IT-jus nr. 2

søndag 15. august 2021 @ 13:46

De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert […]
Av Eva Jarbekk
De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert tilnærming er nok mindre enn hva mange hadde håpet. Det er også kommet noen nye varslede bøter som kommer til å få ringvirkninger. Under er et lite utvalg av artikler jeg tror mange vil ha nytte av å lese gjennom. 

Det danske datatilsynets nye vurderinger

Det danske Datatilsynet har i juli publisert en ny veiledning om overføring av personvernopplysninger til tredjeland. Den retter seg mot behandlingsansvarlige, og gir konkrete eksempler på hva man kan og ikke kan overføre, i henhold til GDPR og Schrems II.

Eksempel 10 har stor betydning for tolkingen av Schrems II, da det blant annet presiseres at man kun kan overføre personopplysninger til et tredjeland om databehandleren kan garantere at dataene blir behandlet med tilnærmet lik sikkerhet som innenfor EU. Her spesifiseres det at enhver behandler som er underlagt utleveringsplikt til offentlige myndigheter i land uten tilstrekkelig beskyttelsesnivå, ikke anses trygg nok etter EU sine standarder.

Eksempel 9 tar utgangspunkt i et europeisk konsern med kontorer i tredjeland. Det anses da ikke som en overføring at ansatte i tredjelandene har tilgang til personopplysninger hos morselskapet. Betingelsen er dog at kontoret i tredjelandet ikke er et (selvstendig) datterselskap eller opptrer som databehandler for morselskapet. I praksis vil jo dette ofte være tilfelle og eksempelet innebærer at svært mange konsernbehandlinger vil anses som overføringer.

Eksempel 8 forklarer at det ikke regnes som en overføring av personopplysninger til et tredjeland om en ansatt logger inn på arbeidsgivers intranett eller e-post mens den ansatte er i et tredjeland.

Jeg syns personlig dette er interessante vurderinger. Vurderingene skal jo gjøres likt i Norge, og dette har ringvirkninger for norske bedrifter. Dette blir derfor et tema i vårt første møte i nettverket den 18. august.

Den danske veiledningen er på over 30 sider, men inneholder lange passasjer som er raskt lest for de som arbeider mye med overføringer. Det den mangler, etter min mening, er mere detaljer på hva slags kryptering og oppbevaring av krypteringsnøkler som vil anses tilstrekkelige som avhjelpende tiltak, men dette kommer nok etterhvert. Kanskje vil det norske Datatilsynet komme med veiledning om det, i praksis er det jo et sterkt samarbeide mellom myndighetene på å utarbeide veiledere.

www.datatilsynet.dk

Praktisk gjennomgang av EDBPs veileder om tredjelandsoverførsler

Hvis den danske veilederen oppleves for lang å sette seg inn i, finnes det en god gjennomgang av EDPBs veileder om overføring til tredjeland i en artikkel av Henning Mortensen som finnes her

wiredrelations.com

Nederland tar et oppgjør med TikTok

TikTok har fått en bot på 750 000 euro fra det nederlandske datatilsynet fordi de ikke har tilbudt brukerne en personvernerklæring på nederlandsk. Siden mange av TikTok sine brukere er barn, mener datatilsynet at en personvernserklæring på engelsk ikke er tilstrekkelig forståelig. Det nederlandske datatilsynets vurdering av saken støtter derfor også EDPB sin tolkning av prinsippet om transparens, som presiserer at man skal ta hensyn til hvem som leser personvernerklæringene, og skrive dem på en spesifisert og forståelig måte.

Det nederlandske datatilsynet hadde egentlig startet en større undersøkelse av TikTok sine metoder, for å undersøke om de på noen andre måter ikke tok hensyn til barna sine rettigheter. Dette kunne de fordi TikTok ikke hadde et europeisk hovedkontor. Mens undersøkelsen foregikk ble det derimot opprettet et hovedkvarter i Irland, så det nederlandske datatilsynet har nylig overført videre undersøkelser til det irske datatilsynet.

www.autoriteitpersoonsgegevens.nl

Datatilsynet følger opp Shinigami Eyes

Programmet Shinigami Eyes er en kontroversiell “plug-in” tilgjengelig i Google Chrome og Firefox. Den lar brukere rapportere inn kontoer på sosiale medier som de mener er imot transpersoner. Disse profilene blir så markert med rødt i alle brukerne sine nettlesere fremover.

Datatilsynet har mottatt flere henvendelser om programvaren, og har nå sendt ut et krav om redegjørelse til utviklerne bak programvaren. Datatilsynet omtaler dette som en prinsipiell sak som angår ytringsfriheten. Fra et personvernperspektiv, er programvaren problematisk da den samler data om personers antatte politiske meninger, og deler det fritt med andre uten personens samtykke.

www.datatilsynet.no

EDPB håper på innovative personvernerklæringer for VVA’er

Virtual Voice Assistants (VVA) slik som Siri og Alexa er blitt en dagligdags teknologi som de fleste av oss har tilgjengelig via telefonene, pc’ene og til og med høyttalerne våre. Som så mye annen teknologi rundt oss så behandler de ofte sensitive personopplysninger om oss for å utføre kommandoene vi ber dem om.

I juli publiserte EDPB derfor et oppdatert sett med retningslinjer rettet mot utviklerne av disse VVA’ene, som spesifiserer hvilke lover og regler de må følge. Hovedtemaet i retningslinjene er at for all behandling av data som ikke er 100% nødvendig for å utføre kommandoene, så må det finnes et gyldig behandlingsgrunnlag, og brukeren må informeres om hvordan personopplysningene behandles gjennom en personvernserklæring. EDPB foreslår at en slik personvernerklæring kan gis gjennom en lyttbar erklæring hvor også eventuelle samtykker kan gis ved å svare på VVA’en sine spørsmål.

edpb.europa.eu

Noe å glede seg til fremover

EU har som kjent kommet med et utkast til forordning om bruk av AI, se Europe fit for the Digital Age: Artificial Intelligence (europa.eu). Dette er kun det første utkastet, og det skal gjennom mange runder før den blir bindende. Det tar nok noen år får vi har et ferdig gjennomarbeidet dokument om AI som kan supplementere GDPR. Det er interessant å se at mange av prinsippene i GDPR brukes videre i AI-forordningen.

Selv om utkastet er langt fra å være en ferdig forordning, er det mye interessant å finne der. EDPB og European Data Protection Supervisor (EDPS) har sammen publisert en Joint Opinion om dette hvor de blant annet anbefaler å gjøre det ulovlig å bruke AI til biometrisk gjenkjenning på offentlige steder – for eksempel ansiktsgjenkjenning – uansett kontekst. Dette sender et sterkt signal om hvordan EU prioriterer individets rettigheter, og står i kontrast til Kina sin litt mer 1984-aktige tilnærming.

Vi kommer tilbake til dette forslaget senere i nettverket.

www.technologylawdispatch.com

En ny stor bot?

Og helt til slutt i denne lille oversikten – det er nylig blitt kjent at datatilsynet i Luxemburg har varslet en historisk høy bot til Amazon for overtredelse av GDPR, hele 7,8 milliarder norske kroner. Detaljene i saken er ikke offentlig kjent enda, men det er ikke urimelig å gjette på at det kan dreie seg om manglende behandlingsgrunnlag for ulike behandlinger. Se mere her

www.bbc.com

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.