Nyhetsbrev

Oppdatering personvern, GDPR og teknologirett mv. (#3.2021)

Her er en oppsummering av det siste som har hendt innenfor personvern, GDPR, teknologirett mv. En del av dette er allerede delt på LinkedIn og Twitter, og noe er ikke delt. For tidligere nyhetsbrev og for å abonnere på nyhetsbrevet, se her.

Det er nå over 4.000 som abonnerer på nyhetsbrevet. Håper denne utgaven er av nytte, og del gjerne nyhetsbrevet om du kjenner noen som kan ha interesse/nytte av det.

Et stort steg mot vedtakelse av ePrivacy-forordningen!

EU-rådet har etter fire års forhandlinger kommet til et utgangspunkt for ePrivacy-forordning. Dette blir grunnlag for videre forhandlinger mellom Rådet, EU-kommisjonen og EU-parlamentet (såkalte triolog-forhandlinger). Det portugisiske presidentskapet har dermed klart noe som åtte (!) tidligere presidentskap ikke har klart.

Utgangspunktet innebærer bl.a. at metadata skal behandles på lik linje som informasjonsinnhold, forordningen vil omfatte maskin-til-maskin data over offentlig nettverk (som IoT), elektronisk kommunikasjon vil fortsatt være konfidensiell, reglene gjelder dersom sluttbruker er innenfor EØS, men uavhengig av hvor behandlingen skjer, dvs. ha ekstraterritoriell virkning, behandling uten samtykke kan skje for bl.a. sikkerhetsformål, metadata kan behandles for betalings- og faktureringsformål mv.

For innhenting av informasjon fra brukerenheter (som bl.a. cookies) vil det kreves samtykke om det ikke foreligger andre transparente formål som i henhold til forordningen kan være statistikk og analyse. Såkalte cookie-vegger vil være lovlig under visse forutsetninger. Og: Brukere vil kunne gi forhåndssamtykke for at man skal kunne unngå «cookie-bokser/bannere». Er dette et skritt nærmere for å slippe «cookie-boksene»?

Se pressemelding om Rådets vedtakelse av utkast til forhandlinger, og versjonen av ePrivacy-forordningen som er gjenstand for forhandlingene.

Bøter under GDPR (igjen…)

Bøter som gis under GDPR synes å være et utømmelig tema. I forrige utgave av nyhetsbrevet ble advokatfirmaet DLA Pipers rapport om bøter gitt under GDPR omtalt. Nå har rågiver og underviser i informasjonssikkerhet, Gaute Wangen, gått gjennom bøter som er gitt under GDPR gjennom nettstedet Enforcement Tracker og funnet at et overveldende flertall av bøter er under EUR 100.000 (86 over og 450 under). Tar man vekk de 86 største bøtene er 255 av 450 under EUR 10.000.

I tråd med utmålingsprinsippene innenfor GDPR er også de største bøtene gitt til store selskap.

Når det sees nærmere på hva som er årsaken til bruddene og derfor bøtene, så er manglende behandlingsgrunnlag dominerende med 40 % av sakene, men denne årsaken representerer 60 % av de totale bøtene. Den nest mest hyppige årsaken er ikke tilstrekkelige informasjonssikkerhetstiltak, med ikke-etterlevelse av regelverket (GDPR) på neste plass. For å forstå den siste kategorier må man se på de neste kategorier årsaker, som er ikke oppfyllelse av registrertes rettigheter, herunder manglende informasjon til registrerte og manglende varsel om personvernbrudd. Konklusjonen i Wangens artikkel er derfor at om man etterlever grunnlag for behandling, informasjonssikkerhet og generell etterlevelse (…), så vil risikoen for omfattende bøter reduseres sterkt.

Oversikt over personvernlovgivningen i ulike land

Advokatfirmaet DLA Pipers oversikt over personvernlovgivningen i over 100 land er oppdatert. Her kan lovgivningen i de ulike landene sammenlignes, som kan være interessant for å foreta en vurdering av lovgivningen i tredjeland, som er et krav etter Schrems II-dommen.

Stort skritt nærmere at Storbritannia blir «godkjent land» for overføring av personopplysninger.

Ikke overraskende har EU-kommisjonen kommet med et utkast til beslutning om at Storbritannia blir et land med «tilstrekkelig beskyttelsesnivå» for overføring av personopplysninger. Beslutningene gjelder både under personvernforordningen (GDPR) og under Law and Enforcement Directive (LED). Sistnevnte trådte i kraft samtidig med GDPR, og håndterer behandling av personopplysninger knyttet til straffeprosess og -forfølgning, som er områder unntatt fra GDPR. LED er også en del av (implementert i) norsk rett. Se også nedenfor om behandlingen av LED i EUs personvernråd (EDPB)

Nå gjenstår bare en uttalelse fra EDPB og (formell) beslutning av medlemslandene. Det er derfor stor sannsynlighet for at personopplysninger vil kunne overføres fra EØS til Storbritannia fremover.

Godkjenningen vil vare i fire år, og så må det en ny vurdering av om personvernnivået i Storbritannia er tilstrekkelig for at overføringene kan fortsette ut over dette. For de som lurer: Overvåkningslovgivningen til Storbritannia er en del av vurderingen er er ansett å være innenfor GDPR, herunder CLOUD Act (se mer nedenfor):

Les pressemelding her, og se utkast til beslutning her.

Legelisten.no – Dom i lagmannsretten om vurdering av berettiget interesse

Om legelisten.no kan registrere og offentliggjøre vurderinger av leger og annet helsepersonell har vært en sak som har gått lenge. Først i Datatilsynet, som påla at helsepersonellet skulle ha reservasjonsrett. Så ble Datatilsynets vedtak overprøvd av Personvernnemda, som fant at legelisten.no hadde grunnlag for behandling av personopplysninger i personvernforordningen artikkel 6 (1) f – dvs. berettiget interesse.

Legeforeningen bragte da saken på vegne av legene inn for domstolene, hvor Oslo tingrett avgjorde at avgjørelsen i Personvernnamda var riktig, dvs. at legelisten.no hadde grunnlag for behandlingen og legene hadde ikke reservasjonsrett.

Dommen fra Oslo tingrett ble anket inn for lagmansretten, hvor Borgarting lagmanssrett har nå kommet til samme resultatet som tingretten: Legelisten.no har grunnlag til å behandle personopplysninger om legene (og annet helsepersonell), og legene har ikke reservasjonsrett mot å bli oppført og anmeldt. Dommen gir en god innføring i hvordan en (grundig) vurdering av om det foreligger grunnlag for behandling av personopplysninger etter GDPR artikkel 6 (1) f, og hvordan vurdering av om det foreligger berettiget interesse skal gjennomføres. Dommen finnes her (merk at dommer i Lovdata er bare åpent tilgjengelig en periode, så det kan være at denne linken ikke fungerer etterhvert).

Er «piksler» for sporing av e-post de nye cookies?

Piksler (pixler) – jeg kaller det «pikselbilder» her – er små bilder, som er gjerne på 1×1 piksler (som er det minste element på en skjerm, f.eks. inneholder en vanlig PC-skjerm mellom 1 og 5 millioner piksler). Pikselbilder og har gjerne samme farge som bakgrunnen til e-poster som gjør at avsender av e-poster kan spore om og når e-posten ble åpnet, samt IP-adressen til den som åpnet e-posten, hvor e-posten ble åpnet (knyttet til IP-adressen) og hvilken enhet som ble benyttet til å lese e-posten (samt i noen tilfelle type e-postprogram, operativsystem på enheten mv.). Det kan også brukes andre teknologier enn pikselbilder for å hente slik informasjon.

Pikselbilder brukes i stort omfang, og personvern ved bruk av pikselbilder i e-post er nå et tema som blir i større og større grad diskutert i personvernkretser. En rapport indikerer at det brukes pikselbilder i så mye som to-tredjedeler av alle e-poster som sendes (et stort antall av disse e-postene er nok nyhetsbrev og spam). Denne debatten tar den samme form som debatten om cookies på nettsider, og det er noe merkelig at debatten ikke er kommet tidligere siden pikselbilder i e-post er trolig mer inngripende enn cookies siden det er en konkret e-postmottaker som spores. Dessuten er det som regel ingen informasjon til mottaker av eposten som opplysningene knytter seg til om bruk av pikselbilder i eposten.

Det har vist seg at selv det britiske datatilsynet, ICO, benytter seg av pikselbilderi sitt e-postnyhetsbrev (som de gjør oppmerksom på når man abonnerer på nyhetsbrevet, men det er ikke mulig å abonnere uten å akseptere pikselbilder, altså muligens et ikke lovlig samtykke). For de som er spesielt interessert, så er koden i nyhetsbrevet som henter pixelen (i nyhetsbrevet jeg har mottatt fra ICO) er: <img src=»http://newsletter.ico.org.uk/t/126wkPSU5rFHkO.png» alt=»»>, og pixlen ser slik ut (her på svart bakgrunn så den er enklere å se, om den synes – den er ca. midt i bildet):

Samles det inn og behandles personopplysninger ved bruk av pikselbilder, så er det plikt til å informere den opplysningene gjelder etter GDPR artikkel 13 og 14. Om det kreves samtykke gjenstår å se, men bruken av pikselbilder ved e-post er interessant i sammenheng med kravene til samtykke ved bruk av cookies på nettsider.

Uten at det har vært tema i diskusjonen ennå, så vil også det at bruk av linker knyttet til den enkelte mottaker også ha en personvernside (som bl.a. gjøres i Mailchimp, Hubspot mv.).

PS! Ønsker du å forhindre at du blir sporet med pikselbilder, gå i Outlook til Fil > Alternativer > Klareringssenter > Instillinger for klareringssenter > Automatisk nedlasting og skru av.

Kort nytt

  • Boten fra datatilsynet i Berlin til det tyske eiendomsselskapet Deutche Wohnen på EUR 14,5m i 2019 skapte stor oppmerksomhet tidligere. Boten gjaldt bl.a. manglende sletting av personopplysninger knyttet til leietakere. Selskapet varslet allerede den gang at boten ville bli bragt inn for domstolene, og nå har kriminalretten i Berlin avvist boten. Grunnlaget for avvisningen er imidlertid prosessuelle forhold, ved at selskaper (juridiske personer) ikke kan bøtelegges – kun fysiske personer kan få bot. Det er ikke utenkelig at denne saken går videre i rettsapparatet.
  • Thomas von Danwitz som fungerte som forberedende dommer i begge Schrems-sakene har uttalt på en konferanse at GDPR artikkel 49 kan i større grad enn noen (bl.a. EUs personvernrådEDPB) har forutsatt benyttes til overføring av personopplysninger til land utenfor EØS. Men Danwitz var klar på at kommersielle interesser, som å benytte bl.a. amerikanske leverandører som tjenesteleverandører, må ikke gå på bekostning av personvernet. Danwitz poengterte at hele diskusjonen er et mer fundamentalt spørsmål om hva slags samfunn ønsker vi å leve i, og vårt ønske om å ha et samfunn i overensstemmelse med europeiske lover og verdier.
  • EUs personvernråd (EDPB) har behandlet det såkalte «Law Enforcement Directive» (LED) og gitt anbefalinger knyttet til direktivet. Direktivet gjelder om politi- og påtalemyndigheter innenfor EØS kan kreve utlevert bl.a. personopplysninger fra EØS til land utenfor EØS. Utlevering av opplysninger om potensielle straffbare forhold er meget følsomme opplysninger (de er til og med strengere regulert enn særlige kategorier personopplysninger, som helseopplysninger, i GDPR). Det bør derfor være veldig streng regulering på slik utlevering. EDPB har gitt anbefalinger knyttet til ivaretakelse av personvernvernet ved slike utleveringer.
  • Og EDPB har kommet med en uttalelse om nye bestemmelser andre tilleggsprotokoll til konvensjonen for cyberkriminalitet (Budapestkonvensjonen) som bl.a. er en del av norsk lov. Budapestkonvensjonen er den første internasjonale traktaten som adresserer internett- og datakriminalitet ved å harmonisere nasjonale lover, forbedre etterforskningsarbeid og øke samarbeidet mellom nasjoner. Den andre protokollen skal utvide samarbeidet og gjøre utlevering av opplysninger om straffbare forhold mer generelt. EDPB mener enkelte punkter knyttet til utlevering av personopplysninger må vurderes nærmere, at personvernmyndigheter involveres i arbeidet med bestemmelsene og at utlevering fra EØS-land må være i overensstemmelse med EU-retten.
  • Som et apropos for å tilføye kontekst til det over: I parallell med arbeidet med andre protokoll til Budapestkonvensjonen forhandler EU-kommisjonen med USA om utlevering av personopplysninger fra EØS til USA som en følge av den amerikanske CLOUD Act. CLOUD Act ble innført for at amerikanske etterforsknings- og påtalemyndigheter skal få utlevert opplysninger om straffbare forhold fra tjenesteleverandører (som skyleverandører) utenfor EØS, og utlevering krever enten dom mv. rettet mot selskap innenfor amerikansk jurisdiksjon eller en avtale med land utenfor amerikansk jurisdiksjon. Slik utlevering kan ikke skje uten at det er i overholdelse med bl.a. GDPR, og det skal en avtale mellom EU og USA sikre. Tilsvarende avtale er allerede inngått med Storbritannia. Det er spennende å se hvilken effekt Schrems II-dommen vil ha på forhandlingene. Se omfattende artikkel om forhandlingene her.
  • Det franske datatilsynet, CNIL, strammer til på bruk av cookies og samtykker på nettsider. CNIL har kommet med en veileder på bruk av cookies med en overgangsperiode på seks måneder som løper ut 31. mars. CNIL minner derfor på at nettsidene skal være i overensstemmelse med veiledningen innen utløpet av fristen. Det kan allikevel skje at CNIL kommer med pålegg og/eller bøter innen utløpet av perioden. Hittil er det kun det spanske datatilsynet som har ilagt bøter for manglende samtykke ved bruk av cookies.
  • Og Google bestrider CNILs bot på EUR 100m som ble gitt basert på manglende informasjon til brukere om hvordan Google samler inn og bruker personopplysninger fra cookies.
  • Datatilsynet har gitt Telenor en irrettesettelse for manglende informasjonssikkerhet (GDPR artikkel 32) knyttet til personopplysningssikkerhet i talepostfunksjonen (mobilsvar) og for å ikke ha meldt dette til Datatilsynet da forholdet ble avdekket (GDPR artikkel 33). Forholdet førte til at mobilsvarmeldinger for ca. 1,3m personer var tilgjengelig gjennom såkalt «spoofing». Telenor har også fått overtredelsesgebyr på NOK 1,5m for forholdet fra Nasjonal kommunikasjonsmyndighet (NKOM) for samme forhold, hvilket førte til at Telenor ikke fikk gebyr fra Datatilsynet (forbudet mot dobbeltstraff).
  • EU-kommisjonen har publisert en gjennomgang av medlemsstatene i EUs regulering av helseopplysninger under GDPR. Studien viser at de ulike landene har implementert GDPR knyttet til behandling av helseopplysninger ulikt, som vil kunne ha negativ innvirkning på samarbeidet over landegrensene for hvordan regelverket etterleves, administrering av systemer knyttet til helse, helsepolitikk og forskning.
  • Det svenske datatilsynet (Integritetskyddsmyndigheten eller IMY) har ilagt den svenske politimyndigheten en bot på SEK 2,5m for bruk av det kontroversielle verktøyet Clearview AI. Sistnevnte er et verktøy for ansiktsgjenkjenning som kan matche ansikt fra en database på mer enn 3 milliarder bilder som er hentet fra internett, herunder sosiale media (så, ja – er bildet ditt på internett eller du bruker sosiale medier, er du i basen). Verktøyet anses å ha en nøyaktighet på 99,6 %. Boten er basert på brudd på svensk nasjonal lovgivning, så er ikke så relevant for verken GDPR eller LED (men interessant i et personvernperspektiv).
  • Selskapet Survey har beregnet at Irland bruker EUR 3,6 per innbyger på sitt datatilsyn, mens i Nederland brukes det EUR 3,54, UK bruker EUR 0,99 og i Frankrike brukes det kun EUR 0,30. I Norge bruker vi kr 12,34 (dvs. EUR 1,20) per innbygger (basert på tildelingsbrevet for Datatilsynet for 2020 og et innbyggertall på 5,385 millioner, altså sånn ca. midt på treet).
  • Det spanske datatilsynet (AEPD) har ilagt banken CAIXABANK en bot på EUR 6m for behandling av personopplysninger uten lovlig grunnlag (EUR 4m) og for manglende informasjon til de personopplysningene gjelder (EUR 2m). Banken baserte behandlingen på samtykke, som ikke var innhentet i henhold til kravene i GDPR, og behandlingen under berettiget interesse, som ikke var tilstrekkelig knyttet til bankens virksomhet (formål) etter AEPDs vurdering. Boten ble beregnet ut fra varigheten på bruddet, at banken ikke tok bruddet tilstrekkelig alvorlig, forholdet mellom behandlingen av personopplysninger og bankens forretningsvirksomhet, samt omfanget størrelsen på bankens virksomhet og omsetning.
  • Og EU-parlamentet er ikke fornøyd med hvordan det Irske datatilsynets saksbehandling knyttet til Schrems II og mener at nye føderale personvernregler i USA ikke er tilstrekkelig for å kunne overføre personopplysninger til USA.
  • Det franske datatilsynet har laget en spennende tjeneste, Scripta Manent, for å ulike versjoner av personvernerklæringer og vilkår fra ledende tjenesteleverandører over tid. Tjenesten omfatter hele 637 dokumenter fra 174 leverandører.
  • Norges fotballforbund har akseptert en bot fra Datatilsynet på NOK 50.000 for ulovlig lagring og sammenstilling av IP-adresser med eposter som NFF mente en dommer hadde sendt under falskt navn. Behandlingen av IP-adressene skjedde derfor uten lovlig formål og grunnlag.
  • Se også interessant artikkel om det er behov for en ny/endret GDPR, som mange nå mener i større og større grad.
  • European Union Agency for Cybersecurity (ENISA) har kommet med en rapport hvor ulike metoder for pseudonymisering gjennomgås og vurderes.
  • EUs datatilsyn, EDPS, mener at EU bør forby målrettet markedsføring av store annonse/markedsføringsplattformer (som Facebook og Google) i Digital Services Act.
  • Det danske datatilsynet har kommet med en veiledning for bruk av cookies mv.
  • Og hvordan man skal forholde seg til overføring til land utenfor EØS er fremdeles like uklart…

Gebyr og pålegg fra Datatilsynet for videresending av epost fra epostkonto til tidligere ansatt

Datatilsynet har ilagt et forlag en gebyr på kr 200.000 for å ha automatisk videresendt epost som skal gå til en tidligere ansatt. Å videresende epost fra ansatte, er å anse som innsyn i epostkassen, som reguleres av klare regler under norsk rett (se forskrift her). Selskapet har også brutt reglene om at epostkasse for ansatte skal slettes når arbeidsforholdet opphører.

Å sikre virksomhetskritisk informasjon ved ansattes fratreden vil kunne være vanskelig, men dersom virksomheten iverksetter tiltak før den ansatte fratrer, vil slik informasjon kunne sikres.

Datatilsynet mener også at selskapet har brutt reglene i GDPR om å ha lovlig grunnlag for behandlingen (GDPR artikkel 6), sletting av personopplysninger (GDPR artikkel 17), informasjon til den registrerte (bl.a. GDPR artikkel 13) og å ikke vurdere og hensynta protest fra den som personopplysningene gjelder (GDPR artikkel 21). Datatilsynet har også pålagt virksomheten å ha rutiner (som kan dokumenteres skriftlig) om innsyn i epost for ansatte og tidligere ansatte (også bør nok selskapet har rutiner for overholdelse av GDPR ellers, som for lovlig grunnlag, informering av de registrerte, sletting og håndtering av anmodninger/krav fra registrerte).

Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.

Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på disse nettisende.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter, eller i kommentarfeltet nedenfor.