Nyheter

Ny rapport i Kahn Pedersens skriftserie

Vi har nu publicerat årets tredje och den sammanlagt elfte rapporten i vår skriftserie. Rapporten behandlar användningen av publika molntjänster i näringslivet. Vår förhoppning är att rapporten ska kunna bidra till en mer nyanserad diskussion och bedömning av användningen av publika molntjänster i näringslivet. Vår bild är att den juridiska debatten om molntjänster i näringslivet annars har präglats av ytterligheter och alltför fyrkantiga resonemang. Vi introducerar också en egen modell för övergripande riskbedömning, den s.k. Folke©-modellen.

Alla rapporter i Kahn Pedersens skriftserie finns att ladda ner kostnadsfritt från vår webbplats.

Länk till rapporten >>

Ny rekommendation om kompletterande skyddsåtgärder vid tredjelandsöverföring

Den Europeiska dataskyddsstyrelsen (EDPB) har publicerat ett utkast till en rekommendation[1] för överföring av personuppgifter till länder utanför EU/EES (tredjelandsöverföringar). Bakgrunden till rekommendationen är EU-domstolens avgörande i Schrems II (se här), vilket sedan sommaren 2020 har skapat stor osäkerhet inom EU när det gäller tredjelandsöverföring och, inte minst, användning av publika molntjänster som medför sådan överföring.

Liksom EU-domstolen i Schrems II placerar EDPB ett stort ansvar på de enskilda organisationer som för ut personuppgifter från EU (eller som använder tjänster som innebär överföring av uppgifter till länder utanför EU). Rekommendationen innehåller bl.a. en checklista för vilka steg personuppgiftsansvariga och personuppgiftsbiträden bör använda vid tredjelandsöverföringar. I det första steget krävs inventering av tredjelandsöverföringar och identifiering av rättslig grund för överföringen (t.ex. standardavtalsklausuler). Därefter krävs alltid en bedömning av skyddsnivån för personuppgifter  i mottagarlandet. Om skyddsnivån i ett visst mottagarland inte bedöms motsvara EU:s skyddsnivå krävs dessutom ”kompletterande skyddsåtgärder”.

EDPB:s rekommendation innehåller ett antal typfall där olika säkerhetsåtgärder beskrivs och bedöms. Det kan konstateras att avtalsmässiga eller organisatoriska åtgärder inte i sig utgör tillräckliga åtgärder för att säkerställa en tillräcklig skyddsnivå för personuppgifter.

När det gäller tekniska skyddsåtgärder drar vi följande preliminära och generella slutsatser:

  1. Det finns enligt EDPB inga effektiva tekniska skyddsåtgärder för tjänster som:
    • Medför att leverantören i ett tredjeland har tillgång till okrypterade personuppgifter i klartext vilket gäller oavsett om kryptering tillämpas vid överföring och vid ”data-at-rest”. Detta torde bl.a. omfatta  SaaS-tjänster som innebär överföring av personuppgifter till USA.
    • Medför fjärråtkomst från tredjeland till personuppgifter lagrade i klartext inom EU. Detta torde bl.a. omfatta många IT-supporttjänster (inklusive kundtjänst) som tillhandahålls genom ”globala” leveransorganisationer utanför EU.
  1. Personuppgifter i klartext får generellt inte överföras via internet i okrypterad form, eller annars göras tillgängliga i klartext till ett tredjeland. Typiskt sett krävs kryptering där leverantören/mottagaren inte har eller enkelt kan skaffa tillgång till krypteringsnyckeln.
  2. Pseudonymisering kan vara en effektiv skyddsåtgärd, under vissa förutsättningar. Detsamma gäller för uppdelning av en personuppgiftsbehandling mellan flera biträden, så att ingen av dem får tillräcklig information för att identifiera fysiska personer.

Slutsatserna ovan är preliminära och bör kompletteras av en rättslig bedömning i det enskilda fallet. EDPB:s rekommendation är preliminär och öppen för synpunkter fram till den 30 november 2020. Den slutgiltiga versionen kommer troligen att innehålla ett flertal ändringar och tillägg.

Vänligen kontakta Johan Kahn eller Daniel Lundqvist om du har frågor om EDPB:s vägledning eller om tredjelandsöverföring av personuppgifter.

_____________________________

[1] Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Adopted – version for public consultations.

En av Sveriges främsta IT-säkerhetsexperter till Kahn Pedersen

André Catry ansluter till Kahn Pedersen som Senior Advisor inom IT-/informationssäkerhet och cyberrisk. André har över 25 års erfarenhet av avancerad offensiv och defensiv cyberriskhantering. Utöver olika uppdrag inom Försvarsmakten, bl. a. inom konceptutveckling för IT-försvarsförbandet, har André varit avdelningsdirektör hos Säkerhetspolisen med operativa uppgifter. André har även lång erfarenhet som senior IT-säkerhetskonsult i bolag han själv grundat och han har anlitats globalt i flera uppmärksammade utredningar och uppdrag. André har även medverkat som teknisk expert i eSams arbete kring förutsättningar för myndigheter att använda molntjänster på ett lagligt och lämpligt sätt.

Som en ledande advokatbyrå inom områdena Digital och Public hanterar Kahn Pedersen uppdrag som i allt större utsträckning involverar bedömningar kring IT-/informationssäkerhet och hantering av cyberrisker. Inte minst i samband med molntjänster och dataskydd krävs mycket hög kompetens inom både juridik och IT-/informationssäkerhet för att kunna göra korrekta och välavvägda bedömningar av de juridiska förutsättningarna på ett konkurrenskraftigt sätt.

”Vi är stolta och glada över att André har valt att börja jobba med oss. André har helt unik kompetens i Sverige när det gäller frågor om cyberrisk och juridisk informationssäkerhet. Vi ser en kraftig ökning av efterfrågan på sådana tjänster från såväl näringslivet som offentlig sektor, ofta med koppling till initiativ för digital transformation. Att kunna erbjuda vår juridiska förmåga i kombination med Andrés kompetens kommer att ge våra klienter de allra bästa förutsättningarna för att på ett lönsamt, kontrollerat och lagligt sätt kunna hantera juridisk informationssäkerhet och digitalisering.” säger Kristian Pedersen, VD på Kahn Pedersen.

Kahn Pedersen återigen Sveriges ledande advokatfirma inom offentlig upphandling, enligt Who’s Who Legal

Kahn Pedersen är även i år den enda svenska advokatfirma som i Who’s Who Legals globala ranking anses vara en ledande advokatfirma i kategorin offentlig upphandling (Government Contracts).

Who’s Who Legal rankar också återigen Kristian Pedersen som en Global Elite Thought Leader, vilket innebär att han anses tillhöra den exklusiva skara på 20 advokater som enligt Who’s Who Legal är världens mest framstående i kategorin offentlig upphandling.

Erik Olsson beskrivs av Who’s Who Legal som ”a formidable public procurement specialist with a strong track record handling procurement issues in Sweden”, och anses vara en av de främsta svenska advokaterna i kategorin offentlig upphandling.

Läs mer >>

Kahn Pedersen söker biträdande jurister

Vi är en topprankad advokatbyrå som är helt specialiserad på områdena Digital och Public. Vi behöver nu utöka våra team och söker jurister som antingen är nyexaminerade eller har något års erfarenhet från t.ex. tingstjänstgöring, advokatbyrå eller som bolagsjurist.

Hos oss får du chansen att bli specialist på riktigt och du kommer ha stor frihet att utforma din egen utveckling och styra över din arbetstid. Vi ger dig den utbildning och coachning som krävs för att arbeta med de mest utmanande och intressanta affärerna inom våra områden. Det kan t.ex. handla om förhandling av komplexa och strategiska IT-avtal eller om juridisk rådgivning inför stora offentliga investeringar. Du behöver inte ha tidigare erfarenhet av denna typ av arbete, det viktiga för oss är stark drivkraft och ambition.

Vi vill ha din ansökan (CV, personligt brev, examensbevis samt relevanta betyg och intyg) så snart som möjligt och senast den 30 november 2020.

Ansökningshandlingar skickas via e-mail till rekrytering@kahnpedersen.se. Frågor angående tjänsten kan ställas till Erik Olsson på 0720 50 92 31. Vi ser fram emot att få träffa dig.

EU-domstolen meddelar vad som gäller för överföring av personuppgifter till USA – Initiala kommentarer

Den 16 juli meddelade EU-domstolen dom i det s.k. Schrems II-målet (C-311/18).

Domen i korthet:

  • ”Privacy Shield” (arrangemanget som många personuppgiftsansvariga baserar överföring av personuppgifter till USA på) upphävs.
  • EU-kommissionens standardklausuler gäller fortsatt som grund för överföring till tredje land.
  • De krav som EU ställer på integritetsskydd kan inte upprätthållas om amerikansk lagstiftning tillämpas.
  • Indirekt innebär domen en bekräftelse av att amerikanska molntjänstleverantörers behandling av personuppgifter kan innebära att sådana leverantörer inte kan lämna tillräckliga garantier för efterlevnad av GDPR.

Konsekvenser:

  • Överföring av personuppgifter som baseras på Privacy Shield måste baseras på en annan grund eller upphöra.
  • Överföringar av personuppgifter till USA som baseras på EU-kommissionens standardklausuler måste analyseras noga för att säkerställa att de i praktiken ger ett tillräckligt skydd för de registrerade alternativt bör sådana överföringar baseras på en annan rättslig grund
  • Användning av molntjänster tillhandahållna av amerikanska leverantörer kommer även fortsatt att kräva grundlig analys och riskbedömning samt korrekt utformade avtal. För viss behandling kommer dessa molntjänster inte att kunna användas i enlighet med GDPR.
  • EU-domstolens tydliggörande av att amerikansk lagstiftning innebär att amerikanska bolag (och deras dotterbolag) inte kan behandla personuppgifter på ett tillräckligt säkert sätt genom att obehöriga (amerikanska myndigheter) kan bereda sig tillgång till uppgifterna bör beaktas vid informationssäkerhetsbedömningar även avseende annan data såsom myndighetsdata och data som är föremål för bank- eller försäkringssekretess.

Vad händer nu?

  • Det första ett företag, organisation eller myndighet bör göra är att inventera vilka överföringar av personuppgifter (eller annan konfidentiell information) till USA som förekommer och vilken grund sådan överföring har.
  • I de fall grunden för överföringen är Privacy Shield måste annan rättslig grund tillämpas eller överföringen upphöra. Om den rättsliga grunden utgörs av EU-kommissionens standardklausuler behöver dessa överföringar analyseras, bl.a. måste det finnas en möjlighet att omedelbart kunna avbryta behandlingen om skyddet för de registrerade inte upprätthålls. Det är bra att vara uppmärksam på att överföring till USA kan ske via molntjänstleverantörer eller underleverantörer samt vid behandling av uppgifter som annars lagras inom EU.
  • Om möjligt bör data lagras inom EU och eventuell behandling utanför EU begränsas till vad som är absolut nödvändigt. Det är en vanlig missuppfattning att de aktuella riskerna i förhållande till amerikanska molntjänstleverantörer elimineras helt genom användning av datacenter inom EU. I praktiken har placeringen av datacenter ingen avgörande betydelse eftersom de amerikanska molntjänstleverantörerna under vissa omständigheter är skyldiga att lämna ut kundens data (och personuppgifter) oavsett geografi och i samband med det överföra uppgifterna till USA.
  • En genomgripande analys kring alternativa grunder för överföringar till USA bör göras. Även avtal med amerikanska molntjänstleverantörer och andra mottagare av personuppgifter bör gås igenom och bedömas i ljuset av den aktuella domen. Kravet på tillräckliga garantier i personuppgiftsbiträdesavtal är ett relativt krav och viss behandling kan under vissa avtalsvillkor vara laglig medan annan behandling under samma villkor kan innebära en överträdelse av GDPR.

Glad sommar!

Advokatfirman Kahn Pedersen önskar alla klienter och samarbetspartners en riktigt glad sommar.

 

Ny artikel i Ny Juridik

Viktor Robertson och Karolina Kjellberg har publicerat en artikel i tidskriften Ny Juridik. I artikeln ges en översikt över Konkurrensverkets förslag om nya bestämmelser rörande tillsynen över offentlig upphandling, och effekterna av dessa. I artikeln redogör författarna för olika aspekter av förslagen och hur vissa remissinstanser uttalat sig.

Läs mer >>

Kahn Pedersen bland de bästa svenska advokatbyråerna inom offentlig upphandling enligt ny ranking från Legal500

Rankinginstitutet Legal500 har nu publicerat 2020 års ranking över juridiska rådgivare i kategorin Public Procurement. Kahn Pedersen rankas bland de bästa svenska advokatbyråerna inom upphandlingsområdet. Kristian Pedersen rankas som Leading Individual, Erik Olsson rankas som Next Generation Partner och Olle Lindberg rankas som Rising Star av Legal500.

Klienter som intervjuats av Legal 500 uppger bland annat att: ”We appreciate the commitment to our goals and interests in all aspects of our cases. We always get quick responses to our questions. The practice has deep knowledge in public procurement and understanding of the conditions we are working in. They are capable of thinking outside the box to create creative solutions to complex situations concerning public procurement law” och att Kahn Pedersen: “Provides answers that can be easily understood by in-house business people. Has insight into a wide range of public procurement areas. You always feel confident as an in-house lawyer that they know what they are talking about.”

Kristian Pedersen kommenterar Legal500:s ranking: “Vi är både glada, stolta och tacksamma över de fina omdömen som våra klienter lämnat, och som lett fram till att vi fått en så framskjuten position i Legal500:s ranking. Vår målsättning är alltid att leverera den bästa juridiska rådgivningen på marknaden, och vi är glada över den positiva feedback som vi får. I sammanhanget vill jag också passa på att framhålla att även om Legal500 valt att särskilt lyfta fram vissa individer hos oss, genom personliga utmärkelser, är det förstås ett hårt och gediget lagarbete från alla medarbetare hos oss som ligger bakom vår fina ranking.”

Läs mer >>

Legal500 rankar Kahn Pedersen i högsta kategorierna inom IT- respektive dataskyddsjuridik

Legal500 rankar Kahn Pedersens verksamheter inom IT- respektive dataskyddsjuridik i de allra högsta kategorierna – Tier 1. Johan Kahn rankas som ”leading individual” på den svenska marknaden inom båda områdena och Daniel Lundqvist, Martin Brinnen och Staffan Malmgren rankas enskilt som ledande rådgivare. Klienter som intervjuats av Legal 500 uppger bland annat att: “Kahn Pedersen is clearly the leading firm for IT and data protection in Sweden”, “Young, fast and unpretentious”, och “Extremely professional”. Johan Kahn kommenterar Legal500:s ranking: “Först och främst är vi väldigt tacksamma över att vi får vara rådgivare åt så fina klienter som vi har och att vi får möjlighet att delta i så många utmanande och roliga projekt. Årets rankingresultat var särskilt intressant då vi på ett mycket tydligt sätt befäster vår ställning som en ledande rådgivare inom den svenska digitaljuridiken. Dessutom tydliggörs vår seniora och tunga kompetens inom dataskyddsjuridiken vilken skiljer ut oss från många andra. Det är väldigt kul att vårt unika erbjudande inom Legal Tech uppmärksammas.”

p n