Skip to main content

LUP Student Papers

LUND UNIVERSITY LIBRARIES

Internet of Things och samtycke enligt dataskyddsförordningen – En undersökning om hur väl dataskyddsförordningens reglering, särskilt gällande samtycke, är anpassad för Internet of Things

Bladh, Emma LU (2023) JURM02 20231
Department of Law
Faculty of Law
Abstract (Swedish)
Internet of Things (IoT), det vill säga fysiska objekt med inbyggd elektronik som kan kopplas upp mot internet och styras eller utbyta data över nätet, har idag blivit en självklar del i många personers vardag. Det kan vara allt från hälsoarmband och kylskåp, till glödlampor och termostater. Som förutspås har vi dock ännu inte sett det stora genombrottet för denna teknik och vad den kan komma att användas till. Vid en inblick i vad IoT-objekt kan göra i dagens läge och vad de kan tänkas utföra i framtiden står det klart att vi lever i en snabbt förändrande värld där vi står på randen till en ny digital era som kommer revolutionera våra liv och allt vi gör.

I och med den förväntade explosionen av IoT-objekt i världen kommer dock även... (More)
Internet of Things (IoT), det vill säga fysiska objekt med inbyggd elektronik som kan kopplas upp mot internet och styras eller utbyta data över nätet, har idag blivit en självklar del i många personers vardag. Det kan vara allt från hälsoarmband och kylskåp, till glödlampor och termostater. Som förutspås har vi dock ännu inte sett det stora genombrottet för denna teknik och vad den kan komma att användas till. Vid en inblick i vad IoT-objekt kan göra i dagens läge och vad de kan tänkas utföra i framtiden står det klart att vi lever i en snabbt förändrande värld där vi står på randen till en ny digital era som kommer revolutionera våra liv och allt vi gör.

I och med den förväntade explosionen av IoT-objekt i världen kommer dock även insamlingen och behandlingen av enskildas personliga data att öka markant. Då många har, och kommer att ha, IoT-objekt nära inpå kroppen och i sina hem innebär det att data samlas in från enskildas allra personligaste sfär. Detta innebär stora risker för enskildas integritet och rätt till privatliv. Det är därmed angeläget att det föreligger en lagstiftning som kan hänga med i den tekniska utvecklingen och skydda enskilda personers integritet och mänskliga rättigheter. I Europeiska unionen är det främst dataskyddsförordningen, mer känd som GDPR, som är tänkt att reglera just detta. Syftet med denna uppsats är därmed att undersöka hur väl dataskyddsförordningen är anpassad för denna relativt nya, men framför allt snabbväxande, teknik. För att undersökningen ska utföras inom en rimlig ram fokuseras den på dataskyddsförordningens lagliga grund samtycke, eftersom denna är en av grundpelarna i förordningen. Den lagliga grunden samtycke är dessutom av särskild relevans i förhållande till IoT.

Uppsatsen har skrivits utifrån den rättsdogmatiska samt den EU-rättsliga metoden. Uppsatsen har i huvudsak baserats på dataskyddsförordningen, men även på riktlinjer antagna av Europeiska dataskyddsstyrelsen (EDPB) och artikel 29-gruppen. Andra källor som använts är bland annat EU-praxis, litteratur samt meddelanden och andra dokument från Europeiska kommissionen.

Slutsatsen av undersökningen är att dataskyddsförordningen, med särskilt beaktande av den lagliga grunden samtycke, inte är tillräckligt anpassad i förhållande till IoT för att funktionera ändamålsenligt. Bland annat lyckas den inte reglera de stora utmaningarna med IoT-tekniken i förhållande till enskildas personliga integritet med ett rimligt utfall. Det kan i detta sammanhang även ifrågasättas om samtycke över huvud taget är en lämplig grund för tillåtelse av personuppgiftsbehandling i IoT-sammanhang. Detta då den enskildes rätt till självbestämmande genom samtycke förlorar sin betydelse om den enskilde, på grund av den komplexa tekniken, inte kan ha en verklig kontroll över sin personliga information.

Många gånger saknas det dessutom en reell möjlighet för IoT-företagen att de facto kunna följa lagstiftningen. Dels på grund av en svår informationsproblematik, dels på grund av att det kan ifrågasättas om det ens är möjligt för enskilda att lämna ett helt genuint och frivilligt samtycke i en IoT-kontext. Dessutom får dataskyddsförordningen många gånger anses hämma den tekniska utvecklingen. Uppsatsen avslutas med att konstatera att det som krävs är en särskild lagstiftning som kan ta specifik hänsyn till IoT och liknande teknikers särskiljande och komplexa natur för att bättre kunna reglera teknikens utmaningar och förutsättningar. (Less)
Abstract
The Internet of Things (IoT), i.e. physical objects with embedded electronics that can be connected to the internet and be controlled or exchange data over the network, has become an integral part of many people's daily lives. IoT devices can be anything from fitness trackers and refrigerators to light bulbs and thermostats. However, as is being predicted, we have yet to see the major breakthrough of this technology and what it can be used for. Looking at what IoT devices can do today and what they might do in the future, it is clear that we live in a rapidly changing world where we are on the verge of a new digital era that will revolutionise our lives and everything we do.

However, with the expected explosion of IoT devices in the... (More)
The Internet of Things (IoT), i.e. physical objects with embedded electronics that can be connected to the internet and be controlled or exchange data over the network, has become an integral part of many people's daily lives. IoT devices can be anything from fitness trackers and refrigerators to light bulbs and thermostats. However, as is being predicted, we have yet to see the major breakthrough of this technology and what it can be used for. Looking at what IoT devices can do today and what they might do in the future, it is clear that we live in a rapidly changing world where we are on the verge of a new digital era that will revolutionise our lives and everything we do.

However, with the expected explosion of IoT devices in the world, the collection and processing of individuals' personal data will also increase significantly. Since many people have, and will have, IoT devices close to their bodies and in their homes, it means that data is collected from the most personal sphere. This poses major risks to individuals' integrity and right to privacy. It is therefore essential that a legislation is in place that can keep up with technological developments and protect individuals' integrity and human rights. In the European Union, it is primarily the General Data Protection Regulation, more commonly known as GDPR, that is intended to regulate this. The purpose of this paper is thus to investigate how well the GDPR is adapted to this relatively new, but above all rapidly evolving, technology. In order for the study to be carried out within a reasonable framework, it has focused on the legal basis of consent, as this is one of the pillars of the Regulation. The legal basis of consent is also of particular relevance in relation to IoT.

The paper has been written using the legal dogmatic method and the European legal method. The paper has mainly been based on the GDPR, but also guidelines adopted by the European Data Protection Board (EDPB) and the Article 29 Working Party. Other sources used include EU practice, literature and communications and other documents from the European Commission.

The study concludes that the GDPR, with particular regard to the legal basis of consent, is not sufficiently adapted to the IoT to function effectively. Among other things, it fails to regulate the major challenges of IoT technology in relation to individuals' privacy with a reasonable outcome. In this context, it can also be questioned whether consent is at all an appropriate basis for authorising personal data processing in the IoT context. This is because the individual's right to selfdetermination through consent loses its meaning if the individual, due to the complex technology, cannot have real control over their personal information.

In many cases, there is also no real possibility for IoT companies to de facto comply with the legislation. This is partly because of difficult information problems and partly because it is questionable whether it is even possible for individuals to give a fully genuine and free consent in an IoT context. In addition, the GDPR can often be considered to inhibit technological development. The paper concludes by stating that a separate legislation, that can take specific account of the distinctive and complex nature of IoT and similar technologies, is required in order to better regulate the challenges and conditions of the technology. (Less)
Please use this url to cite or link to this publication:
author
Bladh, Emma LU
supervisor
organization
alternative title
Internet of Things and consent according to GDPR - An investigation into how well the GDPR, especially regarding consent, is adapted to the Internet of Things
course
JURM02 20231
year
type
H3 - Professional qualifications (4 Years - )
subject
keywords
EU-rätt, IT-rätt, IoT, Internet of Things, sakernas internet, dataskyddsförordningen, GDPR, General Data Protection Regulation, samtycke, consent
language
Swedish
id
9116456
date added to LUP
2023-06-13 08:38:35
date last changed
2023-06-13 08:38:35
@misc{9116456,
  abstract     = {{The Internet of Things (IoT), i.e. physical objects with embedded electronics that can be connected to the internet and be controlled or exchange data over the network, has become an integral part of many people's daily lives. IoT devices can be anything from fitness trackers and refrigerators to light bulbs and thermostats. However, as is being predicted, we have yet to see the major breakthrough of this technology and what it can be used for. Looking at what IoT devices can do today and what they might do in the future, it is clear that we live in a rapidly changing world where we are on the verge of a new digital era that will revolutionise our lives and everything we do.

However, with the expected explosion of IoT devices in the world, the collection and processing of individuals' personal data will also increase significantly. Since many people have, and will have, IoT devices close to their bodies and in their homes, it means that data is collected from the most personal sphere. This poses major risks to individuals' integrity and right to privacy. It is therefore essential that a legislation is in place that can keep up with technological developments and protect individuals' integrity and human rights. In the European Union, it is primarily the General Data Protection Regulation, more commonly known as GDPR, that is intended to regulate this. The purpose of this paper is thus to investigate how well the GDPR is adapted to this relatively new, but above all rapidly evolving, technology. In order for the study to be carried out within a reasonable framework, it has focused on the legal basis of consent, as this is one of the pillars of the Regulation. The legal basis of consent is also of particular relevance in relation to IoT.

The paper has been written using the legal dogmatic method and the European legal method. The paper has mainly been based on the GDPR, but also guidelines adopted by the European Data Protection Board (EDPB) and the Article 29 Working Party. Other sources used include EU practice, literature and communications and other documents from the European Commission.

The study concludes that the GDPR, with particular regard to the legal basis of consent, is not sufficiently adapted to the IoT to function effectively. Among other things, it fails to regulate the major challenges of IoT technology in relation to individuals' privacy with a reasonable outcome. In this context, it can also be questioned whether consent is at all an appropriate basis for authorising personal data processing in the IoT context. This is because the individual's right to selfdetermination through consent loses its meaning if the individual, due to the complex technology, cannot have real control over their personal information.

In many cases, there is also no real possibility for IoT companies to de facto comply with the legislation. This is partly because of difficult information problems and partly because it is questionable whether it is even possible for individuals to give a fully genuine and free consent in an IoT context. In addition, the GDPR can often be considered to inhibit technological development. The paper concludes by stating that a separate legislation, that can take specific account of the distinctive and complex nature of IoT and similar technologies, is required in order to better regulate the challenges and conditions of the technology.}},
  author       = {{Bladh, Emma}},
  language     = {{swe}},
  note         = {{Student Paper}},
  title        = {{Internet of Things och samtycke enligt dataskyddsförordningen – En undersökning om hur väl dataskyddsförordningens reglering, särskilt gällande samtycke, är anpassad för Internet of Things}},
  year         = {{2023}},
}