IT-jus nr. 2

Skrevet av Eva Jarbekk for tilt.works IT-juridiske nettverk
De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert tilnærming er nok mindre enn hva mange hadde håpet. Det er også kommet noen nye varslede bøter som kommer til å få ringvirkninger. Under er et lite utvalg av artikler jeg tror mange vil ha nytte av å lese gjennom. 

Det danske datatilsynets nye vurderinger

Det danske Datatilsynet har i juli publisert en ny veiledning om overføring av personvernopplysninger til tredjeland. Den retter seg mot behandlingsansvarlige, og gir konkrete eksempler på hva man kan og ikke kan overføre, i henhold til GDPR og Schrems II.

Eksempel 10 har stor betydning for tolkingen av Schrems II, da det blant annet presiseres at man kun kan overføre personopplysninger til et tredjeland om databehandleren kan garantere at dataene blir behandlet med tilnærmet lik sikkerhet som innenfor EU. Her spesifiseres det at enhver behandler som er underlagt utleveringsplikt til offentlige myndigheter i land uten tilstrekkelig beskyttelsesnivå, ikke anses trygg nok etter EU sine standarder.

Eksempel 9 tar utgangspunkt i et europeisk konsern med kontorer i tredjeland. Det anses da ikke som en overføring at ansatte i tredjelandene har tilgang til personopplysninger hos morselskapet. Betingelsen er dog at kontoret i tredjelandet ikke er et (selvstendig) datterselskap eller opptrer som databehandler for morselskapet. I praksis vil jo dette ofte være tilfelle og eksempelet innebærer at svært mange konsernbehandlinger vil anses som overføringer.

Eksempel 8 forklarer at det ikke regnes som en overføring av personopplysninger til et tredjeland om en ansatt logger inn på arbeidsgivers intranett eller e-post mens den ansatte er i et tredjeland.

Jeg syns personlig dette er interessante vurderinger. Vurderingene skal jo gjøres likt i Norge, og dette har ringvirkninger for norske bedrifter. Dette blir derfor et tema i vårt første møte i nettverket den 18. august.

Den danske veiledningen er på over 30 sider, men inneholder lange passasjer som er raskt lest for de som arbeider mye med overføringer. Det den mangler, etter min mening, er mere detaljer på hva slags kryptering og oppbevaring av krypteringsnøkler som vil anses tilstrekkelige som avhjelpende tiltak, men dette kommer nok etterhvert. Kanskje vil det norske Datatilsynet komme med veiledning om det, i praksis er det jo et sterkt samarbeide mellom myndighetene på å utarbeide veiledere.

www.datatilsynet.dk

Praktisk gjennomgang av EDBPs veileder om tredjelandsoverførsler

Hvis den danske veilederen oppleves for lang å sette seg inn i, finnes det en god gjennomgang av EDPBs veileder om overføring til tredjeland i en artikkel av Henning Mortensen som finnes her

wiredrelations.com

Nederland tar et oppgjør med TikTok

TikTok har fått en bot på 750 000 euro fra det nederlandske datatilsynet fordi de ikke har tilbudt brukerne en personvernerklæring på nederlandsk. Siden mange av TikTok sine brukere er barn, mener datatilsynet at en personvernserklæring på engelsk ikke er tilstrekkelig forståelig. Det nederlandske datatilsynets vurdering av saken støtter derfor også EDPB sin tolkning av prinsippet om transparens, som presiserer at man skal ta hensyn til hvem som leser personvernerklæringene, og skrive dem på en spesifisert og forståelig måte.

Det nederlandske datatilsynet hadde egentlig startet en større undersøkelse av TikTok sine metoder, for å undersøke om de på noen andre måter ikke tok hensyn til barna sine rettigheter. Dette kunne de fordi TikTok ikke hadde et europeisk hovedkontor. Mens undersøkelsen foregikk ble det derimot opprettet et hovedkvarter i Irland, så det nederlandske datatilsynet har nylig overført videre undersøkelser til det irske datatilsynet.

www.autoriteitpersoonsgegevens.nl

Datatilsynet følger opp Shinigami Eyes

Programmet Shinigami Eyes er en kontroversiell “plug-in” tilgjengelig i Google Chrome og Firefox. Den lar brukere rapportere inn kontoer på sosiale medier som de mener er imot transpersoner. Disse profilene blir så markert med rødt i alle brukerne sine nettlesere fremover.

Datatilsynet har mottatt flere henvendelser om programvaren, og har nå sendt ut et krav om redegjørelse til utviklerne bak programvaren. Datatilsynet omtaler dette som en prinsipiell sak som angår ytringsfriheten. Fra et personvernperspektiv, er programvaren problematisk da den samler data om personers antatte politiske meninger, og deler det fritt med andre uten personens samtykke.

www.datatilsynet.no

EDPB håper på innovative personvernerklæringer for VVA’er

Virtual Voice Assistants (VVA) slik som Siri og Alexa er blitt en dagligdags teknologi som de fleste av oss har tilgjengelig via telefonene, pc’ene og til og med høyttalerne våre. Som så mye annen teknologi rundt oss så behandler de ofte sensitive personopplysninger om oss for å utføre kommandoene vi ber dem om.

I juli publiserte EDPB derfor et oppdatert sett med retningslinjer rettet mot utviklerne av disse VVA’ene, som spesifiserer hvilke lover og regler de må følge. Hovedtemaet i retningslinjene er at for all behandling av data som ikke er 100% nødvendig for å utføre kommandoene, så må det finnes et gyldig behandlingsgrunnlag, og brukeren må informeres om hvordan personopplysningene behandles gjennom en personvernserklæring. EDPB foreslår at en slik personvernerklæring kan gis gjennom en lyttbar erklæring hvor også eventuelle samtykker kan gis ved å svare på VVA’en sine spørsmål.

edpb.europa.eu

Noe å glede seg til fremover

EU har som kjent kommet med et utkast til forordning om bruk av AI, se Europe fit for the Digital Age: Artificial Intelligence (europa.eu). Dette er kun det første utkastet, og det skal gjennom mange runder før den blir bindende. Det tar nok noen år får vi har et ferdig gjennomarbeidet dokument om AI som kan supplementere GDPR. Det er interessant å se at mange av prinsippene i GDPR brukes videre i AI-forordningen.

Selv om utkastet er langt fra å være en ferdig forordning, er det mye interessant å finne der. EDPB og European Data Protection Supervisor (EDPS) har sammen publisert en Joint Opinion om dette hvor de blant annet anbefaler å gjøre det ulovlig å bruke AI til biometrisk gjenkjenning på offentlige steder – for eksempel ansiktsgjenkjenning – uansett kontekst. Dette sender et sterkt signal om hvordan EU prioriterer individets rettigheter, og står i kontrast til Kina sin litt mer 1984-aktige tilnærming.

Vi kommer tilbake til dette forslaget senere i nettverket.

www.technologylawdispatch.com

En ny stor bot?

Og helt til slutt i denne lille oversikten – det er nylig blitt kjent at datatilsynet i Luxemburg har varslet en historisk høy bot til Amazon for overtredelse av GDPR, hele 7,8 milliarder norske kroner. Detaljene i saken er ikke offentlig kjent enda, men det er ikke urimelig å gjette på at det kan dreie seg om manglende behandlingsgrunnlag for ulike behandlinger. Se mere her

www.bbc.com

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement.

Eva Jarbekk
Artikler av Eva Jarbekk (alle)

IT-juridisk nettverk

IT-jus nr. 6

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider...

IT-jus nr. 5

Personvern og it-sikkerhet er i vinden som aldri før. Knapt en måned har gått siden sist nyhetsbrev, og antallet...

IT-jus nr. 4

Høsten varsler sitt komme med stormer og lavtrykk på rekke og rad. Stormer gjør det også rundt forordninger og...

IT-jus nr. 3

I denne oppdateringen for IT-juridisk nettverk omtaler Eva Jarbekk nye gigantbøter, cookies, Englands nye frihet, Zoom og Schrems II, Apple og Kinas personvern.

Det kompliserte samtykket

Nylig varslet Datatilsynet en bot på 100 millioner kroner til en amerikansk app-leverandør. Advokat Eva Jarbekk besvarer noen av spørsmålene som saken reiste, og som du kanskje selv må ha svar på om Datatilsynet en dag banker på døren din.

Hva skjer i nettverket?

0 kommentarer

Legg inn en kommentar

IT-jus nr. 6

IT-jus nr. 6

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider...

IT-jus nr. 5

IT-jus nr. 5

Personvern og it-sikkerhet er i vinden som aldri før. Knapt en måned har gått siden sist nyhetsbrev, og antallet...

IT-jus nr. 4

IT-jus nr. 4

Høsten varsler sitt komme med stormer og lavtrykk på rekke og rad. Stormer gjør det også rundt forordninger og...

Alle artikler

kunsten å si nei

Kunsten å si nei med stil

|
Synes du det vanskelig å si nei uten å få dårlig samvittighet? Kanskje blir det lettere om du tenker at det å si nei nå er det minste ubehaget.
spilleregler

Det verste er ikke at han er slem, men at han er snill også

|
I det øyeblikket du aksepterer andre spilleregler for hva som er rett og galt enn de du selv tror på, er maktubalansen et faktum.
Mysteriet HR

Mysteriet HR

|
Moderne HR er misforstått. Og de misforstår seg selv.
HR funksjon elelr magiker?

Hva jobber du egentlig med?

|
Fortell meg hva din tittel er og jeg skal si deg hva du gjør. Eller…?
hybrid hverdag

Sosialisering i den hybride hverdag

|
Den hybride hverdag krever at ledere og HR-ansvarlige klarer å skape en felles kultur for læring og at ansatte er villige til å reflektere over sine egne verdisett.
styrkebasert ledelse

Problemet med styrkebasert ledelse

|
Parolen «kartlegg dine styrker og bygg videre på egenskaper du allerede er god på» er lettsolgt. Latskap er lett å like.
Det er en usikker tid. Men det er den tiden vi har

Det er en usikker tid. Men det er den tiden vi har

|
Jeg er egentlig en ganske ubekymret fyr. Men nå, ved inngangen til 2022, kjenner jeg at vi trenger mer enn et lyst sinn. Hva tenker du?
sinna på jobb

Hva gjør vi med sinnamenneskene i organisasjonen?

|
Å føle det vi føler, er en rett. Å eksponere følelsene ufiltrert er ingen rett.
samarbeid på tvers

Knus siloene og åpne øynene for andres perspektiver

|
Til syvende og sist handler samarbeid på tvers av fag om å verdsette det som er på utsiden av ens egen lille verden.

Litt klokere hver tirsdag?

Få en ukentlig mental vitamininnsprøytning rett i din innboks. 

Gratulerer! Du står på listen. Ses på tirsdag!

Alltid på en tirsdag

«Jeg har fått en slags tirsdagsforventning», sa en abonnent. tilt.works ukebrev Tirsdag morgen er antagelig en smule vanedannende, men gode vaner kan man gjerne legge tll seg. Skaff deg selv en god ukentlig vane i dag — rett i din innboks! Alltid på en tirsdag, og nå også med en oppsummering av de siste sakene en annen dag i uka.

Fantastisk! Sjekk mailen din for en ekstra bekreftelse. Så ses vi på tirsdag.

%d bloggere liker dette: