Besluten är två av de första att implementera Schrems II-domen i praktiken och de väntas bana väg för en mängd beslut från olika tillsynsmyndigheter i liknande ärenden.

– Besluten innebär att det framåt är en högre risk att använda Google Analytics och liknande tjänster som överför data till tredje land. Vissa frågor kopplat till användningen, till exempel IP-anonymisering, prövades dock inte i de nämnda besluten, så en del gråzoner och frågetecken kvarstår, säger Anna Eidvall, delägare på MAQS Advokatbyrå.

Tillsammans med Karin Schurmann, som även hon är delägare på MAQS Advokatbyrå, är hon ansvarig för advokatbyråns specialistgrupp för integritet och dataskydd. De båda bekräftar att dataskyddsfrågan prioriteras allt högre hos byråns kunder, men att vissa verksamheter i ett tidigt skede fortfarande ofta arbetar med grundläggande frågor kring etablering av en dataskyddsorganisation eller framtagning av interna styrdokument.

– Verksamheter som kommit längre arbetar med öppenhet och hur kunder och andra kan informeras på ett juridiskt korrekt och samtidigt användarvänligt sätt. Det handlar även om hur möjligheterna ser ut kring användningen av amerikanska molntjänstleverantörer, gränssnittet AI/dataskydd och spårning på nätet, säger Anna Eidvall.

Den norska tillsynsmyndigheten Datatilsynet (motsvarigheten till IMY i Sverige) gick efter sommaren ut med information om sin internt genomförda bedömning av om huruvida man kunde använda en profilsida på Facebook som en del i sin kommunikationsstrategi. Myndighetens riskanalys landande i att riskerna för individernas fri- och rättigheter var för höga när personuppgifter behandlas via en sådan sida. Datatilsynet ansåg också att det standardavtal som Facebook erbjuder sina kunder inte uppfyller GDPR-kraven vid gemensamt personuppgiftsansvar.Sammantaget bedömde Datatilsynet därför att de inte kunde efterleva regelverket. Myndigheten gick också ett steg längre och uppmanade andra verksamheter att göra på samma sätt.

– Vi uppfattar Datatilsynet som en proaktiv och ansvarstagande myndighet med tydliga rekommendationer, beslut och synpunkter som hjälper verksamheter att bättre kunna följa regelverket. Riskanalysen kring myndighetens användande av en fanpage på Facebook är ett bra exempel på detta, säger Karin Schurmann.

Realtid kunde nyligen avslöja att Stockholms stad stoppar sina verksamheter från att använda Microsofts molntjänst. https://www.realtid.se/stockholms-stad-stoppar-microsofts-molntjanst-problematiskt Hur tänker ni kring möjligheterna att använda molntjänster?

– Det finns inget förbud att använda molntjänster. En bedömning måste göras i varje enskilt fall. Frågor som kan spela in är lagringsplats, varifrån support ges, koncernstruktur, huruvida ”problematisk” lagstiftning är tillämplig i det enskilda fallet och om tekniska, organisatoriska och kontraktuella skyddsåtgärder är möjliga att vidta. Det är också viktigt att komma ihåg att olika verksamheter har en mängd andra faktorer och regelverk att förhålla sig, säger Karin Schurmann.

Vad måste man tänka på kring cookies och spårning på nätet?
– Att spåra användare på nätet kan vara väldigt integritetskränkande och förutsätter att verksamheten genomför komplexa riskbedömningar innan spårningen inleds. Man ska vara medveten om att området är under omfattande tillsyn just nu. Frågor som behöver hanteras är exempelvis utformning av cookiebanners och att man där hämtar in samtycken och informerar på rätt sätt. Den som spåras ska förstå vad som händer, säger Anna Eidvall.

Ni fokuserar också en hel del på artificiell intelligens. Vilka nya användningsområden och regleringar finns kring AI, och hur påverkar de?
– AI är en del av vår vardag. När man gör en sökning i en sökmotor så används AI. Självkörande bilar använder AI för att upptäcka hinder och kunna köra säkert. Beteendebaserad reklam på nätet förutsätter användning av AI, liksom olika ansiktsigenkänningsprogram, säger Karin Schurmann.

– EU har nyligen kommit med förslag till en AI-förordning som är tänkt att gälla i alla länder inom EU. Förslaget innebär att man inrättar ett riskbaserat synsätt på AI och där vissa användningar helt förbjuds. Andra omgärdas av omfattande krav på åtgärder, medan ytterligare andra kan användas relativt fritt. Användandet av AI innebär ofta att personuppgifter hanteras och att GDPR därför blir tillämplig. Inte sällan innebär det svåra frågor och motstridiga krav då AI ofta kräver enorma mängder information och man på förhand inte exakt kan veta vad den ska användas till. GDPR å andra sidan kräver dataminimering och att hanteringen av personuppgifter är kontrollerad och genomtänkt från start. Det finns också lagstiftning på EU-nivå som kortfattat innebär krav på tillgängliggörande av data i större utsträckning och som har påverkan på AI-området, säger Anna Eidvall.

– Det är ett spännande och komplext område som vi följer nära, inte minst genom vårt partnerskap med AI Sweden, Sveriges nationella center med uppdrag att accelerera innovation och forskning inom praktiskt tillämpad artificiell intelligens, säger Karin Schurmann.

Här är Anna Eidvalls och Karin Schurmann tre främsta tips kring dataskydd:

• Ducka inte dataskyddsfrågorna och tänk efter innan.
• Säkerställ att tillräckliga resurser finns och att bedömningar genomförs utifrån verksamhetens egen riskvilja och omständigheter, samt dokumentera det som görs på ett strukturerat sätt.
• Håll koll på om klagomål kommer in till tillsynsmyndigheten då den tillsyn som inleds i stora delar är klagomålsstyrd.