Logo: to the web site of Uppsala University

De komplicerade föroreningsmålen har på senare år dominerats av frågor om ansvar för PFAS-föroreningar – en skadetyp som sannolikt även kommer att bli vanligare i framtiden. Ett flertal materiella regleringar aktualiseras för utkrävande av skadeståndsrättsligt ansvar i PFAS-mål. Samtidigt skapar processuella regler om bl.a. forum och kumulation hinder mot en samlad prövning av de olika grunder käranden kan tänkas göra gällande. I artikeln undersöks denna problematik närmare. Författarna visar att den processuella hanteringen av den materiella rättens fragmentisering riskerar att leda till processuella stuprör och potentiella rättsförluster för enskilda, men de pekar också på möjliga vägar framåt.

As artificial intelligence (AI) technologies continue to expand in various (perhaps most) areas of society, many new societal and legal issues are coming to light. Two concepts that will be investigated in this contribution are risk and trust. These are both broad concepts in need of delimitations, and – to complicate matters – not necessarily legal concepts; at least not in a narrow sense. Despite this they have become predominant in the AI discourse and ongoing legislative processes concerning AI, a tendency that raises questions as to what the concepts mean in the area of AI. The relationship between risk and trust in an AI context can be summed up as follows: In order to create trust with individuals for new technologies and the free flow of AI services within the EU internal market, there is a need to control the risks that AI systems pose. This is where the law enters into the equation. In this chapter we aim to nuance this new narrative, elucidating that risk and trust as emerging legal notions can be rather problematic.

In the first sections of the following text, the focus will be on the risk discourse in law and how it is evolving against the background of rapid technical developments, in particular in the EU general regulation on AI (which is compared to the data protection area). With an emphasis on the distinction between risk and uncertainty, the EU approach to AI will hereby be analysed critically. The discussion will then proceed to the concept of trust and its relevance in law, the connection between risk and trust in an AI setting, and the meaning of trust in relation to new technologies. We will end this chapter by laying down the problems that arise because of the uncertainties sparked by this new way of formulating regulatory goals and techniques.

Föroreningsskadorna har alltid skavt och stött på utmaningar i det skadeståndsrättsliga systemet. Att skadetypen är svår att passa in och hantera illustreras särskilt tydligt av flera aktuella och komplicerade domstolsprocesser om PFAS-skadestånd i Sverige. PFAS, ett samlingsnamn för en mycket stor grupp kemikalier som har kopplats till ett antal negativa hälsoeffekter, finns överallt och i alla – men under vilka förutsättningar kan PFAS-föroreningarna leda till skadeståndsanspråk, och vad krävs för att ett sådant ska kunna ha framgång? I boken ges en systematisk genomgång och analys av de skadeståndsrättsliga frågeställningarna kopplade till PFAS-skadestånd, med konkretiserande kopplingar till den praxis som hittills finns. Vilka för- och nackdelar medför de olika tänkbara ansvarsgrunderna? Hur ska det orsakssamband som skadeståndsrätten kräver kunna visas, när det rör sig om utsläpp som ofta ligger långt tillbaka i tiden och där flera aktörer har varit inblandade? Hur definieras och bestäms en ersättningsgill skada och vad kan man få skadestånd för? Finns en risk att anspråken anses preskriberade och hur kan i så fall denna invändning bemötas? Tillsammans med dessa frågor diskuteras även principen att förorenaren ska betala, upprätthållandet av skadeståndsrättens funktioner och syften, samt hur man på samhällelig och skadeståndsrättslig nivå kan skapa konstruktiva möjligheter för att hantera PFAS-utmaningarna framöver.

In recent years, data protection has become synonymous with the EU general data protection regulation (GDPR), in force since 2018. However, data protection rules coexist with a number of other regulations that may enhance and complement but also, perhaps, cause confusion. In fact, personal data or sensitive information is – directly or indirectly – protected in many older and newer regulations that do not specifically belong to the area of data protection.

In this chapter we examine data protection from the individual’s perspective, considering him or her as more than just – or at least not only as – a data subject. Our objective is to evaluate not just the GDPR but also the broader legal frameworks which may offer individuals alternative, and sometimes more suitable, protection against a party who processes his or her personal data in a way they find unacceptable. More specifically we will examine which data protection mechanisms can be identified in the areas of tort law and consumer law. We will also examine how the upcoming AI Act and some other related proposals from the Digital Decade Strategy may add to the protection of personal data and the interpretation of the GDPR. In this contribution we will thus discuss how the chosen legal areas relate to rules on data protection, when they overlap and if protection in certain situations is missing despite (or due to) the multitude of possible legal alternatives.

Enligt en aktuell kartläggning av Integritetsskyddsmyndigheten (IMY) utgör datadelning en av de frågor som av innovationsaktörer i Sverige uppfattas medföra flest rättsliga utmaningar vid utvecklingen av nya produkter eller tjänster.

De rättsliga utmaningar som IMY har identifierat avseende datadelning upplevs av aktörerna som många, komplexa och handlar inte om enskilda bestämmelser, utan om en generell oklarhet kring hur dataskyddsförordningen ska tolkas och tillämpas, främst i samband med utvecklingen av AI. Utmaningarna vid datadelning bör dock vara teknikoberoende och lika aktuella även i andra sammanhang, förutom AI-utvecklingen, med tanke på ambitionen att skapa en ”genuin inre marknad för data” inbegripet personuppgifter. Syftet med den här undersökningen är att översiktligt kartlägga dataskyddsförordningens rättsliga implikationer för delning av data, under vilka förutsättningar delning av data kan vara tillåten och vad innovationsaktörer bör beakta från ett dataskyddsperspektiv, utan att ge en allomfattande bild av temat datadelning. 

Enligt en aktuell kartläggning av Integritetsskyddsmyndigheten (IMY) utgör delning av data en av de frågor som av innovationsaktörer i Sverige uppfattas medföra flest rättsliga utmaningar vid utvecklingen av nya produkter eller tjänster. I den mån den data som ska delas innehåller personuppgifter omfattas delningen av förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, den allmänna dataskyddsförordningen. Syftet med den här undersökningen är att översiktligt kartlägga förordningens rättsliga implikationer för delning av data, under vilka förutsättningar delning av data kan vara tillåten och vad innovationsaktörer bör beakta från ett dataskyddsperspektiv. Syftet är inte att ge en allomfattande bild av fenomenet, eftersom det har beröringspunkter med flera aktuella och komplexa samhällsutvecklingar, förutom AI också sakernas internet (Internet of Things, IoT) och stora datamängder (Big Data). Frågan om datadelning kan dessutom bedömas olika beroende på vem som är datainnehavaren och vem som är mottagaren. På grund av sin omfattning är den föreliggande undersökningen uppdelad i två delar och den här artikeln utgör del 2.

I del 1 har dataskyddsförordningens tillämpningsområde vid delning av data undersökts, vad som utgör personuppgifter i större datamängder samt hur dataskyddsförordningen ser på anonymisering, användningen av syntetiska data och federerad maskininlärning. Del 1 täckte även de viktiga frågorna vem som kan anses vara personuppgiftsansvarig vid datadelning samt vilka som kan vara de lagliga grunderna för delning av data i enlighet med artikel 6 i dataskyddsförordningen. Del 2 av den här översikten fortsätter nu med att undersöka lagligheten av datadelning i enlighet med de grundläggande principerna i artikel 5 samt kraven i artikel 9 i dataskyddsförordningen såvitt avser särskilda kategorier av personuppgifter. Del 2 analyserar sedan de registrerades rättigheter och frågan vilka undantag från dessa som kan vara tillämpliga i samband med delning av data. Den här artikeln avslutas med en översiktlig undersökning av övriga skyldigheter som följer av personuppgiftsansvaret vid datadelning samt en sammanfattning av de huvudsakliga slutsatserna. 

I artikeln analyseras EU-domstolens första substantiella dom om ideell skada enligt dataskyddsförordningen (GDPR).

Kommentar till JO 2022/23 s. 280.