Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Følg meg også på LinkedIn for fortløpende oppdateringer.
Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her (trykk «Subscribe»). Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.
Nytt fra Datatilsynet
Av nyheter fra Datatilsynet i det siste kan følgende nevnes (jeg dekker ikke alt, men et utvalg som kan ha praktisk betydning for de som er involvert i behandling av personopplysninger):
Det er gjennomført stedlig tilsyn hos Kriminalomsorgsdirektoratet. Dette er ikke så vanlig, siden Datatilsynet normalt gjennomfører brevkontroll. Tilsynet kommer som en følge av pålegg om å etablere behandlingsprotokoll (etter GDPR artikkel 30), fremlegge internkontroll for å vise etterlevelse og redegjøre for hvem som har behandlingsansvaret (internt).
Datatilsynet har ilagt overtredelsesgebyr til en rekke virksomheter knyttet til brudd på informasjonssikkerheten, som Østre Toten kommune og Trumf. Dette blir nok et aktuelt tema fremover etter hvert som flere og flere virksomheter rammes av dataangrep.
Ellers så skaper korona-situasjonen mange problemstillinger spesielt knyttet til smittesporing, sertifikat, håndtering av arbeidstakere som ikke er vaksinert/ikke informerer om vaksinestatus eller smitte osv. Det blir for mye å ta med her, og det oppfordres heller til å følge med på Datatilsynets nettsider og i media for øvrig (særlig her på LinkedIn er det mange gode innlegg og linker til artikler). For øvrig interessant at det danske datatilsynet mener at vaksinestatus ikke er en helseopplysning, mens vårt Datatilsyn mener at det er det (i visse tilfeller).
Nyheter fra Norden (eller mest det danske datatilsynet)
Danske myndigheter, nærmere bestemt Ervervsstyrelsen, vil ikke lengre prioritere å føre tilsyn med bruk av cookies til ren statistikk, som webanalyse knyttet til nettsider. Dette på bakgrunn av erkjennelsen at det er veldig vanskelig å lage gode nettsider uten statistikk, og når cookies avvises og det ikke samles inn statistikk, blir det vanskelig å optimalisere hjemmesiden for besøkende. Men det er snakk om enkel statistikk, og ikke profilering, tredjepartscookies mv. Se mer om situasjonen i Norge i forrige nyhetsbrev.
Det danske datatilsynet har kommet til at forespørsel etter konkrete opplysninger (fra en norsk person), som i dette tilfellet var informasjon om hvor epostadresse til utsendelse av nyhetsbrev var mottatt, er ikke å anse som en plikt til å gi ut alle personopplysninger som behandles etter GDPR artikkel 15.
Det danske datatilsynet har avgjort at en nettbasert datingtjeneste ikke hadde innhentet gyldig samtykke siden aksept av vilkårene for tjenestene og selskapets personvernvilkår var i samme avkryssingsboks.
Videre har det danske datatilsynet har uttalt at både EU-malen for databehandleravtale (som opprinnelig ble laget av det danske datatilsynet, som EUs personvernråd (EDPB) har gjort tilgjengelig (se versjoner i alle EU-språk her fra EDPB, og norsk versjon hos Datatilsynet), kan benyttes selv om det nå kommer en databehandleravtale (Standard kontraktsbestemmelser) mellom behandlingsansvarlig og databehandler fra EU-kommisjonen. Tilsynet anbefaler bruk av EDPB-versjonen for behandling innenfor EU, og heller bruke EU-kommisjonens standard ved databehandling i land utenfor EØS (tredjeland).
Det danske datatilsynet har også laget en veileder om hvordan føre tilsyn med databehandlere som benyttes og en veileder for ansvarsforholdet knyttet til behandling av personopplysninger mellom private leverandører og offentlige myndigheter.
Og ved bruk av personopplysninger til testing, så har det danske datatilsynet forklart hvilke forholdsregler som kan tas.
Hva er en overføring av personopplysninger til andre land?
Er det at man er på forretningsreise utenfor EØS en overføring av personopplysninger etter GDPR. Og er dette greit etter Schems II-dommen?
Dette spørsmålet kommer opp til tider, og synes nå avklart i en ny veileder fra EUs personvernråd (EDPB) (foreløpig bare på høring). Veilederen gjelder om overføring av personopplysninger ut av EØS (til tredjeland) er en «overføring» etter GDPR. Spesielt for virksomheter utenfor EØS som kan måtte følge GDPR pga. virksomhet rettet mot EØS (GDPR artikkel 3 (2)).
At også tilgang til personopplysninger fra tredjeland er en «overføring» av personopplysninger er tidligere avklart i Schrems II-dommen. Det som er tema i denne veilederen, er om en overføring må følge kravene i GDPR kapittel V og kravene etter Schrems II-dommen.
For at det skal være en overføring har EDPB stilt opp tre krav:
1. Den som overfører personopplysninger (behandlingsansvarlig eller databehandler) må være underlagt GDPR, som at dennes virksomhet er rettet mot EØS etter GDPR artikkel 3 (2).
2. Den som overfører eller gjør tilgjengelig personopplysninger tilgjengelig, gjør dette til en behandlingsansvarlig/databehandler/felles behandlingsansvarlig.
3. Den som mottar opplysningene, er i et tredjeland (dvs. utenfor EØS)
Er det f.eks. en behandlingsansvarlig innenfor EØS som bruker en databehandler utenfor EØS (tredjeland) er det selvsagt en overføring. Også om en databehandler innenfor EØS bruker en behandlingsansvarlig utenfor EØS er det en overføring ut av EØS.
Overfører f.eks. en behandlingsansvarlig etablert utenfor EØS informasjon om sine ansatte, selv om ingen av de ansatte er EØS-borgere, til en databehandler innenfor EØS, vil en overføring som databehandler gjør tilbake til den behandlingsansvarlige være en overføring ut av EØS. Husk at dette gjelder også selskapet utenfor EØS som er i samme konsern som selskapet innenfor EØS, siden selskapene er egne juridiske enheter og overføring mellom konsernselskaper er også «overføring». Så om et selskap innenfor EØS overfører HR-data til et system som det amerikanske morselskapet eier og styrer, så er dette også en overføring.
Eksemplene ovenfor krever at det er en overføring følger GDPR kapittel V, som at det foreligger et grunnlag for overføringen, som EUs standard kontraktsbestemmelser (SCC). Og så må overføringen følge kravene etter Schrems II-dommen.
Det er også tatt inn to eksempler på hva som IKKE anses å være en overføring (som kanskje er det mest interessante i veilederen):
Det at man handler i en nettbutikk som er lokalisert utenfor EØS, som f.eks. i Kina, er ikke en overføring av personopplysninger. Dette fordi den som personopplysninger gjelder (den registrerte) overfører sine personopplysninger av eget initiativ, og er ikke en behandlingsansvarlig/databehandler selv.
Så til spørsmålet som ble stilt innledningsvis: Det at en ansatt i virksomhet innenfor EØS er på forretningsreise utenfor EØS, er ikke en overføring av personopplysninger ut av EØS. Bakgrunnen er at den ansatte anses som en del av virksomheten innenfor EØS, og derfor selv ingen behandlingsansvarlig/databehandler. Det skjer derfor ingen overføring fra en behandlingsansvarlig/databehandler til en behandlingsansvarlig/databehandler utenfor EØS.
Se også nedenfor om nye SCCer knyttet til GDPR artikkel 3 (2).
Personlig ansvar for styremedlemmer, daglig leder, eller annen leder
Pga. en del uklarhet i poster som er delt på LinkedIn (og til og med i media), har det tydeligvis oppstått noe forvirring om personlig ansvar for overtredelsesgebyr etter GDPR. Dette har sin bakgrunn i at Datatilsynet synes å ha endret noe av begrunnelsen ved ileggelse av overtredelsesgebyr («bøter»).
Denne endringen skyldes IKKE at Datatilsynet har ansett daglig leder eller øverste leder som personlig ansvarlig for personvernbrudd. Bakgrunnen for endringen er en dom som kom i Høyesterett i april, hvor det fulgte at det ikke kan pålegges såkalt objektiv foretaksstraff overfor juridiske personer (som selskap og kommuner). Dette følger igjen fra dommer innenfor den Europeiske menneskerettighetsdomstol.
Skyldkravet, som uaktsomhet eller forsett, må derfor knyttes til en person, som da vil kunne være øverste leder i en virksomhet, hvor da virksomheten er behandlingsansvarlig og får gebyret.
Dette er ikke spesielt for overtredelsesgebyr fra Datatilsynet. Dommen ovenfor gjelder foretaksstraff, og siden overtredelsesgebyr anses som straff, legges dette også til grunn for overtredelsesgebyr ved brudd på GDPR.
Men altså, dette har ingen betydning for det personlige ansvaret for styremedlemmer, daglig leder mv.
Se også post her om styremedlemmer, daglig leders og andre lederes erstatningsansvar.
Nye standard kontraktsbestemmelser (SCC) på vei (kanskje)!
I juni kom det nye standard kontraktsbestemmelser (SCC) for overføring til land utenfor EØS. Nå kommer det muligens nye SCCer fra EU-kommisjonen spesifikt for importører av personopplysninger som er etablert utenfor EØS, men som er underlagt GDPR («ikke-EØS importør»).
Bakgrunnen er en lengre diskusjon innenfor EUs personvernråd (EDPB) om rekkevidden av GDPR utenfor EØS, og da knyttet til GDPR artikkel 3(2) om GDPRs geografiske virkeområde og begrensningene på overføring av personopplysninger ut av EØS etter GDPR kapittel V. Se også ovenfor om hva som anses som en overføring av personopplysninger ut av EØS.
Etter GDPR artikkel 3(2) vil GDPR også gjelde for behandlingsansvarlige og databehandlere som ikke er etablert innenfor EØS, men som bl.a. behandler personopplysninger om EØS-borgere og hvor behandlingen er knyttet til at det tilbys varer eller tjenester til EØS-borgere.
Spørsmålet er da: Dersom GDPR omfatter en ikke-EØS importør, er da overføring til denne fra EØS en «overføring» etter GDPR kapittel V? En overføring under SCCene som kom i juni forutsetter at overføringen skjer til en importør i tredjeland som ikke er underlagt GDPR, men her er jo importøren underlagt GDPR. Og da trengs det en ny overføringsavtale (SCC), mener EDPB, og at EU-kommisjonen arbeider med en ny SCC følger av referat fra EDPBs møte i september 2021.
Den praktiske betydningen: Om det skal overføres personopplysninger til en virksomhet etablert utenfor EØS, må det vurderes om virksomheten er underlagt GDPR, og avhengig av utfallet av denne vurderingen, må riktig SCC velges. Og det må også foretas en risikovurdering, vurdering om overføring kan skje som følge av Schrems II, og alt som må gjøres ved overføring av personopplysninger ut av EØS ellers. Ikke helt rett frem dette …
Det hører også til historien at en del mener at SCC etter artikkel 3 (2) ikke er nødvendig, og vil trolig ikke komme. Vi får se hva som skjer…
Legelisten.no – Høyesterett uttaler seg om «berettiget interesse»
Det er nå kommet dom i Høyesterett knyttet til nettstedet legelisten.no, som inneholder vurderinger av bl.a. leger. Saken i lagmannsretten er tidligere omtalt i nyhetsbrevet, men nå er det altså kommet dom i Høyesterett.
Dommen er interessant siden den tar for seg hvordan en vurdering av om det foreligger grunnlag for behandling av personopplysninger etter GDPR artikkel 6 (1) bokstav f. Til tross for at dette er et grunnlag som benyttes meget ofte (grunnlaget kalles også «sekkegrunnlaget» siden det dekker mange situasjoner og benyttes ofte når andre grunnlag ikke kan benyttes), krever grunnlaget kompliserte, og sjelden dokumenterte, vurderinger. Dommen gir derfor en god (og veldig grundig) oppskrift på hvordan en slik vurdering kan gjøres.
Følgende må etter GDPR være innfridd om «berettiget interesse» skal være et lovlig behandlingsgrunnlag:
- Det må foreligge en berettiget interesse for den behandlingsansvarlige å behandle personopplysningene
- Behandlingen må være nødvendig for formålet for behandlingen knyttet til den berettigede interessen
- Den berettigede interessen må veie tyngre enn personvernet til de registrerte (dvs. foretas en interesseavveining)
I denne saken var de berettigede interessene bl.a. allmennhetens behov for informasjon om helsetjenester og ytringsfrihet (publisering av vurdering av leger mv.). Høyesterett, og partene i saken, mente at Legelisten hadde slik berettiget interesse for behandlingen av personopplysningene.
Om behandlingen var nødvendig for formålet knyttet til interessene, så mente Høyesterett at det ikke var noe krav at alle sider ved behandlingen må være nødvendig. Det som må vurderes ifølge dommen er om de berettigede interesser med rimelighet kan gjennomføres like effektivt på en annen måte som er mindre inngripende for personvernet. Her så Høyesterett på måter å begrense virkninger på personvernet, men mente det ikke er andre måter å gjennomføre behandling på som er rimelige og like effektive, se også nedenfor om personvernøkende tiltak.
Men nødvendighetskravet har tett sammenheng med interesseavveiningen, som da blir det sentrale. Man må da se den berettigede interessen, se ovenfor, mot personvernet til de personopplysningene gjelder (de registrerte) som her er leger mv., herunder hvor inngripende opplysningene som behandles (ved at de her bl.a. gjøres offentlig). Ved andre vurderinger av berettiget interesse vil da ytringsfrihet (som gjaldt i denne saken) kunne erstattes med den aktuelle berettigede interesse.
I denne saken var det av betydning at kvaliteten på helsetjenester er viktig for allmennheten, og Høyesterett mente at Legelisten dekker et viktig informasjonsbehov hvor det er få alternativer til å få tilvarende informasjon. Høyesterett anerkjente at personvernbelastningen for enkelte kan være stor, men det var få tilfeller av belastende omtale, og det er ikke vurderinger av personene som sådan, men den profesjonelle virksomheten, som gjøres.
Av betydning for interesseavveiningen er det også om det er gjennomført personvernøkende tiltak, herunder dataminimering og kontroll på innholdet i vurderingene. Høyesterett mener at Legelisten har iverksatt de tiltak man med rimelighet kan forvente for å begrense eventuelle personvernulemper. Dvs. det kreves ikke mer tiltak enn de som de registrerte kan rimeligvis forvente. Eksempelvis på unntak som var mer enn rimelig, var en generell reservasjonsrett. I denne saken var det kun en begrenset mulighet for å reservere seg mot å oppføres i tjenesten – ikke en fullstendig rett til reservasjon.
Etter dette mente derfor Høyesterett at allmennhetens behov for informasjon om helsetjenester (som er formålet med Legelisten og den berettigede interessen for behandlingen), må veie tyngre enn hensynet til helsepersonells personvern. Berettiget grunnlag var derfor et lovlig grunnlag for Legelistens behandling av personopplysninger.
Berettiget interesse er også vurdert i en nylig sak i Personvernnemda. I saken her var det spørsmål om en restaurant kunne kameraovervåke sine lokaler, bl.a. for sikkerhet for ansatte og mot tyveri mv.. Behandling av personopplysninger ved kameraovervåking må basere seg på berettiget interesse (det aktuelle behandlingsgrunnlag). Nemda var i tvil om interesseavveiningen, og falt ned på at overvåkingen ikke var lovlig basert på at det ikke var foretatt tilstrekkelig grundige dokumenterbare vurderinger om bruken av overvåkingen, samt at vurderingen og tilstrekkelige tekniske og organisatoriske tiltak etter GDPR artikkel 24 ikke kunne dokumenteres. Dette viser at både vurdering av berettiget interesse og sikkerhetstiltak må dokumenteres.
For å oppsummere ovennevnte:
- Det må være en berettiget interesse for behandlingen, som er knyttet til behandlingens formål.
- Behandlingen må være nødvendig for å nå formålet for den berettigede interessen (men ikke nødvendig for alle deler av behandlingen).
- De berettigede interessene må vurderes mot personvernet til de behandlingen gjelder (interesseavveining). I denne vurderingen har omfanget av og hvilke personopplysninger behandlingen omfatter, og tiltak for å bedre personvernet ha betydning (som informasjon, sletting, retting/korrekthet, minimering, reservasjonsrett mv.).
- Vurderingen må være dokumentert, og om det er tvilsomt om det foreligger lovlig grunnlag vil andre sikringstiltak ha betydning som gjennomføring av tiltak etter GDPR artikkel 24 (som også må dokumenteres).
Vurdering av berettiget interesse – mal / skjema
Som det følger om Legelisten ovenfor, så er det å vurdere om det foreligger grunnlag for behandling av personopplysninger etter GDPR artikkel 6 (1) bokstav f (“berettiget interesse”) er ofte en vanskelig øvelse. Se dommen ovenfor som eksempel på hva omfanget kan være. Det er også et krav om at det skal gjøres en vurdering som skal dokumenteres (dvs. normalt være skriftlig) i de enkelte tilfelle hvor berettiget interesse brukes som grunnlag for behandling.
Jeg har laget en mal/et skjema for å forsøke å forenkle prosessen med vurderingen. Skjemaet skal være dekkende for en vurdering, men kan i enkelte tilfelle virke omfattende for enklere behandlinger. Det er allikevel hensiktsmessig å fylle ut skjemaet for senere dokumentasjon i alle tilfelle, men at man da bare tar inn mindre tekst i enklere behandlinger.
Last ned dokumentet her:
Om det er tilbakemeldinger til skjemaet for å forbedre dette, så settes det pris på om det sendes til meg.
Endelig veileder på hva som er et personvernbrudd fra EDPB
I januar i fjor kom foreløpig veileder fra EUs personvernråd (EDPB) om personvernbrudd og varsling med eksempler på hva som kvalifiserer til varsel ved personvernbrudd. Nå er den endelige veilederen kommet.
Det har vært mye varsler til Datatilsynet siden GDPR trådte i kraft, og det har nok vært for mange varsler enn det som har vært nødvendig, i hvert fall etter det som følger av veilederen. Varsel til Datatilsynet skal skje dersom bruddet sannsynligvis vil medføre en risiko for personvernet til de som personopplysningene gjelder (GDPR artikkel 33), og varsel til de personopplysningene gjelder skal skje om det er en tilsvarende høy risiko (GDPR artikkel 34). Terskelen for å varsle har nok i mange tilfelle vært en del lavere. Men så har det nok også trolig vært flere tilfeller hvor det skulle vært varslet, hvor det ikke er sendt varsel.
Det er derfor nyttig med retningslinjer fra EDPB. Retningslinjene har en rekke eksempler på når det skal varsles. Her er en oversikt over noen av eksemplene og om varsling er påkrevet. Merk at veiledningen inneholdt mer beskrivelse av bruddene som skal varsles, tiltak for å unngå bruddet, risikovurdering, risikoreduserende tiltak og plikter som kan være nyttige.
Med «tilgang» nedenfor menes er tilgang til personopplysninger for uvedkommende (uautoriserte, som f.eks. utpressere/hackere. Særlige kategorier personopplysninger er opplysninger som listet opp i GDPR artikkel 9, som bl.a. helseopplysninger.
* Kun føring i intern logg/register
Norge er på topp i (antall) GDPR-bøter i Europa
Det er satt ny rekort på antallet gebyrer/bøter gitt etter GDPR i 2021 (selvsagt, etter hvert som kontrollene øker og kravene blir klarere, men allikevel…). Siden ikrafttredelsen av GDPR (i 2018) er det gitt bøter i 900 saker som samlet beløper seg EUR 1,3 milliarder, og en betydelig andel som ble gitt i 2021 med 500 saker og totalt EUR 1,1 milliarder. Dette omfatter imidlertid de omfattende gebyrene til Amazon og Whatsapp.
Vårt Datatilsynet er blant de datatilsyn i Europa som gir flest overtredelsesgebyr («bøter»). Kun datatilsynene i Spania, Italia, Romania og Ungarn gir flere gebyrer. Totalt har Datatilsynet gitt gebyrer i 32 saker etter at personopplysningsloven/GDPR trådte i kraft i 2018. Dette følger av en kartlegging av sikkerhetsselskapet ESET.
Når vårt Datatilsynet gir overtredelsesgebyr, er gebyrene gjennomsnittlig på rundt kr 700 000, som er ca. midt på treet for størrelse på gjennomsnittlig bot.
De mest vanlige grunnene for å gi bot er manglende behandlingsgrunnlag, med utilstrekkelig informasjonssikkerhetstiltak og ikke overholdelse av de generelle prinsippene for behandling etter GDPR:
Og hva skjer så innenfor personvern i 2022 fra EU?
EUs «European Data Strategy» vil bli effektuert til en viss grad, med Data Governence Act for deling av data over grensene som første steg. Så kommer sikkert Digital Services Act, Digital Marketing Act (som vil kunne inneholde et forbud mot målrettet markedsføring), Data Act, ePrivacy Regulation og Artificially Intelligence Act etter dette (se oversikt her). Hvilke følger EUs datastrategi har for personvernet, herunder for amerikanske selskapers virksomhet i EØS, er usikkert, og diskuteres en del. EDPB har uttalt seg om ivaretakelse av personvernet ved strategien.
Informasjonssikkerhet (eller det mer sexy «cybersikkerhet») er også et hett tema, spesielt pga. økningen i angrep som trolig kommer østfra. Risikoen for at personopplysninger komme på avveie har økt fra 8,7 % i 2020 til 81 % i 2021 ifølge EUs cybersikkerhetsbyrå (ENISA). Det vil komme en «Cyber Resilience Act» i andre halvdel av 2022. Og direktiv for “Security of Network and Information Systems» (NIS 2 Directive) vil erstatte NIS-direktivet fra 2016 (se status i Norge her).
For EUs personvernråd (EDPB) er det antatt at det vil sees nærmere på behandling av personopplysninger i tilknytning til forskning, og på barns personvern. (Vedrørende sistnevnte har Irlands datatilsyn laget en omfattende veileder). Dette er også et aktuelt tema i Norge, og det kommer sikkert mye annet også knyttet til temaet. Se også EDPBs strategi for 2021 til 2023.
Det er også mye diskutert om det skal skje en revisjon av GDPR allerede. Det er en del å ta tak i her, som kunne vært endret og mer dekkende. Spesielt om hvordan GDPR håndheves, med sprikende praksis fra de ulike datatilsynene, og ikke alltid bra samarbeid. Også evnene og effektiviteten i håndhevelse fra EU er diskutert. Det er også en del uenighet mellom datatilsynene om hvem som skal føre tilsyn med bl.a. de store amerikanske selskapene. Også utfordringene med at GDPR skal dekke endringer i teknologien er diskutert.
Så er det spennende om det nærmer seg en løsning på Schrems II-problematikken i 2022. Forhandlingene mellom EU-kommisjonen og USA ser ikke til å være nær en løsning (selv om noen hevder det, på begge sider), men det kan komme andre alternativer som f.eks. å legge datasentre utenfor amerikanske myndigheters kontroll eller at det gjøres tiltak på amerikansk side for å forhindre utlevering av data til overvåkingsmyndigheter. Det er også krefter innenfor EU-systemet som argumenterer for at innsamling av personopplysninger innenfor EØS er ikke å anse som en overføring, hvilket kan få betydning for lovgivningen fremover. Om det kommer noe ut av at Facebook angriper Schrems II-dommen er uklart. Og hele forholdet blir ikke enklere av at amerikanske domstoler fatter avgjørelser som støtter bruken av FISA-dommer for utlevering av data.
EU-kommisjonen har også etablert en «Alliance for Industrial Data, Edge and Cloud» for styrke EUs posisjon innenfor bl.a. skyteknologi og «edge» teknologi, som omfatter strategisk innovasjon som kunstig intelligens, Internet of Things, 5G mv, for å gjøre Europa mindre avhengig av bl.a. amerikanske leverandører. 39 sentrale europeiske teknologiselskaper er allerede med i alliansen.
Det siste om cookies
Det er kommet utkast til ny ekomlov som i § 3-7 som gjelder krav til samtykke ved bruk av cookies og erstatter dagens ekomlov § 2-7b.
Det eneste nye i forslaget er at det er tatt inn en henvisning til kravene om samtykke, som er tilsvarende kravene til samtykke etter GDPR. At det kreves samtykke for cookies følger også av den såkalte Planet49-dommen fra EU-domstolen. I forlaget vil imidlertid samtykke kreves til alle cookies, uavhengig av om det er personopplysninger som behandles ved bruken. At det blir et krav om aktivt samtykke vil også kreves «opt in», i motsetning til dagens lov hvor standardinnstillinger i nettleseren er tilstrekkelig, og at innstillinger i nettlesere som tillater bruk av cookies er ikke et tilstrekkelig samtykke. Det er også – som tidligere – unntak fra samtykkekravet for cookies som er «nødvendige» for bl.a. at nettsider skal fungere, som er i overensstemmelse med de siste forslag til ePrivacy-forordning (men som da også går noe lenger enn det norske forslaget).
Etter lovforslaget vil man dermed fortsatt kunne basere seg på nettlesersamtykke i Norge, dersom at nettleseren oppfyller alle kravene til samtykke under GDPR. Utfordringen er at det ikke finnes tilstrekkelige løsninger for å gi samtykke i nettleserne per i dag. Det er også en del andre utfordringer med lovforslaget, og det er kritisert bl.a. av Advokatforeningen, som også gir en god oversikt over problemstillingene.
Det franske datatilsynet (CNIL) har også varslet vedtak om bøter på kr 1,5 mrd til Google og kr 600 mill til Facebook for at selskapene ikke har gjort det mulig å takke nei til cookies etter ePrivacy-direktivet. Dette er tilsvarende som mange selskaper, også i Norge, ikke gir anledning til. Så kanskje det er like greit å ikke ha et cookie-banner om det ikke er mulig å nekte samtykke for cookies (det ser i hvert fall ut til å bli like dyrt). En oversikt over cookie-bannere og muligheter til å gi samtykke finnes her. Ovennevnte er en del av CNILs tiltak for å stanse ulovlig bruk av cookies, som omfatter en veileder, overgangsperiode og nå varsel om bøter og tiltak mot nær 100 selskaper.
Et tysk universitet ble pålagt av en forvaltningsdomstol å stoppe bruken av løsningen «Cookiebot», som er en meget brukt løsning for cookie-samtykker, siden løsningen overfører personopplysninger til USA. Merk at dommen er uklar på en del punkter, og må derfor ikke legges til grunn ukritisk.
Her er nye retningslinjer for utforming av samtykker for cookies og informasjonsplikten fra de tyske datatilsynene.
Stor og smått (men kanskje ikke mindre viktig)
Sør-Korea er anerkjent som godkjent tredjeland av EU-kommisjonen etter GDPR artikkel 45 (3). Dette innebærer at personopplysninger kan overføres til Sør-Korea uten at det krever særlig godkjenning (eller bruk av andre grunnlag som EUs standardkontrakter (SCC)).
Ankedomstolen i Brussel har funnet at en person har rett etter GDPR artikkel 16 (rett til retting) til å kreve at navnet til vedkommende staves riktig i en banks datasystem. Men den norske Personvernnemda har tidligere avgjort at dette er en rett som ikke nødvendigvis følger av artikkel 16, hvor en person ikke fikk rett til å rette navnet. Sakene kan ha noe ulik bakgrunn, men sakene illustrerer de ulike tolkningene av GDPR som er rundt i Europa.
Forvaltningsdomstolen i Østerrike har avvist en klage fra en lærer om at dennes personopplysninger ble benyttet i en app for studenter for å vurdere skoler og lærere. Ytringsfrihet og offentlighetens behov for transparens knyttet til utdanning sto derfor sterkere enn lærerens personvern i dommen. Se også tilsvarende problemstilling for leger ovenfor om Legelisten.
Og en domstol i München har avgjort at en person kunne få utlevert alle kopier av sine personopplysninger etter GDPR artikkel 15 (3), herunder interne notater, protokoller mv. Denne avgjørelsen er imidlertid ikke i overensstemmelse med andre avgjørelser fattet i andre land i Europa og viser også problemene med håndheve GDPR likt i alle land.
Men EDPB har etablerer koordinerte tiltak (basert på et rammeverk som kom i 2020) for det offentliges bruk av skytjenester. Tiltaket – og tilsvarende tiltak – skal søke å få de nasjonale datatilsynene til å samarbeide om spesifikke saker over grensene.
En mann i Storbritannia fikk bot for å bruke en såkalt smart-ringeklokke for sin utgangsdør (versjonen fra Amazon) med kamera som også dekket naboens område. Slike ringeklokker vil trolig også komme inn under regelverket for kameraovervåking i Norge, se mer fra Datatilsynet om kravene til kameraovervåking.
Etter Datatilsynet besluttet at de ikke vil bruke Facebook har NRK spurt 70 virksomheter om hvordan de vil forhold seg til bruk av Facebook fremover. 50 av virksomhetene har ikke lagt ned Facebook-sidene, men vurderer bruken av plattformen. Digitaliseringsdirektoratet (Digdir) skal også vurdere om de skal være tilstede på Facebook, men vil beholde sin Facebook-side inntil vurderingen er klar. Digdir vil dele sin vurdering når den er klar, og oppfordrer andre virksomheter til å gjøre det samme.
Den øverste forvaltningsdomstolen i Tyskland har pålagt virksomheten Wirtschaftsakademie Schleswig-Holstein GmbH så stenge ned sin Facebook-side. For de som husker det, så var det nettopp i EU-domstolens dom knyttet til Wirtschaftsakademies Facebook-side hvor det ble avgjort at Wirtschaftsakademie var felles behandlingsansvarlig med Facebook. Domstolen i Tyskland påla nedstenging av siden i 2011, så kom EU-domstolens dom i 2018, og nå pålegges Wirtschaftsakademie endelig å legge ned siden pga. manglende informasjon om behandling av personopplysninger i tilknytning til Facebook-siden.
Det franske datatilsynet har kommet med en veileder om praksis knyttet til logging, herunder hvor lenge logger skal oppbevares før de slettes.
I samme forbindelse så har det danske Datatilsynet ytret kritikk mot en kommune som ikke har overholdt egne rutiner for å kontrollere datasystemet, herunder bl.a. logger for tilgang, hvert halvår. Kommunens rutine for kontroll hvert halvår mente datatilsynet var riktig, men disse ble da ikke etterlevet.
Facebook forsøker også å omgå kravet om samtykke for behandling av medlemmenes personopplysninger ved å ta inn behandlingen i brukervilkårene som aksepteres når man blir medlem av Facebook (dvs. avtale som behandlingsgrunnlag). Det irske datatilsynet synes å helle mot at dette er akseptabelt, noe som får bl.a. Datatilsynet her i Norge til å reagere. Det avgjørende om man kan bruke avtale som grunnlag i følge Datatilsynet er at personopplysningene som behandles må være direkte knyttet til tjenestene som utføres, men Facebook samler inn mer personopplysninger enn nødvendig for å oppfylle avtalen, og derfor kreves samtykke. Det viser seg også at det irske datatilsynet også har drevet lobbying for sin forståelse av grunnlagene.
Og WhatsApp saksøker EUs personvernråd (EDPB) i tilknytning til at EDPB instruerte det irske datatilsynet til å øke boten til Whatsapp til ca. kr 2,3 mrd.
De tyske datatilsynene samlet har besluttet at registrerte kan ikke akseptere et lavere informasjonssikkerhetsnivå enn det som GDPR foreskriver gjennom samtykke. Begrunnelsen er at kravene etter GDPR er objektive, og kan derfor ikke fraskrives av de som kravene skal beskytte. Siden kravene er objektive kan ikke en behandlingsansvarlig velge å ikke følge kravene, også dersom registrerte samtykker til dette.
De nye regjeringspartiene vil vurdere krav om datadeling fra private selskaper, og beskytte innbyggerne mot digital overvåkning og påvirkning, heter det i Hurdalsplattformen. Forbrukerrådet mener at det er et signal om at Regjeringen vil bekjempe overvåkningbasert reklame.
35 svenske offentlige organer har laget en rapport med alternativer til amerikanske skytjenester i offentlig sektor etter «Skattestyrelsen» og «Kronofogdemyndigheten» valgte å ikke bruke bl.a. Teams. Digi.no har laget en oversikt over alternativene. Og Teams har innført ende-til-ende kryptering som skal forhindre (?) amerikanske myndigheter tilgang til data.
Microsoft har også lansert et verktøy kalt «Privacy Management for Microsoft 365» som skal gjøre det enklere for brukere av Microsoft 365 å overholde personvernregelverket i flere land, herunder GDPR.
Statens standardavtaler for skytjenester fra DFØ er nå klare til bruk. Dette omfatter den store skyavtalen (SSA-sky) som omfatter tjenester knyttet til etablering og forvaltning av komplekse skytjenester og den lille skyavtalen som dekker kjøp av enklere skytjester (SSA-lille sky).
EU-kommisjonen er irritert på at det lekkes informasjon fra de interne møtene i EUs personvernråd (EDPB), hvor også kommisjonen deltar. EDPB vedtok å utarbeide en «Code of Conduct» for å forhindre ytterligere brudd. Brudd på konfidensialitetsplikten i disse møtene mener også EDPB å være i strid med GDPR …
Jeg har også vært med på noe siden sist, som bl.a. podcasten O3 CYBER med Olav Østbye og Karim El-Melhaoui om informasjonssikkerhet og GDPR, i podcasten «Pålogga» i NRK P3 med Tamanna Agnihotri om en sak om personvernet knyttet til sexleketøyet We-vibe (!). Hvem sier personvern er kjedelig?
Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.
Oppdateringer og artikler blir lagt ut på LinkedIn, samt på mine nettsider, sandtro.no.
Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn. For rettigheter og bruk av innholdet over, se her.