De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert tilnærming er nok mindre enn hva mange hadde håpet. Det er også kommet noen nye varslede bøter som kommer til å få ringvirkninger. Under er et lite utvalg av artikler jeg tror mange vil ha nytte av å lese gjennom. |
Det danske datatilsynets nye vurderinger
Det danske Datatilsynet har i juli publisert en ny veiledning om overføring av personvernopplysninger til tredjeland. Den retter seg mot behandlingsansvarlige, og gir konkrete eksempler på hva man kan og ikke kan overføre, i henhold til GDPR og Schrems II.
Eksempel 10 har stor betydning for tolkingen av Schrems II, da det blant annet presiseres at man kun kan overføre personopplysninger til et tredjeland om databehandleren kan garantere at dataene blir behandlet med tilnærmet lik sikkerhet som innenfor EU. Her spesifiseres det at enhver behandler som er underlagt utleveringsplikt til offentlige myndigheter i land uten tilstrekkelig beskyttelsesnivå, ikke anses trygg nok etter EU sine standarder.
Eksempel 9 tar utgangspunkt i et europeisk konsern med kontorer i tredjeland. Det anses da ikke som en overføring at ansatte i tredjelandene har tilgang til personopplysninger hos morselskapet. Betingelsen er dog at kontoret i tredjelandet ikke er et (selvstendig) datterselskap eller opptrer som databehandler for morselskapet. I praksis vil jo dette ofte være tilfelle og eksempelet innebærer at svært mange konsernbehandlinger vil anses som overføringer.
Eksempel 8 forklarer at det ikke regnes som en overføring av personopplysninger til et tredjeland om en ansatt logger inn på arbeidsgivers intranett eller e-post mens den ansatte er i et tredjeland.
Jeg syns personlig dette er interessante vurderinger. Vurderingene skal jo gjøres likt i Norge, og dette har ringvirkninger for norske bedrifter. Dette blir derfor et tema i vårt første møte i nettverket den 18. august.
Den danske veiledningen er på over 30 sider, men inneholder lange passasjer som er raskt lest for de som arbeider mye med overføringer. Det den mangler, etter min mening, er mere detaljer på hva slags kryptering og oppbevaring av krypteringsnøkler som vil anses tilstrekkelige som avhjelpende tiltak, men dette kommer nok etterhvert. Kanskje vil det norske Datatilsynet komme med veiledning om det, i praksis er det jo et sterkt samarbeide mellom myndighetene på å utarbeide veiledere.
Praktisk gjennomgang av EDBPs veileder om tredjelandsoverførsler
Hvis den danske veilederen oppleves for lang å sette seg inn i, finnes det en god gjennomgang av EDPBs veileder om overføring til tredjeland i en artikkel av Henning Mortensen som finnes her
Nederland tar et oppgjør med TikTok
TikTok har fått en bot på 750 000 euro fra det nederlandske datatilsynet fordi de ikke har tilbudt brukerne en personvernerklæring på nederlandsk. Siden mange av TikTok sine brukere er barn, mener datatilsynet at en personvernserklæring på engelsk ikke er tilstrekkelig forståelig. Det nederlandske datatilsynets vurdering av saken støtter derfor også EDPB sin tolkning av prinsippet om transparens, som presiserer at man skal ta hensyn til hvem som leser personvernerklæringene, og skrive dem på en spesifisert og forståelig måte.
Det nederlandske datatilsynet hadde egentlig startet en større undersøkelse av TikTok sine metoder, for å undersøke om de på noen andre måter ikke tok hensyn til barna sine rettigheter. Dette kunne de fordi TikTok ikke hadde et europeisk hovedkontor. Mens undersøkelsen foregikk ble det derimot opprettet et hovedkvarter i Irland, så det nederlandske datatilsynet har nylig overført videre undersøkelser til det irske datatilsynet.
www.autoriteitpersoonsgegevens.nl
Datatilsynet følger opp Shinigami Eyes
Programmet Shinigami Eyes er en kontroversiell “plug-in” tilgjengelig i Google Chrome og Firefox. Den lar brukere rapportere inn kontoer på sosiale medier som de mener er imot transpersoner. Disse profilene blir så markert med rødt i alle brukerne sine nettlesere fremover.
Datatilsynet har mottatt flere henvendelser om programvaren, og har nå sendt ut et krav om redegjørelse til utviklerne bak programvaren. Datatilsynet omtaler dette som en prinsipiell sak som angår ytringsfriheten. Fra et personvernperspektiv, er programvaren problematisk da den samler data om personers antatte politiske meninger, og deler det fritt med andre uten personens samtykke.
EDPB håper på innovative personvernerklæringer for VVA’er
Virtual Voice Assistants (VVA) slik som Siri og Alexa er blitt en dagligdags teknologi som de fleste av oss har tilgjengelig via telefonene, pc’ene og til og med høyttalerne våre. Som så mye annen teknologi rundt oss så behandler de ofte sensitive personopplysninger om oss for å utføre kommandoene vi ber dem om.
I juli publiserte EDPB derfor et oppdatert sett med retningslinjer rettet mot utviklerne av disse VVA’ene, som spesifiserer hvilke lover og regler de må følge. Hovedtemaet i retningslinjene er at for all behandling av data som ikke er 100% nødvendig for å utføre kommandoene, så må det finnes et gyldig behandlingsgrunnlag, og brukeren må informeres om hvordan personopplysningene behandles gjennom en personvernserklæring. EDPB foreslår at en slik personvernerklæring kan gis gjennom en lyttbar erklæring hvor også eventuelle samtykker kan gis ved å svare på VVA’en sine spørsmål.
Noe å glede seg til fremover
EU har som kjent kommet med et utkast til forordning om bruk av AI, se Europe fit for the Digital Age: Artificial Intelligence (europa.eu). Dette er kun det første utkastet, og det skal gjennom mange runder før den blir bindende. Det tar nok noen år får vi har et ferdig gjennomarbeidet dokument om AI som kan supplementere GDPR. Det er interessant å se at mange av prinsippene i GDPR brukes videre i AI-forordningen.
Selv om utkastet er langt fra å være en ferdig forordning, er det mye interessant å finne der. EDPB og European Data Protection Supervisor (EDPS) har sammen publisert en Joint Opinion om dette hvor de blant annet anbefaler å gjøre det ulovlig å bruke AI til biometrisk gjenkjenning på offentlige steder – for eksempel ansiktsgjenkjenning – uansett kontekst. Dette sender et sterkt signal om hvordan EU prioriterer individets rettigheter, og står i kontrast til Kina sin litt mer 1984-aktige tilnærming.
Vi kommer tilbake til dette forslaget senere i nettverket.
En ny stor bot?
Og helt til slutt i denne lille oversikten – det er nylig blitt kjent at datatilsynet i Luxemburg har varslet en historisk høy bot til Amazon for overtredelse av GDPR, hele 7,8 milliarder norske kroner. Detaljene i saken er ikke offentlig kjent enda, men det er ikke urimelig å gjette på at det kan dreie seg om manglende behandlingsgrunnlag for ulike behandlinger. Se mere her
Siste ord
Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement.