Internet of Things och samtycke enligt dataskyddsförordningen – En undersökning om hur väl dataskyddsförordningens reglering, särskilt gällande samtycke, är anpassad för Internet of Things

Sammanfattning: Internet of Things (IoT), det vill säga fysiska objekt med inbyggd elektronik som kan kopplas upp mot internet och styras eller utbyta data över nätet, har idag blivit en självklar del i många personers vardag. Det kan vara allt från hälsoarmband och kylskåp, till glödlampor och termostater. Som förutspås har vi dock ännu inte sett det stora genombrottet för denna teknik och vad den kan komma att användas till. Vid en inblick i vad IoT-objekt kan göra i dagens läge och vad de kan tänkas utföra i framtiden står det klart att vi lever i en snabbt förändrande värld där vi står på randen till en ny digital era som kommer revolutionera våra liv och allt vi gör. I och med den förväntade explosionen av IoT-objekt i världen kommer dock även insamlingen och behandlingen av enskildas personliga data att öka markant. Då många har, och kommer att ha, IoT-objekt nära inpå kroppen och i sina hem innebär det att data samlas in från enskildas allra personligaste sfär. Detta innebär stora risker för enskildas integritet och rätt till privatliv. Det är därmed angeläget att det föreligger en lagstiftning som kan hänga med i den tekniska utvecklingen och skydda enskilda personers integritet och mänskliga rättigheter. I Europeiska unionen är det främst dataskyddsförordningen, mer känd som GDPR, som är tänkt att reglera just detta. Syftet med denna uppsats är därmed att undersöka hur väl dataskyddsförordningen är anpassad för denna relativt nya, men framför allt snabbväxande, teknik. För att undersökningen ska utföras inom en rimlig ram fokuseras den på dataskyddsförordningens lagliga grund samtycke, eftersom denna är en av grundpelarna i förordningen. Den lagliga grunden samtycke är dessutom av särskild relevans i förhållande till IoT. Uppsatsen har skrivits utifrån den rättsdogmatiska samt den EU-rättsliga metoden. Uppsatsen har i huvudsak baserats på dataskyddsförordningen, men även på riktlinjer antagna av Europeiska dataskyddsstyrelsen (EDPB) och artikel 29-gruppen. Andra källor som använts är bland annat EU-praxis, litteratur samt meddelanden och andra dokument från Europeiska kommissionen. Slutsatsen av undersökningen är att dataskyddsförordningen, med särskilt beaktande av den lagliga grunden samtycke, inte är tillräckligt anpassad i förhållande till IoT för att funktionera ändamålsenligt. Bland annat lyckas den inte reglera de stora utmaningarna med IoT-tekniken i förhållande till enskildas personliga integritet med ett rimligt utfall. Det kan i detta sammanhang även ifrågasättas om samtycke över huvud taget är en lämplig grund för tillåtelse av personuppgiftsbehandling i IoT-sammanhang. Detta då den enskildes rätt till självbestämmande genom samtycke förlorar sin betydelse om den enskilde, på grund av den komplexa tekniken, inte kan ha en verklig kontroll över sin personliga information. Många gånger saknas det dessutom en reell möjlighet för IoT-företagen att de facto kunna följa lagstiftningen. Dels på grund av en svår informationsproblematik, dels på grund av att det kan ifrågasättas om det ens är möjligt för enskilda att lämna ett helt genuint och frivilligt samtycke i en IoT-kontext. Dessutom får dataskyddsförordningen många gånger anses hämma den tekniska utvecklingen. Uppsatsen avslutas med att konstatera att det som krävs är en särskild lagstiftning som kan ta specifik hänsyn till IoT och liknande teknikers särskiljande och komplexa natur för att bättre kunna reglera teknikens utmaningar och förutsättningar.