Oppdatering personvern, GDPR og teknologirett mv. (#6.2021)

Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. basert på en del jeg har skrevet/delt innenfor personvern og teknologirett den siste tiden på LinkedIn og Twitter, samt en del annet nytt. Vil du ha nyhetene når de kommer, så kan du følge meg på LinkedIn.

Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her. Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.

Nye standardbestemmelser for overføring til tredjeland (SCC)

Nå er standard kontraktsbestemmelser (SCC) for overføring til land utenfor EØS (tredjeland) versjon 2.0 kommet i endelig versjon. Kontraktsbestemmelsene er en følge av Schrems II-dommen hvor de tidligere kontraktsbestemmelsene ble funnet å ikke være tilstrekkelige/medførte ytterligere krav.

Som tidligere omtalt i nyhetsbrevet, så kan den nye SCCen benyttes også mellom databehandler innenfor EØS til databehandler utenfor EØS, som da det ikke kunne gjøres med de tidligere SCCene. Alle de fire variantene nedenfor er samlet i samme avtale (mot to avtaler etter tidligere SCCer).

Det at bestemmelsene skal omfatte alle de fire variantene ovenfor (eller «moduler» som de kalles i bestemmelsene) gjør det komplisert, og det kan trolig ha vært enklere med fire ulike avtaler. Men nå er det slik det er blitt.

Andre nyheter er at det er såkalte «docking clauses» som gjør at andre parter, som andre behandlingsansvarlige og databehandlere, kan tiltre avtalen etter den er inngått.

Og så er det selvsagt tatt inn bestemmelser som skal søke å sikre overføring til tredjeland som en følge av Schrems II-dommen, bl.a. med at mottakeren i tredjelandet skal vurdere (det er egne krav til slik vurdering), dokumentere og garantere denne at SCCen kan overholdes og at lovgivningen i mottakerlandet ikke vil hindre dette.

Men SCCen vil trolig ikke være tilstrekkelige for å dekke alle kontraktuelle krav etter Schrems II uten endringer, og ytterligere regulering i kontrakt må vurderes. I tillegg er det plikter om varsling dersom dataimportøren i tredjeland ikke kan følge pliktene i SCC samt varsling og bestride myndighetenes forsøk på å få utlevert personopplysninger.

Sammen med SCC er det også kommet en standard databehandleravtale, se nedenfor (som forvirrende nok også heter «Standard contract clauses»), selv om SCCene i seg selv er tilstrekkelige som databehandleravtale (de inneholder alle kravene til databehandleravtale etter GDPR artikkel 28).

Kontraktsbestemmelsene kan virke omfattende, men det er stort sett gjentakelse av GDPR med noen mindre justeringer.

Rettsvalget, dvs. hvilket lands (jurisdiksjon) lovregler som skal gjelde for avtaleforholdet kan fritt velges – bare de er fra et land innenfor EØS (bye, bye US law). Det kan ikke gjøres unntak eller avtales noe som er i strid med standardbestemmelsene i selve bestemmelsene eller i egen avtale. Innholdet i bestemmelsene er altså «låst».  Dette kan bety at f.eks. ansvarsbegrensninger i databehandleravtale ikke kan gyldig inngås.

Det er nå tatt inn en frist på 18 måneder for de som bruker dagens SCCer til å erstatte disse med den nye SCCen. Tidsplanen fremover blir dermed:

  • Ny SCC besluttes i EU: 27. juni 2021
  • Nye kontrakter krever bruk av ny SCC: 27. juni 2021
  • SCCen blir del av norsk rett gjennom EØS-avtalen: Ikke klart ennå
  • Allerede inngåtte eldre SCCer må være erstattet med ny SCC: 27. desember 2022

Så dermed må man da bruke de nye avtalene som inngås etter 27. juni (selv om de ikke er besluttet for Norge, men det er nok smart), og avtaler som allerede er inngått må erstattes av de nye innen 27. desember 2022. Husk også å tenke på at databehandleravtaler med databehandlere i tredjeland også må endres.  

Ny databehandleravtale fra EU-kommisjonen

Sammen med den nye SCCen (se over), kom også EU-kommisjonen med en ny databehandleravtale (denne heter også «Standard contract clauses», men den omtales ikke som dette her for at det ikke skal være forvirrende).

Databehandleravtalen kan brukes generelt og da også for databehandling som ikke skjer i forbindelse med overføring av personopplysninger til tredjeland. Som nevnt over så dekker SCCen kravet til databehandleravtale, så en ekstra databehandleravtaler er ikke nødvendig når SCCen benyttes. Den nye databehandleravtalen er enkel og dekker minimumskravene i GDPR artikkel 28 og lite mer. Arbeidet ligger som ellers i vedleggene.

Som for SCCen over, så er det også tatt inn «docking clauses» i databehandleravtalen som dag gjør at andre parter, som andre behandlingsansvarlige og databehandlere, kan tiltre avtalen etter den er inngått.

Det er imidlertid enkelte bestemmelser i avtalen som er skuffende at er tatt inn, og som kan være vanskelig å bli implementert, bl.a. at databehandleren er pålagt å ta inn en såkalt «third party beneficiary clause» i avtaler med sine underleverandører som innebærer at behandlingsansvarlig kan – dersom noe skulle skje med databehandleren, som konkurs – si opp avtalen med underleverandøren og pålegge denne om slette personopplysningene. Å pålegge underdatabehandlere en slik plikt vil være vanskelig/umulig, spesielt overfor de store leverandørene og betyr også at tidligere inngåtte databehandleravtaler kan måtte endres/erstattes.

Som for SCCen ovenfor kan det ikke gjøres unntak eller avtales noe som er i strid med avtalene i avtalen eller i egen avtale. Innholdet i avtalen er altså «låst».

Avtalen foreligger foreløpig kun på engelsk, tysk og fransk, men vil trolig komme i alle språk innenfor EU og sikkert også norsk.

Databehandleravtalen som ble lansert av EUs personvernråd (EDPB) tidligere, var noe mer ordrik, men disse avtalene kan leve side om side, Det er nok en fordel av kommisjonens versjon benyttes, siden den trolig vil bli mest utbredt.

Jeg har gjort avtalen tilgjengelig i word-format slik at den kan brukes videre, som er tilgjengelig for nedlasting her:

Standard Contract Clauses – Controller Processor (databehandleravtale)

EUs datatilsyn undersøker EUs institusjoners bruk av skyleverandører

Mange har ventet på når første sak om bruk av de store skyleverandørene ville skje som følge av Schrems II-dommen. Nå har EUs datatilsyn (EDPS) startet undersøkelser av EUs institusjoners bruk av Amazon Web Services (AWS) og EU-kommisjonens bruk av Office 365.

Det starter altså med at EU gransker seg selv. Dette gjør at rapportene fra granskningene mest sannsynlig blir offentlige, noe som kan gi innsyn og vise hva som trolig vil kreves av andre virksomheters bruk av skytjenestene. Om konklusjonen blir at tjenestene ikke kan brukes eller hvilke tiltak som må iverksettes for lovlig bruk, gjenstår å se.

Gir granskningene og de etterfølgende rapportene mer klarhet enn Schrems II-dommen og EUs personvernråds foreløpige veileder (eller den endelige veilederen som kommer om forhåpentligvis kort tid), vil dette ha stor betydning for andre virksomheter innenfor EØS. Se nyhetssak fra digi.no her. Om EDPBs veileder kommer innen granskningene er ferdigstilt, vil blir det også spennende om EDPS vil hensynta denne og gi mer innsikt i hvordan veilederen blir tolket. Dette vil kanskje gi enda mer klarhet.

Tidligere har EDPS undersøkt EU-domstolens bruk av cookies på sine nettsider, se forrige nyhetsbrev.

Mer om overføring til tredjeland/Schrems II

  • fraråder bruk av Azure AD og Teams fra Microsoft pga. risiko for overføring av personopplysninger til USA. Rådet kommer i forbindelse med forhåndsdrøfting med Stockholm stad.
  • oppfordrer skoler og andre utdanningsinstitusjoner om å ikke bruke amerikanske tjenester.
  • oppfordret EU-kommisjonen til å iverksette tiltak for og komme med retningslinjer for hvordan overføring til land utenfor EØS kan gjøres innenfor rammene som EU-domstolen ga i Schrems II-dommen. Parlamentet legger også føringer på hva kommisjonen kan komme med fremover (som en erstatning for Privacy Shield).
  • ikke enig i EU-kommisjonens vurdering av om Storbritannia skal anses å være et «godkjent tredjeland», dvs. et land som personopplysninger kan overføres til fra EØS uten at det krever annet grunnlag som f.eks. EUs standard kontraktsbestemmelser. Parlamentet ber kommisjonen endre sin vurdering, bl.a. på bakgrunn av Storbritannias overvåkingslovgivning (som ble bemerkelsesverdig kortfattet dekket i EU-kommisjonens vurdering) og risikoen for videreoverføring fra Storbritannia til andre land utenfor EØS.
  • oppfordrer EU og USA om å løse situasjonen med overføring av personopplysninger til USA. Og president Biden skulle visstnok har forsøkt å reparere forholdet mellom EU og USA for overføring av personopplysninger på møte i Brussel 15. juni – uten at det er kjent om noe kom ut av det. Kanskje fordi EU mener at USA må endre sine lover før det kan skje en endring.
  • iverksatt tilsyn om overholdelsen av Schrems II-dommen og om overføring til bl.a. USA er lovlig.
  • basert på teknologi lisensiert fra amerikanske selskap. Veldig spennende tanker, og bare rart at ingen har vurdert det tidligere. Løsningen på Schrems II-utfordringene?
  • omfattende betydning for mange e-helseleverandører, som må gjøre store grep, og begrensninger i overføring av personopplysninger til land utenfor EØS i forbindelse med helseforskning skaper problemer. Regjeringen bevilger derfor ytterligere kr 39 millioner til Helseanalyseplattformen bl.a. pga. kostnader knyttet til utredninger av konsekvenser som følge av Schrems II. Men Helseplattformen er ikke bekymret til tross for bruk av amerikansk leverandør. Oslo Universitetssykehus på sin side manglet kontrollpersonopplysninger og databehandleravtaler ved bruk av laboratorietjenester i andre land mener Datatilsynet.
  • Her er en gjennomgang (start på bunnen). Og siden Regjeringen nå vurderer å samle inn opplysninger om alle flypassasjerer som Datatilsynet har gitt høringssvar på, så er ringen på en måte sluttet.

Risikovurdering, rutiner og informasjonssikkerhet – de tre vanlige «mangler»

I de fleste saker hvor det ilegges gebyrer fra Datatilsynet, så går det igjen tre elementer som stort sett alltid er en del av avgjørelsen: Mangler ved risikovurdering, internrutiner eller informasjonssikkerhet. En eller flere av disse er stort sett alltid med i en avgjørelse fra Datatilsynet. Er det noe som derfor bør være mest mulig på plass, så er det disse.

Problemet som regel at kravene til disse tre kan ikke dekkes fullt ut og være fullstendig gjennomført; det vil alltid være mangler. Så verken risikovurdering, internrutinene eller informasjonssikkerhet kan bli «perfekte» eller fullstendige, disse er derfor alltid mulig å ta med i en avgjørelse som at personvernbruddet skyldes en eller flere av disse, eller at en eller flere av disse har hatt betydning for omfanget av bruddet.

Uavhengig av dette bør det prioriteres å sørge for risikovurdering, internrutiner og så god informasjonssikkerhet som mulig, selv om det ikke kan bli perfekt. Å ikke forsøke er langt verre enn å ikke ha det perfekt.

Illustrasjon av Kristine Trømborg, Personvernombud i Direktoratet for forvaltning og økonomistyring, som nok vil komme med flere illustrasjoner i nyhetsbrevet fremover.

Personopplysninger og testing

Testing er avgjørende for utviklingen, funksjonalitet og sikring av it-systemer og -applikasjoner. Det har vært mye diskusjon om testing på reelle data, og da personopplysninger, kan gjøres. Selv om nok er konkludert med at testing på reelle data kan skje, så er det fremdeles en del diskusjon og uklarheter om hvordan testingen skal foregå.

Datatilsynet har gitt Norges idrettsforbund (NIF) et gebyr på kr 1 250 000 for at personopplysninger om 3,2 millioner, herunder barn, var tilgjengelig på nett i 87 dager. Bruddet skjedde i forbindelse med testing av at opplysningene skulle flyttes fra en eldre løsning til en ny skyløsning.

Gebyret ble gitt på grunnlag av manglende risikovurdering, rutiner for testing og informasjonssikkerhet (se ovenfor om at disse alltid er med i beslutninger). Opplysningene var ikke omfattende for den enkelte personen eller sensitive/følsomme av noen art, men boten ble gitt på bakgrunn av omfanget personer (og spesielt barn) som ble rammet av bruddet.

Datatilsynet mener også at NIF ikke hadde tilstrekkelig grunnlag for testingen, siden testingen med reelle data var ikke nødvendig; den kunne vært gjort med syntetiske data eller ved bruk av færre personopplysninger/personer. Merk at selv om overføringen skjedde til AWS (amerikansk skyleverandør, ble ikke dette omtalt i avgjørelsen fra Datatilsynet).  

Se også gebyr som ble ilagt BRAbank for å ikke ha utført testing overhodet.

Datatilsynets leder Bjørn Erik Thon har også hatt et innlegg om testing nylig.

Håndtering av ustrukturerte personopplysninger

Jeg har holdt foredrag for Finans Norge om håndtering av ustrukturerte personopplysninger. Dette er et noe uklart område, og her er noen punkter forenklet fra foredraget som kanskje kan være til nytte for flere:

  • Ustrukturerte personopplysninger er opplysninger som ikke er organisert etter en fysisk person. De finnes som regel i dokumenter, epost, fritekstfelter mv.
  • Ustrukturerte personopplysninger omfattes av alle krav etter GDPR som andre personopplysninger. Derfor mer et praktisk enn juridisk problem å håndtere opplysningene.
  • Det er størst behov om å finne personopplysningene som er ustrukturerte bl.a. ved sikring av personopplysninger, sletting av opplysninger, krav om innsyn, overføring utenfor EØS, varsling ved personvernbrudd mv. NB! Er tidsfrister.
  • Å finne personopplysningene kan være vanskelig. I visse tilfelle kan det være brudd på lovverk å finne frem til ustrukturerte personopplysninger, som ved søk i alle områder, gjennomgang av epostkasser til ansatte, det gis tilgang eller informasjon til personer som ikke skal ha dette for å finne opplysningene mv.
  • Utlevering av personopplysninger kan ikke omfatte andre personer og utlevering av personopplysninger ved innsyn skal gjøres i et strukturert format, som krever organisering av opplysningene. Se artig sak om innsyn som ble gjort rett etter GDPR trådte i kraft.
  • Strukturering av opplysningen kan gjøres ved automatisert organisering (som saksbehandlingssystem) og krav til it-systemer, rutiner for ansatte (manuell behandling), redusere omfanget av personopplysninger (minimering), lovlige søk mv. Men tiltak for å strukturere opplysningene vil ikke kunne dekke alle opplysninger; det vil fremdeles alltid være opplysninger som er ustrukturerte.

Illustrasjon av Kristine Trømborg.

Og hva skjer med ePrivacy-forordningen?

I sommer er det planlagt at forhandlingene mellom EU-parlamentet og medlemsstatene ved sine ministere skal forsøke å forhandle frem en løsning basert på utkastet som nå foreligger.

Resultatet fra forhandlingene skal ende ut i en endelig tekst for forordningen. Etter teksten er publisert, vil forordningen tre i kraft 20 dager senere, men vil få virkning først 24 måneder etter. 

Siden det er tvilsomt om forhandlingene vil føre frem innen 2022, så vil ikke forordningen få virkning før en gang i 2024 (i beste fall). Dette vil da blir 6 år eller mer siden GDPR fikk virkning, og som kjent skulle e-Privacy komme samtidig med GDPR.

Noen hovedpunkter i forslaget:

  • Det vil kun kreves samtykke for «ikke-nødvendige» cookies, som vil være enhver cookie som har et annet formål enn å sørge for nettsidens funksjonalitet/nettjenester.
  • Samtykke kan gis gjennom forhåndsinnstillinger i bl.a. nettlesere (browsers), men da knyttet til konkrete leverandører/nettsider.
  • Såkalte «cookie-walls», dvs. at det kreves at samtykke skal vurderes å gis for at man skal komme inn på nettsider, kan brukes. Men brukeren må få samme rett til å velge de ulike cookies etter reglene for øvrig.
  • Samtykke til cookies må være begrenset til maks. 12 måneder.
  • Det vil kunne gis samtykke til tredjeparts-cookies på en nettside på vegne av den som er ansvarlig for tredjeparts-cookiene (som f.eks. Google og Facebook).

Tilstrekkelige samtykker for overføring av personopplysninger til Facebook

Datatilsynet har pålagt selskapet Smartere Utdanning å sørge for å innhente tilstrekkelige samtykker om selskapet skal overføre personopplysninger til Facebook. Slik overføring kan skje ved at personopplysningene overføres til Facebook for å matche kundene mot profiler som Facebook har laget (såkalt «målrettet publikum» eller «Core targeting») for å kunne tilpasse markedsføring mot kundene.

Smartere Utdanning mente at det ble gitt automatisk samtykke til markedsføring på Facebook og epost ved bruk av deres tjenester, som også sto i selskapets personvernerklæring. Datatilsynet var imidlertid ikke enig i dette, siden samtykke skal være frivillig og spesifikt knyttet til behandlingen av personopplysninger.

Det er verdt å merke seg at Datatilsynet reagerer ikke i avgjørelsen på overføringen til Facebook bare det foreligger samtykke. Dette til tross for at det nå går saker over hele Europa knyttet til markedsføring gjennom Facebook (se også første punktet i andre nyheter).

Andre nyheter

  • NYOB (European Center for Digital Rights) som er Max Schrems’ organisasjon, har sendt inn 500 klager på det de mener er ulovlige cookie-bannere. NOYB har også laget en løsning for å avdekke brudd på cookie-lovgivningen, som vil automatisk sende inn klager på bruddene.

    Bruddene som det sees etter er bl.a. om det er mulig å avslå cookies banneret, om det er ikke-aktivt samtykke ved forhåndsavkryssede bokser, om det er design egnet til å «lure» med villedende design knyttet til samtykke og avslag, formålet med bruken av cookies stemmer ikke, og om det behandles cookies på feil grunnlag (som andre grunnlag enn samtykke).
  • EU-kommisjonen innleder sak mot de belgiske datatilsynet på bakgrunn av at datatilsynet har oppnevnt fire eksterne medlemmer som har offentlige posisjoner som da kan være i strid med GDPR artikkel 52.
  • EUs personvernombud (EDPS) har laget en oversikt over hvordan man skal agere ved personvernbrudd.
  • Den amerikanske kongressens bibliotek har laget en rapport om barns personvern i enkelte EU-land.
  • En italiensk domstol har funnet at det kan ikke samtykkes til bruk av automatiserte beslutninger uten at den som samtykker har fått til strekkelig informasjon om hvordan algoritmen fungerer.
  • Oversikt over de største bøtene under GDPR fra digi.no.

Fra infografikk om status for GDPR etter 3 år.

  • Datatilsynet har i sin nye strategi seks overordnede mål som skal være styrende for Datatilsynets arbeid fremover. Disse målene kan gi noe indikasjon på hva tilsynet vil rette sin oppmerksomhet mot, selv om målene er veldig overordnede.
  • Og EUs personvernråd (EDPB) har også kommet med sin årlige rapport, med sin strategi for 2021-2023.
  • EUs personvernråd (EDPB) har besluttet den første bransjestandarden etter GDPR, som da gjelder skytjenester. Bransjestandarden er basert på utkast fra det belgiske datatilsynet for bransjepraksis for skyleverandører og et utkast fra det franske datatilsynet om tjenesteleverandører for infrastruktur for skytjenester.
  • Og oversikt over status på tiltak knyttet til lovgivning innenfor EU som handler om personvern og data.
  • Interessant artikkel i digi.no om hva finansnæringen kan vente seg fremover knyttet til personvern og GDPR av Hanne Steen Lindstad er fagsjef for personvern i SpareBank1 utvikling.
  • Etter GDPR artikkel 27 skal behandlingsansvarlig eller databehandlere som ikke er etablert innenfor EU ha en representant (under visse forutsetninger). Disse reglene følges ikke helt, men nå er et selskap som trolig er basert i Canada gitt en bot av det nederlandske datatilsynet på EUR 525.000 for å ikke ha en slik representant.
  • Og etter en dom fra Storbritannia kan ikke en representant etter artikkel 27 være ansvarlig for sin oppdragsgivers behandling av personopplysninger.
  • Ulovlig kameraovervåking kan – til tross for at det har foregått ulovlig – benyttes som bevis i rettssak. Det har Høyesterett avgjort i en sak hvor det ble satt opp et skjult kamera for å finne ut av hvilken nabo som i to år hadde ripet opp biler. Kameraovervåking er tydeligvis i vinden for tiden, og Datatilsynet har kommet med fire nye avgjørelser om dette bare den siste tiden.
  • Seks-sifferet bot til selskap i Tyskland som sendte personopplysninger i kryptert epost, men som sendte passordet i epost rett etter.

Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.

Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på mine nettsider, sandtro.no.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter.