Her er en oppsummering av det siste innenfor personvern, GDPR mv. basert på en del jeg har skrevet/delt innenfor personvern og teknologirett den siste tiden på LinkedIn og Twitter, samt mye annet som ikke tidligere er delt. Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her.
Bruk av databehandler innenfor EØS med amerikansk morselskap? Dom fra Frankrike kan gi veiledning
Schrems II-dommen gjeldt overføring av personopplysninger til USA, men etter dommen har det også vært spørsmål om leverandører som er etablert og leverer tjenester fra EØS, men med morselskap i USA, er omfattet av dommen. Strengt tatt handlet ikke dommen om dette, men det er et spørsmål om dommen også får betydning for bruk av slike leverandører, og om de omfattes av overvåkningslovgivning i USA.
Nå har den øverste forvaltningsdomstol i Frankrike avsagt en dom om, i dette tilfelle Amazon Web Services (AWS), kan benyttes etter Schrems II, og konkludert med at det er mulig.
Saken gjaldt om leverandør for booking av vaksinering mot korona kunne brukes av franske myndigheter, siden denne benyttet AWS som underleverandør.
Domstolen mente det var en risiko for at amerikanske myndigheter kunne kreve data selv om det ikke skjedde noen overføring til USA, men mente at de tekniske og kontraktuelle tiltak som var gjort var tilstrekkelige. Det var også en vurdering av personopplysninger mot risikoen for personvernet. Bruken av leverandøren kunne derfor fortsette. Tiltakene som var iverksatt, var:
- Kontraktuelle tiltak i form av at databehandleravtalen inneholdt spesifikke prosedyrer for AWS dersom amerikanske myndigheter anmodet utlevering av data, herunder at AWS skulle overprøve utleveringskrav rettslig.
- Tekniske tiltak ved at data som ble overført og behandlet hos AWS skulle krypteres og at krypteringsnøkkelen ble oppbevart av uavhengig tredjepart innenfor EØS (i Frankrike).
Av interesse, så ble det lagt til grunn i denne dommen at kravene etter Schrems II-dommen gjelder også «amerikanske» leverandører innenfor EØS. Det må minnes på at en dom fra Frankrike har ikke stor betydning for hva som gjelder i Norge, men dommen gir god veiledning på tiltak som kan iverksettes for å bedre sikkerheten for personopplysninger. Denne synes heller ikke å være så streng som veilederen fra EDPB.
Alternativer på amerikansk side for å løse Schrems II-konsekvensene
Schrems II-dommen og overføring av personopplysninger til USA skaper (selvsagt) problemer for USA og amerikanske virksomheter.
Det har lite for seg å tro at man kan fortsette med kravene under dommen og veilederen fra EUs personvernråd fremover. Løsningen ligger i stor grad hos USA, og derfor har medlemmer av kongressen i USA ønske om å løse situasjonen, og har fått utredet alternativer.
Alternativer man ser fra amerikansk for å få løst situasjonen er:
- Utstede presidentordre (Executive Action) som begrenser overvåking, som kan løse noen av utfordringene som domstolen mente var i strid med EU-borgeres personvernrettigheter.
- Endre amerikanske lovgivning spesielt knyttet til FISA-lovgivningen ved å kreve kjennelse fra domstol for den enkelte overvåking (herunder utlevering av informasjon knyttet til overvåking). Man mener imidlertid at dette vil medføre grunnlovsmessige utfordringer i USA.
- Diplomatiske forhandlinger mellom EU og US om en løsning på lik linje med Privacy Shield, men en slik løsning vil kunne være på plass først om måneder, om ikke år, ifølge EU-byråkrater.
- Endre amerikanske føderal lovgivning for å gi personvernlovgivning på nivå med EU (les: GDPR), slik at USA blir «godkjent tredjeland». Dette er veldig lite trolig vil skje.
Intensivering av forhandlingene mellom EU og USA om erstatning for Privacy Shield
Noe som kan løse situasjonen etter Schrems II-dommen, er en erstatning til Privacy Shield. EU og USA intensiverer derfor forhandlingene om en erstatning ifølge en felles pressemelding.
Når erstatningen vil eventuelt være på plass, er ikke klart, men det er et stort behov for et nytt grunnlag etter at Privacy Shield ble ugyldiggjort i Schrems II-dommen, hvor det mest praktiske alternativet, EU standard kontraktsbestemmelser (SCC), ble så godt som gjort ubrukelig.
Privacy Shield erstattet Safe Harbour-avtalen, som ble funnet ugyldig i Schrems I. Så når en erstatning for Privacy Shield er på plass, er det bare å vente på Schrems III.
Oslo Universitetssykehus har håndhevet personvernet for strengt
Statsforvalteren har konkludert med at Oslo universitetssykehus (OUS) har håndhevet personvernet for strengt slik at det gikk ut over pasientsikkerheten.
Personvernregelverket, og GDPR, er risikobasert. Det betyr at behandlingen av personopplysninger og tiltak knyttet til behandlingen skal vurderes ut fra flere faktorer, hvor bl.a. formålet for behandlingen og sammenhengen behandlingen skjer, skal hensyntas.
Med andre ord kan også andre forhold enn personvernet, som i dette tilfellet pasientsikkerheten, være en del av risikovurderingen om behandling av personopplysninger. Her kan det altså være at personvernet vil måtte vike.
Det ideelle er selvsagt at personvernet kan leve side om side med alle andre hensyn, men en slik ideell situasjon vil ikke alltid foreligge.
Det kan altså være feil å overdrive personvernet også, hvilket også OUS innser.
Økning i avgjørelser fra datatilsynene bringes inn for domstolene
Det er en økende trend for at avgjørelser fra datatilsynene, som pålegg og bøter, bringes inn for domstolene. Dette er vi jurister glad for, siden det er domstolene til sist avgjør hvordan personvernregelverket skal forstås. Wall Street Journal melder at dette er en trend flere steder i Europa, og trekker frem Belgia og Berlin som eksempler. Bl.a. har boten på EUR 14,5 millioner til selskapet Deutche Wohnen blitt underkjent av domstolene i Berlin siden boten ikke kunne ilegges selskaper (kan kun ilegges fysiske personer.
I Norge vil vi trolig få vår første avgjørelse i Høyesterett når saken om legelisten.no er anket inn for Høyesterett.
Endringer fra Google for Google Analytics
Google har endret sine vilkår for det meget brukte analyseverktøyet Google Analytics (GA), som i det vesentlige medfører at kunder i Europa vil nå ha en avtale med Google i Irland, og ikke Google i USA som tidligere. Dette er nok en tilpasning til Schrems II-dommen.
Samtidig har Google endret GA til å omfatte maskinlæring for bl.a. å få en bedre forståelse av kundens «livsyklus» for å bedre markedsføringen gjennom verktøyet. Det er også en målsetting fra Google at løsningen skal fungere mellom apper og nettløsninger, og skal fungere med og uten bruk av informasjonskapsler (så får vi se om det bedrer personvernet).
Det er greit å være klar over at de som benytter GA på nettsider og annet forplikter seg til å ikke overføre personopplysninger til Google etter vilkårene, og skal heller ikke bistå eller tillate dette for tredjeparter. Dette er imidlertid ikke nytt i vilkårene. Brukere av GA er også forpliktet til å opplyse i sine personvernerklæringer at de benytter GA ved bl.a. henvisning til Googles informasjon om bruk av GA, samt å innhente de nødvendige samtykker. Det er også brukerens ansvar å sette opp GA på en måte som sikrer personvernet mot personer som GA brukes mot, som besøkende på nettsider.
Sporing av bruk av offentlige nettsteder
Teknologirådet har undersøkt offentlige nettsiders bruk av sporingstjenester (som Google Analytics og Facebook Pixel) og funnet at de fleste offentlige sidene som er undersøkt bruker teknologi for å spore brukerne.
Sporing er ikke i seg selv problematisk, men bruk av kommersielle aktører som selv benytter data som spores (les: Google, Facebook mv.) på offentlige nettsider gir større grunn til bekymring enn sporing på en del kommersielle sider. Dette fordi det gis informasjon på offentlige nettsider som kan være mer følsomme for brukere av nettsider (les: barneverntjenester, skilsmisse, barnefordeling mv.). Rapporten går også grundig gjennom de ulike sporingstjenestene og gir et godt innblikk i hvordan disse fungerer.
Uten at det må være noen trøst, så er det minst like ille i Sverige.
Første dom i EFTA-domstolen om personopplysninger
EFTA-domstolen har behandlet den første saken om tolkning av personvernforordningen (GDPR) og avsagt en foreløpig dom. Saken gjaldt om personer som hadde klaget inn et selskap for brudd på GDPR hadde krav på å være anonyme med den følge at angjeldende datatilsyn måtte behandle saken uten å utlevere identiteten til klageren. Dette er et spørsmål som også har vært diskutert i Norge, siden det kan bryte med prinsippet om kontradiksjon (retten til å forsvare seg mot en identifisert motpart).
Domstolen kom til at identifisering av klager er ikke i strid med GDPR (her var artikkel 77 og 78 aktuelle, men ble funnet å ikke regulere forholdet). Avgjørelsen fra retten ble derfor avgjort etter nasjonal rett, men slik at de nasjonale reglene ikke gjorde det praktisk umulig eller uforholdsmessig vanskelig for personene å utøve sine EØS-rettigheter. Domstolen behandlet også forholdet for klageorgan, og fant at tilsvarende gjaldt for dette.
Dommen reiste også problemstillinger til myndigheter som behandler saker som behandlingsansvarlig, og kravene etter dataminimering (artikkel 5 (1) c) og nødvendighetsvurderingen etter artikkel 6 (1) e.
EUs personvernråds strategi for 2021 til 2023
EUs personvernråd (EDPB) har kommet med sin strategi for perioden 2021 til 2023. De mest sentrale målene som EDPB skal arbeid mot i denne perioden er:
Harmonisering og tilretteleggelse for datatilsynenes praktisering under GDPR, som det absolutt er behov for siden man ser at bøter og pålegg spriker ganske kraftig ved datatilsynenes praksis innenfor EØS. Dette skal gjøres ved praktiske, forståelige og tilgjengelige veiledere og verktøy innenfor sentrale områder under GDPR, og involvere interessenter i dette arbeidet, samt bedre opplæring og informasjon til generelt til borgerne.
Det skal sørges for mer effektiv håndheving og samarbeid mellom datatilsynene, med å bedre interne prosesser, og kombinere ekspertise og koordinering mellom datatilsynene, for å sikre en bedre kultur for håndheving. Dette skal gjøres med bedre samhandlingsløsninger, og vurdere og forbedre effektiviteten for slike løsninger, samt innføre bedre kommunikasjonsløsninger (de burde EDPB begynne med sine egne nettsider som er mildt sagt veldig dårlige og vanskelig å finne frem på). Det er også en målsetting med å ha raskere og bedre felles undersøkelser ved mistanke om personvernbrudd, herunder å bedre koordinering, prioritering og felles metodikk ved undersøkelser og håndheving.
Det skal også etableres en felles sammenslutning med ekspertise i et pilotprosjekt for å gi støtte og ressurser ved undersøkelser og håndheving av regelverket av felles interesse for datatilsynene, og bedre samarbeidet og tilknytningen mellom datatilsynene.
EDPB og EDPS med felles uttalelse om «Data Governance Act»
Data Governance Act er EU-lovgivning som vil gi grunnlag for og sørge for at det er mulig å dele data, herunder personopplysninger, innenfor EU. Lovgivningen skal sørge for bedre data-drevet innovasjon, men da under forutsetning at delingen av data skjer i overensstemmelse med EUs personvernlovgivning, og da spesielt GDPR og ePrivacy-forordningen.
EUs personvernråd (EDPB) og EUs datatilsyn (EDPS) har i den forbindelse kommet med en felles uttalelse om hvor viktig det er at Data Governence Act er i overensstemmelse med GDPR. Samtidig er det viktig å minne på et av formålene med GDPR er å sørge for fri utveksling av personopplysninger innenfor EØS, og at slik utveksling skal ikke forhindres av personvernhensyn (GDPR artikkel 1 (3)).
Data som ressurs— Datadrevet økonomi og innovasjon. Og personvern
Regjeringen har lagt frem en stortingsmelding som inneholder regjeringens politikk for verdiskaping med data som ressurs. Meldingen skal gi innblikk i data skal utnyttes for å gi økt verdiskaping, flere arbeidsplasser, mer effektiv offentlig sektor, mer bærekraftig samfunn mv. Men bruk av data innebærer også bruk av personopplysninger, som da også er adressert i meldingen.
Nasjonale prinsipper for deling og bruk av data:
Personvernforhold som tas opp i meldingen er bl.a. utfordringen med videre bruk av data ved at personopplysninger kun skal behandles innenfor formålet som de opprinnelig ble samlet inn for, at behandlingen skal være nødvendig og utfordringer med innhenting av samtykke. Det trekkes opp anonymisering, avidentifisering og bruk av syntetiske data som mulig løsninger. Dessverre inneholder meldingen ikke mye om hvordan personvernet skal balanseres med de fordeler en datadrevet økonomi gir, men dette er nok noe som kan bli tema ved flere anledninger senere.
Ivaretakelse av elevers personvern
Det finnes mange spennende digitale læremidler og nettressurser, men det er ikke alle som ivaretar elevenes personvern. Det er også vanskelig for lærere å vite hvilke læremidler som kan brukes, og hvilke som må undersøkes nærmere. Jeg misunner ikke lærerne situasjonen at de skal tilrettelegge for god læring i en tid hvor mye er digitalt.
Pålogga er en dugnad for digitale lærere som veileder og som iverksetter prosjekter til det beste for norske skoler. CheckIt fra Pålogga er en løsning som lanseres i dag hvor lærere kan sjekke om digitale læremidler og nettressurser er trygge å ta i bruk i undervisningen.
Et eksempel er «navet» i den digitale skolen for mange – Showbie – hvor det lagres video, bilder, lyd, tekst, tegninger laget av elevene, informasjon elevene, vurderinger av elevene mv. Nærmere undersøkelser viser det seg at alt dette lagres i USA. Ikke helt etter Schrems II, så får det håpes at det er gode tiltak for å sikre dataene (selv om det er noe usikkert ut fra dokumentasjonen til Showbie, og det er ikke tilgjengelig noen risikovurderinger fra kommunenes side). En kommune har også fått bot på kr 0,5 millioner for bruk av Showbie.
Nylig fikk også Ålesund kommune overtredelsesgebyr for bruk av treningsappen Strava, som bl.a. lagrer lokasjonsdata (GPS) for elever, som var obligatorisk for bruk i gymtimene. Bruken av Strava var imidlertid ikke problemet ifølge Datatilsynet, men kommunens manglende rutiner for bruk av apper i skolen og at det ikke var gjennomført en risikovurdering (Datatilsynet vurderte det til at bruk av Strava krever en full vurdering av personvernkonsekvenser (DPIA) etter GDPR artikkel 35.
Veiledning for behandling av personopplysninger ved enheter med stemmestyring og internett-tilkoblet kjøretøy
EUs personvernråd (EDPB) har kommet med veiledning om behandling av personopplysninger for enheter med stemmestyring (Virtual Voice Assistants) – endelig veiledning, og for internett-tilkoblet kjøretøy (Connected Vehicles) – versjon på høring.
Veiledningene omfatter noe snevre, men allikevel viktige, områder. Og selv om veiledningene kan oppfattes som snevre og ikke være relevante for så mange (foruten de som leverer løsninger til eller bruker slike løsninger, så gir veiledningene et godt innblikk i forhold som bør tas i betraktning ved utvikling av løsninger, spesielt med ny teknologi, og forholdet til behandling av personopplysninger. I tillegg omfatter veiledningene noen elementer som kan være av interesse for annen, og mer generell, behandling av personopplysninger.
Kort-nytt
- Google og fremtiden til cookies. Interessant artikkel i Wired om spillet og politikken bak bruken og hvordan sporing av brukere kanskje vil være i fremtiden (om det skjer noen endring da).
- Og Johann Ytredal og Torunn Maria Holm som er rådgivere i Spoon skriver om cookie-døden er en trussel mot digital markedsføring (som ikke er en påskekrim). Interessant her er at 90 % synes irrelevant reklame er irriterende og 71 % foretrekker målerettet reklame (og da trolig 100 % synes cookie-bokser er irriterende, red. anm.). Forfatterne mener at løsningen vil kunne være kontekstuell reklame som er annonsering av typen der du blir truffet med reklame for friluftsutstyr når du besøker nettsider som tar for seg temaet friluft. Endringen vil innebære at Google Marketing Platform og programmatisk kjøp av annonseplass på spesifikke nettsider vil benyttes mer.
- En av de sentrale personene bak GDPR, Axel Voss, mener at GDPR er utdatert allerede og trenger en oppdatering grunnet ny teknologi som AI, ansikts og tale-gjenkjenning, blokkjede mv.
- Dateappen Grindr har kommet med tilsvar til Datatilsynet etter Datatilsynets ileggelse av bot på kr 100 millioner til Grindr. At saken går videre til Personvernrådet eller kanskje domstolene er nok ikke helt utenkelig.
- Og Forbrukerrådet ber Datatilsynet pålegge Grindr å spore opp og slette personopplysninger som er ulovlig samlet inn (og da også ulovlig overført/spredt).
- Å sende videooverføring direkte på nett (også kalt web-kamera) er ikke greit ifølge Datatilsynet som ila kr 150.000 i bot pga. manglende behandlingsgrunnlag. Det ble ansett at personopplysninger ble behandles siden bl.a. biler, personers klær, hårfarge mv. kunne identifiseres, selv om personers ansikt, bilnummer mv. ikke var identifiserbare.
- Booking.com fikk EUR 475.000 i bot for å melde personvernbrudd for sent. Personopplysninger om bl.a. 4.109 personer ble tilgjengelig for hackere, hvilket Booking.com meldte etter 22 dager og ikke innenfor 72-timers fristen.
- Det nederlandske parlamentet, Tweede Kammer, har foretatt en vurdering av personvernkonsekvenser (DPIA) av Googles forretningsløsning, G Suite samt på plattformer som benytter Chrome nettleser med installerte apper.
- Datatilsynet i Bayern har funnet at bruk av Mailchimp i ett tilfelle var i strid med GDPR som tolket etter Schrems II-dommen. Avgjørelsen var basert på at overføring skjedde etter EUs standard kontraktsbestemmelser (SCC) uten at det var foretatt risikovurdering eller iverksatt tiltak for å sikre personopplysningene.
- Flere datatilsyn i EU mener at det irske datatilsynet ikke gjør nok for å få selskap med amerikanske eiere som er etablert i Irland (stort sett av skattehensyn) til å overholde GDPR. Dette har skapt en konflikt mellom det irske datatilsynet og andre datatilsyn i EU, spesielt det føderale tyske datatilsynet.
- EU-kommisjonens president, Margrethe Vestager, er i tvil om forslaget fra det portugisiske presidentskapet til ny ePrivacy-forordning vil føre frem, siden forslaget er ikke i overensstemmelse med GDPR. Det er helt avgjørende at ePrivacy-forordningen og GDPR er i overensstemmelse (som kjent skulle disse to komme likt, men ePrivacy-forordningen ble forsinket pga. politisk uenighet).
Og endelig noe gøy med cookies
Noen med (svart) humor har kommet med et spill basert på cookiesamtykker. Her kan man trene seg opp til å navigere mellom ulike valg og knapper med det mål å ikke akseptere noen cookies. Spill Cookie Consent Speed.Run.
Takk til Jan Morten Andersen for tips.
Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.
Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på mine nettsider, sandtro.no.
Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter.