USA og EU har blitt enige om en etterfølger til Privacy Shield, «Trans-Atlantic Data Privacy Framework», for overføring av personopplysninger etter GDPR. Privacy Shield ble funnet ulovlig i den såkalte Schrems II-dommen. Den endelige teksten til det nye grunnlaget er ikke klar, men EU-kommisjonens leder, Ursula von der Leyen og President Joe Biden har gitt en pressekonferanse hvor det ble informert om ordningen. I etterkant av pressekonferansen har det kommet frem mer informasjon om ordningen, og her er en oversikt over noe av det som er blitt kjent.
Fortsett å lese Nytt grunnlag etter GDPR for overføring av personopplysninger mellom EU og USAStikkord: tredjeland
Google Analytics og overføring til USA
Som sikkert de fleste har fått med seg så har det østeriske datatilsynet, det franske datatilsynet (CNIL) og datatilsynet for EU-institusjoner (EDPS) – sistnevnte overfor EU-parlamentet (!) – funnet at Google Analytics (GA) medfører overføring av personopplysninger til USA og kan derfor være i strid med Schrems II-dommen fra EU-domstolen. Vårt Datatilsyn har uttalt at ulovlige verktøy, underforstått GA, må fjernes omgående, og det vil bli gitt gebyrer (bøter) i alvorlige saker. Google og andre mener imidlertid at det kan være lovlig å bruke GA – på rett måte.
Fortsett å lese Google Analytics og overføring til USAOppdatering personvern, GDPR og teknologirett mv. (#8.2021)
Her er en oppsummering av noe av det siste innenfor personvern, GDPR, teknologirett mv. Følg meg også på LinkedIn for fortløpende oppdatereringer.
Tidligere nyhetsbrev, og mulighet til å abonnere, finnes her. Del også gjerne dette nyhetsbrevet med andre du tror kan ha nytte av det.
Fortsett å lese Oppdatering personvern, GDPR og teknologirett mv. (#8.2021)Standard kontraktsbestemmelser for databehandleravtale og overføring av personopplysninger til tredjeland
EU-kommisjonen besluttet standard kontraktsbestemmelser (SCC) om bruk av databehandler (databehandleravtale) og nye standard kontraktsbestemmelser for overføring av personopplysninger til land utenfor EØS (tredjeland),.
Fortsett å lese Standard kontraktsbestemmelser for databehandleravtale og overføring av personopplysninger til tredjelandHvordan overføre til tredjeland etter EUs standardbestemmelser (Standard Contract Clauses – SCC) nå?
Privacy Shield er dødt og overføring må stanses umiddelbart. Alternativet er EUs standardbestemmelser (Standard Contract Clauses – SCC), men det er krav i Schrems II-dommen for bruk av SCC – se oversikt her.
Fortsett å lese Hvordan overføre til tredjeland etter EUs standardbestemmelser (Standard Contract Clauses – SCC) nå?
Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel
Datatilsynet varslet i forrige uke ni helseforetak om bøter på kr 800.000 per foretak (dvs. bøter på totalt kr 7,2 millioner), bl.a. Helse Sør-Øst (Datatilsynet har fjernet siden med informasjon av denne saken i ettertid av en eller annen grunn). Bøtene ble gitt på grunnlag av at helseforetakene bl.a. ikke hadde foretatt tilstrekkelig risikovurderinger før beslutning om it-tjenestene for foretakene skulle outsources, at ledelsen i foretakene ikke var tilstrekkelig involvert i beslutninger som ble fattet og at personopplysningene ikke var tilstrekkelig sikret.
Fortsett å lese Om risikovurdering er påkrevd før anskaffelser av it-tjenester med Helse Sør-Øst-saken som eksempel
Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?
I går – 3. oktober – avgjorde Irlands høyesterett at det skal fremmes sak for EU-domstolen om vurdering av lovligheten for overføring av personopplysninger fra EU til USA på grunnlag av EUs standardbestemmelser.
Fortsett å lese Overføring av personopplysninger til USA lovlig etter EUs standardbestemmelser?