitoutcomes.com/doc/where-should-healthcaredata-be-stored-in-and-beyond-0001. 235. https://www.vxchnge.com/blog/edge-computing-use-cases. 236. https://www.startus-insights.com/innovators-guide/entertainment-innovation-map-reveals-emerging-technologies-startups/. 237. https://www.ericsson.com/en/cases/2017/partnerships-built-on-innovation.

88 IMY | Integritetsskyddsrapport 2020

101

Den parallella utvecklingen med bland annat allt fler Tekniken innebär högre hastigheter, mindre fördröjning

konsumentprodukter och tjänster som är mobila, AI, och ökad (drift)säkerhet, vilket är speciellt viktigt

avancerade molntjänster och IoT ställer också helt för industriella applikationer. En likhet med tidigare

nya krav på teknisk infrastruktur och teknik för att generationer av mobila nätverk är att nätverket

transportera stora datamängder. Personuppgifter hela tiden vet var en användare finns, förutsatt att

som samlas in ska vara tillgängliga närsomhelst och användarens telefon (eller annan utrustning för mobil

varsomhelst, utan väntetider eller fördröjning. datakommunikation) är påslagen, men med mycket större 238

precision än tidigare generationers mobila nätverk. 243 Digital kommunikationsteknik utvecklas för att möta Samtidigt möjliggör 5G överföring av högupplösta bilder dessa krav och den nya tekniken innebär både med mycket större precision och hastighet än tidigare möjligheter och nya risker för integritetsskyddet. nätverk. Möjligheten att med minskad fördröjning

transportera bildmaterial lär, tillsammans med utveckling

inom till exempel mjukvara för bildstabilisering, skapa 5.6.1 5G mer möjligheter och incitament till insamling av

biometrisk data från till exempel ansikten. 5G är nästa generation av mobila nätverk med extremt

hög kapacitet för att transportera data. En företrädare för

telekom-branschen beskriver att ”5G kommer att ge oss

5.6.2 Digital kommunikationsteknik

det uppkopplade samhället på riktigt. En värld där det

digitala och fysiska flyter samman, med nästintill oändliga Området för digital kommunikationsteknik innefattar möjligheter att koppla upp och koppla ihop saker, företag bland annat teknik för mobil kommunikation (mobil och samhällsfunktioner”. 239 infrastruktur, mobila nätverk, mobila standarder, mobila

enheter och mobila tjänster), snabbare och bättre internet 5G innebär möjligheter som snabbare uppkoppling och och teknik för digital kommunikation på korta avstånd, så möjlighet att hantera stora mängder data. Internationella kallad ”near field communication”. forskare lyfter samtidigt fram risker, till exempel när det

gäller nationell säkerhet och personlig integritet. 240 Utvecklingen drivs i flera parallella spår och syftena är

bland annat att uppnå snabbare och resurseffektivare Det har sedan 2018 funnits 5G-nät för forskning och kommunikation med bättre täckning. Exempel på 244 utveckling, men först i slutet av maj 2020 startades utvecklad teknik är följande. Sveriges första publika kommersiella 5G-nät. I Sverige

har myndigheten Post- och telestyrelsen (PTS) ett • Li-Fi – en teknik för snabb dataöverföring genom samlat ansvar för elektronisk kommunikation, vilket belysningen i ett rum. Snabba och för människor bland annat innebär att främja tillgången till säkra och omärkliga variationer i ljusstyrkan kodar ett effektiva elektroniska kommunikationer. Auktionen av 241 dataflöde som kan uppfångas av sensorer i datorer, 5G-frekvenser har försenats efter att PTS beslut om att mobiltelefoner och annan elektronik. 245 utesluta det kinesiska företaget Huawei från auktionen • LPWAN (low power wide area network) – trådlösa överklagats. Beslutet baseras på ett samrådsyttrande nätverk med låg strömförbrukning och lång räckvidd. från Säkerhetspolisen och Försvarsmakten där Kina Som ”lång räckvidd” räknas här ungefär en kilometer pekas ut som ett av de största hoten mot Sverige. eller mer. Sådana nätverk är önskvärda för IoT, i Säkerhetspolisen konstaterar att den kinesiska staten synnerhet utomhus och på avstånd från bebyggelse bedriver omfattande cyberspionage för att främja sin och eluttag. Datamängderna som ska överföras i IoT egen ekonomiska utveckling och utveckla sin militära är ofta små, så det behövs inte mycket bandbredd, förmåga – ett faktum som Sverige behöver förhålla sig till vilket innebär låg strömförbrukning. 246 när 5G-nätet byggs. 242 • Fiberteknik med högre hastigheter och

5G är inte i första hand avsedd för röstsamtal, utan för mindre fördröjning.

snabb, mobil dataöverföring med hög bandbredd. Ett • Satellitkommunikation som möjliggör global täckning stort användningsområde kommer att vara IoT i industri med mindre fördröjning än dagens satelliter. och smarta städer, där det är tätt mellan terminaler som

kommunicerar mobilt. 5G är utformat för att terminalerna

ska kunna vara påslagna ständigt med minimal

strömförbrukning när de inte används.

238. http://events17.linuxfoundation.org/sites/events/files/slides/ Keynote_Dr.%20Uddenfeldt.pdf. 243. https://www.fastcompany.com/90314058/5g-means-youll-have- 239. www.telenor.se, citat från Kaaren Hilsen, VD Telenor Sverige. to-say-goodbye-to-your-location-privacy.

240. Komet informerar 2020:30 Den nya tekniken – så fungerar den . 244. https://medium.com/@seanmoffitt/the-top-30-emerging-technolo- 241. Komet informerar 2020:30 Den nya tekniken – så fungerar den . gies-2018-2028-eca0dfb0f43c.

242. https://www.sakerhetspolisen.se/ovrigt/pressrum/aktuellt/aktu- 245. https://it-ord.idg.se/ord/li-fi/.

ellt/2020-10-20-sakert-5g-viktigt-for-sverige.html. 246. https://it-ord.idg.se/ord/low-power-wide-area-network/.

IMY | Integritetsskyddsrapport 2020 89

102

Teknikområdet påverkar förutsättningarna för Försvar – nya kommunikationsmöjligheter mellan system utvecklingen inom IoT och edge computing, men också och plattformar möjliggör tekniskt avancerad strid med andra aktuella teknikområden såsom AI och molntjänster, olika system i samverkan. Med snabb överföring av data vilka alla har en potentiellt stor inverkan såväl på tekniken kan olika förband integrera sensorer, ledningsfunktioner, som på den personliga integriteten. vapenbärare och vapen. 247 253

Utveckling sker också för att öka möjligheten till Hälso- och sjukvård – infrastruktur med hög kommunikation på korta avstånd (proximity tech). driftsäkerhet och hög kapacitet för dataöverföring är en Området innefattar bland annat radiofrekvensteknik som förutsättning för telemedicintjänster och övervakning 254 kan byggas in till exempel i prislappar, nya generationer av patienter på distans. 255 av Bluetooth, WiFi som kan hantera högre hastigheter och fler uppkopplade enheter, närfältskommunikation Energi – energisektorn har mycket infrastruktur som tidigare inte varit uppkopplad, av kostnadsskäl och för att som används till exempel i busskort och mobiltelefoner infrastrukturen ofta är lokaliserad långt ifrån de befintliga för betalning och så kallad geofencing. Det senare är kommunikationsnätverken, men som med hjälp av ny och virtuella ”staket” baserade på exempelvis GPS-teknik utvecklad teknik nu kan kopplas upp. 256 och används för att avgränsa områden inom vilka dataöverföring sker. Inom transportsektorn är geofencing Media – sociala media och videotjänster där en digital geografisk zon där uppkopplade fordon kan privatpersoner lägger upp ljud och rörlig bild, både styras på olika sätt, till exempel för att begränsa ett inspelat och i realtid kräver en all större kapacitet i både fordons tillgång till zoner. 248 de stationära och de mobila näten.

Forskning – teknik för datakommunikation över

5.6.2.1 Exempel på konkreta

långa avstånd gör det bl.a. möjligt för forskare att användningsområden och berörda sektorer bevaka seismisk aktivitet över stora geografiska

områden i realtid. 257 I detta avsnitt ges kortfattade exempel på konkreta användningsområden för utvecklad teknik för transport Sammanfattningsvis finns stora möjligheter med nya av data inom olika sektorer, som ger en bild över olika former för att transportera data. Eftersom tekniken bland tillämpningsområden och potentialen med utvecklingen annat används för att lokalisera och interagera med inom olika sektorer. enskilda individer kan tekniken få påverkan även på den personliga integriteten. I en värld där det digitala 258 Transport – låg fördröjning i dataöverföringen i de mobila näten är en avgörande förutsättning och det fysiska flyter samman genom alla möjligheter för självförande fordon, och de nya tjänster som som enbart 5G kommer att ge i att koppla upp och ihop bygger på kommunikation fordon-till-fordon och saker, verksamheter och funktioner, så påverkas även fordon- till- infrastruktur. 249 den personliga integriteten. Det är redan idag svårt att förstå vilka digitala avtryck man ger som individ. Handel – med hjälp av proximity tech kan butiksägare Komplexiteten och kapaciteten kommer med utvecklad samla in data om var kunderna befinner sig i butiken teknik för att transportera data öka med en extrem och kommunicera marknadsföringsbudskap och annan hastighet. Detta för med sig att den enskilde inte kommer information direkt till deras smarta telefoner. 250 att ha någon möjlighet till överblick eller kontroll om inte verksamheterna från början bygger in transparens. Tillverkande industri – snabbare digital kommunikationsteknik möjliggör produktions- och underhållssystem som arbetar i realtid. 251

Offentlig sektor – teknik för datakommunikation över långa avstånd gör det bland annat möjligt för myndigheter att säkra kommunikationsvägar mellan samhällsviktiga funktioner, i nätverk som staten själv kan kontrollera. 252

253. https://www.forsvarsmakten.se/siteassets/4-om-myndigheten/ dokumentfiler/perspektivplan/slutlig-redovisning-av-perspektivstudien-2016-2018.pdf. 247. https://web.archive.org/web/20190406032845/https://business-in- 254. Telemedicin är en sammanfattande term på olika tillämpningar stitute.dk/media/2984/the-wiki-brands-trend-collection.pdf sid.19. inom sjukvården där telekommunikation används för att överföra 248. https://www.trafikverket.se/resa-och-trafik/forskning-och-innova- icke-verbal medicinsk information. https://www.medicinskordbok.se/ tion/aktuell-forskning/transport-pa-vag/geofencing/. term/telemedicin/. 249. https://www.zdnet.com/article/five-industries-that-will-be-most- 255. https://www.zdnet.com/article/five-industries-that-will-be-mostaffected-by-5g/. affected-by-5g/. 250. https://risnews.com/five-things-retailers-should-know-about-prox- 256. https://www.zdnet.com/article/five-industries-that-will-be-mostimity-solutions. affected-by-5g/. 251. https://www.zdnet.com/article/five-industries-that-will-be-most- 257. https://en.wikipedia.org/wiki/Long-range_Wi-Fi#Nonprofit_and_ affected-by-5g/. Government. 252. https://en.wikipedia.org/wiki/Long-range_Wi-Fi#Nonprofit_and_ 258. https://www.lexology.com/library/detail.aspx?g=24f71dc6-c0c7- Government. 444e-92d2-8f013bf08f9e.

90 IMY | Integritetsskyddsrapport 2020

103

5.7 Teknik för att säkra data

Att säkerställa tillräcklig säkerhet för personuppgifter omfattar alla aspekter av informationssäkerhet – det vill säga säkerhetsåtgärder för att bevara konfidentialitet, riktighet och tillgänglighet för uppgifter i både fysisk och digital form. Arbetet innefattar både tekniska säkerhetsåtgärder och administrativa eller

Att säkerställa tillräcklig säkerhet för

organisatoriska säkerhetsåtgärder, men även 259

personuppgifter omfattar alla aspekter

inbyggt dataskydd genom privacy by default och by

av informationssäkerhet, det vill säga

design. Även om olika säkerhetsåtgärder delvis har 260

både tekniska och organisatoriska

olika perspektiv finns också gemensamma nämnare

säkerhetsåtgärder men även inbyggt

och beröringspunkter som gör att åtgärder inom ett

dataskydd genom privacy by default

delområde, direkt eller indirekt, ofta leder till höjd

och by design.

säkerhet inom de andra områdena.

Utvecklingen med fler uppkopplade enheter

Den sammanlagda teknikutvecklingen med bland

och ökad molnlagring har ökat antalet

annat användningen av sensorer och sändare, IoT,

möjliga vägar för angripare att komma åt

webbskrapningstekniker och AI har medfört ökade

system, nät, datorer, enheter eller servrar.

krav på utvecklingen av digitala säkerhetslösningar.

En ökad hotbild har drivit på utvecklingen

I takt med att allt fler verksamheter flyttar både data

av ny säkerhetsteknik som till exempel

och applikationer till molnet och digitaliserar sina

automatiserade säkerhetslösningar

processer ökar också antalet vägar som finns för

baserade på AI.

angripare att komma åt system, nät, datorer, enheter Edge computing för också med sig eller servrar. När antalet möjliga säkerhetshot växer 261 krav på teknik för edge security, det vill ökar behovet av att automatisera säkerhetsskyddet säga att personuppgifter kan säkras och att göra det mer ”intelligent”. Detta driver fram nya direkt i de lokala enheter där de samlas tekniska lösningar även inom säkerhetsområdet. Även in – exempelvis i en privatpersons införandet av en dataskyddslagstiftning med skarpare smarta mobiltelefoner. sanktionsmöjligheter har drivit på en allt snabbare utveckling inom säkerhetsområdet.

Nya och fler lättanvända

krypteringslösningar har också utvecklats Nya tekniska lösningar ökar privatpersoners de senaste åren. möjligheter att skydda sina personuppgifter och ger också verksamheter bättre förutsättningar att säkra

Ytterligare ett område under utveckling är

känsliga data som samlas in. Samtidigt utvecklas

blockkedjor, som kan användas för att lagra

hela tiden metoder för att hacka eller komma åt data

och säkra information. Blockkedjor rymmer,

med bristande säkerhet.

precis som viss annan säkerhetsteknik,

både möjligheter och utmaningar ur ett En stor utmaning inom säkerhetsområdet är att dataskyddsperspektiv. antagonistiska aktörer med skadliga intressen (till exempel enskilda hackers, organiserad brottslighet

Rätt använd kan den nya tekniken stärka

och främmande makt) i stor utsträckning har tillgång

integritetsskyddet.

till samma teknik som de ”nyttiga” intressenterna. AI används till exempel av hackers för att bland annat identifiera säkerhetsbrister. Ny krypteringsteknik används för att kryptera skadlig kod, som därmed blir svårare för säkerhetsexperter att hantera. 262 För att säkerställa att insamling, bearbetning, lagring och transport av data får genomföras och också genomförs på ett sätt som uppfyller lagstiftningens krav behöver data säkras. Säkerheten för data är central under hela livscykeln och går sällan att säkerställa om den inte byggs in och beaktas från början.

259. SIS-TR 50:2015 Terminologi för informationssäkerhet . 260. Artikel 25 dataskyddsförordningen. 261. https://www.mckinsey.com/~/media/McKinsey/McKinsey%20 Solutions/Cyber%20Solutions/Perspectives%20on%20transforming%20cybersecurity/Transforming%20cybersecurity_March2019. ashx sid. 50. 262. https://www.techradar.com/news/encryption-2020s-double-edged-sword.

IMY | Integritetsskyddsrapport 2020 91

104

5.7.1 AI-baserad säkerhetsteknik 5.7.2 Krypteringsteknik

och edge security

Ny krypteringsteknik och ökad prestanda för Inom flera av de teknikområden som beskrivits befintlig krypteringsteknik utvecklas kontinuerligt. tidigare har utvecklingen också bidragit till nya typer Tekniker för pseudonymisering och kryptering anges av säkerhetslösningar. Ett exempel är automatiserade också i dataskyddsförordningen som exempel på säkerhetslösningar baserade på AI. Tekniken gör det säkerhetsåtgärder som bör övervägas för att säkerställa skyddet för personuppgifter. 266 möjligt för säkerhetsansvariga att bevaka och skydda större system med många potentiella säkerhetsluckor Krypteringslösningar kan användas både av och den kan förebygga och upptäcka säkerhetsbrister verksamheterna som samlar in och lagrar på alla nivåer, i nätverk, applikationer, operativsystem, personuppgifter, men också av enskilda individer. 267 hårdvara, system etcetera. 263 Nya och fler lättanvända krypteringslösningar har utvecklats de senaste åren. Det bedöms underlätta Exempel på delområden där det utvecklas ny förutsägbarheten och ge ökad kontroll över vem som har säkerhetsteknik baserad på AI är: 264 tillgång till vilka uppgifter och vem som är avsändare och • Bedrägeriprevention och identitetskontroll – för mottagare för vissa uppgifter. att säkra transaktioner, förhindra bedrägerier och När det gäller säkerhetslösningar kan, som tidigare identifiera bedragare med hjälp av maskininlärning. nämnts, den nya tekniken också utnyttjas för att • Mobil säkerhet – för att exempelvis identifiera åstadkomma skada, exempelvis utpressningsattacker. skadlig kod i mobilapplikationer. En förutsättning är ofta att hotaktörer ligger steget före • Beteendeanalys och prediktiv intelligens – som och utnyttjar sin kunskap om teknikutvecklingen för att lärt sig att upptäcka avvikelser i en verksamhets hitta svagheter i befintliga säkerhetslösningar. system och nätverk som kan vara tidiga tecken på en cyberattack. Kvantdatorer med mycket större beräkningskraft än • dagens superdatorer, anses av vissa bedömare kunna Automatiserad säkerhet – som bland annat innebär en automatisering av arbetsuppgifter som tidigare sätta många av dagens ”säkra” krypteringsalgoritmer utfördes av säkerhetsexperter. ur spel. Teknikområdet innefattar därför även det som kallas ”post-quantum cryptography”, vilket innebär • App-säkerhet – AI-stöd till utvecklare av utveckling av kryptografiska algoritmer som ska applikationer och analys av enskilda applikationer. kunna stå emot attacker med de kvantdatorer som nu • ”Vilseledande säkerhet” – AI-program som utvecklas. En kvantdator kan lösa komplexa problem 268 förebygger och avbryter pågående cyberattacker mycket snabbare än en vanlig dator. En beräkning som genom att vilseleda attackerarna, exempelvis genom skulle ta flera år kan istället göras på några sekunder. att skapa stora neurala nätverk av fejkade datorer, Utvecklingen av kvantdatorer är i en tidig utvecklingsfas, enheter och tjänster. men har lockat till sig resursstarka investerare i form av både statliga aktörer och globala tech-företag. AI innebär risker för ökad övervakning och en Såväl inom EU som i svensk forskning har kvantdatorer inskränkning av den personliga integriteten. Rätt använd hög prioritet. Kompletta system för kvantberäkningar, kan AI-baserad säkerhetsteknik stärka integritetsskyddet. särskilt sådana som är kommersiellt hållbara, ligger dock troligtvis decennier bort. Omfattande utmaningar Nya användningsområden för gammal teknik, exempelvis handlar till exempel om att skala upp systemen, att mobila nätverk, har de senaste åren skapat större fokus utveckla kontrollsystem, att få stabila system och på säkerhet även på teknikområden som tidigare lämnats att undvika störningar från omgivningen, att skapa förhållandevis öppna och osäkra, till exempel IoT, där metoder för effektiv transformering av stora mängder många produkter tidigare visat sig ha bristande säkerhet. data i ”klassiskt format” samt att designa algoritmer

och utveckla mjukvara. 269 Edge computing och edge storage för också med sig krav på edge security, det vill säga att personuppgifter kan säkras direkt i de enheter där de samlas in. I bästa fall kan edge security innebära att de registrerade får ökad kontroll över sina egna personuppgifter. 265

263. https://www.capgemini.com/wp-content/uploads/2019/07/ 266. Artikel 32.1 (a) dataskyddsförordningen. AI-in-Cybersecurity_Report_20190711_V06.pdf. 267. https://assets.publishing.service.gov.uk/government/uploads/ 264. https://www.cbinsights.com/research/cybersecurity-artificial-intel- system/uploads/attachment_data/file/786244/HO_OSCT_Future_Tech_ ligence-startups-market-map/. Trends_Final_Updated_13Mar19.pdf. 265. https://edge.app/blog/edge-security-a-new-paradigm-in-priva- 268. https://en.wikipedia.org/wiki/Post-quantum_cryptography. cy-and-security/. 269. Komet informerar 2020:30 Den nya tekniken – så fungerar den .

92 IMY | Integritetsskyddsrapport 2020

105

5.7.3 Teknik baserad på blockkedjor

Personuppgifter som hanteras med blockkedjeteknik kan exempelvis vara svårare att komma åt för hotaktörer, Blockkedjor kan beskrivas som teknik som används för då all data inte är samlad på en central server. För att att säkra och öka kontrollen över information, det kan manipulera data i en blockkedja behöver man göra till exempel handla om olika lösningar för identifiering, intrång i flera datorer i nätverket och dessutom forcera ökad spårbarhet och minskad risk för manipulering. En krypteringen. Den inbyggda spårbarheten kan också viktig funktion av tekniken är att kunna minska antalet medföra att det blir både enklare och säkrare att hantera mellanhänder i en leverantörskedja och därmed minska medgivanden när personuppgifter ska hanteras av risken för felkällor. flera olika aktörer och i olika syften. Tekniken kan också möjliggöra effektivare arbetsflöden både för Idag förknippas tekniken i första hand med bitcoin och verksamheter och för deras slutanvändare. 272 andra kryptovalutor, men andra användningsområden utvecklas i snabb takt, både inom privat och Samtidigt finns en rad dataskyddsutmaningar offentlig sektor. med blockkedjeteknik. En central fråga rör hur dataskyddsförordningens grundläggande principer Förenklat kan en blockkedja beskrivas som en om uppgiftsminimering och rättslig grund kan distribuerad lista (en liggare), uppdelad i block, kombineras med en teknik som är konstruerad för över transaktioner som berör ett digitalt objekt. Att att information ska finnas för alltid och vara utspridd. listan är distribuerad innebär att den finns i identiska Andra utmaningar handlar till exempel om hur rätten exemplar på många datorer. Att den kallas för kedja att bli bortglömd ska hanteras i en blockkedja där data beror på att den är indelad i block, där varje nytt block lagras i samtliga datorer i blockkedjans nätverk, vem sammanlänkas och innehåller ett kondensat (hash) som är personuppgiftsansvarig i ett system där data är av det föregående blocket. En jämförelse kan göras distribuerad i ett stort nätverk med många datorer och med sidorna i en kassabok, där varje ny sida börjar hur kontroll av tredjelandsöverföringar av personuppgifter med summan av transaktionerna på den föregående. i en publik blockkedja, där alla datorer i nätverket kan I en blockkedja är matematiken mer avancerad. Varje komma åt aktuella data, kan genomföras. dator signerar med sin elektroniska signatur. Syftet är att det ska vara omöjligt att förfalska informationen Det finns också andra rättsliga utmaningar, som till då varje ny transaktion måste godkännas av ett antal exempel i vilken mån så kallade smarta kontrakt datorer i blockkedjans nätverk. Dessa datorer har som bygger på blockkedjor svarar mot traditionell redan blockkedjan med alla tidigare transaktioner, lagstiftning. Ett smart kontrakt är ett kontrakt i form och kan därför kontrollera att inga värden har ändrats av ett datorprogram som verkställer åtagandena sedan sist. De kan också kontrollera att den som gör i kontraktet och som är baserat på en blockkedja. transaktionen har rätt att göra det. Om allt stämmer Parterna undertecknar kontraktet med elektroniska godkänner de transaktionen och lägger den till listan (det signaturer, och varje åtgärd som det smarta kontraktet aktuella blocket). Som regel krypteras alla transaktioner, sedan vidtar måste godkännas av ett antal parter i blockkedjans nätverk. 273 blockkedjan lagras i krypterad form och det finns inte någon central server. 270 Andra utmaningar rör skalbarhet, hållbarhetsaspekter Ur perspektivet personlig integritet innebär tekniken och (då tekniken kräver mycket el), att det är oklart hur de nya användningsområdena både möjligheter och säkerheten ser ut på längre sikt samt risken att blockkedjor missbrukas av totalitära regimer. Just 274 utmaningar. Möjligheter som lyfts fram av internationella forskare handlar bland annat om datasäkerhet, nu pågår ett intensivt arbete bland både privata och möjligheten att verifiera att data inte har manipulerats, statliga aktörer för att finna lämpliga lösningar på dessa, transparens samt bred tillgänglighet. och andra, regulatoriska och tekniska utmaningar med 271 blockkedjetekniken.

272. https://iapp.org/media/pdf/resource_center/blockchain_and_gdpr. pdf. 270. https://it-ord.idg.se/ord/blockkedja/. 273. https://it-ord.idg.se/ord/smart-kontrakt/. 271. Komet informerar 2020:30 Den nya tekniken – så fungerar den . 274. Komet informerar 2020:30 Den nya tekniken – så fungerar den .

IMY | Integritetsskyddsrapport 2020 93

106

Nedan ges kortfattade exempel på konkreta utvecklings- • Inom området logistik och försörjningskedjor används och användningsområden för blockkedjeteknik: blockkedjeteknik bland annat för att reducera antalet mellanhänder och riskerna för misstag. I • Applikationer för att möjliggöra enklare, snabbare en blockkedja, med dess distribuerade liggare, och säkrare finansiella transaktioner. tekniken kontrolleras att data som delas av alla parter i utvecklas av centralbanker, privata banker och nätverket är korrekt – automatiskt och i alla steg. 278 andra aktörer. Den svenska Riksbanken driver till • Inom media och underhållning används exempel ett pilotprojekt som undersöker teknik för en blockkedjeteknik bland annat för förenklad digital centralbankspeng, en e-krona. Den tekniska hantering av upphovsrättigheter och närliggande lösningen kommer att baseras på den teknik som rättigheter. Blockkedjebaserad teknik gör det möjligt används i blockkedjor. Ett annat aktuellt delområde 275 för artisterna att på ett mer transparent sätt följa inom finansområdet kallas ”decentraliserad finans”, streamingföretagens användning av rättighetsskyddat vilket innebär en form av finansiering som inte är material, vilket gör det möjligt för artisterna att kräva beroende av centrala finansiella mellanhänder som en rättvis ersättning. 279 mäklare, börser eller banker, utan istället använder smarta kontrakt på blockkedjor. Sammanfattningsvis rymmer blockkedjor och annan • Regeringen har gett Lantmäteriet och Myndigheten teknik som kan förbättra säkerheten både möjligheter för digital förvaltning, DIGG, i uppdrag att testa och utmaningar. Ofta gynnas dataskyddet av en förstärkt ny teknik för automatisering i den offentliga informationssäkerhet, men som blockkedjetekniken förvaltningen. Inom ramen för uppdraget ska visar kan det också finnas motsättningar mellan en ökad myndigheterna testa om blockkedjeteknik säkerhet och ett gott dataskydd, som också innefattar kan vara ett sätt att öka transparensen. krav bland annat på transparens och information. Lantmäteriet har tillsammans med bland annat Skatteverket drivit ett utvecklingsprojekt som vunnit internationell uppmärksamhet. Projektet genomfördes 2018 och innefattade världens första helt digitala fastighetsöverlåtelse med hjälp av en blockkedjelösning. 276

• Inom hälso-och sjukvårdssektorn utvecklas bland annat applikationer för säker hantering av patientjournaler och annan känslig information, där det krävs en hög säkerhet kring vem som kan komma åt känsliga personuppgifter. Den information som delas är inte ursprungsdokumenten, som till exempel register och patientjournaler, utan verifikationer av dessa. 277

275. Komet informerar 2020:30 Den nya tekniken – så fungerar den . 276. https://www.lantmateriet.se/contentassets/8d2b5d7647634c02a- 278. https://www.europarl.europa.eu/RegData/etudes/ 329b01e46e61071/publikation-swe-fastighetskop-och-lagfart-ge- STUD/2020/641544/EPRS_STU(2020)641544_EN.pdf sid.10-11. nom-en-blockkedja--governance-och-juridik-2018.pdf. 279. https://feminvest.se/2020/07/29/fokus-2020-kommer-att-ligga-pa- 277. http://www.pharma-industry.se/blockkedjan/. dessa-10-mojliga-anvandningar-for-blockchain/.

94 IMY | Integritetsskyddsrapport 2020

107

5.8 Teknik för att förstöra data

En annan faktor som försvårar möjligheterna att permanent förstöra data är utvecklingen av allt mer effektiv teknik för att återskapa raderad, eller på annat sätt förlorad, data. Även här finns, som beskrivits ovan när det gäller till exempel blockkedjor, alltså en potentiell motsättning mellan säkerhetsåtgärder och dataskydd.

En konsekvens av att lagringskapaciteten

Även om innehållet på en hårddisk (det vanligaste

har ökat och att kostnaderna för lagring har

mediet för datalagring) eller annat lagringsmedium har

minskat är att incitamenten att förstöra data

raderats eller skrivits över brukar det gå att rekonstruera

minskat. Tidigare förstördes gammal data

innehållet med speciella metoder. Det krävs därför

ofta för att hushålla med lagringsutrymme

särskilda åtgärder för att utplåna det som har raderats

och göra plats för ny.

från en hårddisk helt och göra det oläsbart. Även en fil Inom övriga områden har teknikutveckling som har skrivits över med en annan fil kan avläsas helt inom ett område drivit på utvecklingen eller delvis. Vanlig radering av en fil på en disk innebär inom andra områden. När det gäller teknik egentligen inte radering alls. Det innebär bara att filen för att förstöra av data har utvecklingen stryks ur filkatalogen och det utrymme på hårddisken snarast gått i motsats riktning, och där den finns betraktas som ledigt. Filens innehåll väsentligt större fokus har lagts på ny (ettor och nollor) ligger ändå kvar tills det skrivs över teknik för att återskapa raderad data, än av en annan fil, och det kan avläsas av program som teknik för att permanent förstöra den. bortser från filkatalogen. 281

Överskrivning är en väl beprövad teknik som fortfarande används för att permanent förstöra data på en hårddisk eller annat lagringsmedium. Det sker vanligen genom att man skriver över datamängden med meningslösa En konsekvens av att lagringskapaciteten har ökat sifferserier. Syftet är att de raderade tecknen ska bli och att kostnaderna för lagring har minskat är att omöjliga att urskilja, ens med specialverktyg. För att det incitamenten att förstöra data minskat. Tidigare ska bli omöjligt att rekonstruera filen krävs vanligtvis att förstördes gammal data ofta för att hushålla med överskrivning utförs flera gånger – vilket kräver tid och lagringsutrymme och göra plats för ny. tar systemresurser i anspråk. Det finns därför risk för 282 Utvecklingen inom de övriga stegen i livscykeln har inte att data som faktiskt ska raderas finns kvar över tid på ett drivit på, och matchas inte heller av, en motsvarande sätt som dels inte uppfyller regelverkens krav på gallring, utvecklingstakt av ny teknik och nya metoder för att dels innebär ett ansvar för att säkerställa säkerheten för förstöra personuppgifter. 280 uppgifterna över tid.

Tvärtom blir uppgiften att permanent förstöra – utplåna Här förtjänar att nämnas att alla uppgifter inte får – personuppgifter allt svårare i takt med att uppgifter utplånas eftersom det inom offentlig verksamhet finns lagras på fler ställen som är geografiskt utspridda särskilda krav på bevarande, ibland över längre tid, ibland och kontrolleras av flera olika aktörer, kontinuerligt för evigt. Data ska då tas omhand för arkivering. Även transporteras inom och utanför olika verksamheter via för arkiverad data kvarstår ansvaret för att säkerställa både trådlösa och fasta nät, och bearbetas med allt mer säkerheten för uppgifterna över tid. Det ansvaret ökar i avancerad och mindre transparent teknik. takt med teknikutvecklingen eftersom allt mer data idag lagras i elektroniska arkiv.

280. Det följer idag av principen om uppgiftsminimering i dataskydds- 281. https://it-ord.idg.se/ord/dataremanens/. förordningen att data inte får sparas längre än nödvändigt. 282. https://it-ord.idg.se/ord/overskrivning/.

IMY | Integritetsskyddsrapport 2020 95

108

5.8.1 Teknik för att återskapa raderad

eller på annat sätt förlorad data

Relativt lite uppmärksamhet synes ges åt utvecklingen av nya och effektiva metoder att förstöra personuppgifter så att de inte kan återskapas igen. Desto mer uppmärksamhet får området ”computer forensics” som bland annat innefattar teknik för att återskapa raderade filer. Tekniken används exempelvis av polis och säkerhetstjänster för att återskapa raderad information i misstänkta personers datorer och mobiltelefoner och av privatpersoner som önskar rädda filer som raderats av misstag. Men den kan också användas av hackers för att återskapa och stjäla känslig information.

Nedan ges kortfattade exempel på konkreta utvecklings- och användningsområden för teknik för att återskapa data. 283

• Återskapa raderad data från fysiska lagringsmedium som hårddiskar – exempelvis en raderad fil eller allt innehåll på en formaterad hårddisk. • Återskapa raderad data från molnet – via buffertminne (minne som mellanlagrar sådant som ska användas inom kort). • Analysera och extrahera data från en dators arbetsminne (det minne som innehåller aktiva program och de data som bearbetas när datorn används). Denna typ av minne töms vanligen på data när datorn stängs av. Allt som ska sparas måste därför lagras på hårddisk (eller annat lagringsminne). 284 • ”Data carving” – teknik för att söka och återställa skadade filer, i synnerhet filer som har förlorat den information som beskriver innehållet (metadata), och som därför måste sökas enbart med hjälp av innehållet. 285 • Extrahera data från krypterade filer.

Sammanfattningsvis påverkas den personliga integriteten eftersom uppgifter som raderats, men som relativt enkelt kan återskapas, fortsatt utgör en integritetsrisk.

283. https://gbhackers.com/computer-forensics-tools/. 284. https://it-ord.idg.se/ord/arbetsminne/. 285. https://it-ord.idg.se/ord/filrekonstruktion/.

96 IMY | Integritetsskyddsrapport 2020

109

6. Hur bra är

integritetsskyddet

idag?

En viktig fråga givet de utmaningar och risker som beskrivits i föregående avsnitt om teknikutvecklingen är hur bra integritetsskyddet är idag. Har företag, myndigheter och andra organisationer anpassat sitt skydd av personuppgifter så att det går hand i hand med den digitala utvecklingen? I det här kapitlet beskrivs ett antal iakttagelser från olika delar av IMY:s verksamhet. Det handlar om undersökningar vi gjort, om vår och andra dataskyddsmyndigheters tillsynsverksamhet, om anmälda personuppgiftsincidenter, klagomål och begäran om förhandssamråd samt remisser vi svarat på.

IMY | Integritetsskyddsrapport 2020 97

110

6.1 Privata och offentliga

verksamheters arbete med

dataskydd

Ett år efter att dataskyddsförordningen Drygt 11 000 personuppgiftsincidenter

började tillämpas genomförde har hittills anmälts i Sverige sedan

IMY en undersökning av hur långt dataskyddsförordningen började tillämpas.

dataskyddsarbetet kommit i svenska En viktig slutsats från anmälningarna är att

företag, myndigheter och andra många incidenter orsakas av den mänskliga

organisationer. Resultatet visade att de faktorn. Det accentuerar behovet av att

flesta fått grundläggande strukturer och relevanta it-säkerhetsåtgärder kompletteras

rutiner på plats, men att det fortfarande med löpande utbildning och andra åtgärder

i många verksamheter saknades för att öka kunskapen och medvetenheten

ett systematiskt och kontinuerligt hos medarbetarna.

arbete. Branscher som hade större

Av de drygt 7 500 klagomål som skickats

utmaningar var generellt kommuner och

in i Sverige rör ungefär en fjärdedel

regioner, transportsektorn, hotell- och

de rättigheter som förordningen ger

restaurangbranschen samt småbolag med

medborgarna. Den vanligaste rättigheten

mindre än 10 anställda. Genomgående

som berörs i klagomålen är rätten till

beskrev företag, myndigheter och andra

radering och därefter rätten till information.

organisationer att de största utmaningarna

Andra vanliga klagomål handlar om

i dataskyddsarbetet då handlade om att

bristande säkerhet eller att medborgare

få till fungerande processer i det löpande

ifrågasätter om verksamheterna har rätt att

arbetet och att tolka regelverket.

hantera personuppgifter på det sätt de gör,

En undersökning som genomfördes 2019 det vill säga om det finns rättslig grund.

visade att medborgare har god kunskap om

Bland de förhandssamråd som inkommit

att personuppgifter samlas in och används

till myndigheten återfinns flera där

men upplever sig ha bristande kännedom

verksamheten önskar använda teknik

om hur uppgifterna används. Detta

för ansiktsigenkänning och biometriska

leder till att drygt sju av tio medborgare

uppgifter. Totalt sett är det dock få

känner en viss eller stor oro för hur deras

verksamheter som begärt förhandssamråd,

personuppgifter används.

vilket tyder på att kompetensen att

IMY:s övergripande bedömning är genomföra konsekvensbedömningar

att det, två och ett halvt år efter att behöver öka.

dataskyddsförordningen började tillämpas,

En av de mest centrala och mest frekvent

fortfarande i många verksamheter finns

återkommande synpunkterna i de

omfattande brister som rör grundläggande

remisser IMY svarat på har rört behovet

skyldigheter i dataskyddsarbetet. De

av att i lagstiftningsarbetet göra en

drygt 500 sanktionsavgifter som hittills

ingående integritetsskyddsanalys. Ju mer

utfärdats inom EU visar att de vanligaste

genomarbetad nationell lagstiftning som

överträdelserna handlar om att de

kompletterar dataskyddsförordningen

grundläggande principerna inte följs, att

är, desto enklare blir det för företag,

rättslig grund för behandlingen saknas,

myndigheter och andra organisationer att

att enskildas rättigheter inte hanteras

tolka och tillämpa dataskyddsreglerna.

som de ska eller att säkerhetsåtgärderna

varit otillräckliga.

98 IMY | Integritetsskyddsrapport 2020

111

IMY har gjort ett antal undersökningar sedan 2018 i syfte Ytterligare en utmaning för verksamheterna var kopplat att få en bild av hur det ser ut med integritetsskyddet till det nya regelverket och tolkningarna av det. Det efter dataskyddsreformens genomförande. Många fanns fortsatt stort behov av stöd och vägledning kring verksamheter arbetar systematiskt och strukturerat bland annat rättslig grund, säkerhetsåtgärder, regler med sitt dataskyddsarbete, men vi kan samtidigt för kamerabevakning samt gränsdragningen mellan konstatera att det på många håll finns mycket kvar att personuppgiftsansvarig och personuppgiftsbiträde. göra. Att det finns missnöjda medborgare identifieras Det konstaterades också att medarbetare genom de klagomål som kommer in till myndigheten behöver fortsatt och kontinuerlig utbildning och och brister kan konstateras dels genom de rapporter kompetensförstärkning i dataskyddsfrågor. om personuppgiftsincidenter som löpande anmäls Bilden bekräftas av andra undersökningar och i bland till myndigheten, dels genom de granskningar som annat rapporten Sjyst data! anges att kunskapen och myndigheten har genomfört och som har genomförts medvetenheten om de nya dataskyddsreglerna har inom EU från och med den 25 maj 2018 och framåt. blivit bättre, men fortfarande behöver höjas i de flesta I detta kapitel lämnas en sammanfattning av de organisationer. Ett problem uppges vara att kunskap iakttagelser som hittills gjorts. om dataskydd inte sällan finns hos en liten grupp av specialister och ibland enbart hos organisationens

6.1.1 Iakttagelser från nationella

dataskyddsombud. Detta förstärker bilden av att det 288 fortfarande behövs ett mer systematiskt arbete med

integritetsrapporten 2019 med mera

integritets- och dataskyddsfrågor i många verksamheter.

Den nationella integritetsrapporten 2019 286 Implementeringen av dataskyddsförordningen har av bygger på genomförda undersökningar med verksamheter i huvudsak bedömts gå bra. Svenskt medborgare och verksamheter något år efter att Näringsliv har dock bedömt att dataskyddsförordningen dataskyddsreformen genomfördes. 287 har medfört stora utmaningar och kostnader för företagen. I många fall har anpassningarna lett till att När det gäller verksamheterna var de iakttagelser dataskyddet förbättrats avsevärt. I andra fall har det som gjordes att vissa branscher syntes ha kommit lett till ökad byråkrati utan någon egentlig förbättring av längre i sitt integritets- och dataskyddsarbete än andra. skyddet för enskilda. 289 Bland branscher som generellt uppgavs ha kommit längre återfanns exempelvis bank- och finans, it- och Fortsatt osäkerhet kring vad som är tillåtet kan enligt telekom, utbildningsföretag och privata vård- och Svensk Näringsliv ha en tillbakahållande effekt omsorgsföretag. Branscher som hade större utmaningar i verksamheterna som går längre än vad som är var generellt kommuner och regioner, transportsektorn, motiverat för att skydda enskilda. De utmaningar som hotell- och restaurangbranschen samt småbolag med beskrivs handlar bland annat om vaga och svårtolkade mindre än 10 anställda. bestämmelser, att det finns brister i harmoniseringen mellan medlemsstaterna som påverkar företag med Representanter för verksamheterna, oftast verksamheter i flera länder negativt, och att det saknas dataskyddsombud, bedömde att implementeringen vägledning och råder omfattande oklarheter kring av dataskyddsförordningen gått bra och majoriteten internationella dataflöden. av de tillfrågade uppgav att man hade grundläggande riktlinjer och rutiner på plats. Det som saknades Utifrån den nationella integritetsrapporten kan var ett mer systematiskt arbete med integritets- och sammanfattningsvis konstateras att det 2019 fortfarande dataskyddsfrågorna i verksamheten. Det framkom även fanns mycket kvar att göra i många branscher och att att den största utmaningen för verksamheterna var att få kunskaperna i dataskyddsfrågor behövde förbättras. till fungerande rutiner och processer. Medarbetarna uppgavs många gånger utgöra en svag länk och organisatoriska åtgärder i form av utbildning behöver vidtas. Åtgärder behöver också vidtas i syfte att säkerställa att kunskaperna om dataskyddsfrågor breddas i organisationerna. Framför allt är det en ledningsfråga att säkerställa ett systematiskt arbete med integritets- och dataskyddsfrågor i verksamheterna.

286. Datainspektionens rapportserie 2019:2 Nationell Integritetsrapport 2019 . 287. Här beskrivs hur väl implementeringen genomförts i 288. Vinnova/RISE Sjyst data! – Slutrapport november 2019. verksamheterna, medborgarnas upplevelser redovisas i avsnitt 289. https://www.svensktnaringsliv.se/bilder_och_dokument/vad-ar- 6.2. Verksamheterna omfattade både verksamheter med och utan fel-med-gdprpdf_1004995.html/BINARY/Vad%20är%20fel%20med%20 dataskyddsombud. Slutsatserna var i huvudsak desamma. GDPR-.pdf.

IMY | Integritetsskyddsrapport 2020 99

112

6.1.2 Iakttagelser utifrån anmälda

Rekommendationerna har i övrigt rört behovet av utbildning av medarbetarna. Precis som indikerades i

personuppgiftsincidenter

den nationella integritetsrapporten visar även inkomna incidentrapporter att medarbetarna utgör en svag IMY har sedan 2018 hittills publicerat fyra rapporter länk. En stor andel incidenter – ungefär hälften av som rör anmälda personuppgiftsincidenter. 290 incidenterna – uppges bero på den mänskliga faktorn . Verksamheter har ett ansvar för att inom 72 timmar Detta accentuerar behovet av att styrdokument och efter upptäckt rapportera en personuppgiftsincident tekniska informationssäkerhetsåtgärder kompletteras till tillsynsmyndigheten. 291 med löpande utbildning och andra åtgärder för att öka Antalet anmälda personuppgiftsincidenter som inkommit kunskapen och medvetenheten hos medarbetarna. till IMY uppgår sedan maj 2018 till drygt 11 000. 2018 Frågor som särskilt bör adresseras rör e-posthantering, anmäldes totalt under året knappt 2 300 incidenter, vilket kryptering vid överföring av uppgifter på flyttbara motsvarade cirka 320 incidenter per månad. Under lagringsmedia (som usb-minnen, bärbara datorer 292 2019 fick IMY totalt in knappt 4 800 och under 2020 och mobiltelefoner) samt att öka kunskapen om närmare 4 500 anmälningar om personuppgiftsincidenter, antagonistiska angrepp, som ofta sker genom att vilket motsvarar cirka 375–400 anmälda incidenter medarbetare öppnar skadliga länkar eller filer från per månad. okända avsändare.

Det är svårt att dra säkra generella slutsatser om När det särskilt gäller förmågan att stå emot branscher eller områden som är särskilt utsatta antagonistiska angrepp har IMY pekat på att för incidenter, då det sannolikt finns ett stort grundläggande it-säkerhetsåtgärder behöver vidtas mörkertal. Myndigheten har dock lämnat generella i syfte att stärka skyddet för de personuppgifter som rekommendationer för att verka för en förbättrad hanteras. Exempel på tekniska åtgärder är löpande personuppgiftshantering i syfte att förebygga incidenter säkerhetsuppdateringar, uppgradering av mjukoch mildra konsekvenserna om de ändå inträffar. och hårdvara samt av operativsystem, införande av flerfaktorsautentisering samt användning av Generella rekommendationer har varit att rutinerna för att antivirusprogram. Även kryptering anges som exempel upptäcka och anmäla incidenter kan förbättras ytterligare på lämplig säkerhetsåtgärd i sammanhanget. och att verksamheterna bör använda incidenterna för lärande och utveckling, då incidenterna bör kunna ge Slutsatserna och rekommendationerna ligger väl viktiga signaler om interna utvecklingsbehov som bör tas i linje med de konstateranden som MSB gör mot tillvara. En förbättrad behörighetsstyrning kan förebygga bakgrund av de allvarliga it-incidenter i offentlig sektor incidenter genom att risken för obehörig åtkomst och som anmäls till MSB. Statliga myndigheter är sedan obehörigt röjande minskar. 2016 skyldiga att anmäla allvarliga it-incidenter till MSB. I rapporteringen om de knappt 300 allvarliga it-incidenter som anmäldes under 2019 påtalar MSB att antalet rapporterade allvarliga it-incidenter är lågt och att det verkliga antalet sannolikt är högre. MSB:s redovisning visar också att handhavandefel är den vanligaste typen av allvarlig incident och att systematiskt och riskbaserat informationssäkerhetsarbete med incidenthanteringsprocesser och kontinuitetsplanering skulle höja lägstanivån. 293

290. Datainspektionens rapport 2019:1 Anmälda personuppgiftsincidenter 2018 , Datainspektionens rapport 2019:3 Anmälda personuppgiftsincidenter januari – september 2019 , Datainspektionens rapport 2020:2 Anmälda personuppgiftsincidenter 2019 och Datainspektionens rapport 2020:3 Personuppgiftsincidenter som beror på antagonistiska angrepp 2019 . 291. En personuppgiftsincident är enligt dataskyddsförordningen artikel 4 punkt 12 en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Hur incidenten ska behandlas regleras i artikel 33–34 i förordningen. Det är allvarligt att underlåta att rapportera inträffade incidenter då verksamheten i sådana fall riskerar sanktionsavgifter vid en ev. granskning av tillsynsmyndigheten (artikel 33–34, samt artikel 83.4 (a) dataskyddsförordningen). 292. Rapporteringsskyldigheten infördes genom att dataskyddsförord- 293. MSB 1526, Årsrapport it-incidentrapportering 2019 – Vad har ningen infördes den 25 maj 2018. Det finns därför inte några siffror för hänt, varför har det hänt, och vad ska göras för att undvika att det helåret 2018. händer igen?

100 IMY | Integritetsskyddsrapport 2020

113

Även rapporten Cybersäkerhet i Sverige 2020 – hot, Ytterligare en fjärdedel av klagomålen riktas metoder, brister och beroenden påtalar vikten av mot personsöktjänster, det vill säga sajter med ett kontinuerligt och systematiskt säkerhetsarbete. I utgivningsbevis. Sajternas innehav av utgivningsbevis rapporten varnas för att arbetet med cybersäkerhet innebär att de har grundlagsskydd och till stora delar är inte är ändamålsenligt sett till de hot och risker undantagna från reglerna i dataskyddsförordningen. I som finns. Exempel på återkommande brister i klagomålen framgår att medborgarna upplever sajternas säkerhetsarbetet är att engagemang, ansvar och omfattande publicering av personuppgifter och andra ägarskapet för säkerhetsfrågor är lågt, att information uppgifter om dem och deras levnadsförhållanden som inte är korrekt inventerad och klassificerad, att mycket kränkande. processer, regler och policys saknas eller har brister, Drygt ett av tio klagomål handlar om att medborgarna att beslutade säkerhetsåtgärder inte genomförs eller upplever att säkerheten i hanteringen av deras att det finns brister i avtal med leverantörer och deras personuppgifter brister, till exempel att känsliga underleverantörer. 294 personuppgifter mejlas okrypterat. Ytterligare drygt Sammanfattningsvis tyder inkomna anmälningar ett av tio klagomål handlar om att medborgare om personuppgiftsincidenter på att det finns ifrågasätter om verksamheterna har rätt att hantera behov av att förbättra arbetet med grundläggande personuppgifter på det sätt de gör, det vill säga om det informationssäkerhetsåtgärder för att minska riskerna finns rättslig grund. Knappt ett av tio klagomål handlar för enskildas fri- och rättigheter i verksamheterna. Att om kamerabevakning och vanligaste klagomålet i det det finns ett generellt behov av att förbättra arbetet sammanhanget är att medborgare kamerabevakar med informationssäkerhet är också ett återkommande grannars tomter eller egendom. budskap från andra ansvariga myndigheter.

6.1.4 Iakttagelser utifrån

6.1.3 Iakttagelser utifrån inlämnade genomförd tillsyn

klagomål

IMY har ansvar för att övervaka och granska Myndigheten har sedan 2018 hittills publicerat två efterlevnaden av dataskyddsförordningen och genomför rapporter som rör inkomna klagomål. Enskilda individer även tillsyn vad gäller brottsbekämpande myndigheters 295 har enligt dataskyddsförordningen en uttalad rätt att personuppgiftshantering, samt inom kreditupplysning och klaga till tillsynsmyndigheten. Antalet klagomål har varit inkasso. När det gäller integritetsaspekterna har ännu förhållandevis stort i förhållande till antalet klagomål som förhållandevis få nationella beslut fattats för att kunna dra lämnades till myndigheten åren före dataskyddsreformen några sammanfattande och generella slutsatser. Vid en genomfördes. Totalt har IMY sedan den 25 maj 2018 sammanställning av tillsynsbeslut som har fattats inom tagit emot drygt 7 500 klagomål. De två första åren efter EU/EES kan dock några generella trender skönjas. 297 införandet av dataskyddsförordningen tog IMY emot En utgångspunkt vid tillsyn av personuppgiftshanteringen omkring 3 000 klagomål per år. Detta är en väsentlig enligt dataskyddsförordningen är att en överträdelse ökning jämfört med 2017 då myndigheten tog emot av förordningen som huvudregel ska resultera i en knappt 250 klagomål. sanktionsavgift. Den kan variera i storlek och kan, om det Ungefär en fjärdedel av klagomålen avser de rättigheter är frågan om en mindre överträdelse, ersättas med en som förordningen ger medborgarna. Den vanligaste reprimand. Generellt kan sägas att sanktionsavgifterna 296 rättigheten som berörs i klagomålen är rätten till radering kan bli höga. 298 och därefter rätten till information genom registerutdrag.

294. FRA, Försvarsmakten, MSB, Polisen och Säkerhetspolisen; Cybersäkerhet i Sverige 2020 – hot, metoder, brister och beroenden . 297. Dataskyddsförordningen gäller som nämnts för EU:s medlemssta- 295. Datainspektionens rapport 2020:1 Klagomål mot ter, samt för EES-länderna Island, Norge och Lichtenstein. personsöktjänster med frivilligt utgivningsbevis maj 2018–oktober 2019 , 298. För företag kan sanktionsavgiften uppgå till 20 miljoner euro eller Datainspektionens rapport 2020:4 Klagomål till Datainspektionen 25 maj 4 procent av den globala årsomsättningen, beroende på vilket som är 2018–24 maj 2020 . högst. De höga avgifterna är avsedda att inskärpa betydelsen av att 296. Avser perioden 25 maj 2019–24 maj 2020. hantera personuppgifter på ett säkert och omsorgsfullt sätt.

IMY | Integritetsskyddsrapport 2020 101

114

6.1.4.1 Tillsyn inom EU Den största sanktionsavgiften som IMY har beslutat om i Sverige är 75 miljoner kronor och rör bristande Från och med den 25 maj 2018 till och med den 11 borttagande av sökträffar av Google LLC och brister december 2020 har tillsynsmyndigheterna inom EU fattat i deras rutiner vid information om borttagande av beslut i 479 ärenden som innehåller sanktionsavgifter. 299 sökträffar till webbleverantörer. Sanktionsavgiften Spanien är det land som utfärdat flest sanktionsavgifter fastställdes till 52 miljoner kronor av förvaltningsrätten i och stod för en tredjedel av meddelade beslut. De 50 300 Stockholm. Domen har överklagats. lägsta sanktionsavgifterna, som generellt avser enskilda mindre överträdelser, uppgår till mellan 28 och drygt Det kan noteras en allt högre aktivitet hos 1 000 euro. De 50 högsta sanktionsavgifterna, som tillsynsmyndigheterna i den meningen att fler beslut fattas generellt avser överträdelser av flera grundläggande och framför allt med höga sanktionsavgifter. Mellan den 1 artiklar i förordningen och följer på en mer omfattande juli och 11 december 2020 fattades beslut i 156 ärenden granskning, uppgår till mellan 180 000 och med sanktionsavgifter. 28 av de 50 ärendena med högst 50 miljoner euro. sanktionsavgifter som har beslutats sedan den 25 maj

2018 har fattats under den perioden. Det tyder på att fler De fem högsta sanktionsavgifterna uppgår till 301 mer omfattande granskningar nu har kunnat avslutas.

• 50 miljoner euro – avser bristande information till Vid en sammanställning av besluten rörande de enskilda från Google Inc. (FR) 50 högsta respektive 50 lägsta sanktionsavgifterna • 35 miljoner euro – avser felaktig hantering kan utläsas att de överträdelser som har konstaterats av personuppgifter om anställda inom till övervägande del i huvudsak handlar om fyra H&M i Tyskland (DE) grundläggande faktorer. De avser

• 28 miljoner euro – avser att enskildas rätt till radering • överträdelser av de grundläggande och att invända mot personuppgiftsbehandling inte tillgodosetts i ett italienskt telecomföretag (IT) principerna , vilket vanligen omfattar överträdelse av själva grundprinciperna, men även att • 22 miljoner euro – avser omfattande läckage av personuppgiftsansvarige inte kunnat visa att de passageraruppgifter, adress- och bankuppgifter med grundläggande principerna följs (ansvarsprincipen) mera inom flygbolaget British Airways (UK). • avsaknad av rättslig grund för behandlingen , • 20 miljoner euro – avser omfattande läckage av antingen att rättslig grund helt saknas eller att den personuppgifter inom hotellkedjan Mariott (UK ). 302 uppgivna rättsliga grunden har tillämpats på ett felaktigt sätt Närmare hälften av sanktionsavgifterna, 235 ärenden, är • att man inte har efterkommit enskildas rättigheter , på 10 000 euro eller mer. Av de 479 meddelade besluten bland annat rätten till information, rättelse och omfattar 65 sanktionsavgifter på motsvarande 100 000 radering samt euro (drygt 1 miljon svenska kronor) eller mer. Sverige • bristande tekniska och organisatoriska står för åtta av dessa ärenden. säkerhetsåtgärder som har medfört att personuppgifter inte har tillförsäkrats den skyddsnivå som är lämplig i förhållande till uppgifternas art, omfattning och det sammanhang de behandlas och risken för enskildas personliga integritet om uppgifterna inte ges tillräckligt skydd.

299. https://www.enforcementtracker.com/. Sammanställningen är Det är ingen större skillnad i överträdelsernas karaktär gjord utifrån de uppgifter som är inhämtade i tjänsten Enforcement Tracker per den 11 december 2020 (vid årsskiftet hade antalet sank- mellan de största och minsta sanktionsavgifterna men tionsbeslut passerat 500). Enskilda beslut är inte inhämtade, återgiv- bristande säkerhet var mindre vanligt förekommande ningen är därför indikativ och används för att illustrera utvecklingen. I vid de mindre överträdelserna. Detta kan tyda på att de tjänsten anges inledningsvis belopp som tillsynsmyndigheten beslutat om. Detta justeras om nationell domstol fastställt ett annat belopp. Det mindre överträdelserna baserar sig på enskilda klagomål framgår dock inte om så har skett och i vilken instans ändring har skett där framför allt enskildas rättigheter aktualiseras. Ett eller om sanktionsbeloppet har vunnit laga kraft. antal överträdelser rör också konsekvensbedömning och 300. Spanien stod ensamt för 169 av de 479 besluten. Spanien har haft möjlighet att besluta om sanktionsavgifter enligt sin nationella lagstift- förhandssamråd, respektive brister i incidentanmälningar.

ning redan före dataskyddsförordningen, vilket sannolikt är en förklaring till detta. 301. Mot bakgrund av att regelverket är nytt och att merparten av tillsynsmyndigheterna har fått möjlighet att besluta om sanktionsavgifter och andra mer ingripande korrigerande befogenheter först genom dataskyddsförordningen, saknas ännu i stor omfattning lagakraftvunna beslut från högre instans i nationella domstolar. 302. Den brittiska dataskyddsmyndigheten har meddelat fyra beslut med sanktionsavgifter, varav två ingår i de fem högsta avgifterna. De andra besluten var också förhållandevis stora och omfattade sanktionsavgift om 1,4 miljoner euro (Ticketmaster UK) respektive 320 000 euro (Apotek).

102 IMY | Integritetsskyddsrapport 2020

115

6.1.4.2 Tillsynsbeslut från IMY tillsynsmyndigheten ska i sådana fall genomföras innan man påbörjar behandlingen. Det har också konstaterats Sedan den 25 maj 2018 har IMY fram till och med att det saknas undantag för testverksamhet med skarpa årsskiftet 2020 avslutat omkring 150 tillsynsärenden. personuppgifter i dataskyddsregleringen.

Under 2019 avslutades två ärenden med Ett ärende rör behandling av uppgifter om sanktionsavgifter. Under 2020 har 15 ärenden avslutats lagöverträdelser. En masspubliceringssajt tillhandahöll med sanktionsavgifter. Ungefär hälften av dessa kreditupplysningsinformation och samtidigt uppgifter ärenden är överklagade, varför sanktionsavgifterna om lagöverträdelser. Uppgifter om lagöverträdelser får kan komma att ändras. Beloppen nedan anger inte behandlas i kreditupplysningsverksamhet. Bolaget IMY:s ursprungliga beslut. saknade därmed rättslig grund för behandling av uppgift En kort beskrivning av de svenska beslut som lett till om lagöverträdelser i kreditupplysningsverksamheten sanktionsavgifter ges i det följande. 303 och överträdde även grundläggande principer (sanktionsavgift 35 000 euro). Några beslut har rört kamerabevakning. Ett ärende avsåg användning på försök av ansiktsigenkänningsteknik Google-ärendet rörde enskildas rättigheter. Google LLC för närvarokontroll på en skola. Bristerna avsåg den hade inte tagit bort två sökträffar som IMY tidigare grundläggande principen om uppgiftsminimering, förelagt Google att ta bort samt publicerade behandling av känsliga personuppgifter samt avsaknad webbmeddelanden till de hemsidor där borttagning av konsekvensbedömning och förhandssamråd av sökträffar skedde. Bristerna var hänförliga till de (sanktionsavgift 200 tkr) grundläggande principerna, avsaknad av rättslig grund och enskildas rätt att bli raderad, rätten att bli bortglömd Två beslut rör kamerabevakning i fastigheter eller i (sanktionsavgift 75 mkr). enskildas boenden. En bostadsrättsförening använde kamerabevakning i entré och trapphus med mera i syfte Flera ärenden bottnade i en att komma tillrätta med bland annat ordningsstörningar personuppgiftsincidentanmälan (eller avsaknad av och skadegörelse. Bristerna rörde de grundläggande sådan). Ett sådant fall var en myndighet som inte agerat principerna, avsaknad av rättslig grund samt bristande på en personuppgiftsincident i tid och på ett tillräckligt information (sanktionsavgift 20 tkr). Även i en genomgripande sätt (sanktionsavgift 185 000 kr). hyresfastighet användes kamerabevakning i trapphuset Generellt leder en utebliven eller sen anmälan om i syfte att komma tillrätta med skadegörelse. Bristerna personuppgiftsincidenter till sanktionsavgift. Besluten handlade här om bristande rättslig grund (sanktionsavgift har också tydligt pekat på vikten av att dokumentera 300 tkr). Slutligen finns ett ärende som rör övervakning incidenten och bedömningarna som gjorts i samband av en boende på ett LSS-hem i dennes sovrum. Bristerna med den, då verksamheten har krav på sig att visa att avsåg de grundläggande principerna, avsaknad av hanteringen varit korrekt.

rättslig grund, behandling av känsliga personuppgifter, Flera beslut har rört bristande säkerhet i form av bristande information och skyltning, samt avsaknad tekniska och organisatoriska åtgärder. Ett fall rörde en av konsekvensbedömning och förhandssamråd kommun som i samband med publicering av protokoll (sanktionsavgift 200 tkr). publicerade känsliga personuppgifter om en enskild individ på kommunens webbplats. Bristerna rörde de Besluten pekar på att integritetsintresset generellt grundläggande principerna, behandling av känsliga väger mycket tungt i enskildas boendemiljö och att personuppgifter och avsaknad av rättslig grund det krävs omfattande analyser och att alternativa, (sanktionsavgift 120 tkr). Ett annat fall rörde forskare mindre ingripande, åtgärder än kamerabevakning som skickat känsliga forskningsuppgifter över okrypterad undersöks och används som huvudregel. Användning mail och lagrat ett antal förundersökningsprotokoll av ansiktsigenkänning, som innehåller biometriska med känsliga uppgifter, som ingick i forskningen, uppgifter, innebär som tidigare beskrivits generellt i en molntjänst. Bristerna var hänförliga till de höga risker för den personliga integriteten. En grundläggande principerna, bristande säkerhet och konsekvensbedömning och förhandssamråd med bristande personuppgiftshantering (sanktionsavgift 4 mkr). Ytterligare ett fall rörde incidenter i fem olika delsystem i en skolplattform. Brister hade funnits över längre tid och även känsliga och integritetskänsliga uppgifter, exempelvis uppgifter om skyddad identitet, hade förekommit. Bristerna avsåg de grundläggande principerna, bristande säkerhet i plattformen samt bristande konsekvensbedömning (sanktionsavgift 4 mkr). 303. Här är det centralt att notera att sanktionsavgifternas storlek varierar beroende på om det är frågan om en myndighet eller privat verksamhet. För myndigheter är avgiftens storlek max 10 miljoner kronor, för privata verksamheter max 20 miljoner euro eller max 4 procent av den globala årsomsättningen, beroende på vilket som är högst. Faktorer som ska beaktas vid fastställandet av sanktionsavgiftens storlek anges i artikel 83 dataskyddsförordningen.

IMY | Integritetsskyddsrapport 2020 103

116

Det ställs stora krav på att verksamheter anpassar Flera ärenden har rört användning av kamera skyddet för de personuppgifter som behandlas utifrån och kamerateknik. Ett ärende rörde avläsning av uppgifternas omfattning, karaktär och art och att de registreringsskyltar på fordon med fasta kameror för löpande vidtar relevanta tekniska och organisatoriska automatisk kameraavläsning av registreringsnummer åtgärder för att säkerställa skyddet för uppgifterna. på fordon på avgränsade platser för jämförelse med Besluten visar också på behovet av att säkerställa att uppgifter i myndighetens befintliga underrättelseregister medarbetare vet hur uppgifter får behandlas och följer för brottsbekämpning. Vid en ”träff” skulle uppgifter verksamhetens instruktioner. kommuniceras i realtid till berörda tjänstemän. Inga uppgifter skulle lagras. Ett annat ärende rörde Sju ärenden riktades mot fyra offentliga och tre privata förhandssamråd inför användningen av ny programvara vårdgivare som inte uppfyllt kraven på att göra en för ansiktsigenkänning som skulle samköras mot annat behovs- och riskanalys innan tilldelning av behörigheter register. De biometriska uppgifterna skulle enbart i deras respektive patientjournalsystem. Bristerna rörde behandlas inom en specifik del av verksamheten. de grundläggande principerna och bristande säkerhet Ytterligare ett ärende rörde planerad användning av genom avsaknad av den organisatoriska åtgärden bildanalysverktyg vid utredning av brott. Förhandssamråd att utföra en behovs- och riskanalys innan tilldelning har också begärts inför en planerad pilotverksamhet av behörigheter. Totalt omfattade granskningen åtta med biometrisk ansiktsverifiering vid yttre gräns som vårdgivare. Ett ärende avslutades med ett föreläggande. innebar insamling av ansiktsbilder från flygpassagerare Sanktionsavgifterna uppgick för de privata vårdgivarna på flygplatsen och jämförelse av dessa bilder mot till mellan 15 och 30 miljoner kronor och för de offentliga passagerares resehandling i syfte att kontrollera vårdgivarna till mellan 2,5 och 4 miljoner kr. resehandlingens äkthet och personens identitet.

Sammanfattningsvis kan konstateras att de övergripande IMY har generellt bedömt att det funnits berättigat brister som framkommit i de svenska tillsynsärenden intresse av att behandla uppgifterna, men har lämnat som lett till sanktionsavgift speglar de generella brister ett antal råd. De har bland annat rört behovet att beakta som tidigare uppmärksammats genom anmälda den grundläggande principen om uppgiftsminimering, personuppgiftsincidenter och inkomna klagomål. behovet av att säkerställa tillräckliga tekniska och Bristerna rör de grundläggande principerna, att man organisatoriska åtgärder och att överväga om syftet saknar rättslig grund för behandlingen, att man inte med behandlingen i vissa fall skulle kunna uppnås på genomfört konsekvensanalys inför omfattande eller nya ett annat sätt, med mindre integritetsintrång, än med behandlingar, att personuppgiftsincidenter inte anmälts stöd av den tänkta metoden. Råden har också avsett eller dokumenterats, att man inte har efterkommit att vidta ytterligare åtgärder för att begränsa intrånget enskildas rättigheter, samt att det finns bristande i den enskildes personliga integritet. Myndigheten har tekniska och organisatoriska säkerhetsåtgärder också lämnat it-säkerhetsmässiga råd om exempelvis som har medfört att personuppgifter inte har åtkomstskydd, loggning och logguppföljning samt rutiner tillförsäkrats ett tillräckligt skydd. för behörighetstilldelning. Råden har också omfattat lagring och gallring samt rutiner för registervård. Myndigheten har slutligen också lämnat råd rörande

6.1.5 Iakttagelser utifrån meddelade

nödvändigheten i att tillgodose de registrerades förhandssamråd rättigheter – rätt till information och rätt till rättelse med

mera. Betydelsen av att tydligt informera besökarna om Ett förhandssamråd behöver genomföras om en behandlingen och deras möjligheter att invända mot verksamhet har gjort en konsekvensbedömning och behandlingen framhölls särskilt i ett ärende rörande därefter har vidtagit integritets- och säkerhetshöjande besökares rörelsemönster i butik. åtgärder och fortfarande bedömer att risken för enskildas integritet är hög. IMY har sedan den 25 304 maj 2018 respektive 1 augusti 2018 fått in begäran om förhandssamråd som lett till yttrande i sak i ett drygt 10-tal ärenden.

304. Det är större krav på att genomföra förhandssamråd i brottsbekämpande verksamhet, genom att det i stället för ”hög” kvarvarande risk, enbart krävs ”särskild risk” för intrång i den personliga integriteten för att ett förhandssamråd ska behöva genomföras, 3 kap. 7 § brottsdatalagen.

104 IMY | Integritetsskyddsrapport 2020

117

6.2 Oron för hur

I ett par fall har råden rört behovet av att tydliggöra ansvarsfördelningen mellan olika aktörer i

personuppgifter används ökar

samband med behandlingen.

Förhandssamråd har också omfattat användande av ett verktyg för att följa beteendemönster på en dator och I den nationella integritetsrapporten 2019 riktades särskilt en funktion för ansiktsigenkänning i samband en större undersökning till medborgare. IMY kunde med examination på distans i syfte att säkerställa konstatera att dataskyddsförordningen var relativt studenters identitet. Då det bedömdes saknas lagstöd välkänd bland medborgarna, att det fanns en god för en sådan behandling lämnade IMY råd om att kunskap om att personuppgifter samlas in och undersöka mindre integritetskänsliga metoder för att används, men att det fanns en lägre kännedom om hur identifiera studenterna och att säkerställa att den lösning uppgifterna används. Detta leder till att drygt sju av tio som väljs inte innebär ett betydande intrång i den medborgare känner en viss eller stor oro för hur deras personliga integriteten. personuppgifter används.

I samband med inspelning av telefonintervjuer i kvalitets- Enligt undersökningen anser medborgare att finansiella och uppföljningssyfte har myndigheten lämnat råd som uppgifter och hälsoppgifter är särskilt känsliga och det handlar om att säkerställa att det finns rättslig grund för finns en uttalad och återkommande oro kring att använda behandlingen och att principen om uppgiftsminimering sitt bankkort på nätet. Även insamling av personuppgifter beaktas genom att inte samla in fler uppgifter än vad för riktad reklam skapar oro. Förtroendet för olika som är nödvändigt för att uppnå syftet. Även i detta verksamheters hantering av personuppgifter varierar i sammanhang har råd lämnats om tydlig information, stor utsträckning. Störst förtroende har medborgarna för radering, samt åtkomstkontroll och behörighetsstyrning. personuppgiftshanteringen inom vård, myndigheter och banker. Lägst förtroende åtnjuter appar, sociala medier Sammanfattningsvis kan konstateras att det hittills har och sökmotorer. varit frågan om förhållandevis få förhandssamråd som hanterats av IMY sedan dataskyddsregleringen infördes Det finns demografiska skillnader i vilken kunskap 2018. Givet den snabba tekniska utvecklingen och att som finns, hur stor oro man har och hur man skyddar kraven på konsekvensbedömning 305 borde träffa ett sina personuppgifter. Vuxna personer i åldern upp till stort antal verksamheter, behandlingssituationer och 39 år och högskole- och universitetsutbildade känner utvecklingsinitiativ som idag pågår, kan konstateras i högre grad till dataskyddsförordningen, vad de har att det sannolikt finns ett stort mörkertal kring såväl för rättigheter och hur deras personuppgifter används. konsekvensbedömningar som förhandssamråd. Äldre, och personer med låg utbildning upplever sig Några av de tillsynsärenden som har avslutats visar i större omfattning ha lägre kunskap om hur deras också på brister när det gäller konsekvensbedömning personuppgifter används, och upplever även större oro. och förhandssamråd. Den del av befolkningen som använder internet sällan eller inte alls utgörs i högre grad av äldre, personer med lägre hushållsinkomst och utbildning, kvinnor samt boende på landsbygden.

I rapporten Sjyst Data! anges också att ökad kunskap om hur datadelning går till ökar villigheten att dela vissa data. Det framkommer också att 59 procent av svenskarna är negativa till företags insamling, men att de med högre kunskap i högre utsträckning gör aktiva val för att till exempel kunna surfa anonymt och samtidigt är mer positiva till registrering. IMY:s undersökning tyder också på att ökad kunskap medför att man i ökad utsträckning anammar de nya rättigheter som dataskyddsförordningen medfört. Bland personer i åldern 18–29 år har 22 procent utnyttjat någon av rättigheterna i dataskyddsförordningen jämfört med 16 procent i befolkningen som helhet.

305. Se närmare om konsekvensbedömning, bilaga 1.

IMY | Integritetsskyddsrapport 2020 105

118

6.3 Integritetsskyddet i

En slutsats i rapporten Sjyst data! är att en ökad

trygghet – som kommer av vana, frekvent användning

lagstiftningsprocessen –

och kunskap – tycks påverka hur positiv man är till att

dela med sig av sina data vilket sannolikt innebär att internetanvändares inställning kan påverkas över tid vanliga remissynpunkter

genom ökad kunskap och ökad användarvana.

IMY har de senaste åren årligen svarat på ett stort I den senaste upplagan av Svenskarna och internet antal remisser och delningar. Aktiviteten var särskilt framkommer att pandemin har haft effekt på stor i samband med anpassningen av nationell rätt medborgarnas oro. Allt fler har jämfört med tidigare till dataskyddsreformen, då all nationell reglering mätningar uppgivit att de känner sig oroade över att få som rör behandling av personuppgifter behövde sin integritet kränkt av storföretag på nätet, men också av anpassas till förordningen och dataskyddslagen och myndigheter. Känslan av att vara övervakad på nätet har implementeringen av brottsdatadirektivet. Myndigheten vuxit under pandemin. I rapporten konstateras också att deltar även med experter i centrala statliga utredningar oron är betydligt högre för den digitala integriteten bland där myndighetens sakkunskap är särskilt efterfrågad. dem i privat sektor jämfört med dem offentlig sektor. Därutöver konsulteras myndigheten ofta under hand i Generellt är enligt rapporten män mer oroliga än kvinnor statliga utredningar. över att få sin digitala integritet kränkt på nätet. 306

Lagstiftaren har en central roll i att beakta Trots oron och en medvetenhet om att man behöver integritetsskyddsaspekter i lagstiftningsarbetet. Detta värna sina personuppgifter delar många med sig är särskilt centralt då det många gånger finns en stor av sina personuppgifter. Detta brukar kallas för komplexitet i regelverken. Det kan vara ett komplext integritetsparadoxen. Anledningen till att man delar samspel mellan med sig av uppgifterna trots upplevd oro varierar, men

många gånger bedöms tillgången till den tjänst som • dataskyddsförordningen – som är primärt

erbjuds vara så attraktiv att oron får stå tillbaka. Det regelverk när det gäller personuppgiftsbehandling,

saknas i vissa fall också kunskap om hur man kan • dataskyddslagen – som kompletterar skydda sina uppgifter. Alternativet blir då att antingen dataskyddsförordningen och innehåller närmare dela sina uppgifter eller helt avstå från tjänsten. Den nationella föreskrifter, men är subsidiär i förhållande nationella integritetsundersökningen visar att män och till annan nationell reglering, personer i åldern 18-29 år är överrepresenterade bland • brottsdatalagen och särskilda dem som ibland eller alltid gör aktiva val för att undvika

registerförfattningar på det

att surfvanor samlas in medan kvinnor och personer brottsbekämpande området – som gäller för i åldern 65-79 är överrepresenterade bland dem som brottsbekämpande verksamhet, uppger att de ofta eller ibland helt avstår från att använda

en digital tjänst om de känner osäkerhet kring hur deras • sektorspecifika unionsrättsakter – som ofta har

personuppgifter kommer att hanteras. ett begränsat sektorsperspektiv och många gånger

förhandlas inom det departement som ansvarar för

respektive sakfråga och som genomförs genom

nationella bestämmelser,

• sektorsspecifika regelverk – som kompletterar

dataskyddsförordningen och tas fram inom ansvarigt

departement där sakfrågan står i fokus,

• eventuella kollektivavtal – som reglerar

förhållandena mellan arbetsmarknadens parter och

som också kompletterar dataskyddsförordningen i de

delar som rör dataskydd samt

• offentlighets- och sekretesslagen – som ibland

medför hinder mot att uppgifter lämnas ut till annan

part om sekretessbrytande bestämmelser saknas

(även om ändamålen i och för sig skulle medge att

utlämnande sker).

306. Internetstiftelsen; Svenskarna och Internet 2020 , internetstiftelsen-svenskarna-och-internet-2020.pdf.

106 IMY | Integritetsskyddsrapport 2020

119

En av de mest centrala och mest frekvent återkommande En integritetsskyddsanalys syftar till att svara på remissynpunkterna från IMY har rört behovet av att i frågan om intrånget i den personliga integriteten är lagstiftningsarbetet göra en integritetsskyddsanalys. proportionerligt i förhållande till det man avser att uppnå Myndigheten har återkommande också angett att med den föreslagna personuppgiftsbehandlingen. lagstiftaren med fördel kan göra en konsekvensanalys I det ingår att bedöma om behandlingen av avseende dataskydd i syfte att identifiera risker och, vid personuppgifter är: behov, införa lämpliga skyddsåtgärder i lagstiftningen • nödvändig utifrån de avsedda ändamålen i syfte att minska riskerna och säkerställa de enskilda med behandlingen, individers grundläggande rättigheter. • om det finns alternativa vägar att nå samma resultat men som är mindre integritetskänsliga och

6.3.1.1 En integritetsskyddsanalys bör

• om det finns integritetshöjande bestämmelser

genomföras vid lagstiftning

(skyddsåtgärder) som kan behövas för att de En väl genomarbetad lagstiftningsprodukt som grundläggande principerna i dataskyddsförordningen har tagit ställning till integritetsskyddsaspekterna ska uppfyllas och åtgärder för att uppfylla förenklar i många fall för företag myndigheter och bestämmelserna om inbyggt dataskydd och andra organisationer som i nästa steg ska tillämpa dataskydd som standard. lagstiftningen och minskar risken för tolkningsproblem. 307

Exempel på lämpliga skyddsåtgärder kan vara Vanligen genomförs någon form av analys inom bestämmelser för att begränsa insamlingen och ramen för utredningsarbetet. Behoven är ofta väl spridningen av uppgifterna, preciserade gallringsregler beskrivna, medan integritetsriskerna kan vara mindre samt krav på säkerhetsåtgärder såsom kryptering ingående berörda. Ofta saknas själva analysen vid överföring via öppet nät och stark autentisering av hur integritetsintrånget, efter att relevanta för åtkomst till känsliga personuppgifter och uppgifter säkerhets- och skyddsåtgärder har föreslagits som om lagöverträdelser. Även sekretess till skydd för den begränsar intrånget, bedöms stå i proportion till enskilde används ofta som integritetshöjande åtgärd. behoven. En analys är en förutsättning för att en relevant proportionalitetsbedömning ska kunna genomföras. Analysen behöver därför vanligen

6.3.1.2 Även en konsekvensbedömning kan

fördjupas i lagstiftningsärenden där frågor om

lämpligen genomföras i lagstiftningsarbetet

personuppgiftsbehandling aktualiseras. Saknas analysen i lagstiftningsarbetet riskerar regelverket ytterst att inte I dataskyddsförordningen finns bestämmelser uppfylla kraven enligt regeringsformen och EU-rätten. om att den personuppgiftsansvarige ska göra en konsekvensbedömning innan särskilt riskfyllda Vid genomförandet av en integritetsskyddsanalys behandlingar påbörjas. 308 Integritetskommittén föreslog behöver en kartläggning göras av bland annat vilken att man även borde införa ett krav i kommittéförordningen personuppgiftsbehandling som ska genomföras, på redogörelse av integritetskonsekvenser om förslagen av vem och vilka aktörer som kommer att vara i ett betänkande innebär ett betydande intrång i den personuppgiftsansvariga. Det är också centralt att personliga integriteten. 309 Något sådant krav har fastställa och tydliggöra ändamålen med behandlingen, ännu inte genomförts. eftersom ändamålen utgör ramen för vilken behandling som kan anses nödvändig.

307. Ett intrång i enskildas privata sfär som innefattar behandling av personuppgifter måste uppfylla kraven i regeringsformen, Europakonventionen och EU:s rättighetsstadga samt bestämmelserna i EU:s dataskyddsreglering. För att uppfylla kraven i ett konkret lagstiftningsärende 308. Se bilaga 1 till rapporten för en närmare beskrivning av kraven på krävs att det intrång som sker i den enskildes privata sfär är nödvändigt, konsekvensbedömning. befogat och inte större än nödvändigt. Intrånget ska mötas av integri- 309. Regleringen i 2 kap. 6 § andra stycket regeringsformen ger skydd tetshöjande bestämmelser till förmån för den enskilde. En följd av denna mot betydande intrång i den personliga integriteten, om det sker utan reglering är bland annat att lagstiftaren har att tydligt redovisa vilka samtycke och innebär övervakning eller kartläggning av den enskildes avvägningar som gjorts vid proportionalitetsbedömningen. personliga förhållanden.

IMY | Integritetsskyddsrapport 2020 107

120

6.4 Sammanfattning och

En konsekvensbedömning i ett lagstiftningsärende

gör kommande tillämpning mer förutsägbar. Detta är

slutsatser om hur bra

särskilt välkommet när det gäller behandlingar som är

nödvändiga för att fullgöra en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i den integritetsskyddet är idag

personuppgiftsansvariges myndighetsutövning. Har 310

en konsekvensbedömning gjorts i lagstiftningsärendet Utifrån de underlag som har redovisats ovan kan

behöver en förnyad konsekvensbedömning sammanfattningsvis konstateras att medborgarnas

inte heller göras av de verksamheter som oro för hur deras personuppgifter hanteras ökar.

ska behandla personuppgifter. 311 Genomförda tillsyner, inkomna klagomål och rapporter

om personuppgiftsincidenter bekräftar att oron kan Sammanfattningsvis kan konstateras att vara befogad. IMY:s bedömning är sammanfattningsvis integritetsanalyser och konsekvensbedömningar att det fortfarande finns omfattande brister som rör avseende dataskydd har betydelse för att säkerställa grundläggande faktorer när det gäller data- och en väl avvägd lagstiftning som uppfyller kraven i integritetsskydd. Granskade verksamheter har generellt regeringsformen, europakonventionen och EU-rätten, haft utmaningar i att uppfylla de grundläggande men också för att underlätta tillämpningen. I den mån principerna och har ibland saknat rättslig grund för sina lagstiftning som rör behandling av personuppgifter inte behandlingar. De har inte haft tillräcklig säkerhet för sina tillräckligt tydligt uttalar för vilket ändamål uppgifter får uppgifter och har i vissa fall inte heller implementerat behandlas riskerar verksamheterna att sakna lagstöd för rutiner och processer och utbildat medarbetarna för sina personuppgiftsbehandlingar. att de ska kunna bidra till att upprätthålla skyddet för

uppgiftssamlingarna. En förklaring kan vara att det Alltmer djuplodande integritetsanalyser syns allt är en konsekvens av att kunskapen om integritetsoftare i lagstiftningsprodukterna vilket är positivt. Men och dataskyddsfrågorna är begränsad till få och att här finns mer att göra och sannolikt behövs stöd till verksamheterna inte arbetar med dataskyddsfrågor kommittéväsendet och övriga lagstiftningskedjan för på det systematiska sätt som är en förutsättning för att att stärka lagstiftningsprocessen både när det gäller kunna säkerställa ett adekvat skydd för uppgifterna. integritetsanalyser och konsekvensbedömningar, men

också för att komplettera dataskyddsförordningen i En förklaring kan också vara att de ökade kraven den utsträckning det behövs för att verksamheter ska på verksamheterna har införts stegvis och att kunna bedriva sin verksamhet på ett ändamålsenligt efterlevnaden av dataskyddsreglerna tidigare till delar sätt och i enlighet med dataskyddsreglerna. Bland har brustit. Det innebär att den digitala utvecklingen när annat kan ställas krav på en integritetsanalys redan vid dataskyddsförordningen började tillämpas redan hade utformningen av kommittédirektiv. kommit långt och att affärsmodeller, avtal och processer

inte med enkelhet har kunnat ställas om för att uppfylla

samtliga krav enligt förordningen. Integritetsfrågorna

riskerar då att bli en fråga om att försöka lägga på ett

raster med integritetsskydd, lappa där det går och släcka

bränder när de uppstår.

Detta understryker vikten av att verksamheterna arbetar

systematiskt med frågorna, att verksamheten anpassas

i grunden och att integritetsperspektivet finns med

och byggs in i verksamhetssystem och affärsmodeller

från början. Särskilt viktigt är detta perspektiv i unga

branscher där innovationer testas och en snabb

utveckling sker. Saknas integritetsperspektivet från

början är det en svår och kostsam process att läka brister

i efterhand. Ytterst utsätts medborgarna för risker för sina

grundläggande fri- och rättigheter.

Även kommittéväsendet och lagstiftaren har en viktig

roll i att säkerställa att lagstiftningsprodukterna håller

hög kvalitet där integritetsskyddsanalysen är ett

viktigt instrument för att säkerställa att lagstiftningen

är proportionerlig. Genomförs konsekvensanalyser

i samband med lagstiftningsåtgärder kan

integritetshöjande åtgärder genomföras redan i

310. Se artikel 6.1 (c) resp. (e) dataskyddsförordningen. Av relevans lagstiftningssammanhanget, vilket många gånger bidrar

i lagstiftningssammanhang är även artikel 6.2, 6.3 och skäl 41 i datatill en korrekt och rättssäker tillämpning. skyddsförordningen samt artikel 35.10 dataskyddsförordningen.

311. Artikel 35.10 dataskyddsförordningen.

108 IMY | Integritetsskyddsrapport 2020

121

7. Aktuell forskning

om ny teknik och

integritetsskydd

I det här avslutande kapitlet beskriver vi några olika svenska undersökningar och forskningsinitiativ som tar sikte på utvecklingen av ny teknik och integritetsskydd.

IMY | Integritetsskyddsrapport 2020 109

122

7.1 Några olika svenska

Det pågår idag ett antal undersökningar och forskningsinitiativ inom digitalisering och ny teknik samt

undersökningar och

inom integritets- och dataskyddsområdet. Forskning är efterfrågad och bidrar till lärande och kunskapshöjning, forskningsinitiativ ger förslag på nya lösningar och pekar ibland också på

områden som behöver fördjupad genomlysning.

Vid en genomgång framkommer att det i forskningen identifieras flera riskområden när det gäller Färsk svensk forskning har identifierat integritetsskydd. En del av forskningen syftar till att flera riskområden när det gäller personlig möta dessa, bland annat genom att undersöka hur integritet, bland annat när det gäller AI. medborgarnas rättigheter kan tillgodoses, lämna Men i den akademiska världen finns förslag på hur verksamheterna kan ta sitt ansvar för också ett antal pågående projekt och integritetsskyddet, eller på annat sätt bidra till att lösa en initiativ som på olika sätt syftar till att höja del av de integritetsrisker som uppmärksammats. Några integritetsskyddet. sådana forskningsinitiativ lyfts fram i det följande. 312

Ett område som flera lärosäten forskar Avsnittet syftar till att ge exempel på olika sätt om är transparens och nya verktyg för att som forskning och utveckling bidrar till ett tryggt öka användarnas kunskap om och kontroll informationssamhälle. Det förtjänar dock att över vilka personuppgifter som samlas in understrykas att IMY inte gjort någon bedömning av de och används – av vem, på vilket sätt samt olika undersökningar och studier som beskrivs.

eventuella konsekvenser av användningen.

Integritet vid användning av appar har stått i

7.1.1 Skapa förtroende och tillit - genom

fokus i flera studier och rapporter.

bland annat verktyg för transparens och

När det gäller inbyggt dataskydd och certifiering

dataskydd som standard har forskare

arbetat fram onlineutbildningar i dataskydd, Ett område som flera lärosäten forskar om är bland annat en med särskild inriktning mot transparens. Flera initiativ tillhandahåller verktyg för inbyggt dataskydd. transparens i syfte att öka användarnas kunskap om

och kontroll över vilka personuppgifter som samlas in

Forskning pågår också för att utveckla

och används – av vem, på vilket sätt samt eventuella

säkra molntjänster och appar. Målet är

konsekvenser av användningen.

att i en molnlösning kunna erbjuda säker

analys av känsliga data som till exempel Ett forskningsinitiativ föreslår en ”katalog” av patientuppgifter. designriktlinjer som kan ligga till grund för hur information

kan utformas för att möta individuella användares

Flera pågående forskningsprojekt syftar

behov. Förslag lämnas också på utformning av ett

till att höja säkerheten i Internet of things,

integritetsmeddelande som kan användas för att

IoT. Det handlar bland annat om att höja

informera användare om incidenter. Ett annat syftar till 313

integritetsskyddet för IoT i hemmet

att ge kunskap och kontroll om insamlad data och dess

och ge individer större kontroll över de

användning genom till exempel modeller som beräknar

uppkopplade enheterna.

hur integritetsvänliga appar är, eller genom appar som redovisar vilka personuppgifter företag som stora sociala

Det akademiska intresset för AI är stort.

medieaktörer, till exempel Facebook, använder sig av.

En kartläggning från 2019 uppskattade

Forskare i den här gruppen har tagit fram två appar

antalet forskningsmiljöer i Sverige

som kan hjälpa privatpersoner att se vilken personlig

som fokuserar på AI till närmare 40.

data företag använder sig av och verkar för att utveckla

Identifierade problemområden med AI som

verktygen ytterligare. 314

forskningen menar behöver hanteras ur

ett integritetsperspektiv handlar om risken

för partisk AI och missbruk men också att

312. Sammanställningen gör inte anspråk på att vara heltäckande, säkerställa ansvarsfrågor och transparens. utan ger endast en bild av forskningsresultat som har kommit från olika

lärosäten. Karlstad, Lund och Malmö universitet synes vara några av de som har kommit längst i sin forskning inom områden som berör integritets- och dataskydd. 313. P. Murmann, Towards Usable Transparency via Individualisation , Karlstads universitet, 2019 314. Projektet drivs inom ramen för Privacy Flag och avser, med avstamp i dataskyddsförordningen, stärka skyddet för fysiska personer vid behandling av personuppgifter inom EU. A. Stålbröst, A. Padyab, Ta reda på hur företag använder data du delar . Luleå tekniska universitet, 2018.

110 IMY | Integritetsskyddsrapport 2020

123

Digitaliseringen av handeln gör den mer effektiv och tjänster i samband med valet 2016. Företaget ökar tillväxten. Samtidigt känner konsumenter en oro använde Facebookdata för att profilera och rikta över bristande transparens, vilket kan skada den tillit meddelanden till 87 miljoner personer människor. De mellan handlare och kund som är central i en fungerande använde en psykologisk modell för profilering. Enligt marknad. En studie har visat att många konsumenter forskningen kan digitala app-fingeravtryck profilera på upplever en bristande kontroll över sina data och att samma sätt. Forskningen pekar också ut risker med svenska handlare kan göra mer för att stärka kundernas tekniken i samband med till exempel utpressning och förtroende. Projektet syftar till att bättre förstå relationen identitetsstöld. För att användningen av appar och mellan tillit och transparens när det gäller kommersiell de möjligheter de ger ska kunna vara till stor hjälp i insamling av konsumenters data. samhället behövs enligt forskarna etiska riktlinjer för 315 designers och app-utvecklare som tar hänsyn till både Den tidigare nämnda rapporten Sjyst data! syftar till att teknik, integritet och etik. 317 lösa en del av konflikten mellan ökad dataanvändning och bevarad personlig integritet och till att skapa Appar har blivit en viktig del i våra liv. För att fungera ökat förtroende och tillit hos användarna genom en registrerar de många gånger var vi är, vad vi säger integritetscertifiering vid datainsamling. En sjyst data- och vad vi gör. Forskning visar att införandet av certifiering visar att man följer gällande lagar och regler, dataskyddsförordningen har haft en positiv inverkan men också att man tar hänsyn till etiska principer och på appars beteende och att de nu har mindre tillgång värnar användarens personliga integritet. Certifieringen till data. Men det konstateras också att många appar skulle kunna användas i stället för, eller parallellt med, fortfarande har åtkomst till fler funktioner än vad som andra mekanismer enligt dataskyddsförordningen som beskrivs i integritetspolicyn och än vad de behöver syftar till att visa att förordningen följs. för att fungera. Av undersökta Android-appar fanns 316 det exempel på appar som registrerade användarens aktivitet och skickade informationen till olika servrar 7.1.2 Integritet vid användning av vilket, enligt forskarna, kan leda till digital övervakning,

mobilappar

profilering och lösenordsfiske. Detta medför risker för den personliga integriteten. 318 Ett forskningsprojekt visar att information om en persons Ett pågående forskningsprojekt undersöker användarnas mobilappar skapar ett unikt digitalt fingeravtryck. I en uppfattning om hur (fysisk) fingeravtrycksigenkänning population på 3,5 miljoner användare var 99,7 procent fungerar och varför. Forskningen visar på skillnaden unika i vilka appar de använde. Möjligheten att få fram mellan att använda PIN-kod och fingeravtryck sådana digitala fingeravtryck väcker därför frågan om hur vid inloggning. Studien visar bland annat att en persons integritet ska skyddas. självuppskattning av kunskap i datasäkerhet inte är en Forskningen visade att det endast krävdes fyra appar bra indikator för respondenters faktiska förståelse för hur säkra fingeravtryck är. 319 från en mobilanvändare, valda efter popularitetsrankning, för att kunna identifiera över 90 procent av användarna via ett digitalt fingeravtryck. För 10 procent krävdes fler appar för att det digitala fingeravtrycket skulle skapas. Via det digitala fingeravtrycket kunde man avgöra en persons ålder, kön, religion och sexuella läggning. Det som tidigare betraktades som statistik utgör därför enligt forskarna idag mycket känslig information, eftersom en individs identitet kan avslöjas och utnyttjas, till exempel i ovälkomna reklamsammanhang eller påverkanskampanjer. Det kan också vara frågan om mer allvarliga missbruk. Som exempel anges Trumps kampanjorganisations köp av Cambridge Analyticas

317. H. Jonsson, From Signal to Social: Steps Towards Pervasive Social Context . Lunds universitet, 2018. Se artikel: https://www. forskning.se/2018/10/16/digitalt-fingeravtryck-hotar-din-integritet/. 318. L. Fritsch, M. Hatamian, N. Momen, artiklar: Did App Privacy Improve After the GDPR? , Karlstads universitet. 2019. GDPR lyft för appar , https://voister.se/artikel/2019/11/gdpr-lyft-for-appar/. Även A Multilateral Privacy Impact Analysis Methos for Android Apps , 2019. Ingår i: Privacy Technologies and Policy/ [ed] M. Naldi, G. F. Italiano, K. Rannenberg, M. Medina & A. Bourka, Cham: Springer, 2019, Vol. 11498, 315. S. Larsson (projektledare), Tillitsbaserad personuppgiftshantering sid. 87-106. i den digitala ekonomin . Lunds universitet, 2020. 319. F. Faregar, J.S. Pettersson, S. Fisher-Hübnern, Fingerprint Recog- 316. Vinnova/RISE Sjyst data! – Slutrapport november 2019. Vinnova nition on Mobile Devices: Widely Deployed, Rarely Understood . Karlstad Utmaningsdriven Innovation (UDI), Steg 2. universitet, 2018.

IMY | Integritetsskyddsrapport 2020 111

124

7.1.3 Användning av appar inom 7.1.4 Akademin utvecklar

AdTechsektorn dataskyddsutbildningar

När vi rör oss i digitala miljöer, blir vi kontinuerligt följda Kunskap om dataskyddsförordningen och hur

och profilerade. För AdTechsektorn, är tillgång till data förordningen påverkar den egna verksamheten är

som vi lämnar i dessa miljöer av stor betydelse för att central för en effektiv implementering i verksamheterna.

kunna rikta specialdesignad marknadsföring till enskilda. Utvecklare och designers saknar ofta kunskap

om data- och integritetsskyddsfrågor och behöver Några av de risker som finns inom AdTechsektorn stöttning i att göra rätt i designsituationer. Genom ett har tidigare beskrivits i avsnittet om teknikutveckling online-verktyg som utvecklats kan mjukvaruarkitekter (avsnitt 5.4.3) . Där redovisas också norska och utvecklare få stöd i att ta fram system som är Forbrukerrådets rapport som drar slutsatsen att appar anpassade efter förordningen. Forskare vid Karlstads samlar in stora mängder data och att AdTechsektorn universitet har arbetat fram breda onlineutbildningar i delar och behandlar data helt ”out of control”. 320 dataskydd, bland annat en med särskilt inriktning mot

Privacy by Design, för professionella och universitets- En studie på temat dataekonomier visar hur den digitala och högskolestudenter. Totalt finns fem separata 322 ekonomin under de senaste 25 åren har utvecklats mot moduler i utbildningskonceptet, som utöver stöd vid 323 ett alltmer datadrivet ekosystem, djupt involverat i de mjukvarudesign för utvecklare och designers, som flesta aspekter av våra vardagsliv. 321 nämnts ovan, omfattar

Annonsfinansiering av riktad reklam tycks idag, enligt • Introduktion i integritetsskydd och GDPR 324 rapporten, vara en central affärsmodell för webben, vilket – utbildningen ger grundläggande kunskaper bidrar till insamling av stora mängder individrelaterad och diskuterar typiska risksituationer i samband data. Studien visar på komplexiteten i reklamprocessen med användning av molntjänster, IoT och Big och konstaterar att de flesta webbplatsbesök medför att Data. I utbildningen presenteras åtgärder en stor mängd tredjeparter samlar in data och spårar som verksamheter måste vidta för att uppfylla besöket, om inte särskilda åtgärder tagits av besökaren dataskyddsförordningens krav. för att förhindra detta. • Integritetshöjande tekniker (Privacy Enhancing Användare och konsumenter är enligt rapporten i Technologies, PET) – ger en introduktion till

varierande grad medvetna om datainsamlingen, Ofta säkerhets- och integritetshöjande mekanismer

finns ett grundläggande antagande om att ens data och tekniker.

kommer användas för riktad reklam, men i övrigt finns låg • Integritetsdesign – introduktion till inbyggt grad av transparens vad gäller tredjepartsaktörer och vad dataskydd och dataskydd som standard och datan används till. Medgivandet till datainsamling tycks integritetsvänlig design. Utbildningen anger bland ofta vara oinformerat, vilket indikerar att regleringen annat hur en konsekvensanalys kan genomföras. kring kakor och informerat samtycke inte fungerar. • Strategiskt dataskyddsarbete (Privacy Tredjepartsproblematiken och datahandlande marknader Management) – anger att ett strategiskt utgör, både från ett individ- och ett företagsperspektiv , dataskyddsarbete är en kontinuerlig process för att en icke-transparent praktik. Konsumenters informerade bedöma risker och konsekvenser i verksamheten. valfrihet är därigenom undergrävd. Under utbildningen tillhandahålls bland annat en

En av slutsatserna i rapporten är att mycket talar för att modul för strategiskt dataskyddsarbete som en del i

dataekonomier och kommersiella plattformsaktörers verksamhetens organisatoriska åtgärder.

dominans föranleder ett ökat samverkansbehov mellan

tillsynsmyndigheter som IMY, Konsumentverket och Det är vällovliga initiativ och utbildning kan bidra till en Konkurrensverket och att dessa behöver säkerställa djupare förståelse av olika aspekter av integritet och att de har erforderlig kompetens och effektiva informationssäkerhet i praktiken. tillsynsmetoder för att kunna granska aktörerna

på AdTech-marknaden.

322. M. Colesky, K. Dementzou, L. Fritsch, S. Herold Helping Software Architects Familiarize with the General Data Protection Regulation , 320. Forbrukerrådet Out of control. How consumers are exploited by the Karlstads universitet, 2019. D. Lynette, C. Marianthi Theocharidou, S. online advertising industry , 2020. Fisher-Hübner, L. Martucci, L. Fritsch, T. Pulls MOOC on Privacy by Design and the GDPR . 321. S. Larsson, på uppdrag av Konkurrensverket, uppdragsforskningsrapport 2020:4 Dataekonomier – Om plattformar, 323. S.Alfredsson, S. Fischer-Hübner, L. Fritsch, S. Herold, L. Iwaya, tredjepartsaktörer och behovet av transparens på digitala marknader . L. Martucci, T. Pulls, A. Zuccato The Privacy by Design course team , I rapporten framhålls att där tidigare i huvudsak konsumenträtt och https://www.kau.se/en/cs/en/pbd. integritetsfrågorna stått i fokus, har konkurrensfrågorna fått ett allt större 324. Integritetsskyddslagstiftningen utgör också ett särskilt inslag i den fokus på området, i takt med att vissa av digitaliseringens datadrivna obligatoriska kursen i rättsinformatik på juristprogrammet på Stockholms aktörer erhållit en nästan infrastrukturell marknadsposition. universitet.

112 IMY | Integritetsskyddsrapport 2020

125

7.1.5 Forskning för att utveckla säkra 7.1.6 Internet of things, IoT

molntjänster och appar

Uppkopplade enheter i hemmet kan kontinuerligt samla Ett europeiskt forskningsprojekt bedrivs i syfte att skapa in och föra vidare data om de boendes dagliga aktiviteter. en ny plattform som möjliggör säker analys av data i Insamlingen kan omfatta mycket integritetskänslig molnet. Den nya tjänsten syftar till att kunna erbjuda data. I ett pågående forskningsprojekt beskrivs i en helt säker analys av känsliga data som till exempel problemformuleringen att en del av uppgifterna patientuppgifter. Förutom att plattformen ska möjliggöra tillhandahålls frivilligt av användarna, medan andra en säker analys av känsliga uppgifter, uppges den kunna data samlas in automatiskt av enheterna. I vissa fall ge stora värden genom att kunna se större mönster kan slutanvändare inte (enkelt) välja bort insamlingen i stora datamängder utan att enskilda kan spåras. av data och många gånger ”begravs” samtycken för Exempelvis skulle större telefonoperatörer, som idag insamling eller användning av data i integritetspolicyn är strikt begränsade i vilken information de får använda och accepteras omedvetet av användarna. Om en och hur, kunna analysera rörelser generellt och därmed användare upphör med att tillhandahålla informationen kunna kartlägga trender i rörelsemönster i samhället utan upphör tjänsterna ibland att gälla. Genom att att enskilda kan identifieras. Forskningen omfattar även identifiera och kartlägga de hot och integritetsrisker utveckling av ett verktyg som förklarar hur registrerades som finns i system för uppkopplade enheter i uppgifter analyseras säkert och integritetsvänligt. 325 hemmet, kan nya system byggas som skyddar den personliga integriteten. Forskningen syftar till att höja Ett annat forskningsprojekt anger att en central faktor integritetsskyddet och ge individerna större kontroll över för system som hanterar känslig information, till de uppkopplade enheterna. 327 exempel medicinsk data, är att de är säkra. I den mån Ytterligare ett forskningsprojekt inom IoT bedrivs i syfte patienter inte har tillit till systemen kommer de inte att studera effekterna av sensorbaserad teknologi. Inom att lämna nödvändiga uppgifter för att en läkare ska forskningen studeras användning av sensorbaserad kunna göra en adekvat medicinsk bedömning. Trots teknik inom områden som tidigare varit huvudsakligen det anges att många av dagens mobila lösningar för analoga eller som använt sig av digital teknik som hälsodatainsamling saknar tillräckligt säkerhets- och inte varit sensorbaserad. Sensorbaserad teknik och integritetsskydd. Ett samverkansprojekt mellan svenska digital databehandlingsförmåga används allt oftare och och brasilianska forskare har resulterat i framtagning blir allt mer kraftfull. Det finns därför ett behov av att av en säker och integritetsskyddande app för mobil undersöka etiska aspekter och sociala implikationer. insamling av hälsodata, där Privacy by Design och Genom att belysa detta i samband med strategier för by Default är viktiga komponenter. Designen är implementering avser projektet att skapa en brygga anpassad för utvecklare med begränsade kunskaper i mellan det praktiska och det akademiska och därigenom integritetsskyddande system, i syfte att de löpande ska generera ett värde för såväl akademi som praktiker när kunna ansvara för att genomföra uppdateringar och det kommer till förståelsen för IoT. 328 underhåll av systemet. 326

Ett av problemen med smarta enheter är att det går att spåra personer och kartlägga deras aktiviteter. Ofta behöver man lämna uppgifter som inte borde vara av relevans för att få produkten att fungera. Ett forskningsprojekt arbetar nu för att kartlägga problemen i syfte att höja säkerheten för nästa generations smarta enheter och miljöer. Projektet syftar till att höja säkerheten för användarna med hjälp av den senaste tekniken i identitetshanteringen. Användaren ska få större kontroll genom att till exempel ha möjlighet att interagera i ett sekretessvänligt läge. Projektet ska resultera i en prototyp för olika komponenter som kan säkra den personliga integriteten som medför pålitliga smarta miljöer som ger människor kontroll och överblick över sina enheter. 329

327. J Bugeja, Smart connected homes: concepts, risks and challenges . Lic.avh Malmö universitet. Forskningen påbörjad 2018. 328. V. Mähler Värdeskapande med internet of things . Umeå universiet. 325. S. Fischer-Hübner Säkrare användning av molntjänster med Forskningsprojektet avses avslutas i oktober 2021. avidentifiering , Karlstad universitet. Projektet avslutas 2022. 329. Projekt SURPRISE Secure and Private Connectivity in Smart 326. L. Horn Iwaya Engineering Privacy for Mobile Health Data Collec- Environment , Karlstads universitet. Projektet startade 2019 och ska tion Systems in the Primary Care , Karlstad universitet, 2019. pågå i fem år.

IMY | Integritetsskyddsrapport 2020 113

126

7.1.7 Artificiell intelligens, AI

Forskningsrapportens rekommendationer är att regleringen behöver förtydligas ; såväl etiska ramverk Just nu är det akademiska intresset för AI stort och som tolkning av rådande lagstiftning behöver stärkas och utveckling och forskning bedrivs på flera orter i Sverige, tillsynsmyndigheterna behöver stimuleras och utbildas och utomlands. Vinnova uppskattade 2019 antalet för att kunna hålla jämna steg med utvecklingen. Man forskningsmiljöer i Sverige som fokuserar på AI då behöver också satsa på tvärvetenskapliga perspektiv till närmare 40, men framhöll samtidigt att det är ett (dels forskningsmässigt, till exempel inom teknik- och snabbt växande område. 330 2019 startade, som nämnts samhällsvetenskap, samt medicin och humaniora, dels tidigare, ett nationell samverkanscentrum benämnt AI samarbetsmässigt, där samarbeten behöver etableras Sweden som genom samverkan och samlokalisering mellan akademi, industri och offentlig sektor) kring ska accelerera innovation och forskning inom praktiskt tillämpad AI för att nå mer kunskaper om utmaningarna, tillämpad AI. Vinnova är en av huvudfinansiärerna. Syftet bland annat när det gäller bias, ansvarsfördelning och är att kraftsamla kring forskning och innovation inom AI. vilken grad av transparens som är önskvärd/möjlig för Sannolikt kommer vi inom de kommande åren att se flera respektive kontext eller användning. Slutligen behöver resultat av detta samarbete. 331 tilliten i samhället för AI stärkas . Tillitsfrågan är central om de löften och värden AI kan medföra i sektorer som Den snabba utvecklingen inom AI innebär utmaningar handel (individualisering), finans (effektivisering) och för integriteten, vilket kan skada tilliten till tekniken. I en hälso- och sjukvård (ökad precision i diagnoser) ska nyligen publicerad rapport presenterar fyra forskare såväl kunna realiseras. problemområden som förslag till lösningar. Att AI och den snabba utvecklingen inom maskininlärning kommer Ytterligare en forskningsartikel beskriver vad AI kan med enorma löften är idag vedertaget. Men om dess användas till, men tar också upp legala och normativa värden kommer att kunna realiseras på ett hållbart sätt risker och diskuterar olika förutsättningar för att tillit till systemet och utvecklingen ska finnas. 333 är enligt forskarna mer osäkert. Det beror bland annat på att etiska, sociala och rättsliga dimensioner inte har Också Sveriges konsumenter har gjort en undersökning integrerats och testats tillräckligt i forskning, utformning om AI där de konstaterar att den stora frågan inte är om och implementering av AI-systemen. Detta riskerar att vi är för eller emot AI, utan om hur vi gemensamt kan leda till mindre tillförlitliga AI-applikationer och skada skapa AI-system som både konsumenter, företag och tilliten till AI överlag. 332 myndigheter kan lita på. 334 De fyra problemområden som forskarna identifierar Några av de utmaningar som enligt Sveriges som nyckelområden för AI-teknologins fortsatta Konsumenter finns med AI anges vara bristen på framgångsrika utveckling är: transparens, vilket kan bero på allt från att företag inte vill • partiskhet/”bias” dela med sig av affärshemligheter, till att systemen utgör ”svarta lådor” vars logiska slutsatser är obegripliga för • ansvarsfrågor människor. Sveriges konsumenter menar att transparens • missbruk och illvillig användning samt är en förutsättning för att kunna avgöra om ett system • transparens och förklarbarhet. fyller sin funktion och gör det på ett rättvisande sätt. Både konsumenter och tillsynsmyndigheter måste ges insyn i de system som rullas ut och där systemen sköter beslutsfattande i allt viktigare frågor. Konsumenter bör under alla omständigheter få kunskap om att automatiserat beslutsfattande används och vilka data besluten baseras på. I de fall beslutet kan innebära 335 ekonomiska eller andra allvarliga konsekvenser bör de kunna få en mer utförlig förklaring av systemets beslut.

330. Vinnova rapport VR 2019:05 AI-miljöer i Sverige – En översikt över miljöer som bidrar till utvecklingen av artificiell intelligens . I rapporten 333. S. Larsson The Socio-Legal Relevance of Artificial Intelligence , anges att översikten inte är fullständig på grund av den snabba Lunds universitet, 2019. förändringstakten inom området. 334. Sveriges konsumenters rapport AI, Artificiell intelligens. 331. https://www.vinnova.se/m/artificiell-intelligens-ai/ Konsumentskydd för transparens & tillit , 2020. 332. S. Larsson, F. Heintz, L. Felländer-Tsai, A. Felländer AI-teknologin 335. Dataskyddsförordningen innehåller särskilda bestämmelser om måste gå att lita på , Lunds universitet, 2019. automatiserat beslutsfattande i artikel 15.1 h och artikel 22.

114 IMY | Integritetsskyddsrapport 2020

127

7.1.8 Sammanfattning

Tre områden som särskilt lyfts fram som riskområden för diskriminering och osaklig särbehandling inom AI enligt Sveriges Konsumenter rör personanpassade Sammanfattningsvis kan konstateras att pågående försäkringspremier inom försäkringsbranschen forskning och studier pekar på områden där särskilda och personanpassade priser i övrigt, som integritetsrisker finns och antingen bidrar till att öka sannolikt förekommer i allt högre utsträckning, där förståelsen för området och de risker som finns, eller prisanpassningar baseras på om en konsument bidrar med förslag på lösningar för att integritetsskyddet till exempel är innehavare av en hemsida eller app ska beaktas i utvecklingen av olika tjänster och eller var de befinner sig när de handlar. Därutöver produkter. Områden där särskilda risker analyseras är är ett riskområde annonsmarknaden där reklam och appar och dess tillämpning, särskilt annonsfinansierade jobbannonser riktas till specifika målgrupper. appar, där undersökningar särskilt pekar på den omfattande spridning av uppgifter som apparna bidrar System för personanpassad marknadsföring är inte till och svårigheterna för enskilda att ge ett informerat isolerade till sociala medier utan används över hela samtycke till tjänsten. Det är också uppenbart att webben. I många fall riktar annonsörer (eller väljer att appar bidrar till att enskilda förhållandevis enkelt kan inte rikta) budskap baserat på känsliga personuppgifter, identifieras och övervakas. som trosuppfattning och sexuell läggning. Systemen inkluderar dessutom ofta många typer av uppgifter, till Särskilda risker för en omfattande datainsamling och för exempel om köphistorik, inkomst, geografisk plats och övervakning och kartläggning av enskilda lyfts fram när personlighetsdrag. Kunskapen kan sedan användas för det gäller utvecklingen av IoT. Detsamma gäller för den att rikta reklam. Enligt Sveriges konsumenters rapport snabba utvecklingen som idag sker inom AI, där särskilda hävdas att man inom Adtech-sektorn utlovar att man kan risker finns för att AI utvecklas utifrån förutsättningar skräddarsy reklam så att man når fram med sina budskap som riskerar att leda till diskriminering eller på annat sätt vid specifika tidpunkter då konsumenter är särskilt oönskade resultat. Ett särskilt riskområde är här kopplat mottagliga för reklambudskap. 336 till automatiskt beslutsfattande.

Ett riskområde som utvecklare av AI-system uppmanas undvika eller kompensera för enligt Sveriges konsumenter rör endimensionella mål. Trots fokus på intelligens och automatisering följer AI-system i grunden instruktioner som är upp till människor att definiera. Är incitamenten felaktiga, och till exempel enbart utgår från att optimera vinst, kan det snedvrida inlärningen. Bristfälliga data under upplärningen utgör ytterligare ett riskområde. Om människor tidigare har diskriminerat konsumenter baserat på exempelvis kön eller etnisk bakgrund är risken stor att AI-systemet lär sig samma beteende. Proxyegenskaper är ett tredjeriskområde. Egenskaper kön, etnicitet och sexuell läggning korrelerar ofta med andra uppgifter om en person; etnicitet kan till exempel korrelera med postnummer, medan kön kan korrelera med inköp av vissa produkter. AIsystemet kan därmed programmeras på ett sätt som leder till diskriminering.

336. Direktmarknadsföring anses vara en fråga som medborgare bör ha särskild förfoganderätt över och det finns särskilda bestämmelser om att man ska ha rätt att tacka nej till direktreklam (rätten att göra invändningar, artikel 21.2 dataskyddsförordningen). För de verksamheter som bygger sin verksamhet på samtycken från enskilda är det här viktigt att arbeta med transparens och utifrån förutsättningen att enskilda alltid har rätt att när som helst återkalla samtycket. Dennes personuppgifter får då inte längre behandlas (artikel 6.1 (a), samt artikel 7–8 dataskyddsförordningen).

IMY | Integritetsskyddsrapport 2020 115

128

116 IMY | Integritetsskyddsrapport 2020

129

Bilaga 1 –

sammanfattning

av centrala regler i

dataskyddsförordningen

I denna bilaga beskrivs några av de förändringar som har införts genom dataskyddsreformen och som kortfattat har berörts i rapporten.

IMY | Integritetsskyddsrapport 2020 117

130

Enskildas rättigheter har

rätt att göra invändningar

stärkts

• rätt att göra invändningar om personuppgifter behandlas med stöd av en intresseavvägning eller ett allmänt intresse (inklusive profilering) – Enskildas rättigheter har stärkts genom införandet av personuppgifterna får då inte längre behandlas om förordningen. I avsnitt 3 och 4 i förordningen behandlas inte personuppgiftsansvarige kan påvisa avgörande de rättigheter som verksamheter måste tillförsäkra berättigande skäl som väger tyngre än den enskildes enskilda vid behandling av deras uppgifter. Det handlar 337 intressen, för att fortsätta behandlingen om att enskilda ska ha rätt till insyn och kontroll över sina • rätt att invända om personuppgifter behandlas för personuppgifter genom att få direktmarknadsföring, inklusive mot profilering i den utsträckning profileringen har samband med rätt till information och tillgång direktmarknadsföring • klar och tydlig information, samt klara och tydliga villkor för hur man som enskild ska kunna utöva sina begränsning av automatiserade beslut rättigheter – den enskilde ska få relevant information i klar och tydlig, begriplig och lättillgänglig form • rätt att inte bli föremål för ett beslut som enbart • viss information om uppgifter har samlats in från den grundas på automatiserad behandling, inbegripet enskilde själv, annan information om uppgifter har profilering, som har rättsliga följder för den enskilde samlats in från annan; ändamålen med behandlingen eller på liknande sätt i betydande grad påverkar och den rättsliga grunden ska alltid anges honom eller henne. • information om och bekräftelse på om personuppgifter om en själv behandlas Dataskyddsförordningen anger rättigheter för enskilda som ska gälla i alla medlemsstater, bland annat ska enskilda, utöver de rättigheter som särskilt pekas ut, rätt till rättelse, radering, begränsning och överföring ha rätt att lämna in klagomål till tillsynsmyndigheten. • rätt att få uppgifter rättade De ska också ha möjlighet att kunna klaga på beslut från dataskyddsmyndigheten, processa mot en • rätt att få uppgifter raderade (rätten att bli bortglömd) personuppgiftsansvarig i nationell domstol och ha rätt till • rätt att begränsa behandlingen skadestånd för skada som uppstått genom överträdelser • rätt till så kallad dataportabilitet, det vill säga att få ut av dataskyddsförordningen. 338 de personuppgifter som rör en själv för att kunna föra över dem till en annan aktör Den enskildes rättigheter är långtgående och förutsätter att den som hanterar personuppgifter har ordning och reda och kan härleda personuppgifter som kan kopplas till en viss individ samt också rutiner och processer för att ge enskilda den insyn och kontroll över sina uppgifter de har rätt till.

338. Artikel 77–82. Rätten till skadestånd behandlas bland annat i avhandlingen Integritet och skadestånd. Om skyddet för personuppgifter 337. Artikel 12–22 dataskyddsförordningen. och privatliv i svensk rätt ; Ak. avh. 2020, Uppsala universitet.

118 IMY | Integritetsskyddsrapport 2020

131

Kraven på verksamheter som

Grundläggande principer behöver

beaktas vid all hantering av

behandlar personuppgifter

personuppgifter

har ökat

Förordningen ställer ökade krav på den som behandlar personuppgifter. Kraven på en personuppgiftsansvarig Som huvudregel är det den som hanterar enskildas är bland annat att man vid behandling av personuppgifter uppgifter som har att visa att den enskildes rättigheter är följer de grundläggande principerna: 342 tillgodosedda vid en eventuell granskning. laglighet, korrekthet och öppenhet – uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i Begreppen behandling och förhållande till den registrerade

personuppgift är centrala i regelverket

ändamålsbegränsning – uppgifter ska samlas in för När en verksamhet behandlar personuppgifter aktiveras särskilda, uttryckligt angivna och berättigade ändamål ett stort ansvar och en rad skyldigheter. 339 Begreppet och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (den så kallade finalitetsprincipen) 343 behandling definieras i dataskyddsförordningen. IMY har i vägledning till företag, myndigheter uppgiftsminimering – uppgifter ska vara adekvata, och andra organisationer definierat begreppet relevanta och inte för omfattande i förhållande till de personuppgiftsbehandling genom att exemplifiera en ändamål för vilka de behandlas serie av åtgärder som behandlingen kan innebära. 340 En behandling av personuppgifter är varje åtgärd eller korrekthet – uppgifter ska vara korrekta och om serie av åtgärder som vidtas i fråga om personuppgifter, nödvändigt uppdaterade. Alla rimliga åtgärder måste vare sig det sker på automatisk väg eller inte, till exempel vidtas för att säkerställa att personuppgifter som insamling, registrering, organisering, lagring, bearbetning är felaktiga i förhållande till de ändamål för vilka de eller ändring, återvinning, inhämtande, användning, behandlas raderas eller rättas utan dröjsmål utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller lagringsminimering – uppgifter får inte förvaras i en 344 samkörning, blockering, utplåning eller förstöring form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de Med personuppgift avses en uppgift som direkt eller ändamål för vilka personuppgifterna behandlas. 345 indirekt identifierar en fysisk person, särskilt med hänvisning till en identifierare som ett namn, ett integritet och konfidentialitet – uppgifter ska behandlas identifikationsnummer, en lokaliseringsuppgift eller på ett sätt som säkerställer lämplig säkerhet – inbegripet online-identifikatorer eller en eller flera faktorer som är skydd mot obehörig eller otillåten behandling och mot specifika för den fysiska personens fysiska, fysiologiska, förlust, förstöring eller skada genom olyckshändelse genetiska, psykiska, ekonomiska, kulturella eller – med användning av lämpliga tekniska eller sociala identitet. Genom den stora omfattningen av organisatoriska åtgärder. potentiella identifierare är det tydligt att behandling av Därutöver anges principen om ansvarsskyldighet – den personuppgifter omfattar en stor mängd ageranden. 341 personuppgiftsansvarige ska ansvara för och kunna visa att de grundläggande principerna efterlevs.

339. Artikel 4 (2) dataskyddsförordningen. 342. Artikel 5.1 (a–f) dataskyddsförordningen. 340. Den fullständiga definitionen av behandling framgår av artikel 4 (2) i dataskyddsförordningen: en åtgärd eller kombination av åtgärder 343. Ytterligare behandling för arkivändamål av allmänt intresse, vebeträffande personuppgifter eller uppsättningar av personuppgifter, tenskapliga eller historiska forskningsändamål eller statistiska ändamål i oberoende av om de utförs automatiserat eller ej, såsom insamling, enlighet med artikel 89.1 i förordningen anses inte vara oförenlig med de registrering, organisering, strukturering, lagring, bearbetning eller ursprungliga ändamålen. ändring, framtagning, läsning, användning, utlämning genom 344. Principen om lagringsminimering gäller inte för bestämmelser som överföring, spridning eller tillhandahållande på annat sätt, justering eller anger att uppgifter ska sparas under vissa perioder i annan lagstiftning. sammanförande, begränsning, radering eller förstöring. Definitionen Exempelvis finns krav inom offentlig verksamhet på att uppgifter ska av personuppgifter framgår av artikel 4 (1): varje upplysning som sparas om det inte finns gallringsföreskrifter som medger att uppgifter får avser en identifierad eller identifierbar fysisk person (nedan kallad en gallras. Det finns också föreskrifter exempelvis i bokföringslagen om hur registrerad), varvid en identifierbarfysisk person är en person som direkt länge bokföringsmaterial måste bevaras i bokföringssyfte. eller indirekt kan identifieras särskilt med hänvisning till en identifierare 345. Personuppgifter får lagras under längre perioder om de enbart som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller behandlas för arkivändamål av allmänt intresse, vetenskapliga eller onlineidentifikatorer eller en eller flera faktorer som är specifika för historiska forskningsändamål eller statistiska ändamål i enlighet med den fysiska personens fysiska, fysiologiska, genetiska, psykiska, artikel 89.1 i förordningen, under förutsättning att lämpliga tekniska och ekonomiska, kulturella eller sociala identitet. organisatoriska åtgärder genomförs för att säkerställa den registrerades 341. Artikel 4 (1) dataskyddsförordningen. rättigheter och friheter.

IMY | Integritetsskyddsrapport 2020 119

132

Rättsliga grunder som gör behandling Krav på tillräckliga säkerhetsåtgärder

av personuppgifter tillåten för att skydda personuppgifterna

En vanlig fråga och vanliga klagomål rör den rättsliga Dataskyddsreglerna innehåller också flera bestämmelser grunden för att någon ska få hantera personuppgifter. om säkerhetsåtgärder. Den utökade användningen Enligt förordningen finns sex rättsliga grunder som av stora mängder personuppgifter har ökat kraven på gör att personuppgiftsbehandlingen kan uppfylla adekvat skydd för dessa. Regelverket adresserar frågan den grundläggande principen om legalitet. För den på flera sätt. personuppgiftsansvarige betyder det att denna har Skyddet för den personliga integriteten är en att säkerställa att den personuppgiftsbehandling som grundläggande princip – ansvar för integritet och genomförs har stöd i någon av de rättsliga grunderna. konfidentialitet – och krav på tillräcklig säkerhet – De rättsliga grunderna som kan utgöra rättsligt stöd för hör, som har beskrivits, till en av de grundläggande behandlingen är principerna i dataskyddsförordningen. Utgångspunkten 346 samtycke – den registrerade har lämnat sitt samtycke är att den personuppgiftsansvarige måste säkerställa till att dennes personuppgifter behandlas för ett eller att åtgärder vidtas som leder till att uppgifterna ges flera specifika ändamål. Samtycket ska vara frivilligt tillräckligt skydd mot obehörig eller otillåten behandling, och uttryckligt och ska när som helst kunna återkallas. förlust, förstöring eller skada. Personuppgifterna får då inte längre behandlas. Den personuppgiftsansvarige har ett utpekat ansvar Samtycke kan sällan användas av offentliga aktörer att genomföra ett strategiskt och systematiskt eller i andra sammanhang där det råder en obalans i arbete kring hur personuppgifter får hanteras – den maktförhållandet mellan den enskilde och den andra personuppgiftsansvarige har ett utpekat ansvar för hur parten, till exempel vid anställningsförhållanden personuppgifter hanteras i verksamheten. Det handlar avtal – behandlingen är nödvändig för att fullgöra ett som nämnts om att anpassa verksamheten så att de avtal i vilket den registrerade är part eller för att vidta grundläggande principerna uppfylls och det finns stöd i åtgärder på begäran av den registrerade innan ett sådant en rättslig grund. Detta förutsätter i grunden ett löpande avtal ingås och systematiskt arbete med att säkerställa att de personuppgifter som hanteras i verksamheten löpande rättslig förpliktelse – behandlingen är nödvändig har tillräckligt skydd och att man har kontroll över vilka för att fullgöra en rättslig förpliktelse som åvilar den uppgifter som hanteras i verksamheten, varför, på vilket personuppgiftsansvarige sätt och av vem.

vitalt intresse – behandlingen är nödvändig för att skydda Förordningen pekar på flera sätt ut ansvaret för intressen som är av grundläggande betydelse för den den personuppgiftsansvarige. Flera bestämmelser registrerade eller för en annan fysisk person pekar på vikten av att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och allmänt intresse – behandlingen är nödvändig för att kunna visa att behandlingen utförs i enlighet med utföra en uppgift av allmänt intresse eller som ett led dataskyddsförordningen. Det är inte frågan om att 347 i den personuppgiftsansvariges myndighetsutövning. detta ska göras vid ett enstaka tillfälle utan ansvarig har Grunden gäller framför allt i offentlig verksamhet men att se över och uppdatera åtgärderna vid behov. används även när privata aktörer utför en uppgift av allmänt intresse

intresseavvägning – behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Intresseavvägning kan inte användas av myndigheter.

Grunderna kopplar som nämnts till den grundläggande principen om laglighet – uppfyller man inte någon av dem är den tilltänkta eller önskade behandlingen av personuppgifter inte tillåten.

346. Artikel 5.1 (f) dataskyddsförordningen. 347. Utöver artikel 5.2 (ansvarsskyldigheten), artikel 24 dataskyddsförordningen.

120 IMY | Integritetsskyddsrapport 2020

133

Det finns krav på att bygga in dataskydd i de tekniska Vid bedömningen av lämplig säkerhetsnivå ska särskild och organisatoriska åtgärder som implementeras, hänsyn tas till de risker som behandling medför, i till exempel pseudonymisering (inbyggt dataskydd), synnerhet för oavsiktlig eller olaglig förstöring, förlust men också säkerställa att inställningar anpassas och eller ändring eller för obehörigt röjande av eller obehörig åtgärder vidtas för att tillgodose de grundläggande åtkomst till de personuppgifter som överförts, lagrats principerna, exempelvis uppgiftsminimering (dataskydd eller på annat sätt behandlats. som standard). Framför allt ska åtgärderna säkerställa Den personuppgiftsansvarige ska vidta åtgärder att personuppgifter inte utan den enskildes medverkan för att säkerställa att varje person som utför arbete görs tillgängliga för ett obegränsat antal fysiska under dennes överinseende och som får tillgång till personer. Åtgärder behöver övervägas både vid 348 personuppgifter, endast behandlar dessa på instruktion fastställandet av hur behandlingen ska utföras och vid från den personuppgiftsansvarige. själva behandlingen. Krav på konsekvensbedömning som ett led i att värdera Hur omfattande åtgärder som behöver vidtas är risker – den personuppgiftsansvarige ska, som har beroende av dels den tekniska utvecklingen, vad som framgått, löpande bedöma de risker som uppstår är möjligt och hur mycket det skulle kosta att genomföra genom att personuppgifter behandlas i verksamheten. åtgärderna, dels behandlingens art, omfattning, Ett stöd för att göra detta är att göra riskanalyser. I sammanhang och ändamål samt vilka risker den dataskyddsförordningen ställs krav på en särskild typ medför för enskilda. av riskbedömning som kallas konsekvensbedömning . 350 Utgångspunkten är således att personuppgiftsansvariga En sådan ska genomföras om en typ av behandling, har omfattande krav på sig när de behandlar särskilt med användning av ny teknik och med personuppgifter att löpande vidta åtgärder för att beaktande av dess art, omfattning, sammanhang och säkerställa att personuppgifter ges ett tillräckligt ändamål, sannolikt leder till en hög risk för fysiska skydd mot obehörig eller otillåten behandling, förlust, personers rättigheter och friheter. I sådana fall ska en förstöring eller skada. konsekvensbedömning göras innan personuppgifter börjar behandlas. Säkerheten måste löpande säkerställas i samband med att behandling sker – det finns ytterligare bestämmelser För brottsbekämpande myndigheter är kraven som pekar ut hur säkerheten ska säkerställas. på konsekvensbedömning högre. En sådan ska 349 Den personuppgiftsansvarige har att vidta tekniska genomföras om en ny typ av behandling, eller betydande och organisatoriska åtgärder för att säkerställa en förändringar av redan pågående behandling, kan antas säkerhetsnivå som är lämplig i förhållande till risken. medföra särskild risk för intrång i den registrerades Åtgärderna kan, när det är lämpligt, omfatta till exempel personliga integritet. 351

• pseudonymisering och kryptering av personuppgifter • förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystem och tjänster • förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident • ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

350. Konsekvensbedömning i samband med lagstiftning behandlas i 348. Artikel 25 dataskyddsförordningen. avsnitt 6.3.1.2 349. Artikel 32 dataskyddsförordningen. 351. 3 kap. 7 § första stycket brottsdatalagen.

IMY | Integritetsskyddsrapport 2020 121

134

Särskilt om kraven på

Krav på konsekvensbedömning föreligger om den

planerade behandlingen uppfyller minst två av följande

konsekvensbedömning

kriterier; behandlingen

En konsekvensbedömning ska i vart fall innehålla 1. utvärderar eller poängsätter människor; till exempel

genetiska tester som erbjuds konsumenter för att • en systematisk beskrivning av den planerade bedöma och förutse risker för sjukdomar, eller behandlingen och behandlingens syften kreditupplysningsföretag eller företag som profilerar • en bedömning av behovet och, när så är lämpligt, internetanvändare den personuppgiftsansvariges berättigade intresse 2. sker i syfte att fatta automatiserade beslut som har av behandlingen rättsliga eller betydande följder för den registrerade • en bedömning av riskerna för de registrerades 3. medför systematisk övervakning av människor , till rättigheter och friheter exempel genom kameraövervakning av en allmän • de åtgärder som planeras för att hantera plats eller genom insamling av uppgifter från riskerna (exempelvis skyddsåtgärder, internetanvändning i offentliga miljöer säkerhetsåtgärder och rutiner för att säkerställa 4. avser känsliga personuppgifter eller uppgifter som skyddet av personuppgifterna) och för att visa att är av mycket personlig karaktär, till exempel sjukhus förordningen efterlevs som lagrar patientjournaler, företag som samlar in • en bedömning och analys av proportionaliteten hos lokaliseringsuppgifter eller banker som hanterar behandlingen i förhållande till syftena. finansiella uppgifter

5. sker i stor omfattning En konsekvensbedömning behövs särskilt när det 6. kombinerar personuppgifter från olika behandlingar är frågan om på ett sätt som avviker från vad de registrerade

rimligen kunnat förvänta sig, till exempel när man • en systematisk och omfattande bedömning av fysiska samkör register personers personliga aspekter som grundar sig på

automatisk behandling (inbegripet profilering) och 7. avser personer som av något skäl befinner sig i ett

på vilken beslut grundar sig som har rättsliga följder underläge eller i beroendeställning och därför är

för fysiska personer eller i betydande grad påverkar sårbara, till exempel barn, anställda, asylsökande,

fysiska personer äldre och patienter

• behandling i stor omfattning av känsliga 8. avser ny teknik eller nya organisatoriska lösningar , till

personuppgifter, personuppgifter som rör fällande exempel en IoT-applikation

domar i brottmål och lagöverträdelser som 9. syftar till att hindra registrerade från att få tillgång

innefattar brott till en tjänst eller ingå ett avtal, till exempel en

• systematisk övervakning av en allmän plats i banks granskning av kunder mot en databas

stor omfattning. för kreditupplysning för att besluta om de ska

erbjudas lån.

IMY har tagit fram en förteckning där mer konkreta

exempel ges på när en konsekvensbedömning När det gäller användning av ny teknik, eller användning

behöver genomföras. av digitala plattformar eller tjänster som vanligen 352

bygger på stora datamängder kan konstateras att en

konsekvensbedömning ofta krävs.

352. Artikel 35.4 dataskyddsförordningen, https://www.datainspektionen.se/globalassets/dokument/beslut/forteckning---konsekvensbedomningar.pdf.

122 IMY | Integritetsskyddsrapport 2020

135

Exempel på behandlingar som kan kräva En konsekvensbedömning kan vara nödvändig för att konsekvensbedömning är behandling av komma fram till vilka risker en tänkt behandling medför personuppgifter i samband med: och för att kunna vidta relevanta åtgärder för att minska dessa risker. • tillhandahållande av sociala medieplattformar eller av smarta hem-produkter där insamling sker av Det bör återigen påpekas att en konsekvensbedömning detaljerade uppgifter om användningen av tjänsten ska genomföras om en behandling sannolikt leder • installation av smarta elmätare hos elabonnenter för till en hög risk för fysiska personers rättigheter att kunna ta fram, överföra och analysera uppgifter och friheter. Om den personuppgiftsansvarige som rör konsumenter på en detaljerad nivå gör bedömningen att behandlingen sannolikt inte leder till en hög risk, finns således inte krav • system för intelligent videoanalys för att skilja ut på att genomföra en konsekvensbedömning. I bilar och automatiskt känna igen registreringsskyltar sådana fall bör dock den personuppgiftsansvarige i syfte att övervaka körbeteendet på motorvägar, motivera och dokumentera anledningarna till att en eller användning av kamerabevakning för att konsekvensbedömning inte utförs och inkludera ett ev. skilja ut registreringsnummer i syfte att debitera dataskyddsombuds synpunkter. parkeringsavgifter • insamling av bland annat lokaliseringsuppgifter Även här ställs krav på uppföljning och den i syfte att använda dessa vid exempelvis stads- personuppgiftsansvarige ska vid behov genomföra en och trafikplanering eller som uppkommer genom översyn för att bedöma om behandlingen genomförs användning av smarta bilar, till exempel för att i enlighet med konsekvensbedömningen. Det ska i utveckla tekniken vart fall genomföras när den risk som behandlingen • användning av välfärdsteknik, till exempel robotar medför förändras. eller kamerabevakning, i människors boenden Det kan sammanfattningsvis konstateras att kraven på • myndigheters service genom digitala plattformar som konsekvensbedömning är höga och träffar stora delar leder till storskalig behandling av personuppgifter av de nya tekniker, appar och systembyten som sker • större förändringar i den tekniska infrastrukturen i teknikutvecklingen. Även om förhandssamråd inte exempelvis inom hälso- och sjukvård eller behövs, fordras i många fall att en konsekvensbedömning social omsorg. har gjorts där dessa ställningstaganden framgår. Det är den personuppgiftsansvarige som har krav på sig att kunna visa att så har skett. Andra exempel på behandlingar som kan kräva konsekvensbedömning rör följande.

• banker eller andra kreditinstitut som fattar automatiserade beslut om en kredit ska beviljas eller inte • omfattande behandling av ekonomiska uppgifter för att kunna lämna ut dessa till andra aktörer för kreditupplysningsändamål • omfattande behandling av uppgifter om kunders tidigare misskötsamhet (en s.k. svart lista) i syfte att avgöra om personen ska få återkomma som kund eller inte • behandling av barns personuppgifter i skolverksamhet eller i social omsorg, om det är ett större antal registrerade.

IMY | Integritetsskyddsrapport 2020 123

136

Krav på förhandssamråd Krav på hantering av

personuppgiftsincidenter

Om en konsekvensbedömning visar att en planerad behandling skulle leda till en hög risk om inte den Det finns omfattande krav på skyndsam hantering om personuppgiftsansvarige vidtar åtgärder för att minska en personuppgiftsincident inträffar. En incident är en risken, har den personuppgiftsansvarige att vidta säkerhetsincident som leder till oavsiktlig eller olaglig åtgärder för att minska risken. Skulle behandlingen, trots förstöring, förlust eller ändring eller till obehörigt röjande vidtagna åtgärder, fortfarande medföra en hög risk för de av eller obehörig åtkomst till de personuppgifter som registrerades grundläggande fri- och rättigheter ska den överförts, lagrats eller på annat sätt behandlats. 355 personuppgiftsansvarige begära förhandssamråd med tillsynsmyndigheten. Förhandssamrådet ska genomföras Vid en personuppgiftsincident ska den innan behandlingen påbörjas. personuppgiftsansvarige skyndsamt och senast inom 353 72 timmar efter att ha fått vetskap om incidenten, Om tillsynsmyndigheten anser att den planerade anmäla den till tillsynsmyndigheten. Incidenter 356 behandlingen skulle strida mot förordningen, och särskilt behöver inte anmälas om det är osannolikt att om den personuppgiftsansvarige inte i tillräcklig mån har personuppgiftsincidenten medför en risk för fysiska fastställt eller reducerat risken, ska tillsynsmyndigheten personers rättigheter och friheter. Om anmälan görs ge den personuppgiftsansvarige (och i tillämpliga fall ett efter 72 timmar ska förseningen motiveras. Det finns personuppgiftsbiträde) skriftliga råd. Tillsynsmyndigheten även bestämmelser om personuppgiftsbiträdens ansvar får i förhandssamrådsförfarandet utnyttja alla för att underrätta den personuppgiftsansvarige. Det utredningsbefogenheter som myndigheten har tillgång till finns också krav på den personuppgiftsansvarige att enligt förordningen. 354 dokumentera alla personuppgiftsincidenter på ett sätt som gör det möjligt för tillsynsmyndigheten att kontrollera För brottsbekämpande myndigheter är kraven på efterlevnaden av bestämmelsen om incidentrapportering. förhandssamråd högre. Om konsekvensbedömningen visar att det finns särskild risk för intrång i registrerades Det finns även en informationsplikt kopplad till personliga integritet eller om typen av behandling innebär incidenthanteringen. Om incidenten sannolikt leder till särskild risk för intrång, ska den personuppgiftsansvarige en hög risk för fysiska personers rättigheter och friheter begära förhandssamråd med tillsynsmyndigheten i ska den personuppgiftsansvarige utan onödigt dröjsmål god tid innan behandlingen påbörjas eller betydande informera den registrerade om personuppgiftsincidenten. förändringar genomförs. Perioden är här sex veckor med möjlighet till förlängning ytterligare sex veckor. Information behövs inte om den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder som tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten (exempelvis om uppgifterna gjorts oläsbara för obehöriga, till exempel genom kryptering, ytterligare åtgärder har vidtagits som säkerställer att den höga risken för registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå eller om informationsplikten skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

353. Artikel 36 dataskyddsförordningen. 355. Artikel 4.12 dataskyddsförordningen. 354. Artikel 58 dataskyddsförordningen. 356. Artikel 33 dataskyddsförordningen.

124 IMY | Integritetsskyddsrapport 2020

137

IMY | Integritetsskyddsrapport 2020 125

138

126 IMY | Integritetsskyddsrapport 2020

139

IMY | Integritetsskyddsrapport 2020 127

140

Detta är Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten arbetar för att skydda medborgarnas alla personuppgifter, till exempel om hälsa och ekonomi, så att de hanteras korrekt och inte hamnar i orätta händer. Det är vi som granskar att företag, myndigheter och andra aktörer följer GDPR – dataskyddsförordningen. Vi utbildar och vägleder dem som behandlar personuppgifter. Vi påverkar även lagstiftningen. Vi vill se en hållbar och integritetsvänlig digitalisering. Vi är övertygade om att det går att värna medborgarnas trygghet och samhällets säkerhet, utan omotiverad kartläggning och övervakning. Tillsammans med övriga dataskyddsmyndigheter i EU arbetar vi för att medborgarnas personuppgifter ska ha samma skydd i hela unionen. Vi arbetar även för att kreditupplysning och inkasso verksamhet ska bedrivas på ett korrekt sätt. Vår vision är ett tryggt informationssamhälle, där vi tillsammans värnar den personliga integriteten.

Kontakta Integritetsskyddsmyndigheten

E-post: imy@imy.se Webb: www.imy.se Tel: 08-657 61 00. Postadress: Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.

141

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 24 mars 2022

Närvarande: statsminister Andersson, ordförande, och statsråden Johansson, Hultqvist, Damberg, Shekarabi, Ygeman, Linde, Ekström, Strandhäll, Eneroth, Dahlgren, Ernkrans, Hallberg, Nordmark, Sätherberg, Thorwaldsson, Gustafsdotter, Axelsson Kihlblom, Elger, Danielsson, Karkiainen

Föredragande: statsrådet Johansson

Regeringen beslutar skrivelse Utvecklingen på it-området när det gäller integritet och ny teknik