Datatilsynet skriver på sine nettsider at de har har ferdigbehandlet saken om Google Analytics, og har konkludert at bruk av Google Analytics er nå lovlig siden det er kommet nytt lovlig grunnlag for overføring av personopplysninger til USA med EU-US Data Privacy Framework.
Fortsett å lese Google Analytics er lovlig igjen bekrefter DatatilsynetKategori: Personvern
Personvernbrudd og varsling – rutiner
Manglende varsling av brudd på sikkerheten ved personvern er også en overtredelse av personvernregelverket, som kan bl.a. gi bøter. Riktig varsling og gode rutiner for å håndtere brudd, kan imidlertid redusere konsekvensene av bruddet og bøter. Alle virksomheter bør derfor ha rutiner for varsling på plass, men hvordan lager man slike? (spoiler: Du finner rutiner i denne artikkelen).
Fortsett å lese Personvernbrudd og varsling – rutinerSmå feil – store bøter
Det har vært et par saker fra Datatilsynet hvor det er gitt bøter på store beløp. Felles for sakene var at bruddene på personvernregelverket kunne trolig vært forhindret med forholdsmessig små grep med mindre investeringer i tid og ressurser.
Fortsett å lese Små feil – store bøterPersonvernkommisjonen har lagt frem sin utredning om personvern i Norge: «Ditt personvern – vårt felles ansvar»
Et bredt sammensatt utvalg har levert en omfattende utredning som tar for seg mange problemstillinger knyttet til personvern.
Fortsett å lese Personvernkommisjonen har lagt frem sin utredning om personvern i Norge: «Ditt personvern – vårt felles ansvar»Google Analytics er ikke lovlig å bruke ifølge det danske datatilsynet.
Grepet strammer seg rundt Google Analytics. Tidligere har flere datatilsyn i Europa kommet til at bruken av Google Analytics i konkrete tilfelle ikke har vært lovlig. Problemet med Google Analytics er at personopplysninger som samles inn i løsningen overføres til USA. Men også omfanget av data som samles inn og hva som skjer med disse hos Google kan være problematisk.
Nå har det danske datatilsynet vurdert Google Analytics på generell basis og konkludert med at webanalyse-verktøyet kan ikke brukes uten at det iverksettes særlige tiltak.
Fortsett å lese Google Analytics er ikke lovlig å bruke ifølge det danske datatilsynet.Mer (u)avklaring om Schrems II-dommen og bruk av skytjenester/overføring av personopplysninger utenfor EØS?
Bruk av skytjenester, spesielt med amerikanske leverandører, og overføring av personopplysninger til eller bruk av tjenester fra land utenfor EØS er vel den største hodepinen innenfor personvern og GDPR for tiden etter Schrems II-dommen falt. Disse utfordringene viser både GDPRs store styrke og svakheter.
Mange sliter med at man helst ikke skal bruke tjenester fra amerikanske leverandører eller tjenester som medfører overføring/tilgang til personopplysninger fra land utenfor EØS. Samtidig er det få eller ingen reelle alternativer til enkelte tjenester, så man gjør det beste man kan med risikovurderinger og ekstra tiltak. Og egentlig så er det ikke helt innenfor fremdeles, men hva skal man gjøre?
Fortsett å lese Mer (u)avklaring om Schrems II-dommen og bruk av skytjenester/overføring av personopplysninger utenfor EØS?Nytt grunnlag etter GDPR for overføring av personopplysninger mellom EU og USA
USA og EU har blitt enige om en etterfølger til Privacy Shield, «Trans-Atlantic Data Privacy Framework», for overføring av personopplysninger etter GDPR. Privacy Shield ble funnet ulovlig i den såkalte Schrems II-dommen. Den endelige teksten til det nye grunnlaget er ikke klar, men EU-kommisjonens leder, Ursula von der Leyen og President Joe Biden har gitt en pressekonferanse hvor det ble informert om ordningen. I etterkant av pressekonferansen har det kommet frem mer informasjon om ordningen, og her er en oversikt over noe av det som er blitt kjent.
Fortsett å lese Nytt grunnlag etter GDPR for overføring av personopplysninger mellom EU og USAOppdatering personvern, GDPR og teknologirett mv. (#2.2022)
Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Nyhetsbrevet tar for seg bl.a.: Nytt fra Datatilsynet, retningslinjer for innsyn for registrerte, overføring til tredjeland og Schrems II, veileder på bruk av skytjenester fra det danske datatilsynet, Google Analytics og overføring til USA, bruk av berettiget interesse som behandlingsgrunnlag, cookies, stor og smått (men ikke mindre viktig)
Fortsett å lese Oppdatering personvern, GDPR og teknologirett mv. (#2.2022)Google Analytics og overføring til USA
Som sikkert de fleste har fått med seg så har det østeriske datatilsynet, det franske datatilsynet (CNIL) og datatilsynet for EU-institusjoner (EDPS) – sistnevnte overfor EU-parlamentet (!) – funnet at Google Analytics (GA) medfører overføring av personopplysninger til USA og kan derfor være i strid med Schrems II-dommen fra EU-domstolen. Vårt Datatilsyn har uttalt at ulovlige verktøy, underforstått GA, må fjernes omgående, og det vil bli gitt gebyrer (bøter) i alvorlige saker. Google og andre mener imidlertid at det kan være lovlig å bruke GA – på rett måte.
Fortsett å lese Google Analytics og overføring til USABruk av berettiget interesse som behandlingsgrunnlag under GDPR
Kan berettiget interesse brukes som behandlingsgrunnlag for personopplysninger, og hvordan vurderer man om det er lovlig å bruke? Berettiget interesse etter GDPR artikkel 6 (1) bokstav f brukes veldig ofte som grunnlag for behandling av personopplysninger. Dette grunnlaget fungerer som en slags «sekkepost», som man ofte ender opp med hvis ikke noen av de andre grunnlagene kan brukes.
Fortsett å lese Bruk av berettiget interesse som behandlingsgrunnlag under GDPR