Oppdatering personvern, GDPR og teknologirett mv. (#5.2021)

Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. basert på en del jeg har skrevet/delt innenfor personvern og teknologirett den siste tiden på LinkedIn og Twitter, samt en del annet nytt.

Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her. Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.

Status for nye standard kontraktsbestemmelser fra EU

Den 12. november 2020 kom det utkast til nye standard kontraktsbestemmelser (SCC) som tiltak fra EU-kommisjonen for å sikre overføring til land utenfor EØS (tredjeland). Avtalene er noe tilpasset Schrems II-dommen, og dagens SCCer må erstattes av de nye avtalene innen ett år etter de nye avtalene er vedtatt. SCCene vil nå også fungere som databehandleravtaler, og pålegger at lov innenfor EØS skal regulere avtalene (dvs. bl.a. amerikansk rett er utelukket).

Mens dagens SCCer kun dekker overføring mellom behandlingsansvarlig innenfor EØS og enten behandlingsansvarlig eller databehandler i tredjeland, så vil de nye SCCene dekke alle de fire mulige alternativene:

Andre endringer som bl.a. er knyttet til Schrems II-dommen, er nye garantier for overføring, skjerpede krav til varsler og dokumentasjon og flere plikter for behandlingsansvarlig utenfor EØS, bl.a. varsel til tilsyn i EØS ved personvernbrudd. Pliktene for de som mottar personopplysninger i tredjeland (dataimportør) må også sørge for at dennes underdatabehandlere eller andre mottakere av personopplysningene overholder SCCene. Det er også gjort enklere at flere parter kan knytte seg til avtalene, som gjør forvaltningen av avtalene enklere.

Status på avtalene er at høringsrunden ble avsluttet 10. desember 2020. EUs personvernråd (EDPB) og EUs personvernombud (EDPS) kom med en uttalelse om avtalene 14. januar 2021. Det var håpet at avtalene skulle komme første kvartal i 2021, så det har stort sett vært stille fra EU. Lederen for beskyttelse og internasjonale overføringer av data i EU-kommisjonen, Bruno Gencarelli, har imidlertid nylig uttalt at SCCene vil bli vedtatt innen kort tid. Men en erstatning for Privacy Shield er ikke i horisonten engang ennå.

For Storbritannia så er det gitt informasjon at eksisterende SCCer skal brukes, som er naturlig siden de nye ikke er kommet. Når de nye SCCene kommer vil Storbritannia få egne SCCer for eksport av data ut fra Storbritannia. Ved overføring fra EØS til Storbritannia må EUs SCCer benyttes.

Støtte fra EDPB til beslutning av Storbritannia som «godkjent land»

I en uttalelse har EDPB gitt sin støtte til EU-kommisjonens tidligere beslutning om at Storbritannia anses å ha et «tilstrekkelig beskyttelsesnivå» for vern av personopplysninger, slik at Storbritannia anses å være et «godkjent land» etter GDPR.

Det gjenstår da bare en (formell) beslutning av medlemslandene, så det kan stort sett legges til grunn at personopplysninger vil kunne overføres fra EØS til Storbritannia uten at det kreves andre grunnlag for overføringen (som EUs standard kontraktsbestemmelser, SCC).

EDPB uttalte at Storbritannia har i det vesentlige samme personvernlovgivning som EU (som ikke er så rart siden de har forholdt seg til GDPR fra starten av, og har implementert GDPR i sin personvernlovgivning), og bifalt at det skal være regelmessig vurdering av lovgivningen i Storbritannia hvert fjerde år i tilknytning til eventuell fornyelse av godkjennelsen.

EDPB mente imidlertid at faren for at personopplysninger overføres fra Storbritannia til land utenfor EØS (som USA) og tilgang til personopplysninger av myndighetene, er områder som må følges nøye. For sistnevnte skal det etableres organer for å kontrollere slik tilgang.

Ny Statens standardavtale: SSA-Sky

Det er kommet en ny avtale i SSA-familien fra Direktoratet for forvaltning og økonomistyring (DFØ) som skal regulere leveranse av tjenester knyttet til etablering og forvaltning av skytjenester. Tidligere var det SSA-L (avtale om løpende tjenestekjøp) som ble benyttet for skytjenester (blant annet), men nå skal SSA-Sky være mer spisset mot slike leveranser.

Etter «reklamen» for avtalen fra DFØ skal den være bedre balansert mellom kunde, leverandør og skytjenesteleverandør (som ikke nødvendigvis har vært gjeldende for tidligere SSAer), og kan benyttes til både mindre og mer komplekse leveranser. Avtalen gjelder imidlertid ikke selve skyleveransen fra skyleverandøren, men tjenester basert på skytjenester (hvor leverandøren av skytjenestene en tredjepart).

Mens de tidligere SSAene var mye skåret over samme lest, med bestemmelser som var like i flere avtaler (les: SSA-K, SSA-T og SSA-L), er det gjort ganske omfattende endringer i SSA-Sky. Så er avtalen blitt omfattende også med 46 sider (uten bilag).

Avtalen har en klarere etableringsfase og deretter forvaltningsfase enn SSA-L, hvor kunden kan enten inngå egen avtale med skyleverandør, eller så kan selve skyleveransen være en del av SSA-Sky. Avtalen har mest regulering av forvaltningsfasen, som er naturlig ved skytjenester og bra, siden regulering av forvaltning er noe som har vært en svakhet ved de tidligere SSAene, spesielt SSA-V (vedlikehold) og SSA-D (drift).

Ved at avtalen nå søker å være mer balansert enn tidligere SSAer, kommer ikke leverandøren så mye i skvis mellom kunden og skyleverandøren som tidligere (som var forsøkt bedret i SSA-L, men nådde ikke helt frem). Men som ellers i SSAene er balanseringen ikke optimal, med all forståelse for at slik balansering i en standardavtale ikke er enkelt. Selv om ansvaret i avtalen i større grad legges på kunden, er det normalt vanskelig (les: umulig) å få endret avtalen med skyleverandører, slik at begge parter vil være låst til disse. At leverandøren da har et ansvar for skyleverandørens avtale setter denne i en meget vanskelig situasjon. På den andre side er det vanskelig for kunden å sette seg inn i skyleverandørens vilkår, og leverandøren er derfor pålagt en plikt til å varsle kunden om vilkår denne må spesielt være klar over. Denne reguleringen i SSA-Sky kan medføre at partene vil kunne se hen til SSA-L ved skyleveranser fremdeles.

Alt i alt er SSA-Sky et godt tilskudd i SSA-familien, men det skulle vært ønskelig at avtalen var ytterligere balansert, spesielt for forholdet til skyleverandørens vilkår, samt krav som stilles til kunden for gjennomføring av leveransen (som er en svakhet som alle SSAene lider under, og som vil kunne være en årsak til at leveranseprosjekter feiler/havarerer).

Bruk av konkurrents varemerke som søkeord er lovlig

I en avgjørelse i Borgarting lagmannsrett har Bank Norwegian vunnet frem om at navnet (og da bl.a. varemerket) til konkurrerende banker kunne brukes som søkeord gjennom Googles annonsesystem (dvs. søkte man på en konkurrerende bank, så kunne Bank Norwegian kommet øverst i søkeresultatet, men da merket som annonse:

Retten mener at det er klart at det er en betalt annonse, og at det ikke er noe fare for at man forveksler søkeordet med den som har kjøpt annonse. Dommen sier imidlertid ikke at det er fritt frem for å bruke konkurrenters navn og varemerke, men hvert tilfelle må vurderes for seg. Se forklaring på dommen og avgjørelsen fra lagmannsretten.

Regulering av kunstig intelligens fra EU

Som en følge av EUs white paper i 2020, har den lenge ventede EU-forordningen for kunstig intelligens (Artificial Intelligence eller AI) nå kommet i utkasts form og er på høring. Forordningen skal både regulere risiko og eventuelle skadevirkninger ved bruk av AI, samt håndtering av data, herunder personopplysninger. Det er antatt at forordningen vil ha like omfattende betydning for AI som GDPR har for behandling av personopplysninger.

Som GDPR legger AI-forordningen opp til en risikobasert tilnærming, dvs. det bli opp til den enkelte som bruker AI å vurdere om behandlingen er i henhold til regelverket eller ikke. Forordningen går imidlertid lenger på konkrete krav til bruk av AI, ved at det må implementeres omfattende kontroll- og risikohåndteringsmekanismer. Kravene blir allikevel avhengig av den bruk av data som bruken av AI medfører, og det er definert typer behandling som anses å være i ulike kategorier risiko som bl.a. medfører at enkelte typer bruk av AI er forbudt.  

En skjematisk oversikt over forordningen, men viser også noe av kompleksiteten (utarbeidet av Ronald Leenes):

Forordningen vil også gjelde for utenlandske virksomheter som bruker AI innenfor eller mot EU, så EU viser igjen muskler overfor bl.a. de store amerikanske leverandørene.

Forordningen overlater til de nasjonale myndigheter, som Datatilsynet, å kontrollere etterlevelse av forordningen, og ikke bruke den såkalte «one-stop-shop» mekanismen som i EU (dvs. at ett datatilsyn skal ha ansvaret ved behandling som berører flere land). Det er foreslått å etablere et European Artificial Intelligence Board som skal gi veiledning i bruken av AI (så da er det bare å lære seg EAIB, i tillegg til EDPB, EDPS mv.).

Det er forslått at det kan ilegges bøter opp til EUR 30 millioner eller 6 % av årlig omsetning i spesielle tilfelle, så her vil brudd kunne svi (selv om det skal ekstremt mye til at maksimalsatsene vil benyttes). Spesielt skade og ulempe på individer, som brudd på personvernet og grunnleggende rettigheter, vil være noe som vil kunne bøtelegges.

EUs personvernråd (EDPS) har allerede støttet forordningen, men det er forventet mye diskusjoner om forordningen, så det kan medføre en lang og vanskelig prosess frem til vedtakelse (får håpe at det ikke blir likt som for ePrivacy-forordningen).

Det norske Datatilsynets sandkasse for AI er også blitt nevnt internasjonalt i forbindelse med forordningen som eksempel på at forordningen bør ikke bety begrensninger for innovasjon innenfor AI.

Ny bok om personvern og kontroll i arbeidslivet

Det er nylig kommet en bok som tar for seg personvern knyttet til arbeidsforhold. Boken er omfattende – over 400 sider – og går på mer enn kun personvern ved arbeidsforhold, siden den også behandler andre forhold knyttet til behandling av personopplysninger mer generelt.

Men hovedvekten av boken er altså om personopplysninger i arbeidsforhold og kontrolltiltak etter reglene i bl.a. arbeidsmiljøloven. Her er boken veldig god og dekkende. Den bør være aktuell og relevant for alle som er involvert i personopplysninger og personvern i forbindelse med arbeidsforhold, som bl.a. personvernombud, tillitsvalgt, rådgiver, og ikke minst arbeidsgiver.

Boken er også noe av det mer praktiske jeg har vært borte i innenfor personvern, og er innom de fleste problemstillinger og spørsmål som kan oppstå innenfor dette området. Det er enkelte områder som kunne vært noe mer dekkende, men det er grenser for både hva som kan tas med i en bok og hvilke problemstillinger som forfatterne har vært borte i.

Boken har allerede vært til nytte for meg i flere tilfelle, og anbefales absolutt. Forfatterne Signhild Blekastad og Marion Hirst har gjort en omfattende og god jobb.

Utvalgt nytt fra Datatilsynet

Asker kommune er ilagt et gebyr på kr 1 million på bakgrunn av at navn og fødselsnummer til 127 personer samt tittel på 170 journalposter knyttet til navn/fødselsnummer, også for barn, var offentlig tilgjengelig på kommunens nettsider. Manglende informasjonssikkerhet og rutiner var også en del av overtredelsen, som er selvfølgelig siden dette vil være noe av grunnen til offentliggjøringen.

Bompengeselskapet Ferde er varslet om ileggelse av et gebyr på kr 5 millioner for overføring av personopplysninger til en databehandler i Kina ved at det i en periode manglet overføringsgrunnlag, databehandleravtale og risikovurdering. Bakgrunn for saken var at Ferde oversendte bilder av bompasseringer hvor bilskilt ikke kunne leses maskinelt til et selskap i Kina hvor bilder av bilskilt avlest manuelt (dvs. av mennesker) og skrevet inn i systemet. Overføring av personopplysningene til Kina ble gjort under EUs standard kontraktsbestemmelser for overføring til land utenfor EØS (SCC), men siden saken gjaldt en periode før Schrems II-dommen, var ikke overføring etter dommen tema. Av betydning for gebyrets størrelse var omfanget av personopplysninger (ca. 12,5 millioner bilder), at det var brudd på sentrale plikter under GDPR og Ferds økonomiske stilling.

Datatilsynet har varslet overtredelsesgebyr på kr 25 millioner til selskapet Disqus som leverer kommentarfelt- og annonseringsløsninger. Boten er 15 % av selskapets omsetning, og Datatilsynet gjør da som i Grindr-saken med å bryte grensen på 4 % av omsetningen i GDPR artikkel 83 og bruker heller gebyrgrensen på opp til EUR 200 millioner. Gebyret ble ilagt på grunnlag av at Diqus sporet, profilert og delte personopplysninger om personer i Norge, som er brudd på ansvarlighetsprinsippet i GDPR artikkel 5 (2). Disqus forsvarte seg imidlertid med bl.a. at de ikke visste at GDPR gjaldt i Norge (!).

Datatilsynet har kommet med sin årsmelding/årsrapport, som bl.a. viser at til tross for at antallet avviksmeldinger (melding om personvernbrudd) økte etter GDPR kom, så har det vært fattet færre vedtak og gitt gebyrer i færre saker enn før GDPR:

Avviksmeldingene ovenfor er avvik som meldes fra virksomhetene selv, og ikke meldinger fra enkeltpersoner som mener å ha avdekket brudd. Det er kommuner (28 %) og finanssektoren (23 %) som melder de fleste bruddene. Avviksmeldingene fordeler seg på følgende forhold:

For Schrems II-dommen og utfordringer ved overføring av personopplysninger utenfor EØS, så vil Datatilsynet ifølge årsmeldingen prioritere å utarbeide veiledningsmateriell på sine nettsider om hva dommen betyr og hvordan virksomheter skal forholde seg til denne. Datatilsynet mener også i meldingen at dommen «er så inngripende at den de facto innførte et forbud mot overføring av data til USA», og at Datatilsynet vil forholde seg til veiledningene som kommer fra bl.a. EDPB. Datatilsynet erkjenner også utfordringen dommen medfører:

«Uten å gå inn på om vi er enige eller uenige i dommen og tolkningen av den, begrenser den vår mulighet til å praktisere regelverket, i den grad vi er uenig i fortolkningen. … Vi har opplevd stor usikkerhet hos mange næringsdrivende og deres organisasjoner, og det har vært vanskelig å gi klare svar, og i enda større grad vanskelig å finne løsninger på de utfordringene som dommen skaper.»

Pålegg om stans av bruk av Cloudflare

Det portugisiske datatilsynet har pålagt det portugisiske statistiske institutt (synes å være det samme som SSB i Norge) at den amerikanske leverandøren Cloudflare ikke kan benyttes og pålegg om stans av bruken innen 12 timer.

Saken kom opp som en følge av en nasjonal obligatorisk undersøkelse som involverte mer enn halvparten av innbyggerne i Portugal (ca. 6 mill. mennesker) og som omfattet bl.a. spørsmål om helse og religion. Overføringen var kun skjedd i 8 dager.

Cloudflares nettverk innebærer overføring av person­opplysninger til mer enn 100 land. At trafikken var kryptert, hjalp ikke så lenge krypteringsnøklene ble oppbevart av Cloudflare (som er et amerikansk selskap).

I tillegg til overføring til land utenfor EØS, så hadde ikke instituttet gjennomført en vurdering av personvernkonsekvenser (DPIA) før overføringen tok til.

Saken er ikke overraskende juridisk, men er en påminnelse om at reglene om overføring til land utenfor EØS også har betydning for andre land enn USA (som har vært mest i fokus den siste tiden).

Kortere nyheter

• EUs personvernombud (EDPS) har undersøkt EU-domstolen (CJEU) for personvernbrudd ved å ha benyttet informasjonskapsler (cookies) på sine nettsider uten tilstrekkelig informasjon til brukerne og ved å ikke gi brukerne mulighet til å nekte bruken av cookies. Cookiene var knyttet til Goole og DoubleClick (og da kanskje i strid med Schrems II-dommen som ble avsagt av, ja nettopp, CJEU). Siden CJEU utbedret forholdet raskt, ble det ikke gitt noen formelle pålegg fra EDPS. Beslutningen er ikke offentlig tilgjengelig, men lekket her.

• Det danske datatilsynet har kommet med oppdatering av sin veileder om bruk av samtykke som behandlingsgrunnlag. Og det belgiske datatilsynet har kommet med veileder på sikker sletting av data. Og EUs datatilsyn (EDPS) og det spanske datatilsynet har kommet med en oversikt over 10 misforståelser knyttet til anonymisering. EDPS har også laget en «one-pager» på nødvendighet og proporsjonalitet.  

• Det danske datatilsynet har kritisert det danske Rigspolitiet for å bruke for svak kryptering ved epost. Politiet benyttet kun versjon 1.0 i transportlaget (TLS), mens TLS 1.2 eller høyere skal benyttes. Dette forholdet vil imidlertid også gjelde mange i Norge.

• Tysk domstol har avgjort (på tysk) at et generelt innsynskrav, bl.a. om en persons eposter, er ikke tilstrekkelig spesifikt for å etterkomme kravet. Avgjørelsen er delvis basert på tysk prosesslovgivning. Og en nederlandsk domstol har avgjort at et generelt innsynskrav med den hensikt å kreve erstatning er misbruk av de registrertes rettigheter etter GDPR.
  
• En annen tysk domstol har avsagt en avgjørelse om at personer som utsettes for personvernbrudd har kun rett til erstatning etter GDPR artikkel 82 som er en direkte følge en behandlingsansvarliges manglende overholdelse av GDPR. Det er derfor personen som må bevise at denne har rett til erstatning og ikke den behandlingsansvarlige som må bevise at denne ikke er ansvarlig (snudd/omvendt bevisbyrde). Dette følger også i Norge etter personopplysningsloven § 30.

• Ministerkomiteen (utenriksministerne i Europarådets 47 land) har avgitt en erklæring om barns rettigheter i en digital verden. Erklæringen dekker imidlertid barns manglende beskyttelse mot det som er trolig den største trusselen mot deres personvern, nemlig foreldrenes deling av opplysninger om barna eller manglende kontroll i en digital verden. Datatilsynets leder har også omtalt barns personvern, og jeg har vært så heldig å få være med på å utvikle en løsning for kontroll av digitale hjelpemidler i skolen rettet mot bl.a. lærere: Checkit – Pålogga (palogga.no).

• Regjeringen har kommet med forslag til innskrenkninger i personopplysningslovens vern om ytringsfriheten for å gi bedre beskyttelse mot netthets.

• Har franskmennene løst sky-utfordringene? Spør Eva Jarbekk & Co i denne artikkelen. Det er selvsagt Schrems II-dommen og følgende av den som er tema og da en dom i Frankrike (omtalt i siste nyhetsbrev) som kan gi føringer på hvordan man skal forholde seg til bruk av Amazon Web Services innenfor EØS.

• Samme tema tar Kristian Foss opp i en artikkel. Her gås det gjennom eksport av personopplysninger gjennom historien, og da også den siste utvikling med Schrems II-dommen, og om det globale perspektiv på eksport av personopplysninger.

• Det pågår en spennende debatt mellom personvernjurister om risiko kan være en del av vurderingen for hvorvidt en overføring til tredjeland er lovlig etter Schrems II-dommen med innlegg fra Ove A. Vanebo og Marianne Gjerstad og innlegg fra Eva Jarbekk.

• Skatteverket og Kronofogden i Sverige vil ikke bytte ut Skype (som benyttes on-premises) med Teams pga. utfordringer siden Teams leveres ved bruk av skytjenester.

• Amerikanske selskaper vil ikke overføre personopplysninger til Irland (hvor de fleste store amerikanske leverandørene er etablert innenfor EU) pga. det irske datatilsynets manglende evne til å håndheve etterlevelse av GDPR (oh, the irony…). Selv om det er noe hold i anklagene, siden det irske datatilsynet fatter ikke beslutning i 99,93 % av sakene som meldes inn (og er kritisert for å ikke være tilstrekkelig harde på de amerikanske selskapenes overføring til USA). Og det irske datatilsynet har faktisk lagt ut strategi for sin virksomhet til høring (hvor Facebook og andre amerikanske selskap ikke er nevnt med et ord).

• 52 % av USAs største børsnoterte selskaper har nå tatt inn rapportering om risiko knyttet til behandling av personopplysninger i sin årlige rapport til USAs finanstilsyn (uten de er forpliktet til slik rapportering). Og selskapene advarer investorer om risikoen ved å ha kunder og virksomhet i Europa. Her er også et forsøk på forklaring på hvorfor US og EU trolig ikke vil få likt syn og regulering av personvern.

• Det franske datatilsynet (CNIL) har trukket boten på EUR 100 millioner ilagt Google for manglende oppfyllelse av reguleringen for cookies, basert på at tilsynet aksepterer at Googles endringer er tilfredsstillende. CNIL tar imidlertid forbehold om å åpne saken senere. Men Google får ikke fred av den grunn etter at det østeriske datatilsynet åpner sak i én av de 101 sakene som Max Schrems organisasjon, NOYB, har meldt inn til datatilsyn over hele EØS (tre saker i Norge).

• EUs personvernråd (EDPB) har kommet med retningslinjer for bruk av sosiale media for målrettet markedsføring. Retningslinjene gir også en god oversikt over rollene og metoder ved slik markedsføring.

• Og 88 % av de forespurte i en undersøkelse ville dele personopplysninger og akseptere cookies som del av fordelsprogram. Mens 40 % av de som handler på nett er bekymret om hva som skjer med data de etterlater seg ved kjøpene.

• Microsoft har erklært at selskapet vil gi alle sine kunder mulighet til å få sine data behandlet kun innenfor EØS og at Microsoft vil ikke overføre personopplysninger ut av EØS. Endringen vil være gjennomført for alle kunder innen utløpet av neste år. Ytterligere tekniske tiltak som krypteringsløsninger vil bli en del av løsningene. Dette er et steg i riktig retning, men Microsoft sier også at EUs standard kontraktsbestemmelser (SCC) vil fortsatt være nødvendig, hvilket synes å bety at personopplysninger fortsatt vil overføres ut av EØS etter den nye løsningen.

• For øvrig går det rykter om at informasjonskapsler, som da også omtales som «cookies» skal nå kalles «biscuits» i Storbritannia som en følge av Brexit. Cookie-banners vil da ha det mer catchye navnet «Biscuits-banners».

• NB! Egenreklame: Jeg har hatt gleden av å delta på Monica Vermas veldig gode serie «We talk Cyber» som er både en pod- og videocast hvor vi diskuterte Schrems II-dommen, amerikansk overvåkningslovgivning, sporing gjennom nettsider og apper mv. (på delvis haltende engelsk).  

Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.

Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på mine nettsider, sandtro.no.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter.