Oppdatering personvern, GDPR og teknologirett mv. (#7.2021)

Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Følg meg også på LinkedIn og Twitter for eventuelle fortløpende oppdatereringer.

Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her. Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.

Endelig endelig veileder for overføring av personopplysninger ut av EØS (til tredjeland)

EUs personvernråd (EDPB) har nå endelig kommet med sin endelige veileder for overføring av personopplysninger til land utenfor EØS (tredjeland). Veilederen er en følge av den såkalte «Schrems II-dommen» som medførte at avtalen mellom EU-kommisjonen og USAs handelsdepartement, «Privacy Shield», ikke var et lovlig grunnlag for overføring av personopplysninger til USA. Dessuten ble det etter dommen satt strenge krav til hvordan overføring til USA kunne skje under de såkalte standard kontraktsbestemmelsene fra EU (SCC).

Utkastet til veilederen som kom i november 2020 ble sterkt kritisert, siden den var strengere enn Schrems II-dommen. Veilederen gjorde det usikkert om det kunne benyttes amerikanske skyleverandører, selv når leverandørene var lokalisert innenfor EØS og om det overhodet kunne legges til grunn en risikobetraktning/-vurdering for overføringen. Det ble mottatt over 200 svar på høringen for utkastet, og noen av disse skal visstnok være hensyntatt i den endelige veilederen.

En endring av stor betydning i den nye veilederen er at en risikobasert vurdering – i tråd med de nye standardkontraktene for overføring til tredjeland – kan gjøres for overføring til tredjeland. Men de sterkt kritiserte eksemplene i veilederen (som eksempel 6 om bruk av skyleverandør) er ikke blitt endret.

En følge av veilederen er da at det kan være nødvendig å gjennomføre en risikovurdering i forbindelse med overføringen (såkalte «Transfer Impact Assessment»), som kan være meget omfattende og vanskelige vurderinger (som denne malen fra David Rosenthal det sveitsiske advokatfirmaet VISCHER AG viser). 

En annen endring av betydning, som vil kunne ha betydning for risikovurderingene, er at praksis som myndighetene i tredjelandet har for å kreve utlevert personopplysninger kan være av betydning. Denne endringen er interessant, men samtidig så gir ikke bl.a. amerikanske myndigheter eller selskaper mye informasjon om slike utleveringer, så det spørs hvor mye betydning dette har.

Det er vanskelig å si i hvilken utstrekning risikovurderinger vil bli gjennomført, og spesielt av mindre virksomheter med ikke så mye ressurser.  

Se også nedenfor om Datatilsynets veileder for overføring av personopplysninger til tredjeland.

Veileder fra Datatilsynet om overføring av personopplysninger til tredjeland

Datatilsynet har kommet med en veileder for overføring av personopplysninger ut av EØS. Veilederen – som kommer som bl.a. en følge av av veilederen fra EDPB, se ovenfor – går grundig gjennom kravene til overføring, hva overføring vil innebære, grunnlag for overføring til de enkelte land utenfor EØS og overføringsgrunnlag som kan benyttes, samt en omfattende gjennomgang av tilleggskravene for overføring på grunnlag av standard kontraktsbestemmelser (SCC) som følge av Schrems II-dommen.

Veilederen fra Datatilsynet gir ikke så mye mer konkret å holde seg i enn det som følger av Schrems II-dommen, og veilederen fra EDPB. Så det kan være greit å ta med seg det som sies i et innlegg på Datatilsynets blogg:

Norske og europeiske virksomheter sliter med å finne gode alternativer til dagens løsninger. Ofte tilbyr store, amerikanske tjenester bedre informasjonssikkerhet enn de små, europeiske. Derfor føler mange at man må velge mellom pest eller kolera ….

Vi forstår godt at de fleste virksomhetene ikke er i mål ennå og at omstilling tar tid. Det viktigste for oss er at man er godt i gang med vurderingene og at man i alle fall har plukket lavthengende frukt. Det er nok naturlig å se på Schrems II som et noe mer langsiktig prosjekt. …

Det følger også av innlegget at det er rykter om at amerikanske myndigheter nå ønsker en politisk avtale med EU om å få på plass en ordning for overføring av personopplysninger til USA innen året er omme. Se også artikkel om forhandlinger mellom EU og USA om tilgang til data.

Standard kontraktsbestemmelser for databehandleravtale og overføring av personopplysninger til tredjeland

Som kjent har EU-kommisjonen besluttet standard kontraktsbestemmelser om bruk av databehandler (databehandleravtale) og overføring av personopplysninger til land utenfor EØS (tredjeland), hvor sistnevnte også forkortes med SCC.

SCCene er ikke så lett å forholde seg til, siden det er egentlig fire dokumenter i ett. For å enkle arbeidet er det tre mest brukte dokumentene lagt ut i word-format og tilpasset bruk på denne siden.

EU-kommisjonens databehandleravtale er også tilgjengelig i word-format.

Det norske Datatilsynet vil komme med oversettelse til norsk av ovennevnte dokumenter når beslutningen om standardavtalene inntas i EØS-avtalen (på hvilket tidspunkt det skjer er ikke klart).

Annet om Schrems II-dommen og overføring til tredjeland

  • Den nederlandske forvaltningsdomstolen har kommet til at det å benytte seg av amerikansk leverandør som igjen benytter skyleverandøren Amazon Web Services (AWS) er ikke brudd på GDPR knyttet til overføring til tredjeland eller reglene om sikring av personopplysninger i GDPR artikkel 28 og 32. I avgjørelsen var det tilstrekkelig sikkerhetstiltak med kryptering «in transit» og «at rest». Kryptering «in use» ble ikke behandlet (som heller ikke er omtalt i Schrems-dommen eller EDPBs veileder om overføring til tredjeland). Et poeng her er også at klageren ikke kunne påvise at sikkerhetstiltakene hos AWS ikke var tilstrekkelige.
  • Det franske datatilsynet (CNIL) har laget en oversikt over kravene til overføring til de ulike land.
  • Det går rykter om at EU-kommisjonen kan trekke tilbake vurderingen av at Storbritannia er et godkjent tredjeland dersom Storbritannia aksepterer andre land som godkjente tredjeland enn de som EU har godkjent. Slik godkjennelse kan medføre videreoverføring fra Storbritannia av personopplysninger fra EØS, og dermed en omgåelse av GDPR og Schrems II. Dette er land som Storbritannia vurderer:
  • Og EU-kommisjonen har varslet start av vurdering av om Sør-Korea skal anses som «godkjent tredjeland» for overføring av personopplysninger.
  • Som nevnt i tidligere nyhetsbrev så vil Skatteverket og Kronofogden i Sverige bytte ut Skype (som benyttes on-premise) med Teams pga. utfordringer siden Teams leveres ved bruk av skytjenester. Nå har flere offentlige etater i Sverige sagt nei til bruk av Teams siden personopplysninger i Teams kan overføres til USA. Noen av etatene vil heller benytte seg av lokalt installert versjon av Skype on-premise), men det kan være en kortvarig glede nå som Skype fases ut.
  • Det franske datatilsynet, CNIL, anbefaler franske universiteter ikke bruke samhandlingstjenester fra amerikanske leverandører. Og et av de tyske datatilsynene advarer myndighetene mot bruk av videokommunikasjonstjenesten Zoom siden data i tjenesten lagres i USA.

Bot til WhatsApp

Det Irske datatilsynet (DPC) har ilagt Facebook-eide WhatApp en bot på EUR 225 mill. (ca. 2,3 mrd. kroner) for brudd på prinsippene etter GDPR artikkel 5.

Det som kanskje har vært mest spennende med denne saken, er at saken ble bragt inn for EUs personvernråd som følge av uenighet mellom de involverte datatilsyn basert på DPCs utkast til vedtak. EDPB fremmet et pålegg om at DPC skulle revurdere saken og øke boten basert på åtte andre datatilsyns innsigelser på størrelsen på DPCs første bot til WhatsApp. Boten er nå blitt den største ilagt av DPC og den nest største bot under GDPR hittil (den største er for Amazon, se nedenfor). WhatsApp vil nok bringe denne saken inn for domstolene.

Noen erfaringer som kan trekkes ut av avgjørelsen er:

  • Gjør personvernerklæringen så enkel som mulig å forstå. Ha all informasjon på ett sted, og gjør det enkelt for brukeren å navigere gjennom informasjonen uten for mye scrolling.
  • Hva som er praksis i markedet eller bransjer har ikke spesiell betydning for den konkrete vurderingen. Man kan altså ikke skylde på at «alle andre gjør det».
  • Behandles det opplysninger om andre enn de som benytter en tjeneste, skal disse også informeres på en måte som sikrer at de er informert, og da ikke kun i personvernerklæringen for brukere.
  • Det må være en klar forbindelse mellom kategoriene av personopplysninger og formålet med behandlingen. Lange lister med kategorier personopplysninger er ikke tilstrekkelig, og generelle vendinger som «sikre personopplysningene» er ikke tilstrekkelig som formål.
  • Det må opplyses klart om videre behandling utenfor formålet for innsamlingen av personopplysningene.
  • Det bør tas inn praktiske eksempler på når personopplysningene skal slettes, men å ta inn «så lenge behandlingen av personopplysningene er nødvendig» kan gjøres.
  • Ta inn grunnlaget for overføring av personopplysninger til tredjeland på en klar måte og ikke «det vil kunne skje overføringer til godkjente tredjeland eller basert på samtykke eller SCC, alt etter hva som passer i det enkelte tilfelle».

Også interessant er at Facebook nå arbeider med hvordan krypterte meldinger i WhatsApp kan dekrypteres for å tilpasse markedsføring til innholdet i meldingene. Kanskje Facebook legger dette på is etter denne boten.

Nye veiledere fra EUs personvernråd

Det europeiske personvernrådet (EDPB) har kommet med nye veiledere hvor den viktigste er oppdatert veileder om behandlingsansvarlig og databehandlere. Denne veilederen omhandler både hvem som er behandlingsansvarlig/databehandler i de enkelte situasjonene, eller om det foreligger felles behandlingsansvar, og forholdet mellom partene. Spørsmålet om behandlingsansvar/ databehandling/felles behandlingsansvar er noe av det vanskeligste innenfor personvern, hvor mange tråkker feil. Veilederen fra EDPB er veldig nyttig siden den er konkret, omfattende og har en del gode og praktiske eksempler.

Likevel er dette vanskelige vurderinger, og jeg har laget en sjekkliste som kan være til hjelp for vurderingen. Se også en artikkel om temaet her.

Det er ikke så mange endringer fra den første versjonen av veilederen (som kom i september 2020) og til den nye versjonen. Det er tatt inn noen nye eksempler og gjort justeringer. Uansett er dette en veileder som bør leses grundig og benyttes om man arbeider med personvern.

Det er bl.a. også kommet veileder om beste praksis for overføring av personopplysninger til tredjeland for datatilsynene, dvs. hvordan datatilsynene skal praktisere godkjenning av beste praksis (atferdsnormer) etter GDPR artikkel 40 for overføring av personopplysninger utenfor EØS.

Barn og personopplysninger

Personopplysninger om barn er et veldig aktuelt tema for tiden. Det er hevdet at foreldre er den største trusselen for barns personvern ved å dele informasjon og bilder av barna («sharenting» som det kalles), men også den økte digitaliseringen i skolen som følge av pandemien har vist seg å true barns personvern.

It-selskapet Bouvet har laget en rapport som omhandler behandling av personopplysninger om barn og barns personvern i skolen, gjennomgang av problemstillingene i denne tilknytning og eventuelle løsninger. En utfordring ifølge rapporten er at det er vanskelig/umulig for enkelte skoleeiere å foreta betryggende risikovurderinger av tjenestene. Samtidig er det er et press fra lærere og andre om å ta i bruk apper og løsninger til støtte i undervisningen, men som da ikke er undersøkt personvernmessig.

Ett av hovedfunnene i rapporten er behovet for bedre samkjøring nasjonalt av hvilke apper/løsninger som kan benyttes. Datatilsynet etterlyser også sentrale vurderinger og mener at det er meningsløst at det skal være opp til hver enkelt skoleeier å foreta vurderinger, mens Udir mener det ikke er så enkelt å gjøre jobben sentralt.

Det engelske datatilsynet (ICO) har også lansert en standard for løsninger som tilbys for barn (The Age Appropriate Design Code) som trådte i kraft 2. september med ett års transisjonsperiode. Standarden gjelder kun online-tjenester, derfor ikke programvare, apper mv., og har en rekke krav til tjenester som tilbys barn som også kan være aktuelle for norske vurderinger og tilbud av tjenester.

Illustrasjon av Kristine Trømborg

Dom i EU-domstolen om «one-stop-shop» mekanismen i GDPR

EU-domstolen har avgjort at datatilsyn i andre land enn der en virksomhet er registrert/har europeisk hovedkontor kan behandle og avgjøre overtredelser av GDPR. Avgjørelsen, som er basert på en sak mellom det belgiske datatilsynet mot Facebook, kan ha stor betydning ved at mange amerikanske og internasjonale virksomheter er registrert i land av skattehensyn, spesielt Irland og Luxembourg. Ønsket fra de øvrige datatilsyn for å gå etter virksomhetene er at bl.a. det irske datatilsynet har vært treg og avholdende med å undersøke og ilegge eventuelle bøter/gebyr for overtredelser, se bl.a. over om WhatsApp.

Avgjørelsen har betydning for «one-stop-shopping» mekanismen i GDPR artikkel 56, og medfører at selskapene vil måtte forholde seg til flere datatilsyn både for undersøkelser, pålegg, bøter/gebyrer og eventuelle rettssaker.  One-stop-shopping er imidlertid hovedregelen, og det er flere krav som må innfris for at andre datatilsyn skal kunne åpne sak i annet land enn det landet datatilsynet har jurisdiksjon. Det er også begrensninger etter dommen i hvordan datatilsynene kan håndtere saken og innholdet i avgjørelser.

Noen nyheter fra Datatilsynet og Personvernnemda

  • Datatilsynet har pålagt Kriminalomsorgsdirektoratet å utarbeide en behandlingsprotokoll (etter GDPR artikkel 30), samt å fremlegge dokumentasjon på internkontroll og hvordan behandlingsansvaret er plassert i hele etaten. Pålegget kommer som følge av et planlagt og åpent tilsyn med direktoratet, og viser at dokumentasjonen må være på plass før tilsynet skjer. Etter tilsyn er varslet er det for sent å utarbeide dokumentasjonen.
  • Datatilsynet har også gitt gebyr til Moss kommune for å ikke ha sikret personopplysninger tilstrekkelig ved sammenslåing av to it-systemer.
  • Personvernnemda har avgjort at en person kunne ikke kreve innsyn i logger med IP-adresser og annen informasjon hos Microsoft knyttet til at andre personer har vært logget på vedkommendes Hotmail-konto. Nemda la til grunn at loggene er personopplysninger om andre personer, som da ikke kan kreves utlevert etter GDPR artikkel 15.
  • Datatilsynet har varslet Den norske kirke (DNK) om vedtak for behandling av barns personopplysninger. DNK samlet inn fødselsmeldinger til medlemmers barn fra Folkeregisteret i en og en halv måned etter at tillatelsen deres til å motta disse opplysningene opphørte. Altså at DNK behandlet personopplysningene uten behandlingsgrunnlag.

Også nytt fra Datatilsynet er veileder om overføring av personopplysninger til tredjeland, se over.

Andre nyheter

  • Det britiske datatilsynet (ICO) har – som andre – sett seg lei på cookies (og cookie-samtykkebokser/-bannere) og ønsker internasjonalt samarbeid i G7-landene og teknologiselskapene for å løse problemet. Ønsket er at dette skal løses i nettleserne, som mange har foreslått tidligere, og som også har vært tatt inn i utkastene til ny ePrivacy-forordning.
  • Det franske datatilsynet har pålagt 40 virksomheter om tiltak ved at virksomhetene har gjort det for vanskelig å avslå bruk av cookies. Se også artikkel her om bruk av informasjonskapsler og de ulike alternativene.
  • Og Max Schrems’ organisasjon, NYOB, har innklaget ytterligere 422 virksomheter for brudd ved informasjon om og samtykke ved bruk cookies. Disse klagene kommer i tillegg til de 500 som NYOB sendte ut i mai. NYOB har varslet at de vil innklage 10.000 virksomheter fremover. Noen av klagene som er tidligere sendt ut gjelder også norske selskap som er til behandling hos Datatilsynet, og EDPB etablert en egen arbeidsgruppe som ser på klagene fra NYOB og skal sørge for tett samarbeid mellom tilsynene.
  • Amazon illegges bot på EUR 766 mill. (ca. kr 7,8 mrd.) av datatilsynet i Luxembourg (CNPD). Dette er den største boten ilagt under GDPR. Det er imidlertid ikke kjent hvordan Amazon skal ha brutt GDPR, siden det er ikke kommet frem hvorfor boten er ilagt som følge av taushetsplikt etter lovverket i Luxembourg. Klageren, LaQuadrature, en fransk menneskerettighetsorganisasjon, mener boten er gitt pga. brudd på samtykke- og informasjonskravet ved profilering. Se også en vurdering av advokat Ove A. Vanebo.
  • Apple ønsker å gå gjennom bilder og videoer på personers telefoner for å avdekke overgrepsbilder, og tester personvernet med gode intensjoner. Mens Google stenger for tilpasset markedsføring rettet mot personer under 18 år.
  • Kina har vedtatt ny personvernlov (Personal Information Protection Law (PIPL)) som omtales som å være langt strengere enn GDPR. Spesielt er overføring av personopplysninger ut av Kina veldig strengt regulert med godkjenning av en offentlig komité ved visse overføringer.  
  • Det foreligger en rettsavgjørelse fra Storbritannia om at representanter for behandlingsansvarlige utenfor EØS etter GDPR artikkel 27 kan ikke holdes ansvarlig for annet enn sine egne handlinger. Det er altså behandlingsansvarlig, selv om denne er lokalisert utenfor EØS, som er ansvarlig for behandlingen.
  • Det danske datatilsynet har oversatt sin mal for avtale om felles behandlingsansvar til engelsk (se nederst på denne siden).
  • Det spanske datatilsynet har bøtelagt et selskap for å ikke ha informert arbeidssøkere tilstrekkelig om dennes rettigheter i forbindelse med rekrutteringsprosess hvor CV skulle sendes gjennom WhatsApp (!).
  • Behandling av personopplysninger hos Oslo Universitetssykehus (OUS) har vært en lang og vanskelig historie, og nå krever Statsforvalteren dokumentasjon på tiltak som er gjennomført for behandling av personopplysninger.
  • Forbrukerrådet vil forby overvåkningsbasert markedsføring, men Datatilsynet mener forslaget er for «puslete». Se også en god forklaring på overvåkningsbasert markedsføring fra Ståle Lindblad.
  • Det er utarbeidet en ny måte for å anonymisere opplysninger, herunder personopplysninger, ved forskning av professor Frode Eika Sandnes ved OsloMet. Koden for metoden er gjort offentlig, og det kan være at metoden kan få betydning også utenfor forskning.
  • En domstol i Nederland har avgjort at ved generelle innsynskrav fra registrerte, er det rimelig å forvente at behandlingsansvarlig foretar et søk etter de mest vanlige personopplysninger (som navn mv.) for å avdekke hvilke personopplysninger som behandles om vedkommende.
  • Og den nederlandske sivilombudsmannen har uttalt at behandlingsansvarlige har rett til å sette som krav at en som ønsker innsyn i sine personopplysninger identifiserer seg betryggende før utlevering av personopplysninger (som egentlig er helt naturlig for å unngå utlevering av personopplysninger til feil person, som vil være et brudd på prinsippet om konfidensialitet i GDPR).
  • Som en følge av EU-parlamentets komité for menneskerettigheter mv. har EDPB publisert en oversikt over bevilgninger for de ulike datatilsyn i Europa. Det norske datatilsynet kommer for øvrig ikke så dårlig ut her.
  • Det svenske datatilsynet (med det velklingende navnet Integritetsskyddsmyndigheten) har kommet en rapport over varsler som er gitt for personvernbrudd. Ifølge rapporten er det den menneskelige faktoren som er dominerende for personvernbruddene. Man må altså huske å ha rutiner og implementering for å redusere risikoen.

Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.

Oppdateringer og artikler blir lagt ut på LinkedIn og på Twitter, samt på mine nettsider, sandtro.no.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn eller Twitter.