Oppdatering personvern, GDPR og teknologirett mv. (#02.2021)

Her kommer en oppsummering av det siste innenfor personvern, GDPR mv. basert på en del jeg har skrevet/delt innenfor personvern og teknologirett den siste tiden på LinkedIn og Twitter, samt annet som ikke tidligere er delt. Tidligere nyhetsbrev og mulighet til å abonnere finnes her.

Også: Takk til alle som abonnerer på nyhetsbrevet. Det er nå over 3.800 abonnenter etter første nyhetsbrev, som er veldig hyggelig, men legger listen høyt for senere nyhetsbrev 😬.

Uttalelser om standard kontraktsbestemmelser om databehandling og overføring av personopplysninger til land utenfor EØS

EUs personvernråd (EDPB) og EUs datatilsyn (EDPS) har kommet med uttalelser til standard kontraktsbestemmelser (SCC) om databehandling og overføring av personopplysninger til land utenfor EØS. Kommisjonen kom med kontraktsbestemmelsene 12. november 2020 som en følge av Schrems II-dommen og veilederen om overføring til land utenfor EØS fra EDPB som kom samtidig.

De nye kontraktsbestemmelsene dekker både kravene til databehandleravtale etter GDPR artikkel 28, og skal erstatte de tidligere standardbestemmelsene for overføring til land utenfor EØS (som bl.a. var tema i Schrems II-dommen). Det er dette som det nå gis uttalelse om.

En viktig endring med de nye SCCene er at dagens SCCer dekker kun overføring mellom behandlingsansvarlig innenfor EØS og enten behandlingsansvarlig i tredjeland eller databehandler i tredjeland. I de nye SCCene er det lagt opp til at man skal dekke alle de fire alternativene:

Det meldes for øvrig fra EU at de nye standard kontraktsbestemmelser vil bli vedtatt i mars.

Her er dokumentene det er vis til over:

• Uttalelsen om databehandlerdelen
• Uttalelse om delen om overføring til tredjeland
• Utkast til avtale mellom behandlingsansvarlig/databehandler
• Utkast til avtale om overføring til tredjeland

Les også om bl.a. de nye SCCene i denne artikkelen.

Utfordringer med følgene av Schrems II-dommen og hvordan de løses i praksis

Mange virksomheter har naturlig nok fått utfordringer med Schrems II-dommen og overføring til USA. Dette gjelder også Helseplattformen med den amerikanske leverandøren Epic, og da spesielt med supportsaker (siden selve dataene i plattformen lagres i Norge). Vurderinger som Helseplattformen tilsier imidlertid at Schrems II-dommen ikke vil ha store konsekvenser for prosjektet pga. lagring av data i Norge.

Support vil håndteres fra Norge eller supportsenter innenfor EØS, om leverandøren etablerer det. Enkelte saker kan ikke løses lokalt, og da vil leverandørens får tidsavgrenset tilgang som blir overvåket. Hva gjelder om norske data i Helseplattformen kan kreves utlevert til amerikanske myndigheter, så vil ikke dette skje etter juridiske vurderinger som Helseplattformen har fått.

Les mer i digi.no her.

Det skal også bemerkes at dommere som avsa Schrems II-dommen mener at dommen tolkes for strengt på enkelte områder, som overføring mellom selskaper i samme konsern. EUs personvernråd har også lagt ut svar på høringen av deres veileder etter Schrems II (spoiler: de fleste setter ikke spesielt stor pris på veiledningen og mener det går for langt mot det som følger av dommen).

Retningslinjer med eksempler på når personvernbrudd skal varsles

EUs personvernråd (EDPB) har kommet med retningslinjer med eksempler på hva som kvalifiserer til varsel ved personvernbrudd.

Det har vært mye varsler til Datatilsynet siden GDPR trådte i kraft, og det har nok vært for mange varsler enn det som har vært nødvendig. Varsel til Datatilsynet skal skje dersom bruddet sannsynligvis vil medføre en risiko for personvernet til de som personopplysningene gjelder (se GDPR artikkel 33), og varsel til de personopplysningene gjelder skal skje om det er en tilsvarende høy risiko (se GDPR artikkel 34).

Selv om det nok er varslet uten det har vært nødvendig, har det nok også trolig vært flere tilfeller hvor det skulle vært varslet.

Retningslinjene finnes her.

Eksempler på når brudd på personvernet skal varsles

Retningslinjene fra EDBP over har en del eksempler på når varsel til henholdsvis Datatilsynet og den personopplysningene gjelder (den registrerte) skal skje. Eksemplene viser at det ikke skal skje varsel til Datatilsynet i alle tilfelle ved brudd på personvernet (kun bruddet sannsynligvis vil medfører risiko for personvernet) eller de personopplysninger gjelder (kun ved høy risiko for personvernet) etter GDPR artikkel 33 og 34.

Her er en oversikt over noen av eksemplene og om varsling er påkrevet. Merk at veiledningen inneholder ytterligere beskrivelse av bruddene som skal varsles, tiltak for å unngå bruddet, risikovurdering, risikoreduserende tiltak og plikter som kan være nyttige. 

* Kun føring i intern logg/register

Med «tilgang» ovenfor menes er tilgang til personopplysninger for uvedkommende (uautoriserte, som f.eks. utpressere/hackere). Særlige kategorier personopplysninger er opplysninger som listet opp i GDPR artikkel 9, som helseopplysninger.

Retningslinjene er på høring, og vil bli gjeldene etter høringen er avsluttet og høringssvarene er vurdert. Se også nedenfor om hvor mye det varsles i Europa.

Bøter for EUR 272 millioner ilagt i Europa under GDPR (hittil)

Advokatfirmaet DLA Piper har funnet at det er ilagt bøter for ca. EUR 275 millioner (ca. kr 2 852 milliarder) under GDPR så langt i Europa (dette beløpet vil nok øke betraktelig med bøtene som er nevnt nedenfor). Trenden er at størrelsen på bøtene er økende.

Det er ilagt størst samlet beløp for bøter i Italia, med Tyskland og Frankrike på de neste plassene. I rapporten gjennomgås det årsakene til bøtene som er bl.a. manglende innsyn/informasjon (manglende transparens), behandling uten lovlig grunnlag, manglende informasjonssikkerhetstiltak/sikring av personopplysninger, brudd på prinsippet om dataminimering og sletteplikten og brudd ved overføring til land utenfor EØS.

Det er i 2020 kommet over 120.000 varslinger om brudd på GDPR til datatilsynene, mot ca. 101.000 varslinger i 2019, som er en økning på 19 % (med totalt 281.000 varslinger siden innføringen av GDPR i mai 2018). Det varsles mest i Tyskland (77.700), Nederland (66.500) og Storbritannia (30.500). Regnet mot innbyggertall har Danmark flest varslinger, og Hellas, Italia og Kroatia har færrest. Se også ovenfor om når varsel skal skje etter veiledning fra EUs personvernråd. Det norske Datatilsynet mener imidlertid at det trolig er overvarsling i flere land. 

Rapporten er tilgjengelig her.

PS! Ikke alle bøter er like store. Det ungarske datatilsynet ila et selskap en bot på EUR 28 for å ikke etterkomme krav om å endre epostadressen til en person innen 30-dagers fristen.

Bot på kr 100 millioner til date-appen Grindr

Datatilsynet har varslet gebyr på kr 100 millioner (dvs. EUR 9,6 millioner) til datingappen Grindr. Dette er ny norsk rekord, men det skal bemerkes at dette er ikke en bot rettet mot en rent norsk aktør, men et internasjonalt selskap registrert i og med hovedkontor i USA (og derfor ikke helt sammenlignbart med andre norske bøter).

Grunnlaget for gebyret er brudd på GDPR artikkel 5, 6 og 9 ved at Datatilsynet mener at appen deler særlige kategorier (sensitive) personopplysninger om seksuell legning uten at brukerne har gitt tilstrekkelig samtykke til slik deling. Samtykke kreves for deling av særlige kategorier personopplysninger (om det ikke foreligger annet grunnlag, som ikke er aktuelt her). Delingen skjedde til selskaper (tredjeparter) som leverer annonserings og markedsføringstjenester, bl.a. personalisert markedsføring, som da skjer basert på personopplysninger både i appen, i sosiale medier og på internett for øvrig. Det ble også deltlokasjonsdata om brukerne og andre personopplysninger.

I forbindelse med samtykket er det ifølge Datatilsynet ikke gitt tilstrekkelig informasjon (manglende transparens) til brukerne av appen om bruk av deres informasjon, og deling av data til tredjeparter er ikke skilt ut som eget samtykke. Samtykket var heller ikke frivillig, for manglende samtykke ville føre til at man måtte betale for bruken av appen.

Erfaringer fra avgjørelsen er at om samtykke benyttes som grunnlag, må dette være lovlig i form av at det må være knyttet til det enkelte formål for behandling av personopplysninger og samtykket må være frivillig. For en gjennomgang av kravet til samtykker, se denne artikkelen.

Grensen for gebyr etter GDPR er det høyeste av kr 200 millioner eller 4 % av årlige omsetning (avhengig av hvilke bestemmelser som er overtrådt, men dette nivået gjelder i dette tilfelle). I følge avgjørelsen er omsetningen til Grindr ca. kr 898 millioner, boten vil derfor utgjøre ca. 10 % av Grinders årlige omsetning. Datatilsynet har derfor benyttet muligheten til å gå over 4 % av årlig omsetning, så dette er en streng avgjørelse. Det er derfor spennende hva utfallet blir, spesielt for bøtenivået, og saken går nok videre til Personvernnemda og kanskje domstolene.

Se Datatilsynets avgjørelse her.

Kort nytt

• USAs nye handelsminister melder at arbeidet med å få på plass en erstatning for US-EU Privacy Shield er høyeste prioritet og forhandlingene mellom det amerikanske handelsdepartementet og EU-kommisjonen går bra.
• Biden-administrasjonen prioriterer arbeide med personvern, og har allerede omgjort flere av beslutningene som ble gjort av Trump innenfor personvern. Arbeidet med personvern i USA kan følges her. Samt interessant artikkel om hvordan amerikansk lovgivning skal «fikse Schrems II» .
• Og mye tyder på at Storbritannia blir ansett som tredjeland med tilstrekkelig beskyttelsesnivå for personvern når overgangsperioden etter Brexit er over 1. april (eller 1. juni om perioden blir utsatt). Avgjørelse i britisk høyesterett om at etterretningstjenesten ikke kan bruke generelle hjemler for å innhente overvåkingsdata vil kunne være til hjelp for denne beslutningen.
• Vil ePrivacy-forordningen komme i 2021? Det er nå 4 år siden EU-kommisjonen kom med første utkast til forordningen, som da skulle tre i kraft samtidig med GDPR. Nå etter 14 nye versjoner er det ennå uklart om forordningen blir vedtatt i år, og at den ikke vil tre i kraft i år er allerede ganske sikkert. EUs personvernråd (EDPB) kom med en generell uttalelse om forordningen i januar, som presiserte betydningen av at forordningen ikke reduserer kravene til personvern mot GDPR. For de som er interessert, er siste utkast til forordningen her.
• Den danske datatilsynet har kommet med veiledning om beregning og fastsettelse av bøtenivået overtredelse av personvernlovgivningen, Tilsynet har også kommet med en veiledning for når opplysninger, herunder personopplysninger, kan utleveres til politiet. Ikke direkte overførbart hva gjelder det strafferettslige og den danske personopplysningsloven (databeskytelsesloven), men gode og illustrerende eksempler som er relevante for forståelsen av personverndirektivet (GDPR). Se veiledningen her.
• Det danske datatilsynet har også kommet med alvorlig kritikk av en nettside som ikke innhentet gyldig samtykke for bruk av cookies (informasjonskapsler). Løsningen brukte en «Tillat alle cookies» (omtalt som en «Catch all» løsning i denne oversikten) uten at brukerne kunne velge hvilke cookies det ble samtykket til eller velge å ikke akseptere cookies. Det fremgikk også av vilkårene for siden at ved å besøke siden aksepterte man bruk av cookies. Datatilsynet mente derfor at vilkårene for gyldig samtykke var ikke oppfylt. Bruk av samtykke for cookies er for øvrig noe av det som det danske datatilsynet vil kontrollere nærmere i 2021.

• WhatsApp vil trolig bli ilagt en bot på EUR 50 millioner (dvs. ca. kr 520 millioner) av det irske datatilsynet for manglende informasjon til brukerne (transparens) i appen (tilsvarende som for Grindr, se over) med pålegg om å endre hvordan brukernes personopplysninger behandles. Hva endelig nivå på boten og andre pålegg er ventet senere i år. Les mer her.
• Datatilsynet har ilagt flere gebyr for å foreta kredittkontroller uten gyldig grunnlag til Aquateknikk AS (kr 100.000), Gveig AS (kr 75.000), Lindstrand Trading AS (kr 100.000) og Innovasjon Norge (kr 1.000.000), samt fattet vedtak om overtredelsesgebyr på 400 000 kroner til Coop Finnmark SA. Saken gjelder ulovlig deling av et kameraopptak fra en butikk.
• Diskusjon om den første Smittestopp-appen og personvern mellom Rune Opdahl, en profilert og dyktig personvernadvokat, og Bjørn Erik Thon, Direktør i Datatilsynet. Opdalhs første innlegg kan leses her, og Thons replikk kan leses her.
• Tøffe tider for British Airways etter to personvernbrudd i 2018. Først bot på GBP 20 millioner, og så gruppesøksmål fra de som ble berørt av personvernbruddene. Det er uklart hvor mange av de ca. 560.000 personene som ble berørt av personvernbruddene. Advokatene til de berørte tror hver person i søksmålet tilkjennes GBP 6.000, som totalt vil utgjøre ca. GBP 3,36 milliarder i verste fall.
• EUs datatilsyn (EDPS) har lansert verktøy for å undersøke om nettsider behandler og sikrer personopplysninger innenfor regelverket.
• Europarådet ønsker streng regulering av ansiktsgjenkjenning, spesielt for private aktører i ukontrollerte omgivelser som kjøpesentre, gater, flyplasser mv., og det nederlandske datatilsynet gir formell advarsel til som benyttet ansiktsgjenkjenning. «The only example that the law gives is for the security of a nuclear power plant», sier det nederlandske datatilsynet. Mens Sony har nå en løsning som kan lese på leppene på lengre avstander.

Er tilgang til personopplysninger fra datasenter i EØS alltid å anse som overføring til tredjeland?

Nestor innenfor teknologirett og personvern, Arve Føyen, har skrevet en interessant artikkel om hvorvidt tilgang til personopplysninger fra datasentre innenfor EØS alltid skal anses å være en overføring til tredjeland. hvor han stiller opp noen eksempler på hvor tilgang til personopplysninger fra land utenfor EØS (som USA) – også kalt tredjeland – er å anse som en overføring av personopplysninger. Han anbefaler uansett at det bør foretas en vurdering og gjennomføre tiltak som beskrevet i EDPBs anbefaling om overføring av personopplysninger til tredjeland (se mer om anbefalingene her). Artikkelen til Arve Føyen kan leses her.

Annet teknologirett mv.

BRUK AV STORE BOKSTAVER I VILKÅR OG AVTALER

I vilkår og avtaler, spesielt knyttet til it-ytelser og -tjenester, brukes det til tider store bokstaver i enkelte bestemmelser. Det er vanskelig å lese skrift i store bokstaver, og det blir ofte oppfattet som “roping” i dag. Det er normalt (eller alltid) ikke nødvendig å bruke store bokstaver, men mange gjør det allikevel. Hvorfor gjøres dette, og når kan det være påkrevet? Les mer her.

Sak om programvare anses å være vare eller ikke for EU-domstolen

Over mange år har det vært et spørsmål om programvare skal anses å være et produkt som blir solgt eller ikke (som kan ha betydning om programvare omfattes av bl.a. lovregulering av salg av varer, som kjøpsloven i Norge). Ved at programvare i større grad kan lastes ned er del av tjeneste, er det et spørsmål om programvare er en «vare» («product») som kan også ha juridisk betydning for rettigheter og plikter knyttet til programvaren.

EU-domstolen skal vurdere dette spørsmålet, og vil gi en avgjørelse i løpet av 2021. Direkte gjelder saken sluttvederlag for agenter, men kan også få betydning av forståelsen av hva programvare er mer generelt. Avgjørelsen vil få betydning for agenter, men vil også kunne få betydning for tilbydere av programvare og SaaS-tjenester på andre områder, og kan da også få betydning for de avtalevilkår som leverandørene har i dag (som er både vanskelige, omfattende og ofte urimelige) og vil dermed ha kommersiell betydning for leverandørenes inntekter og kostnader.

Se mer i artikkel her.

Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på mine nettsider, sandtro.no.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter.