Hur kan man agera om en underkonsult, som orsakat skada i en entreprenad, går i konkurs?

I totalentreprenad ansvarar totalentreprenören i förhållande till beställaren för projektering och utförande. Det är vanligt förekommande att entreprenören i projekteringsdelen anlitar en konsult. Projektering utförs i syfte att objektet skall uppfylla avtalad funktion. Inte sällan ingår konsulten och totalentreprenören avtal om att Allmänna Bestämmelser för konsultuppdrag inom arkitekt- och ingenjörsverksamhet av år 2009, ABK 09, ska tillämpas.

Efter projekteringsarbetet har slutförts visar det sig ibland att konsulten utfört ett felaktigt arbete, varför en skada i entreprenaden har uppstått. Det är inte ovanligt att konsulten kort därpå går i konkurs. Frågan är vad som gäller då?

Enligt kap. 5 § 10 ABK 09 skall konsulten ha en konsultansvarsförsäkring. Om det med anledning av en felaktig projektering uppstår en skada och konsulten har gått i konkurs har entreprenören samma rätt som konsulten i förhållande till konsultens försäkringsbolag. Med detta menas att entreprenören har rätt att rikta krav, med anledning av skadan, direkt mot konsultens försäkringsbolag (9 kap. 7 § försäkringsavtalslagen, se även Högsta domstolens dom den 27 mars 2023, målnummer T 448-22).

Entreprenören skall dock beakta vissa tidsfrister för att inte förlora rätten till försäkringsskyddet. Av 8 kap 20 § tredje stycket försäkringsavtalslagen framgår att den som gör gällande anspråk på försäkringsersättning eller annat skydd måste anmäla det inom viss tid och att den tidsfristen inte får vara kortare än ett år från tidpunkten när det förhållande som enligt försäkringsavtalet berättigar till försäkringsskyddets inträdde. Görs inte sådan anmälan går rätten till försäkringsskydd förlorad (Högsta domstolens dom den 27 mars 2023, målnummer T 448-22).

Har du frågor kring ovan eller behöver du hjälp? Kontakta oss på Freja Partner.

Artikel författad av

Kristoffer Lipinski, jurist Freja Partner

Bakgrundsbeskrivning

Den 2 oktober 2019 infördes nya regler i jordabalkens 12 kapitel, även benämnt som hyreslagen. Det nya regelverket skulle ge hyresvärdar i landet mer konkreta verktyg för att komma åt, men även avskräcka, missbruk av hyresrätter såsom ockerhyror på andrahandsmarknaden och svarthandel med hyreskontrakt.[1] I samband med att de nya reglerna trädde i kraft gick media ut med alarmerande uppgifter om att hyresgäster som olovligen hyrde ut sina lägenheter i andra hand kunde hamna i fängelse i samband med den nya lagstiftningen. En del hyresvärdar valde i stället att informera sina hyresgäster om hur de nya reglerna påverkade andrahandsuthyrningen. [2]

I oktober 2023 har de nya reglerna om andrahandsuthyrning varit gällande i fyra års tid. Trots det förekommer det viss osäkerhet vilka steg som hyresvärden ska vidta vid en olovlig andrahandsuthyrning. I flertalet ärenden vid olovlig andrahandsuthyrning finns vidare mer ekonomiskt försvarbara åtgärder för en hyresvärd att vidta.

Den här artikeln är avsedd att ge allmänna tips och upplysningar för hyresvärdar i samband med att denne misstänker att en hyresgäst utan samtycke hyr ut sin bostadslägenhet i andra hand. Artikeln berör inte vad som gäller om hyresgästen tagit ut oskälig hyra i andra hand, vilken rättslig grund hyresvärden bör göra gällande eller i vilka fall en hyresgäst kan bli dömd till fängelse.

Steg 1: Utredning

Hyresvärden kan på många sätt få information om att en lägenhet hyrs ut olovligen i andra hand. Vanligt förekommande är att grannar hör av sig för att det är mycket rörelse i huset. Det är inte heller ovanligt att hyrorna betalas av någon okänd. I andra fall kan även Skatteverket registrerat att förstahandshyresgästen är utvandrad men att andra personer är folkbokförda på lägenheten. Listan kan således göras lång.

I samband med att det kommer till hyresvärdens kännedom att det eventuellt förekommer en olovlig andrahandsuthyrning rekommenderas hyresvärden alltid att komplettera det underlag som väl finns ur bevissäkringssyfte. Det kan göras genom att prata med grannar, gå igenom folkbokföringsunderlag men även genom att besöka den aktuella lägenheten.

Steg 2: Åtgärder när olovlig andrahandsuthyrning konstaterats

Hyresavtal som ingåtts innan 2019 kräver fortsatt att hyresvärden vidtar åtgärder i form av att skicka en rättelseanmodan till hyresgästen vid misstanke om olovlig andrahandsuthyrning. Hyresgästen har därefter en kortare frist att tillse att den olovliga andrahandsuthyrningen upphör, eller ansöker om tillstånd för upplåtelsen, dvs vidtar rättelse. Om så inte sker, kan hyresvärden säga upp avtalet till förtida upphörande på grund av förverkande.

För hyresavtal som ingåtts efter oktober 2019 har hyresgästen inte längre möjligheten att vidta rättelse. Utgångspunkten är då att hyresrätten är förverkad och innebär att hyresgästen ska flytta omedelbart. Problematiken som uppstår i de flesta fall är att hyresgästen inte sällan bestrider att denne olovligen hyrt ut lägenheten i andra hand, vilket föranleder att hyresvärden får vända sig till tingsrätten eller hyresnämnden för att få ärendet prövat innan dess Kronofogden kan kontaktas för verkställighet.

