IT-jus nr. 2

søndag 15. august 2021 @ 13:46

De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert […]
Av Eva Jarbekk
De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert tilnærming er nok mindre enn hva mange hadde håpet. Det er også kommet noen nye varslede bøter som kommer til å få ringvirkninger. Under er et lite utvalg av artikler jeg tror mange vil ha nytte av å lese gjennom. 

Det danske datatilsynets nye vurderinger

Det danske Datatilsynet har i juli publisert en ny veiledning om overføring av personvernopplysninger til tredjeland. Den retter seg mot behandlingsansvarlige, og gir konkrete eksempler på hva man kan og ikke kan overføre, i henhold til GDPR og Schrems II.

Eksempel 10 har stor betydning for tolkingen av Schrems II, da det blant annet presiseres at man kun kan overføre personopplysninger til et tredjeland om databehandleren kan garantere at dataene blir behandlet med tilnærmet lik sikkerhet som innenfor EU. Her spesifiseres det at enhver behandler som er underlagt utleveringsplikt til offentlige myndigheter i land uten tilstrekkelig beskyttelsesnivå, ikke anses trygg nok etter EU sine standarder.

Eksempel 9 tar utgangspunkt i et europeisk konsern med kontorer i tredjeland. Det anses da ikke som en overføring at ansatte i tredjelandene har tilgang til personopplysninger hos morselskapet. Betingelsen er dog at kontoret i tredjelandet ikke er et (selvstendig) datterselskap eller opptrer som databehandler for morselskapet. I praksis vil jo dette ofte være tilfelle og eksempelet innebærer at svært mange konsernbehandlinger vil anses som overføringer.

Eksempel 8 forklarer at det ikke regnes som en overføring av personopplysninger til et tredjeland om en ansatt logger inn på arbeidsgivers intranett eller e-post mens den ansatte er i et tredjeland.

Jeg syns personlig dette er interessante vurderinger. Vurderingene skal jo gjøres likt i Norge, og dette har ringvirkninger for norske bedrifter. Dette blir derfor et tema i vårt første møte i nettverket den 18. august.

Den danske veiledningen er på over 30 sider, men inneholder lange passasjer som er raskt lest for de som arbeider mye med overføringer. Det den mangler, etter min mening, er mere detaljer på hva slags kryptering og oppbevaring av krypteringsnøkler som vil anses tilstrekkelige som avhjelpende tiltak, men dette kommer nok etterhvert. Kanskje vil det norske Datatilsynet komme med veiledning om det, i praksis er det jo et sterkt samarbeide mellom myndighetene på å utarbeide veiledere.

www.datatilsynet.dk

Praktisk gjennomgang av EDBPs veileder om tredjelandsoverførsler

Hvis den danske veilederen oppleves for lang å sette seg inn i, finnes det en god gjennomgang av EDPBs veileder om overføring til tredjeland i en artikkel av Henning Mortensen som finnes her

wiredrelations.com

Nederland tar et oppgjør med TikTok

TikTok har fått en bot på 750 000 euro fra det nederlandske datatilsynet fordi de ikke har tilbudt brukerne en personvernerklæring på nederlandsk. Siden mange av TikTok sine brukere er barn, mener datatilsynet at en personvernserklæring på engelsk ikke er tilstrekkelig forståelig. Det nederlandske datatilsynets vurdering av saken støtter derfor også EDPB sin tolkning av prinsippet om transparens, som presiserer at man skal ta hensyn til hvem som leser personvernerklæringene, og skrive dem på en spesifisert og forståelig måte.

Det nederlandske datatilsynet hadde egentlig startet en større undersøkelse av TikTok sine metoder, for å undersøke om de på noen andre måter ikke tok hensyn til barna sine rettigheter. Dette kunne de fordi TikTok ikke hadde et europeisk hovedkontor. Mens undersøkelsen foregikk ble det derimot opprettet et hovedkvarter i Irland, så det nederlandske datatilsynet har nylig overført videre undersøkelser til det irske datatilsynet.

www.autoriteitpersoonsgegevens.nl

Datatilsynet følger opp Shinigami Eyes

Programmet Shinigami Eyes er en kontroversiell “plug-in” tilgjengelig i Google Chrome og Firefox. Den lar brukere rapportere inn kontoer på sosiale medier som de mener er imot transpersoner. Disse profilene blir så markert med rødt i alle brukerne sine nettlesere fremover.

Datatilsynet har mottatt flere henvendelser om programvaren, og har nå sendt ut et krav om redegjørelse til utviklerne bak programvaren. Datatilsynet omtaler dette som en prinsipiell sak som angår ytringsfriheten. Fra et personvernperspektiv, er programvaren problematisk da den samler data om personers antatte politiske meninger, og deler det fritt med andre uten personens samtykke.

www.datatilsynet.no

EDPB håper på innovative personvernerklæringer for VVA’er

Virtual Voice Assistants (VVA) slik som Siri og Alexa er blitt en dagligdags teknologi som de fleste av oss har tilgjengelig via telefonene, pc’ene og til og med høyttalerne våre. Som så mye annen teknologi rundt oss så behandler de ofte sensitive personopplysninger om oss for å utføre kommandoene vi ber dem om.

I juli publiserte EDPB derfor et oppdatert sett med retningslinjer rettet mot utviklerne av disse VVA’ene, som spesifiserer hvilke lover og regler de må følge. Hovedtemaet i retningslinjene er at for all behandling av data som ikke er 100% nødvendig for å utføre kommandoene, så må det finnes et gyldig behandlingsgrunnlag, og brukeren må informeres om hvordan personopplysningene behandles gjennom en personvernserklæring. EDPB foreslår at en slik personvernerklæring kan gis gjennom en lyttbar erklæring hvor også eventuelle samtykker kan gis ved å svare på VVA’en sine spørsmål.

edpb.europa.eu

Noe å glede seg til fremover

EU har som kjent kommet med et utkast til forordning om bruk av AI, se Europe fit for the Digital Age: Artificial Intelligence (europa.eu). Dette er kun det første utkastet, og det skal gjennom mange runder før den blir bindende. Det tar nok noen år får vi har et ferdig gjennomarbeidet dokument om AI som kan supplementere GDPR. Det er interessant å se at mange av prinsippene i GDPR brukes videre i AI-forordningen.

Selv om utkastet er langt fra å være en ferdig forordning, er det mye interessant å finne der. EDPB og European Data Protection Supervisor (EDPS) har sammen publisert en Joint Opinion om dette hvor de blant annet anbefaler å gjøre det ulovlig å bruke AI til biometrisk gjenkjenning på offentlige steder – for eksempel ansiktsgjenkjenning – uansett kontekst. Dette sender et sterkt signal om hvordan EU prioriterer individets rettigheter, og står i kontrast til Kina sin litt mer 1984-aktige tilnærming.

Vi kommer tilbake til dette forslaget senere i nettverket.

www.technologylawdispatch.com

En ny stor bot?

Og helt til slutt i denne lille oversikten – det er nylig blitt kjent at datatilsynet i Luxemburg har varslet en historisk høy bot til Amazon for overtredelse av GDPR, hele 7,8 milliarder norske kroner. Detaljene i saken er ikke offentlig kjent enda, men det er ikke urimelig å gjette på at det kan dreie seg om manglende behandlingsgrunnlag for ulike behandlinger. Se mere her

www.bbc.com

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Tre tips til deg som vil motivere deg selv til endring

Tre tips til deg som vil motivere deg selv til endring

|
Vi kan ikke gjøre noe med at endringer skjer. Det vi kan gjøre noe med er hvordan vi håndterer endringer.
Den essensielle bærekraftsevnen

Den essensielle bærekraftsevnen

|
Ved å skape et miljø hvor alle føler seg trygge til å uttrykke seg, kan organisasjoner blomstre og oppnå suksess på lang sikt.
Et godt skolesystem krever at vi spiller på lag med hjernen

Et godt skolesystem krever at vi spiller på lag med hjernen

|
Det er gledelig å vite at skolen arbeider med å fjerne analfabetismen om følelser og selvfølelse.
En leders ønskeliste: 31 temaer

En leders ønskeliste: 31 temaer

|
November er mørk, men julen er nær. Og vipps er det nytt år og nye ting å lære. Hvis du skulle velge, hva ville du helst lære fra denne ønskelisten for ledere?
vinduspost med døde fluer. Utsikt mot en skolegård med lekende barn.

Det er på tide å gjøre endringer i skolesystemet

|
Vi er alle klar over hvor viktig det er med god kompetanse, men vi vet også at det er kun «GJØRINGEN» som skaper resultater - og det er dessuten under «gjøringen» vi lærer mest effektivt.
Illustrerer Sinnataggen, motstand mot digitalisering

Digital transformasjon: Mer enn teknologi

|
Som en veteran i endringsledelse og en som har ledet flere vellykkede omstillinger, står jeg noe perpleks overfor denne tilsynelatende avgrunnen mellom teori og praksis.
bilde som illustrerer de blå soner

Blue Zone: 10 prinsipper for å skape en bedre arbeidsplass

|
Forskningen på de blå sonene gir oss verdifull innsikt som er relevant for enkeltpersoner og organisasjoner som ønsker å forbedre velvære, produktivitet og ledelse på arbeidsplassen.
kompetanse og livserfaring, illustrasjon av eldre dame foran pc

Systematisk nedvurdering av kompetanse og livserfaring

|
Det er essensielt for samfunnet å revurdere og omdefinere hva som betraktes som verdifull kompetanse og kunnskap.
Magefølelsen som foretrukket beslutningsform

Magefølelsen som foretrukket beslutningsform

|
For å skaffe oss tilstrekkelig innsikt slik at vi kan ta kloke valg, er det helt avgjørende å sette sammen ulik kompetanse.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.