Nedenfor følger en del av det som jeg har skrevet/delt innenfor personvern den siste tiden på LinkedIn og Twitter, samt annet som ikke tidligere er delt. Det kan derfor være at du allerede har lest en del av dette, men da er nyhetsbrevet en ekstra sikkerhet for at du har fått med deg alt.
Det er et mål å gjøre nyhetsbrevet tilgjengelig månedlig, noe avhengig av hvor mye som har skjedd siden siste nyhetsbrev. Nyhetsbrevet gjøres tilgjengelig gjennom LinkedIn. Jeg har derfor ikke epostadressen til mottakerne, og mottakerne håndterer abonnementet gjennom LinkedIn.
Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter. Se også oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel på mine nettsider.
For å abonnere, klikk ovenfor i nyhetsbrevet i LinkedIn eller klikk her.
Personvernvurdering (risikovurdering)
Datatilsynet har varslet Norges Idrettsforbund om overtredelsesgebyr på kr 2,5 millioner. Forbundet gjorde personopplysninger for 3,2 millioner personer (60 % av Norges befolkning), herunder ca. 0,5 millioner barn, tilgjengelig på nettet i forbindelse med testing av skyløsning.
Gebyret er bl.a. basert på at det var uaktsomt av Norges Idrettsforbund å iverksette testingen uten å ha gjennomført tilstrekkelige risikovurderinger, og uten at det var iverksatt rutiner og tiltak for å sikre personopplysningene. Se her: https://lnkd.in/gwfaBfc.
Risikovurderinger for behandling av personopplysninger (også kalt personvernvurderinger) er noe som forsømmes ofte, men som bør og skal gjøres i mange tilfelle hvor personopplysninger skal behandles.
Verktøy for personvernvurderinger er ikke så lett tilgjengelig, men nå kommer julaften tidlig 🎅, og jeg har lagt ut mal for personvernvurdering. Malen skal passe for en del ulike vurderinger. Merk at dette er ikke en mal for vurdering av personvernkonsekvenser (DPIA).
Jeg håper at denne kommer til nytte, og gi gjerne innspill, kommentarer eller andre tilbakemeldinger.
Mal for personvernvurdering kan lastes ned her:
LinkedIn-post for kommentarer og oppdateringer her.
Overføring av personopplysninger utenfor EØS-området – hva gjør vi etter Schrems II?
I juli 2020 ble den såkalte Schrems II-dommen avsagt i EU-domstolen. Dommen fastslo at Privacy Shield var ugyldig som overføringsgrunnlag til land utenfor EØS (såkalte tredjeland). I tillegg ble det stilt krav til bruk av EUs standard kontraktsbestemmelser (EC Standard Contract Clauses eller SCC) som overføringsgrunnlag til tredjeland.
For Privacy Shield var det enkelt; her var det full stopp. Om og hvordan dagens SCC kan brukes som overføringsgrunnlag etter dommen, er langt mer vanskeligere. I november 2020 kom EUs personvernråd (EDPB) med veiledere for bruk av SCC, som ikke gjorde det så mye enklere.
I denne artikkelen gis det en oversikt over bruk av SCC etter dommen og veilederen, og også forslag til nye SCCer skal gjennomgås: Les artikkelen her.
Artikkelen kan også lastes ned som pfd her:
LinkedIn-post for kommentarer og oppdateringer her.
Det er også kommet en anbefaling for vurdering av overvåkningslover i land et kan være aktuelt å overføre personopplysninger til. Denne er ikke nærmere behandlet i artikkelen ovenfor. Se også Datatilsynets kommentarer til veilederen og dommen her.
Noen korte nyheter
- Det er kommet en midlertid forskrift sier at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven. Overføring av personopplysninger til Storbritannia kan derfor fortsette som før. Se pressemelding fra Regjeringen her.
- Alan Charles Raul i det amerikanske advokatfirmaet Sidley Austin har kommet med en omfattende artikkel på hvorfor Schrems II-dommen vil ikke omfatte de fleste forretningsmessige overføringer til USA som baseres på SCC.
- Det britiske datatilsynet (ICO) har kommet med veileder på deling/overføring av personopplysninger som mellom behandlingsansvarlige.
- EUs personvernråd (EDPB) har kommet med veileder for begrensninger under GDPR artikkel 23.
- EFTA-domstolens første GDPR-dom, om en som varsler om personvernbrudd har krav på å være anonym. Les mer her.
- Det irske datatilsynet (DPC) gir Twitter bøter på €450,000 for manglende varsel av personvernbrudd og manglende dokumentasjon. Les mer her.
- Brev fra International Network of Privacy Law Professionals (INPLP) til EUs Personvernråd (EDPB) om mangler ved EDPBs Schrems II-veileder knyttet til ensidighet ved risikovurderingen for overføring til tredjeland. Les her.
- Tre avgjørelser fra det danske datatilsynet hvor behandling av personoppl. ikke omfattes av GDPR pga. rent personlig behandling (GDPR artikkel 2 (2) c). Les her.
- Saken mellom det irske datatilsynet (DPC) og Facebook startet 15. desember, hvor Facebooks bruk av Standard Contract Clauses (SCC) for overføring av personopplysninger fra EØS til USA. Blir en spennende sak/avgjørelse i 2021. Les Twitter tråd her.
- European Data Protection Supervisor (EDPS) (dvs. EUs datatilsyn), sier at man bør ikke vente på en erstatter til Privacy Shield på måneder, og man må belage seg på at det ikke kommer noen løsning på Schrems II med det første. Les mer her.
- Schrems II skaper problemer bl.a. for Uninetts nye IAM system som skal bedre datasikkerheten ved utdanningsinstitusjoner, ved at institusjonene får bedre kontroll på hvem som skal ha tilgang til systemer og ikke. Les mer her.
- EUs medlemsland ønske å ha større rett til å bryte ende-til-ende kryptering siden sistnevnte gjør kriminalitetsforkjempelse vanskelig. Dette vil føre til at det kan komme en gjentakelse av kryptokrigen fra 90-tallet, bare nå i Europa. Les mer her. PS! Interessert i kryptokrigen i USA på 90-tallet? Les den glimrende boken «Crypto» av Steven Levy.
Mest nedlastede dokumenter på sandtro.no:
- GDPR oversikt (12208 downloads)
- GDPR overview (7451 downloads)
- Personvernvurdering (risikovurdering) (1131 downloads)
- Behandlingsoversikt (921 downloads)
- Personvettreglene (545 downloads)
- Databehandleravtale (standard kontraktsbestemmelser) (523 downloads)
- Datatilsynet internkontroll (458 downloads)
- Databehandlers behandling av personopplysninger (447 downloads)
- Data Processing Agreement (Standard Contract Clauses) (328 downloads)
- Arbeidsdokument varsel til Datatilsynet (309 downloads)
Enorme bøter på bruk av cookies og manglende samtykke!
Google og Amazon får bøter på henholdsvis EUR 100m og EUR 35m (dvs. hhv NOK 1 mrd. og 350m) fra det franske datatilsynet (CNIL), se her: Cookies: financial penalty of 35 million euros imposed on the company AMAZON EUROPE CORE og her: https://lnkd.in/duR4k7v. Googles bøter er fordelt på to selskap.
Bøtene gis bl.a. for at det brukes cookies til å samle inn personopplysninger til bruk for markedsføring uten at brukerne gir sitt samtykke til slik innsamling og bruk av personopplysninger, samt manglende informasjon på nettsidene til aktørene om dette. Cookiene settes automatisk, og også etter at brukerne har motsatt seg bruk av cookies.
Det løper også dagbøter på EUR 100.000 fra tre måneder etter vedtaket om Google (men ikke Amazon) ikke har innrettet seg etter pålegget fra datatilsynet.
Bøtene gis da til selskaper også utenfor Frankrike, hhv USA (California), Irland og Luxembourg.
For oversikt over hvordan cookies kan brukes og samtykke kan innhentes, se artikkel under.
Bruk av cookies – status, samtykker og alternativer
Cookies (informasjonskapsler) har vært mye diskutert de siste årene, og skaper spørsmål og utfordringer både innenfor markedsføring, teknologi, design og brukeropplevelser for nettsider mv., personvern og annet. Her møtes jussen og teknologien, og det skaper friksjon.
Dette er et forsøk på å gi en oversikt over hva cookies er, bruken av cookies, hva er status på lovgivningen, kreves det samtykke for cookies og hvordan kan samtykke gis lovlig osv. Til slutt er det en oversikt over hvordan cookie-bannere brukes og om de oppfyller kravet til samtykke.
Takk til Vebjørn Søndersrød for kritisk gjennomgang av artikkelen og gode innspill.
Nye standard kontraktsbestemmelser for overføring av personopplysninger til tredjeland fra EU-kommisjonen
EU-kommisjonen har lagt ut ny versjon av standard kontraktsbestemmelser (SCC) til høring.
Dette er en følge av Schrems II-dommen sammen med veilederen fra EU Personvernråd (EDPB) som kom i går. Kontraktsbestemmelsene kan da bidra til å dekke kravet til kontraktuelle tiltak etter veilederen.
De nye kontraktsbestemmelser synes nå å dekke alle varianter av overføring mellom behandlingsansvarlige og databehandlere fra. EØS-området og til land utenfor, som er en forenkling og trolig forbedring mot at dette var i flere dokumentet før, og at enkelte av konstellasjonene ikke var dekket tidligere.
Kontraktsbestemmelsene finnes her.
Utkast til ePrivacy-forordningen fra det tyske presidentskapet i EU har lekket
Det er kommet ut et utkast til ePrivacy-forordningen fra det tyske presidenskapet. Det er ingen vesentlig endringer på cookiespørsmålet siden forrige utkast. Fremdeles krav om samtykke ved bruk av cookies (etter berettiget interesse ble tidligere tatt ut), og det er den som sørger for at selve cookien «settes» på brukerens utstyr eller som samler inn informasjonen ved bruk av cookies som har ansvar for å sørge for samtykke fra brukerne.
Er det den som eier et nettsted som setter cookien og som bruker informasjonen fra cookien, så må denne innhente samtykke. Men er det cookies på et nettsted som settes av en annen enn den som eier nettsiden, ofte kalt tredjepart-cookies, så er denne «tredjeparter» ansvarlig for å innhente samtykket. Dette kan være annonsenettverk (les: Google) eller sosiale nettverk (les: Facebook), men eierene av nettstedene kan også til å innhente samtykke på vegne av tredjeparten.
Men hva som vil utgjøre et samtykke er ikke klart ennå. Det kan f.eks. bli innstillinger i nettleseren, som vil nok bli mottatt med glede av alle som er lei av «cookie-bokser/bannere».
Men ikke regn med at forordningen blir vedtatt med det første.
Standard databehandleravtale fra EUs Personvernråd (EDPB) (og fra Datatilsynet)
EUs Personvernråd (EDPB) kom med standard databehandleravtale i 2020. Selv om dette kalles «standardavtalevilkår», og ikke «databehandleravtale», må avtalen ikke forveksles med EUs standardvilkår for overføring til tredjeland (SCC). Både databehandleravtale og SCC (eller annet grunnlag) må foreligge for overføring til tredjeland.
Databehandleravtalen er omfattende, med mye som må tas inn. Et råd er å lage en versjon som er tilpasset egen virksomhet for generell bruk, og som tilpasses de enkelte databehandlinger spesifikt. Med dette blir det forhåpentligvis mindre av «databehandleravtalekrigen» som har rast siden GDPR ble innført.
EDPBs versjon finnes her (på samtlige språk i EU).
Datatilsynet har gått gjennom avtalen og godkjent den for bruk i Norge, samt har kommet med norsk versjon.
Den norske versjonen av databehandleravtalen finnes her.
Fordelen med avtalen er at den dekker kravene etter personvernlovgivningen (GDPR) siden den er kontrollert av EDPB og Datatilsynet. Den etablerer seg også som standard i markedet nå (den er definert som standard i Danmark)
Jeg har tidligere gjort tilgjengelig norsk og nynorsk oversettelse av avtalen, som er lastet ned ca. 600 ganger fra mine nettsider. Men nå overlates stafettpinnen til Datatilsynets versjon som bør benyttes.
Behandling av personopplysninger på grunnlag av berettiget interesse? Når er det lovlig?
Å behandle personopplysninger på grunnlag av den behandlingsansvarliges berettiget interesse er praktisk og et langt bedre grunnlag å håndtere enn f.eks. samtykke. Derfor er dette et «populært» grunnlag, men det er et komplisert grunnlag og ikke alltid så enkelt å vurdere om man kan bruke dette grunnlaget. Her er en oversikt over hvordan en vurdering av om «berettiget interesse» kan benyttes som grunnlag for behandling av personopplysninger.
Se LinkedIn-posten her med kommentarer og mulighet til å laste ned dokumentet over.