Nyhetsbrev 02.2022

Oppdatering personvern, GDPR og teknologirett mv. (#2.2022)

Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Nyhetsbrevet tar for seg bl.a.: Nytt fra Datatilsynet, retningslinjer for innsyn for registrerte, overføring til tredjeland og Schrems II, veileder på bruk av skytjenester fra det danske datatilsynet, Google Analytics og overføring til USA, bruk av berettiget interesse som behandlingsgrunnlag, cookies, stor og smått (men ikke mindre viktig)

Tidligere nyhetsbrev, og mulighet til å abonnere, finner du på disse sidene og her (trykk «Subscribe»). Del også gjerne nyhetsbrevet med andre du tror kan ha nytte av det. Følg meg også på LinkedIn for fortløpende oppdateringer.

Nytt fra Datatilsynet

Av nyheter fra Datatilsynet i det siste kan følgende nevnes (jeg dekker ikke alt, men et utvalg som kan ha praktisk betydning for de som er involvert i behandling av personopplysninger):

Datatilsynet har ilagt Østre Toten kommune et overtredelsesgebyr på kr 4 mill. som følge av dataangrepet i januar 2021. Gebyret var basert på mangler ved informasjonssikkerheten (logger, sikkerhetskopier, manglende to-faktorautentisering el.). Gebyret ble redusert som følge av den omfattende innsats kommunen har gjort etter angrepet.

Stortinget ble også varslet om gebyr på kr 2 mill. som følge av datainnbruddet høsten 2020. Gebyret er basert på manglende sikkerhetstiltak, som bl.a. bruk av to-faktorautentisering. Stortinget besvarte varselet senere. Datatilsynet stiller krav om to-faktorautentisering i visse tilfelle, mens Nasjonal sikkerhetsmyndighet (NSM) anbefaler bruk av to-faktorautentisering, og har laget en veileder om dette.

Og Statens pensjonskasse har fått gebyr på kr 1 mill. for å innhente mer personopplysninger enn nødvendig for formålet for behandlingen.

Det er foreslått ny eKom-lov med endringer i bestemmelsen om samtykke til bruk av cookies, som har vært veldig omdiskutert i Norge (se også nedenfor om cookies). Dette fordi etter dagens eKom-lov er det tilstrekkelig for aksept av cookies at man kan gjøre endringer i nettleseren for å unngå cookies. Det er med andre ord lagt opp til et meget komplisert passivt samtykke. Datatilsynet er ikke enig i at endringene går langt nok, og har sendt et brev til Kommunal- og distriktsdepartementet hvor det bes om innstramning i regelverket. Datatilsynet ber også om kompetanse til å håndheve cookie-regelverket sammen med Nasjonal kommunikasjonsmyndighet (Nkom). Og imens venter vi på ny ePrivacy-forordning som skal regulere cookies på EU-nivå. 

Datatilsynet har også kommet med ny veileder på bakgrunnsundersøkelser knyttet til ansettelse/rekruttering og oppdatert veileder på innsyn i e-post og annet elektronisk lagret materiale.

Så har Datatilsynet kommet med informasjon om tilsynsvirksomheten de vil ha i 2022, hvor det vil fokuseres på sentrale områder innenfor GDPR. De har spesifisert følgende områder de vil se på: Oppfyllelse av personvernprinsippene, innebygd personvern, behandlingsansvar, ivaretakelse av registrertes rettigheter, om det er opprettet personvernombud og dennes plass i organisasjonen, samt kontrollere virksomhetenes styringssystem for personvern og informasjonssikkerhet. Det vil også gjennomføre noen tilsyn med algoritmer i løsninger og systemer som benytter kunstig intelligens.

Retningslinjer for innsyn for registrerte

EUs personvernråd (EDPB) har kommet med høringsutkast til retningslinjer for innsyn for registrerte etter GDPR artikkel 15. Retningslinjene er omfattende, og kunne godt vært redusert til halvparten uten at det hadde gjort noe. Men her er noen punkter som kan gi veiledning:

  • Innsynsretten omfatter (1) bekreftelse på at det behandles personopplysninger om den som krever innsyn, (2) tilgangen til sine personopplysninger, og (3) informasjon om hvordan behandlingen skjer (som kan være konkretisering av det som er tatt inn i personvernererklæringen).
  • Hvorfor innsynet gjøres må ikke begrunnes. Det skal uansett gis innsyn.
  • Den som krever innsyn, har ansvar for at innsynskravet sendes til rett virksomhet (behandlingsansvarlig) og til en person som kan håndtere innsynskravet (f.eks. til den adressen som er oppgitt for innsynskrav).
  • Ved innsyn må det vurderes om det kreves innsyn i alle eller deler av opplysningene. Det er uansett en rett å få innsyn i alle opplysningene, også ustrukturerte opplysninger herunder sikkerhetskopier, som bør være en oppfordring for behandlingsansvarlige å strukturere sine data. Å foreta søk ved bruk av f.eks. navn, sak mv. vil kunne være tilstrekkelig for gjennomgang av ustrukturerte data.
  • Det er ikke noe krav om at det skal gis kopi av dokumenter mv. Det kan godt gis en avskrift av opplysningene i de enkelte dokument/systemer, men som må være konkrete og komplette. Opplysningene skal gis i en form som gjør at de kan oppbevares til senere bruk, og de skal være i en form som er forståelig for den registrerte, dvs. ikke f.eks. en dump fra en logg eller database.
  • Det skal kun gis innsyn i personopplysninger som gjelder den som krever innsyn. Opplysninger om andre personer skal ikke gis eller komme med ved innsynet.
  • Identiteten til den som krever innsyn må verifiseres – det er et personvernbrudd å sende opplysningene til en annen enn den personopplysninger gjelder (om ikke denne har fullmakt fra den registrerte).
  • Men det er ikke noe krav til hvordan identiteten verifiseres. Det er heller ikke et krav om å innhente ytterligere opplysninger for å verifisere identiteten. Kan ikke personen identifiseres basert på de opplysninger man har, kan ikke utlevering skje.
  • Det er ingen krav til hvordan innsynskravet oppfylles, og den behandlingsansvarlig kan velge hvilken måte det skal gis innsyn. Men gis kravet elektronisk, skal det også besvares elektronisk og ikke den registrerte ønsker noe annet.
  • Innsynet skal gis innen én måned regnet fra innsynskravet mottas. Fristen kan i spesielle tilfeller forlenges med to måneder.

Overføring til tredjeland og Schrems II

De 22 europeiske datatilsyn (ikke det norske) skal gå sammen i et koordinert tilsyn rettet mot mer enn 80 offentlige institusjoner innenfor EU i følge EUs personvernråd (EDPB). Tilsynene skal gjennomføres etter et felles malverk. Hensikten med tilsynene, er ifølge EDPB, å gi en «best practise» for sikring av personopplysninger innenfor EU. Om dette gir en klarhet i hvordan forholde seg til overføring til tredjeland er usikkert. Rapport etter tilsynene skal komme i løpet av 2022.

Ifølge artikkel i Digi.no bruker 64 % av norske virksomheter skytjenester, som må være et altfor lavt tall. Nasjonal sikkerhetsmyndighet (NSM) uttrykker bekymring for at norske virksomheter blir avhengig av skytjenester, og at utsetting av tjenester til utenlandske leverandører gjøres uten risikovurdering og sikkerhetstiltak.  

Og det nederlandske justisdepartementet har laget en vurdering av personvernkonsekvenser (DPIA) for bruken av Teams, OneDrive, SharePoint og Azure AD. Konklusjonen i vurderingen er at nevnte tjenester kan benyttes om de anbefalte tiltakene, som er ganske konkrete, innføres. De nederlandske myndighetene har tidligere vært veldig kritiske til bruk av skytjenester, så denne vurderingen er spesielt interessant.

Mens Stockholm kommune mener det er problematisk å bruke Microsoft 365.

Det er stadig rykter om at EU og USA er nærme å bli enige om Privacy Shield III (eller tilsvarende). Men mens USA mener at avtalen er nær forestående, er EU mer avholdende. Samtidig er å få på plass en avtale høyt prioritert av EU. Google er – ikke uventet – utålmodig for at det skal komme en løsning. Noe som kan være løsningen i forhandlingene er at det etableres en egen, uavhengig domstol som skal håndtere utleveringskravene.

Se også nedenfor om bruk av Google Analytics og problemstillinger for overføring av personopplysninger til USA.

Veileder på bruk av skytjenester fra det danske datatilsynet

Det danske datatilsynet har kommet med en veileder om bruk av skytjenester rettet mot behandlingsansvarlig som vurderer om de skal benytte seg av skytjenester. Veilederen inneholder anvisning på vurderinger, krav og kontroller som skal gjøres av databehandlerne, og hensikten er å søke å avklare eventuelle misforståelser og misvisende fortolkninger som følger av Schrems II-dommen.

Det er gitt en liste over enkelte forhold som kan inngå i datatilsynets vurdering om skytjenester kan brukes innenfor personvernlovgivningen:

  • Den behandlingsansvarlig evne til å kunne redegjøre for behandlingsaktiviteter og datastrømmer ved bruk av skytjenestene
  • Vurderingen og dokumentasjonen av leverandørens evne til å sikre at behandlingen skjer i overensstemmelse med regelverket, herunder risikovurdering
  • Leveransekontraktens, herunder databehandleravtalens, ordlyd og transparens
  • Hvordan databehandleravtalen reflekterer kravene fra den behandlingsansvarlige knyttet til behandlingen
  • Behandlingsansvarliges kontroller og oppfølgning av eventuelle avvik mot det avtalte

Veilederen inneholder også en omfattende beskrivelse av krav til leverandører og hvordan man skal velge/kvalitetssikre skyleverandørene. Veilederen er omfattende, og selv om den er basert på de veiledere som er gitt fra EUs personvernråd (EDPB), så gir den noe mer utdyping på enkelte områder. Men den gjør dessverre det ikke enklere å benytte seg av skyleverandører.

Det er tatt inn enkelte eksempler på vurderinger som kan gjøres ved bruk av skyleverandører, som følgende interessante eksempel (noe tilpasset og forkortet):

En dansk virksomhed ønsker at benytte en cloudservice til udsendelse af nyhedsbreve fra en amerikansk cloudleverandør. Virksomheden vil i den forbindelse navnlig behandle oplysninger om de registreredes e-mailadresser samt oplysninger om de nyhedsbreve, der er blevet udsendt. Servicen leveres af et europæisk datterselskab på baggrund af infrastruktur, der udelukkende befinder sig inden for EU/EØS. Der vil derved ikke ske nogen tilsigtet overførsel af personoplysninger til tredjelande.

I dette tilfælde er den amerikanske cloudleverandør omfattet af US CLOUD Act, hvorefter en cloudleverandør kan blive forpligtet til at [utlevere opplysninger til amerikanske myndigheter].

Virksomheden har derfor som led i sin generelle risikovurdering vedrørende behandlingssikkerhed forholdt sig til risikoen for de registrerede ved en eventuel udlevering af personoplysninger til amerikanske retshåndhævende myndigheder:

  • Sandsynlighed: Virksomheden har konstateret, at cloudleverandøren i sine Transparency Reports har oplyst, at leverandøren årligt imødekommer et antal anmodninger i henhold til US CLOUD Act. På den baggrund har virksomheden vurderet, at det er SANDSYNLIGT (4), at cloudleverandøren vil modtage en anmodning i henhold til US CLOUD Act.
  • Konsekvens: Henset til typen af oplysninger, der vil blive behandlet ved hjælp af cloudservicen, er det virksomhedens vurdering, at konsekvensen for de registrerede ved, at amerikanske retshåndhævende myndigheder får udleveret oplysninger om e-mailadresse, og hvilke nyhedsbreve vedkommende har modtaget, vil være en oplevelse af stress og mistro/frygt. Konsekvensen vil dermed være LAV (2).

Virksomheden fastslår dermed, at den samlede risiko ved udlevering af personoplysninger i henhold til en US CLOUD Act anmodning er MIDDEL (8).

På den baggrund indgår virksomheden i en dialog med den europæiske cloudleverandør med henblik på, at der indføjes i aftalevilkårene, at cloudleverandøren, herunder det amerikanske moderselskab, skal anfægte anmodningen i videst muligt omfang i henhold til amerikansk lovgivning.

Virksomheden vurderer, at dette tillæg til aftalevilkårene vil udgøre en passende organisatorisk sikkerhedsforanstaltning, der nedbringer sandsynligheden for, at amerikanske retshåndhævende myndigheder faktisk modtager oplysninger i henhold til en US CLOUD Act-anmodning, til USANDSYNLIGT (2). Virksomheden vurderer herefter, at residualrisikoen for den pågældende hændelse er LAV (4).

I dette tilfælde vil virksomheden have fastsat passende sikkerhedsforanstaltninger med hensyn til den konkrete trussel og dermed opfylde sine forpligtelser i henhold til databeskyttelsesforordningens regler om behandlingssikkerhed.

Det er også laget en spørsmål-og-svar oversikt, og en engelsk versjon av veilederen. Samtidig er det oppnevnt en ekspertgruppe som skal arbeide med konkrete anbefalinger og praktisk veiledning. Det norske Datatilsynet støtter ikke det danske datatilsynets veileder, men vil selv gi ytterligere veiledning på overholdelse av Schrems II senere.

Google Analytics og overføring til USA

Som sikkert de fleste har fått med seg så har det østeriske datatilsynet, det franske datatilsynet (CNIL) og datatilsynet for EU-institusjoner (EDPS) – sistnevnte overfor EU-parlamentet (!) – funnet at Google Analytics (GA) medfører overføring av personopplysninger til USA og kan derfor være i strid med Schrems II-dommen avgitt av EU-domstolen. Vårt Datatilsyn har uttalt at ulovlige verktøy, underforstått GA, må fjernes omgående, og det vil bli gitt gebyrer (bøter) i alvorlige saker.

Det gjennomføres også tilsyn av Telenor for tiden som følge at Telenor var ett av de 101 selskapene som ble meldt inn av Max Schrems’ organisasjon NOYB for bruken av bl.a. Google Analytics, se nedenfor. Dette har gjort at Telenor har skrudd av Google Analytics på sine nettsider.

Basert på en artikkel av Rune Opdahl, Anne-Marit Wang Sandvik og Carl Emil Bull-Berg fra Wiersholm, som anbefales å leses, og har jeg laget en oppsummering (på min egen regning) av situasjonen knyttet til Google Analytics:

▪️ Det er ikke sikkert at sakene som det er vist til ovenfor kan direkte overføres til andre saker og hvordan Google Analytics brukes i ulike virksomheter. Men det er en risiko for at sakene skaper presedens eller at Datatilsynet kommer til det samme uavhengig av disse sakene. Dette er for øvrig bekreftet av det norske og det danske datatilsynene.

▪️ Skru på IP-anonymisering. Datatilsynet har tidligere anbefalt dette, men om det er et tilstrekkelig tiltak siden det samles inn også andre opplysninger i Google Analytics er tvilsomt i lys av de nye avgjørelsene.

▪️ Det er allikevel ikke sikkert at innsamling av informasjon gjennom løsninger som bl.a. Google Analytics er personopplysninger.

▪️ Det kan også være at tiltak som iverksettes, bl.a. av Google, gir tilstrekkelig sikkerhet for behandling av personopplysninger i USA. Men det er lite trolig per i dag.

▪️ Gi brukere av nettsidene tilstrekkelig informasjon om bruken av Google Analytics og andre verktøy, herunder at opplysninger vil kunne bli overført til USA.

▪️ Se også på andre analyseverktøy som eventuelt brukes – overføring til bl.a. USA gjelder ikke bare Google Analytics.

▪️ Ha en plan B, og vurdér løsninger fra europeiske leverandører. Mange vurderer Matomo, Piwik og Plausible (men avhengig av tjenester og integrasjoner – dette må kontrolleres). Det er også flere tjenester der ute. Her er en liste over mulige alternativer.   

▪️ Det er saker til behandling hos Datatilsynet som kan bli avgjort før Datatilsynet går til tiltak mot andres bruk av Google Analytics. Men om man bør vente, må en vurdere selv.

▪️ Vurdér å slutte å bruke Google Analytics – spesielt om det ikke er viktig for virksomheten. Men gjør en egen vurdering av hvordan forholde seg til situasjonen basert på hvordan Google Analytics brukes i egen virksomhet.

▪️ Hør på tilsynsmyndighetene, men husk at tilsynets virksomhet er å være tilsynsmyndighet og den enkelte behandlingsansvarlig må foreta sine egne vurderinger. Det er domstolene som til slutt avgjør hva som er riktig forståelse i det enkelte tilfelle.

▪️ Og risikovurdér bruken av Google Analytics og dokumentér risikovurderingen.

Google har for øvrig svart opp avgjørelsene med å redegjøre for hvordan Google Analytics fungerer, og det sveitsiske advokatfirmaet Vischer har gitt en vurdering på hvordan Google Analytics kan brukes lovlig. Google har også lansert Google Analytics 4 som medfører utfasing av dagens Google Analytics og at IP-adresser ikke lenger vil bli logget. Så blir det å se om dette fungerer.

Se også Regjeringens innspill til Digital Services Act, som gjelder plattformtjenester, og som inneholder bl.a. regler om åpenhet knyttet til adferdsbasert markedsføring.

Noe i samme gård er datatilsynet i Münchens avgjørelse om at bruken av Google Fonts er også en overføring av personopplysninger, spesielt IP-adresser, til USA.

Bruk av berettiget interesse som behandlingsgrunnlag

Kan berettiget interesse brukes som behandlingsgrunnlag for personopplysninger, og hvordan vurderer man om det er lovlig å bruke? Berettiget interesse etter GDPR artikkel 6 (1) bokstav f brukes veldig ofte som grunnlag for behandling av personopplysninger. Dette grunnlaget fungerer som en slags «sekkepost», som man ofte ender opp med hvis ikke noen av de andre grunnlagene kan brukes.

Men å vurdere om berettiget interesse kan brukes som et lovlig behandlingsgrunnlag kan være vanskelig, og vurderingen som gjøres må dokumenteres (dvs. kunne bevise at vurderingen er gjort i ettertid).

I forrige nyhetsbrev skrev jeg om høyesterettsdommen om Legelisten hvor Høyesterett går grundig inn på vurdering av berettiget interesse. Dommen er interessant for alle som vil kunne være involvert i slike vurderinger, men viser også hvor vanskelig en vurdering vil være.

For å gjøre vurderingene noe enklere, har jeg laget et skjema/mal for vurderingen, som da også sikrer dokumentasjon. Se nedenfor, og skjemaet kan lastes ned i word-versjon her:

Vurdering av berettiget interesse – mal / skjema

Oppsummert vil en vurdering av berettiget interesse omfatte:

  • Det må være en berettiget interesse for behandlingen, som er knyttet til behandlingens formål.
  • Behandlingen må være nødvendig for å nå formålet for den berettigede interessen (men ikke nødvendig for alle deler av behandlingen).
  • De berettigede interessene må vurderes mot personvernet til de behandlingen gjelder (interesseavveining). I denne vurderingen har bl.a. omfanget av og hvilke personopplysninger behandlingen omfatter, og tiltak for å bedre personvernet ha betydning (som informasjon, sletting, retting/korrekthet, minimering, reservasjonsrett mv.) ha betydning.
  • Vurderingen må være dokumentert, og om det er tvilsomt om det foreligger lovlig grunnlag vil andre sikringstiltak ha betydning som gjennomføring av tiltak etter GDPR artikkel 24 (som også må dokumenteres).

Cookies

Max Schrems’ (ja, han som er oppkalt etter dommen, eller…) organisasjon NOYB har sendt 270 klager til virksomheter med nettsider som de mener ikke oppfyller kravene til samtykke ved bruk av cookies. Disse klagene kommer etter de 500 klagene som ble sendt i mai i fjor. Virksomhetene som nå varsles får 60 dager til å fikse samtykkebannerne før de meldes til de respektive datatilsyn.

Av de 270 klagene er det 4 til behandling hos norske Datatilsynet. Men siden Norge har en helt annen lovgivning enn EU for øvrig, vil disse sakene kunne få et annet utfall. Se også ovenfor om Datatilsynets innspill til ny eKom-lov.

NYOB har laget en liste over det de mener gjøres av feil ved samtykker (se beskrivelse og eksempler her):

  • Ingen knapp/link for å avvise cookies
  • Forhåndsutfylte bokser
  • Bruk av linker for “tilpass” eller “avvis” i stedet for knapper (som brukes for f.eks. «OK» eller «aksepter»)
  • Design på knappene som kan påvirke valgene
  • Det baseres på berettiget interesse i stedet for samtykke
  • Feil klassifisering av cookies, som å mene at cookies for markedsføring er cookies for statistikk
  • Ikke mulig eller vanskelig å trekke samtykke

Se også oversikt over de ulike cookie-bannere her som kan benyttes og vurdering av dem.

Vedrørende cookies, så har det belgiske datatilsynet funnet at rammeverket for cookie-samtykker, Transparency and Consent Framework fra Interactive Advertising Bureau of Europe (IAB Europe), ikke i henhold til GDPR. Rammeverket er i omfattende grad benyttet i Europa, og kan medføre at mange virksomheter må gjøre om sin samtykke-løsning. IAB Europe fikk EUR 250.000 i bot og pålegg om å sørge for at rammeverket er i overensstemmelse med GDPR innen seks måneder. Det norske Datatilsynet har også vært involvert i saken.

Og Google har fått EUR 150 mill. i bot og Facebook har fått EUR 60 mill. av det franske datatilsynet for ulovlig samtykkebokser ved bruk av cookies.

Stor og smått (men ikke mindre viktig)

Artikkelen fra Wiersholm som er nevnt under omtalen av Google Analytics, som var en replikk il et innlegg fra Datatilsynets leder, Bjørn Erik Thon (som for øvrig har gått av), medførte en replikk fra Datatilsynet (trolig basert på at Wiersholm mente at tilsynets avgjørelser ikke har endelig betydning, og at det er domstolene som avgjør til slutt, som gjorde at debatten beveget seg vekk fra Google Analytics og mer over på Datatilsynets rolle), som igjen førte til en tilbakemelding fra Wiersholm (det som kalles en «duplikk» på jussisk), som igjen førte til en tilbakemelding fra Datatilsynet (hva som følger etter duplikk har ikke engang vi jurister har et navn på, men hvoretter det kan være at DN syntes det var nok), og debatten gikk samtidig på LinkedIn og ble omtalt i media. En stipendiat ved BI har også publisert en klage han sendte til Datatilsynet til 2019 på bakgrunn av «nivået på debatten» som går.

Apropos det forferdelige som skjer i Ukraina, så publiserte EUs personvernråd (EDPB) en oversikt, utført av Centre for IT and IP Law of KU Leuven med bidrag fra Milieu, over myndigheters tilgang til personopplysninger i enkelte land utenfor EØS, hvor Russland var ett av disse. Til tross for god regulering av personvern på overflaten, synes håndhevingen av regelen dårlig i Russland. Det er også mange brudd på menneskerettighetene (som vi har sett den siste tiden bl.a. knyttet til ytringsfrihet), som bl.a. personvernregelverket er basert på, og som indikerer at personvernet ikke står sterkt i realiteten. Det bør derfor sterkt vurderes å ikke bruke leverandører med tilknytning til Russland fremover, også pga. forhold knyttet til personvern, som også Datatilsynet anbefaler.

Personvernnemda har kommet med årsmelding for 2021 og fremlegger her oversikt over saksavvikling de siste seks årene:

Direktoratet for e-helse har kommet med en mal og veiledning for gjennomføring av personvernkonsekvensvurdering (DPIA) etter GDPR artikkel 35.

Tilbakeholdelse i data fra leverandørers side er noe som skjer til tider innenfor it-leveranser. Men slik tilbakeholdelse kan være i strid med personvernreglene knyttet til databehandleravtalen. Se sak fra det danske datatilsynet.

Advokatfirmaet DLA Piper har kommet med oppdatert versjon av sin oversikt over personvernlovgivning i ulike land.

Det belgiske datatilsynet har i en avgjørelse funnet at det ikke er påkrevd med samtykke for utsendelse av epost med markedsføring (som nyhetsbrev), og at slik utsendelse kan gjøres etter berettiget interesse etter GDPR artikkel 6 (1) f. Merk i Norge er det spesifikt krav for samtykke for utsendelse av markedsføring ved bl.a. epost i markedsføringsloven § 15 .

Personvernombudets rolle, og dets uavhengighet, er tema ved en del avgjørelser rundt i Europa. Dette er også noe som blir undersøkt ved tilsynet av Telenor, se ovenfor.

EUs personvernråd (EDPB) har vedtatt retningslinjer om bruk av atferdsnormer (Code of Conduct) som grunnlag ved overføring av personopplysninger ut av EØS etter GDPR artikkel 40 og 41. Slike retningslinjer kan være veldig nyttig for særlige forholdene i ulike sektorer og særlige behovene til svært små, små og mellomstore bedrifter, og ville vært veldig nyttig i dag knyttet til utfordringene med Schrems II. Veiledningen er et tillegg til EDPBs retningslinjer om adferdsnormer og tilsynsorganer som kom i 2019. Det er imidlertid ikke godkjent noen retningslinjer av Datatilsynet, og det er kun én retningslinje til behandling per i dag.

Og de første adferdsnormer for infrastruktur for skytjenester i henhold til GDPR artikkel 40 er kommet.

Det britiske datatilsynet (ICO) har kommet med veileder på anonymisering, pseudonymisering og forbedring av personvernet gjennom teknologi.

The Committee on Civil Liberties, Justice and Home Affairs (LIBE) har avholdt en høring på erfaringer knyttet til GDPR. Høringen omfattet mange forhold, og Datatilsynets Tobias Judin holdt et innlegg.

EDPBs endelige retningslinjer for varsling av personvernbrudd er nå kommet i endelig versjon. Disse retningslinjene er tidligere omtalt i forrige nyhetsbrev.

Personvernnemda opprettholdt Datatilsynets beslutning om at en person ikke fikk slettet søkeresultater i Google.

Det danske datatilsynet har kritisert en netthandelsside for å ha automatisk utfylling av skjema med adresse mv. ved at utfylling skjedde uten at det ble gjort noen verifikasjon av vedkommende som la inn epostadressen var eier av epostadressen.

Det danske datatilsynet har også kritisert en kommune for å informere om at personopplysninger samlet inn på kommunens nettsider ville kunne brukes til markedsføring, selv om kommunen ikke benyttet opplysningene til dette. Kommunen brøt da prinsippet om transparens og informasjon som kunne villede brukerne. Det er altså ikke greit å ha med for mye i personvernerklæringen heller og man må passe på å oppdatere personvernerklæringen mot den behandling som skjer.

Det svenske datatilsynet (IMY) har skrevet ett innlegg om forskjellen på begrepene «it-sikkerhet» og «informasjonssikkerhet» slik de forstår det.

Bøter/gebyrer knyttet til brudd på GDPR oversteg EUR 1 milliard i 2021 fordelt på 412 saker. Dette mot EUR 171 millioner i 2020 og EUR 72 millioner i 2019. Det er klart at bøtene på EUR 746 millioner mot Amazon og EUR 225 millioner mot WhatsApp trekker opp summen.

Jeg har gitt innspill til Personvernkommisjonen for de som er interessert. Personvernkommisjonen er en kommisjon som ble oppnevnt sommeren med oppgave å kartlegge situasjonen for personvern i Norge, og trekke frem de viktigste utfordringene og utviklingstrekkene. Personvernkommisjonen skal legge frem en utredning (NOU) innen 1. september 2022.

Og det danske datatilsynet har kritisert et selskap for å ikke gi innsikt i antall donorbarn som har vært resultatet av donasjonene fra en sæddonator. GDPR gir uante muligheter…

Dette nyhetsbrevet er også tilgjengelig på LinkedIn med eventuelle kommentarer og oppdateringer.

Oppdateringer og artikler blir lagt ut på LinkedIn, samt på mine nettsider, sandtro.no.

Kom gjerne med innspill og kommentarer til meg, enten i epost (jan@sandtro.no) eller i direktemelding til meg gjennom LinkedIn. For rettigheter og bruk av innholdet over, se her.

Kurs for smu00e5 og mellomstore bedrifter