Steg 3: Taktiska överväganden

Problematiken med hyresrättslagstiftningen är att vissa tvister hanteras av tingsrätten medan andra hanteras av Hyresnämnden. Förverkandetvister hanteras som utgångspunkt i tingsrätt, medan så kallade förlängningstvister hanteras hos Hyresnämnden.[3]

En hyresvärd har två alternativ som står till buds vid en olovlig andrahandsuthyrning. Denne kan välja att stämma in hyresgästen för olovlig andrahandsuthyrning i domstol. Denne kan också välja att hänskjuta en tvist till Hyresnämnden som en förlängningstvist. Allmän domstol tar oftast längre tid att handlägga för tingsrätterna, medan Hyresnämnderna vanligtvis har kortare ledtider. Hyresvärden riskerar att svara för motpartskostnader i det fall denne förlorar förverkandetvisten i tingsrätten, medan hyresvärden endast svarar för sina egna ombudskostnader även om Hyresnämnden inte anser det styrkt att en olovlig andrahandsuthyrning förekommit.

Utöver kostnadsperspektivet skiljer sig även förverkandetvisten och förlängningstvisten sig åt vad gäller vilken uppsägningstid hyresgästen har om hyresvärden vill säga upp avtalet på grund av olovlig andrahandsuthyrning. I tingsrätten gäller att hyresavtalet sägs upp till omedelbart upphörande, medan en förlängningstvist förutsätter att hyresvärden iakttar uppsägningstiden på hyresavtalet. Uppsägningstiden är vanligtvis tre (3) månader. Det hyresvärden bör beakta, i synnerhet i det fall denne vill driva tvisten i tingsrätten, är att avtalet likväl kommer vara gällande till dess en dom har avkunnats.

Sammanfattning

Det har i viss mån förenklats för hyresvärden att vidta åtgärder i samband med att det förekommer olovliga andrahandsuthyrningar efter lagändringarna år 2019. En hyresvärd bör dock alltid beakta att det inte är så enkelt som att denne kan skicka en uppsägning till hyresgästen utan att hyresvärden har fog för sitt påstående. Hyresvärden bör därför alltid utreda misstankarna om olovlig andrahandsuthyrning närmre innan denne beslutar sig för att vidta rättsliga åtgärder. Ur ett processekonomiskt perspektiv bör hyresvärden även beakta fördelen med att driva ett ärende om olovlig andrahandsuthyrning i Hyresnämnden mot bakgrund av att handläggningstiden vanligtvis är snabbare än i tingsrätten, samt att kostnaderna stannar vid egna ombudskostnader som huvudregel.

För att summera det i en enklare checklista kan hyresvärden beakta följande:

Steg 1: Utred omständigheterna mer noggrant. Nöj dig inte med ett utdrag ur folkbokföringsregistret, till exempel!

Steg 2: Kontrollera när hyresavtalet ingicks för att bedöma om hyresgäst ska få en rättelseanmodan översänd eller om en uppsägning kan översändas direkt.

Steg 3: Om hyresgästen bestrider att andrahandsuthyrning har skett, eller inte hörs av, får hyresvärden bedöma om det är bäst att hantera en tvist i tingsrätt eller Hyresnämnd.

Freja Partner bistår gärna hyresvärdar i samband med att denne vill vidta åtgärder mot olovlig andrahandsuthyrning, eller i övrigt vad berör hyresrättsliga spörsmål i stort.

Artikel författad av

Sofia Tegel, jurist Freja Partner

[1] Prop 2018/19:107 s 1

[2] Notera dock att det nya regelverket gäller för hyresavtal som ingåtts efter ikraftträdande.

[3] Notera att både hyresvärden och hyresgästen har möjlighet att överklaga tingsrättens dom eller hyresnämndens beslut till hovrätt.

Ett av de första tecknen på att marknaden börjar gå mot sämre tider är att ens kunder tenderar att ta längre tid på sig att betala och att antal fordringar ökar.

Har man inte haft så stora utmaningar med obetalda fakturor tidigare så är det ofta svårt att veta hur man ska agera. Bara att ringa och påminna kan kännas obekvämt, och än mer avlägset att koppla på inkasso eller skicka ett kravbrev.

Orsaken till denna osäkerhet grundar sig allt som oftast i en rädsla att förlora en god kundrelation. Istället väntar man, hoppas på det bästa, eller på sin höjd skickar ett försiktigt mejl.

Det vi på Freja Partner med bestämdhet kan säga är att det aldrig är fel att följa upp en förfallen faktura, ju förr desto bättre. Genom att ha tydliga rutiner på hur man agerar vid en förfallen faktura påvisar man snarare ett gott affärsmannaskap än att det skulle leda till sämre kundrelationer. För de flesta är det också avgörande att få betalt i tid för att man själv ska kunna betala sina egna fakturor. Att agera för sent tenderar ofta att skapa negativa likviditetsspiraler.

Med det sagt så finns det givetvis olika sätt att gå tillväga. Förenklat kan man dela in processen i fyra segment:

1. Påminnelse

2. Inkassokrav

3. Betalningsföreläggande till KFM

4. Stämning

Vilket steg som är rätt att ta varierar från fall till fall, beroende på omständigheter såsom förseningstid och belopp. Man bör även kontrollera om det ligger andra hinder till grund för utebliven betalning.

Freja Partner är vana vid att stötta upp små- till medelstora företag i precis dessa frågor. Vi gör det på ett personligt sätt och utefter era ambitioner, men självklart med en tydlig rekommendation i hur vi anser att just ert fall bör hanteras.

Vill ni veta mer om hur vi kan hantera just er situation? Hör av er till oss så berättar vi mer, vi gör även en helt kostnadsfri analys av ert ärende innan vi sätter igång processen.

För en mer utförlig beskrivning om hur man kan agera vid obetald faktura så läs vår jurist Simon Konneus artikel på ämnet här:

JURISTEN FÖRKLARAR – Hur går jag tillväga när min kund inte betalar? – Freja Partner

Hösten är en tid som ofta präglas av rekryteringsprocesser. I många processer önskar företag och arbetsgivare att genomföra en så kallad bakgrundskontroll. Men vad innebär egentligen en bakgrundskontroll och vad behöver man tänka på, samt vilka är de specifika kraven och förfarandena som måste följas?

Rekrytering av nya medarbetare är en kritisk process för de flesta företag. Otillräcklig information om en arbetssökande kan leda till oönskade kostnader vid felrekryteringar och kan också utgöra en risk för arbetsgivarens varumärke.

En bakgrundskontroll i en rekryteringsprocess syftar normalt till att verifiera och utvärdera en sökandes tidigare arbets- och utbildningshistorik, referenser och andra relevanta faktorer. Syftet med en bakgrundskontroll är att säkerställa att den sökande har den erfarenhet, kompetens och pålitlighet som krävs för den aktuella tjänsten och att minimera risken för oärliga ansökningar eller olämpliga kandidater.

Många rekryteringsprocesser fokuserar ofta på att genomföra omfattande bakgrundskontroller av kandidaterna. Det är dock viktigt att inte överskrida gränserna och följa vad som framgår av lag.

Bakgrundskontroller kan inkludera följande komponenter:

• Arbetsreferenser: Arbetsgivare kan kontakta tidigare arbetsgivare för att verifiera den sökandes arbetsupplevelse och prestationer. Detta inkluderar ofta att fråga om arbetsperioder, arbetsuppgifter och hur den sökande fungerade i tidigare roller.
• Utbildningsverifikation: Arbetsgivare kan verifiera den sökandes utbildning genom att kontakta lärosäten eller skolor där den sökande påstår sig ha studerat. Detta syftar till att säkerställa att den sökande har de nödvändiga akademiska kvalifikationerna.
• Kriminell bakgrundskontroll: Vissa arbetsgivare kan genomföra kriminella bakgrundskontroller för att säkerställa att den sökande inte har en brottslig historia som kan vara relevant för tjänsten. Detta görs oftast när det finns lagliga krav eller säkerhetskrav som måste uppfyllas.
• Kreditkontroll: Vissa arbetsgivare kan utföra kreditkontroller på sökande, särskilt om tjänsten involverar hantering av ekonomiska resurser eller finansiella ansvar.
• Sociala medier och online-aktivitet: Vissa arbetsgivare kan granska den sökandes sociala medier och online-aktivitet för att få en uppfattning om deras personlighet och professionalism.

Det är i dessa sammanhang viktigt att notera att GDPR (eller Dataskyddsförordningen) sätter begränsningar på vilka personuppgifter ert företag kan behandla när det gäller en kandidat, eftersom inte all information är relevant eller laglig att samla in.

Som arbetsgivare är det vidare viktigt att noggrant överväga följande frågor innan beslutet om en bakgrundskontroll fattas.

1. Laglig grund: Vilken rättslig grund finns för att samla in personuppgifterna?

Enligt GDPR finns det sex rättsliga grunder för behandling av personuppgifter. Privata företag, föreningar och organisationer i privat verksamhet kan främst använda sig av fyra olika rättsliga grunder: samtycke, avtal med den registrerade, rättslig förpliktelse och intresseavvägning.

Det är viktigt att alltid fastställa den lagliga grunden innan behandlingen av personuppgifter inleds. Detta är en avgörande del av processen eftersom det ger de berörda individerna rätten att få information om den exakta juridiska grunden för behandlingen av deras personuppgifter. Därför måste den personuppgiftsansvarige tydligt fastställa denna grund innan insamlingen av uppgifterna påbörjas. Vidare måste även den berörda individen informeras innan en bakgrundskontroll genomförs, och det är viktigt att kandidaten ges möjlighet att avbryta ansökningsprocessen om så önskas.

Reflektera över följande: utgör maktförhållandet mellan rekryteraren och den som rekryteras ett hinder för att erhålla ett giltigt samtycke?

1. Syfte och proportionalitet: Finns det ett legitimt syfte, och är kontrollen proportionerlig i förhållande till detta syfte? Är den insamlade informationen relevant och adekvat?

Den information som kan samlas in under en rekryteringsprocess varierar beroende på den specifika tjänst som kandidaten ansöker om. Det är av högsta vikt att genomföra en riskbedömning för den aktuella tjänsten, eftersom detta kan påverka nivån av kontroll som bör tillämpas.

Reflektera över följande: Är omfattningen av bakgrundskontrollen lika för en specialisttjänst som för en roll med begränsat ansvar och hur bedömer man risken?

Andra frågor som arbetsgivaren ska överväga är vem inom företaget ska ha befogenhet att genomföra bakgrundskontroller? Vilka personuppgifter är det tillåtet att samla in (uppgifternas omfattning)? Vilka källor kommer användas för att hämta informationen? Tänk på befattningens natur och hur det kan påverka kontrollens omfattning. När ska personuppgifterna som har behandlas under rekryteringens gång raderas? Hur vill ni att kandidaten ska informeras om den kommande bakgrundskontrollen? Har ni rutiner eller en plan för genomförandet och hanteringen av bakgrundskontrollen?

Sociala medier och Google-sökningar

Det finns många aspekter att beakta under en rekryteringsprocess. Ett växande intresse ligger på kandidaternas digitala närvaro, och det är alltmer vanligt att det utförs Google-sökningar som en del av rekryteringsprocessen. Det kan potentiellt ge en bättre helhetsbild av personen att granska deras beteende online. Frestelsen att granska kandidater via sociala nätverk är stark, men risken är att den insamlade informationen kan vara irrelevant för ändamålet och därmed ofta betraktas som av rent privat karaktär. Ett potentiellt problem med att granska kandidater genom deras sociala nätverksprofiler är att gränsen mellan vad som är personligt och privat kan bli suddig och svårdefinierad. Dessutom finns det en risk att du medvetet eller omedvetet förvrider din uppfattning av kandidaten, vilket kan leda till diskrimineringsproblem. Naturligtvis kan en granskning av kandidatens LinkedIn-profil vara både berättigad och relevant, med tanke på den starka kopplingen till arbetslivet och kan därmed anses som relevant – om det görs rätt.

Reflektera över det följande: kommer informationen du hittar online påverka ert beslut?

Belastningsregister

Under rekryteringsprocessen har en ökande andel kandidater blivit ombedda att presentera ett utdrag från belastningsregistret. Är ni medvetna om att det normalt sett är otillåtet att behandla information om brott och att uppgifter från belastningsregistret inte får lagras, kopieras eller nedtecknas enligt regelverket?

Kontrollera risken och skapa en trygghet i ditt företag

Bakgrundskontroller utgör en förebyggande åtgärd som kan bidra till att säkerställa att era anställda är pålitliga och lojala gentemot företaget. Felrekryteringar kan vara kostsamma, och likaså kan felaktiga bakgrundskontroller vara det. Det är därför av stor betydelse att genomföra dessa kontroller korrekt och professionellt för att minimera riskerna och säkerställa en säker och effektiv arbetsstyrka.

Överlåtande av hanteringen av en bakgrundskontroll till en extern part innebär inte att ni kan undvika att följa GDPR (Dataskyddsförordningen). Källan till informationen som används för bakgrundskontrollen är oavsett ursprung fortfarande en hantering av personuppgifter. Det räcker med att informationen läses från en skärm för att det ska klassificeras som en personuppgiftsbehandling och därför måste överensstämma med GDPR.

Genom att etablera klara rutiner för hur bakgrundskontroller ska genomföras för era anställda, försäkrar ni att ert företag följer de krav som fastställs i GDPR. Tydliggör vilken laglig grund ni använder för att samla in personuppgifter och definiera vem inom företaget har tilldelats befogenheter att genomföra bakgrundskontroller. Klargör vilka personuppgifter som kan inhämtas beroende på den aktuella tjänsten som ska tillsättas och fastställ en tidslinje för är personuppgifterna ska raderas och förklara hur ni planerar att kommunicera med och informera kandidaten om hela processen. Arbetsgivare bör även vara försiktiga med att använda information från bakgrundskontroller på ett diskriminerande sätt och bör allt se till att de behandlar alla sökande rättvist och lika.

Slutligen är det viktigt att inte förbise konsekvensbedömningen som är en integrerad del av bakgrundskontroller under rekryteringsprocessen. Konsekvensbedömningen bör genomföras före den planerade personuppgiftsbehandlingen och utgör en process för att identifiera eventuella risker relaterade till hanteringen av personuppgifter. Det skapar ett underlag så att ni kan fatta ett beslut och vidta åtgärder för att minimera sannolika integritetsrisker och dess konsekvenser. Det är därför viktigt att påbörja konsekvensbedömningen så tidigt som möjligt och integrera den som en del av utvecklingsprocessen.

När man utför en konsekvensbedömning inför den planerade personuppgiftsbehandlingen så finns det fyra frågor att ta hänsyn till.

1. Vad är ändamålet med den planerade personuppgiftbehandlingen?

Det är viktigt här att man även beskriver om det enbart är en planerade personuppgiftsbehandlingen eller om det finns flera som har samband med varandra.

2. Är behandlingen nödvändig och proportionerlig i förhållanden till ändamålet?

Det innebär att det bör göras en avvägning mellan två faktorer: å ena sidan den enskilda individens personliga integritet och å andra sidan behovet av att behandla de aktuella uppgifterna. För att behandlingen ska vara proportionerlig bör fördelarna med behandlingen vara större än de risker den kan medför.

3. Vad är riskerna för kandidaternas fri och rättigheter?

Ni måste noga överväga och sätta i samband de upptäckta integritetsriskerna med hur de kan påverka den enskilda individen, särskilt när behandlingen potentiellt kan ge upphov till problem såsom diskriminering, identitetsstöld, bedrägeri, ekonomiska förluster, skadat rykte, eller förlust av konfidentialitet gällande känsliga och förtroliga uppgifter som omfattas av sekretessavtal och liknande åtaganden.

4. Vilka planerade åtgärder avser ni att implementera för att hantera riskerna och säkerställa efterlevnad av dataskyddsförordningen?

Här är det viktigt att ni ger en övergripande motivering och beskrivning av de administrativa och tekniska skyddsåtgärder som är planerade att införas.

Är ni osäkra på hur ni gå till väga? Ta gärna hjälp och råd av oss på Freja Partner i dessa processer.

Artikel författad av

Solmaz Begdjani Blomquist

Artikel 45 Dataskyddsförordningen

Enligt Dataskyddsförordningen får överföringar av personuppgifter överföras till tredje land enbart om vissa förutsättningar är uppnådda. En av dessa förutsättningar stadgas i Artikel 45 i Dataskyddsförordningen. EU-kommissionen måste ha fattat ett beslut om adekvat skyddsnivå för tredje landet i fråga för att personuppgifter lagligen kan överföras utan att behöva vidta ytterligare skyddsåtgärder såsom användande av standardavtalsklausuler (SCC) i enlighet med Artikel 46 i Dataskyddsförordningen. En adekvat skyddsnivå innebär att tredje landet i fråga har en tillräckligt hög skyddsnivå, likvärdig den för medborgare inom Europeiska unionen.

Det har tidigare funnits ramverk som har tillåtit överföring av personuppgifter mellan EU och USA – Safe Harbour-avtalet och Privacy Shield-avtalet – men de båda har ogiltigförklarats av EU-domstolen genom Schrems I- och Schrems II-domen. Ramverken ansågs inte medföra tillräckligt skydd vid överföring av personuppgifter till USA på grund av den amerikanska underrättelselagstiftningen.

EU-kommissionens nya adekvansbeslut för USA

Den 10 juli i år antog EU-kommissionen ett nytt adekvansbeslut för USA som möjliggör överföring av personuppgifter från EU till USA. Trots detta adekvansbeslut krävs det dock att mottagaren av personuppgifter i USA, exempelvis företaget eller organisationen, även måste certifiera sig under adekvansbeslutet, anmäla detta till det amerikanska handelsdepartementet och ha tagits upp på deras särskilda lista för att omfattas av ramverket EU-US Data Privacy Framework. Företaget i fråga måste därmed följa kraven på exempelvis att radera personuppgifter när de inte längre är nödvändiga för det syfte för vilket de samlades in för och kunna erbjuda de registrerade rätten till tillgång av insamlade personuppgifter. I praktiken innebär ovan sagda att det kan komma att dröja innan beslutet helt kommer att börja tillämpas.

För att förtydliga så möjliggör inte adekvansbeslutet överföringar till USA generellt. Överföringar till företag i USA som inte omfattas av ramverket EU-US Data Privacy Framework kommer inte kunna stödja sig på beslutet om adekvat skyddsnivå och det kommer således krävas att dessa företag fortsättningsvis vidtar ytterligare skyddsåtgärder för att kunna få överföra personuppgifter till USA.

Adekvansbeslutet kommer framöver att vara föremål för regelbundna översyner för att kontrollera om alla delar har genomförts fullt ut och är effektiva i praktiken. Dessa översyner kommer genomföras av EU-kommissionen tillsammans med EU:s medlemsstater samt företrädare för EDPB (den europeiska dataskyddsstyrelsen). Den första översynen kommer att äga rum inom ett år efter det att beslutet om adekvat skyddsnivå trädde i kraft.

Överklagande av adekvansbeslutet

Som förutspåtts har organisationen noyb (none of your business) med ordföranden Max Schrems redan meddelat att de kommer att utmana EU-kommissionens beslut och har anfört att det nya ramverket EU-US Data Privacy Framework är en kopia av Privacy Shield-avtalet och att det inte skett någon väsentlig förändring av USA:s övervakningslagstiftning, vilket måste ändras på för att få ramverket att fungera. Enligt noyb skulle ett överklagande kunna tas upp av EU-domstolen i början av 2024. EU-domstolen har då en möjlighet att ogiltigförklara ramverket EU-US Data Privacy Framework så som de gjort tidigare med Safe Harbour-avtalet och Privacy Shield-avtalet, men detta återstår att se.

Författat av

Zandra Larsen, jurist och dataskyddsamordnare på Freja Partner

Artificiell intelligens (AI) har blivit en alltmer integrerad del av vår värld, med applikationer som sträcker sig från röstassistenter och självkörande bilar till avancerade medicinska diagnossystem. Med den snabba utvecklingen och ökande användningen av AI har frågor om etik, ansvar och integritet väckts. För att hantera dessa frågor och säkerställa en sund användning av AI har Europeiska unionen tagit initiativ till att införa den så kallade ”AI-förordningen”.

Europaparlamentet har nu den 14 juni godkänt förslaget till AI-förordning (AI Act) med en stark majoritet om 499 ledamöter. 28 ledamöter röstade emot och 93 ledamöter lade ned sina röster. Med Europaparlamentets godkännande så ska nu förslaget tas upp till förhandling mellan EU-kommissionen, Europaparlamentet och EU:s ministerråd för vidare behandling. Om förslaget går igenom även här så hade det blivit världens första samlade lagstiftning för AI.

AI-förordningen är ett regelverk som syftar till att skapa en harmoniserad ram för användningen av AI inom EU. Den har utformats för att balansera innovation och teknisk utveckling med skyddet för medborgarnas rättigheter och värden. Målet är att främja tillförlitlighet och ansvarighet hos AI-system samtidigt som man undviker oönskade konsekvenser och missbruk.

Viktiga delar i AI-förordningen:

Klassificering av AI-system: Förordningen fastställer fyra olika riskkategorier för AI-system baserat på deras potentiella farlighet och användningsområden. Detta hjälper till att anpassa regleringen till risknivån och säkerställa att högrisk-AI-system följer strängare krav och genomgår nödvändiga bedömningar innan de kan användas.

Förbud och begränsningar: Vissa typer av AI-system som anses vara särskilt farliga eller som kan kränka grundläggande rättigheter förbjuds eller begränsas genom förordningen. Detta inkluderar system som används för massövervakning, social poängsättning och manipulering av användare genom subtila tekniker.

Dataskydd och transparens: Förordningen sätter upp strikta regler för hantering av data som används av AI-system. Användare måste informeras om hur deras data kommer att användas, och det krävs att AI-systemen är transparenta och kan förklara sina beslut.

Ansvar och övervakning: Förordningen fastställer tydliga ansvarsförhållanden för AI-systemens prestationer och eventuella skador de kan orsaka. Den inrättar också en europeisk AI-styrelse för övervakning och samarbete mellan medlemsländerna.

Trots att AI-förordningen har välkomnats som ett betydelsefullt initiativ för att reglera AI, har den också mött viss kritik från olika håll. Nedan följer några av de vanligaste kritikpunkterna:

1. Begränsar innovation: AI-förordningen kan anses hämma innovation och teknisk utveckling genom att införa för strikta regler och hinder för företag och startups. Det kan alltså anses finnas risk för att överdrivna regler kan begränsa möjligheten att experimentera och utforska nya idéer.
2. Brist på flexibilitet: Vissa opponenter anser att förordningen inte är tillräckligt flexibel för att hantera snabbt föränderlig teknik. De menar att AI-utvecklingen går i en sådan takt att regler som fastställs idag kan vara föråldrade och oförmögna att hantera framtidens AI-utmaningar.
3. Byråkrati och komplexitet: Förordningen har kritiserats för att vara för byråkratisk och komplex, vilket kan göra det svårt för mindre företag och organisationer att följa reglerna. Detta kan särskilt vara en utmaning för startups och mindre aktörer som kanske inte har resurserna att uppfylla de krav som ställs.
4. Svårt att genomföra och handhava: Kritiker ifrågasätter om det kommer att vara möjligt att genomföra och handha AI-förordningen effektivt. Det finns farhågor om brist på enhetlighet och samordning mellan medlemsländerna, vilket kan leda till ojämlik tillämpning och tolkning av reglerna.
5. Begränsad global räckvidd: Eftersom AI-förordningen är specifik för Europeiska unionen finns det farhågor om att den kan skapa ett hinder för globalt samarbete och standardisering inom AI. Kritiker menar att det är viktigt att sträva efter en bredare internationell överenskommelse och harmonisering av AI-regler för att undvika fragmentering och hinder för global innovation.

Det är viktigt att notera att dessa kritikpunkter inte nödvändigtvis förkastar behovet av reglering, utan snarare betonar vikten av att utforma en balanserad och flexibel reglering som främjar innovation samtidigt som den skyddar medborgarnas rättigheter och värderingar.

AI-förordningen är ett betydelsefullt steg framåt när det gäller att reglera användningen av artificiell intelligens. Genom att fastställa riktlinjer och skyddsåtgärder för AI-system syftar förordningen till att främja innovation samtidigt som den skyddar människors rättigheter och värden. Det är en del av en bredare global diskussion om hur vi kan maximera AI:s fördelar samtidigt som vi minimerar riskerna och bevarar våra grundläggande värderingar. Med AI-förordningen har Europeiska unionen tagit ett viktigt steg mot att skapa en balanserad och etisk användning av AI i vår framtid.

Förresten, denna artikel har skrivits av chattroboten ChatGPT – ett exempel på generativ AI som tillhandahålls av företaget OpenAI – och kvalitetssäkrats av mig.

Med vänliga hälsningar

Edward Strömstedt, jurist Freja Partner

De fyra bokstäverna G, D, P, och R – vad får dessa dig att känna?

Vi tror vi vet att du ofta slutar läsa, vill backa undan och helst inte vill lyssna när dessa bokstäver kommer upp till ytan. Vi förstår det.

GDPR, the General Data Protection Regulation – Dataskyddsförordningen, är en komplex förordning som skapar många huvudbry hos våra kunder och det är inte något man ska sopa under mattan. Vårt råd är dock att försöka välkomna GDPR med ett öppet sinne, så kommer arbetet med dess efterlevnad förhoppningsvis bli mycket lättare och roligare för er. Ni undgår även de höga sanktionsavgifter som eventuellt kan dömas ut om ni inte är GDPR-compliant och uppfyller GDPR:s alla krav.

För att göra detta med GDPR lite mer begripligt ska vi nedan försöka förklara vad du mer konkret behöver göra för att vara GDPR-compliant. Detta utifrån och beroende av vilken roll du har – rollen som Personuppgiftsansvarig eller rollen som Personuppgiftsbiträde.

Personuppgiftsansvarig eller Personuppgiftsbiträde?

Den kortfattade skillnaden mellan en Personuppgiftsansvarig och ett Personuppgiftsbiträde är att den Personuppgiftsansvarige är den som bestämmer ändamålen och medlen med behandlingen av personuppgifterna, medan Personuppgiftsbiträdet är den som behandlar personuppgifter för den Personuppgiftsansvariges räkning. Arbetsgivare är således Personuppgiftsansvarig för att den behandlar personuppgifter om sina anställda och företag är Personuppgiftsansvarig för den personuppgiftsbehandling den gör om sina kunder.

Både den Personuppgiftsansvarige och Personuppgiftsbiträdet har skyldigheter enligt GDPR. Den Personuppgiftsansvarige har det huvudsakliga ansvaret och de huvudsakliga skyldigheterna, vilka den inte kan avhända sig ens till ett Personuppgiftsbiträde. Den Personuppgiftsansvarige kan dock ställa krav på Personuppgiftsbiträdet i ett Personuppgiftsbiträdesavtal avseende hanteringen av personuppgifterna som hanteras av Personuppgiftsbiträdet för Personuppgiftsansvariges räkning. Detta avtal är vad som brukar förkortas med PUB-avtal eller på engelska DPA.

Personuppgiftsbiträdesavtal (PUB-avtal eller DPA)

När personuppgifter behandlas av ett Personuppgiftsbiträde ska hanteringen regleras genom ett avtal där ansvarsfördelningen mellan den Personuppgiftsansvarige och Personuppgiftsbiträdet framgår. Detta avtal måste upprättas skriftligen samt signeras av firmatecknaren för båda företagen. Det är den Personuppgiftsansvarige som ansvarar för att ett Personuppgiftsbiträdesavtal upprättas och finns på plats. Personuppgiftsbiträdet får endast behandla personuppgifter enligt de dokumenterade instruktionerna som anges i Personuppgiftsbiträdesavtalet och inte utifrån egna ändamål. Det är således av stor vikt att instruktionen är tydlig och välbeskriven. Frågorna om vad som är syftet med Personuppgiftsavtalet och vad som är ändamålet med behandlingen måste klargöras. I Personuppgiftsbiträdesavtalet ska den Personuppgiftsansvariges ansvar för att de grundläggande principerna i artikel 5 GDPR efterlevs förtydligas. Det är således den Personuppgiftsansvarige som måste se till att det finns en laglig grund för behandlingen (dessa är samtycke, fullgöra ett avtal, fullgöra rättslig förpliktelse, skydda grundläggande intressen, utföra uppgift av allmänt intresse eller led i myndighetsutövning eller berättigade intressen).

Personuppgifter får enbart behandlas specifikt för det angivna ändamålet och inga därmed oförenliga ändamål (principen om ändamålsbegränsning) och personuppgifternas behandling ska vara adekvata och relevanta i förhållande till ändamålet (principen om uppgiftsminimering). Det åligger den Personuppgiftsansvarige att vidta alla rimliga åtgärder för att se till att personuppgifterna hålls uppdaterade och korrekta. Om den Personuppgiftsansvarige får reda på att personuppgifterna är inkorrekta måste den se till att vidta rättelse (principen om riktighet). Personuppgifter får enbart sparas så länge de behövs för att uppfylla ändamålet (principen om lagringsminimering). När den specifika lagringstiden gått ut måste personuppgifterna raderas/gallras. Gallring innebär att personuppgifterna förstörs eller avidentifieras genom anonymisering, och uppgifterna ska inte gå att återskapa.

Det är den Personuppgiftsansvarige som måste kunna visa att principerna som ovan nämnts efterlevs, och har bevisbördan för detta (principen om ansvarsskyldighet). Därför är det av stor vikt att allt arbete inom GDPR dokumenteras.

Den Personuppgiftsansvarige ansvarar även för att uppfylla den s.k. öppenhetsprincipen (principen om transparens). Denna princip innebär att den individ vars personuppgifter behandlas – den registrerade – bland annat ska få information om den Personuppgiftsansvariges identitet och kontaktuppgifter, ändamålet med behandlingen, vilken typ av personuppgifter som behandlas, hur länge personuppgifterna behandlas och om överföring av personuppgifter sker till tredjeland (land utanför EU/EES). Informationen ska lämnas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användningen av ett klart och tydligt språk ex. genom en Integritetspolicy på företagets (den Personuppgiftsansvariges) hemsida.

Integritetspolicy

Det finns både externa och interna Integritetspolicys. Den externa Integritetspolicyn för företagets kunder bör finnas på hemsidan och ska vara lätt att hitta. Den interna Integritetspolicyn bör läggas upp ett eventuellt intranät eller liknande för att förklara och därmed vara transparent gentemot de anställda om vilka personuppgifter som behandlas, varför de behandlas och hur länge de behandlas. Då anställda har ett anställningsavtal och mycket av den personuppgiftsbehandling som görs är på grund av anställningsförhållandet, så kan behandling kopplade till löneutbetalningar, semester och sjukdagar m.m. grundas på anställningsavtalet och lag. Här ska noteras att en anställd står i ett beroendeförhållande till sin arbetsgivare och således är inte samtycke en laglig grund. Detsamma gäller vid rekrytering, en rekryt står i ett beroendeförhållande till den potentiella arbetsgivaren vilket innebär att samtycke inte är en möjlig laglig grund. I stället bör avtal (även förberedelse till avtal kan ingå i den lagliga grunden avtal) eller berättigat intresse användas som laglig grund.

I en Integritetspolicy ska även finnas information om den registrerades rättigheter: rätten till information (som ovan nämnts), rätten till tillgång (den s.k. rätten till registerutdrag), rätten till rättelse, rätten till radering (den s.k. rätten att bli glömd), rätten till begränsning, rätten till dataportabilitet, rätten till återkallelse av samtycke och rätten att invända.

Det finns vissa situationer där personuppgifter måste raderas. De viktigaste situationerna är när personuppgifterna inte längre behövs för det ändamål som de samlades in för, om behandlingen grundar sig på den registrerades samtycke och denne återkallar samtycket, om behandlingen sker för direkt marknadsföring och den registrerade invänder mot att personuppgifterna behandlas. Vad gäller den sistnämnda så har den registrerade rätt att göra invändningar om företaget har använt någon av de lagliga grunderna behandling vid allmänt intresse, myndighetsutövning eller berättigat intresse.

Vid direkt marknadsföring har det accepterats att stödja sig på berättigat intresse som laglig grund då företag anses ha ett legitimt intresse av att marknadsföra sina produkter och tjänster till befintliga och potentiella kunder.

Även en IP-adress är en personuppgift vilket ska redogöras för i en Integritetspolicy, för att klargöra för besökare på företagets hemsida varför uppgiften behandlas, vad den lagliga grunden är för behandlingen samt hur länge uppgiften behandlas.

Cookiepolicy

Har företag en hemsida måste även information ges till besökare avseende att s.k. cookiefiler – cookies – sparas på besökarens dator för att komma ihåg besökarens inställningar, så som språkinställningar, varor besökaren har lagt i en varukorg och för att besökaren inte ska behöva logga in varje gång de besöker hemsidan. Det är således ett sätt att förbättra besökarens upplevelse på internet. Enligt den svenska lagen (2003:389) om elektronisk kommunikation (LEK) ska alla som besöker en hemsida som använder cookies ha full tillgång till bland annat information om vilka cookies som används. Att ge information om vilka cookies som sparas och hur länge de sparas görs enklast och effektivast genom att upprätta en Cookiepolicy som bör finnas på hemsidan och som ska vara lätt att hitta.

Då en stor majoritet av cookies samlar in och behandlar besökarens personuppgifter som exempelvis IP-adress måste innehavaren av hemsidan inhämta samtycke i enlighet med GDPR. Om ett företags hemsida använder s.k. tredjepartscookies (en cookie som skickas till en tredje part, som exempelvis Google Analytics) så är företaget ansvarig för att inhämta giltigt samtycke. I cookiessammanhang innebär det att det ska visas en cookiebanner som frågar besökaren om hemsidan får använda cookies. En sådan banner ska ha en tacka-ja-knapp till cookies, men också erbjudandet om möjligheten att säga nej. På förhand ikryssade rutor utgör inte giltigt samtycke enligt GDPR. Om besökaren säger nej ska hemsidan inte spara cookies.

Att vara GDPR-compliant

Att vara GDPR-compliant innebär inte bara att ha upprättade dokument utåt på plats utan handlar mycket om ett kontinuerligt internt arbete och förhållningssätt – ett sätt att reflektera över hanteringen av personuppgifter och andra människors integritet.

Det är viktigt att ha bra rutiner och policys upprättade som är enkla att hitta på exempelvis intranätet så att alla i företaget vet hur de förväntas arbeta aktivt med GDPR.

Det finns även tidsramar att förhålla sig till inom GDPR. För alla typer av frågor avseende behandling av personuppgifter måste det finnas tydliga och lättillgängliga instruktioner på företaget som visar hur arbetstagaren ska agera.

Har ni svar på nedan frågor?

Hur ser rutinerna för gallring på ert företag ut? Vad säger ert företag om kameraövervakning och GPS-tracking? Vad ska arbetstagaren göra om det inträffar en personuppgiftsincident, exempelvis om dennes arbetsdator blir stulen? Vem ska den anställde rapportera incidenten till och inom vilken tidsfrist?

Då har ni förmodligen kommit en bit på väg, men det finns alltid utrymme och anledning till att reflektera och utvärdera sitt dagliga GDPR- och compliance-arbete. Har ni ingen koll på dessa frågor så rekommenderar vi att ni tar tag i detta och tar kontakt med oss!

Summering

Med detta hoppas vi att ni fått något bättre förståelse för GDPR samt hur man kan tänka kring att arbeta med GDPR. Kanske har denna artikel gett dig en liten tankeställare och ett ”wake up call” om att du måste arbeta mer kontinuerligt med GDPR för att hålla dig GDPR-compliant.

Tar du exempelvis in en ny leverantör som kommer behandla personuppgifter för ditt företags räkning så ansvarar du som Personuppgiftsansvarig för att upprätta ett Personuppgiftsbiträdesavtal som ni båda parter måste signera.

Saknar ni rutiner – eller var det längesen ni såg över dem? Gör en inventering och en åtgärdslista och börja prioritera. GDPR är inte bara ett projekt utan det kräver tid och engagemang i det dagliga arbetet för att vara GDPR-compliance.

Vi på Freja Partner är gärna behjälpliga med ert GDPR-arbete och svarar på era frågor.

Freja Partner genom

Zandra Larsen, jurist och dataskyddsamordnare

Kostnadsfritt event för våra kunder och samarbetspartners!

Onsdagen den 14 juni klockan 14:30 bjuder vi på Freja Partner tillsammans med RSM in till sommarmingel och föreläsning!

I en avslappnad atmosfär vill vi förena nyttja med nöje och bjuda in till föreläsning följt av en AfterWork och sommarmingel. Förutsättningarna är på topp med två vassa jurister som ger dig tips inom ämnet företagstransaktioner, samt att shuffleboarden är sandad och boulebanan krattad!

Eventet är kostnadsfritt för våra kunder, men vi har begränsat antal platser så det är först till kvarn som gäller!

Läs mer om eftermiddagen nedan, samt hur du anmäler dig!

UPPLÄGG

NÄR: Onsdag 14 juni, 14:30

VAR: RSMs kontor, Bohusgatan 15, 411 39 Göteborg

HUR:
14:30 – VÄLKOMNA! Dryck och tilltugg

15:00 – Föreläsning: FÖRETAGSTRANSAKTIONER
DEL 1: Formalia och avtal
DEL 2: Ur skatteperspektivet

16:30 AW, mingel, shuffleboard och boule

ANMÄLAN

Anmälan sker till Erik Johansson, senast 9 juni via epost nedan!

Först till kvarn gäller! (Max två personer per bolag).

Anmälan till: erik.johansson@frejapartner.se

MER OM FÖRELÄSNINGEN

Själva föreläsningen pågår i cirka en och en halv timme och ämnar svara övergripande på några av de viktigaste faktorerna vid företagstransaktioner och ägarskiften, bland annat:

– Hur brukar processen se ut?
– Säljarperspektiv respektive köparperspektiv?
– Olika typer av transaktioner?
– Skattemässiga effekter att tänka på?

Från Freja Partners håll kommer vår affärsjurist Edward Strömstedt att hålla i föreläsningen tillsammans med skattejurist från RSM.

VARMT VÄLKOMNA!

I förra veckan hade vi förmånen att närvara under Polish Heritage Days i Stockholm, arrangerat av Polish Investment and Trade Agency, Polska Ambassaden och Svensk-Polska Handelskammaren.

Vår jurist Kristoffer Lipinski är ursprungligen från Polen och pratar polska flytande vilket gör vårt samarbete med Polsk-Svenska Handelskammaren till en självklarhet. Under Polish Heritage Days fick Kristoffer tillsammans med vår jurist Emelie Thyrfalk möjlighet att hålla föredrag inom svensk entreprenadjuridik, inriktat på upphandlingar.

Vi tackar arrangörerna för oerhört lyckade dagar!