IT-jus nr. 2

søndag 15. august 2021 @ 13:46

De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig […]
Av Eva Jarbekk
De siste årene har sommertid medført store nyheter fra EU om personvern. Dette året er intet unntak. Selv om vi ikke har fått noen ny Schrems-avgjørelse, har det helt nylig kommet en viktig avklaringer fra det danske Datatilsynet om hvordan Schrems II skal forstås. Disse er svært lojale til dommen og rommet for en risikobasert tilnærming er nok mindre enn hva mange hadde håpet. Det er også kommet noen nye varslede bøter som kommer til å få ringvirkninger. Under er et lite utvalg av artikler jeg tror mange vil ha nytte av å lese gjennom. 

Det danske datatilsynets nye vurderinger

Det danske Datatilsynet har i juli publisert en ny veiledning om overføring av personvernopplysninger til tredjeland. Den retter seg mot behandlingsansvarlige, og gir konkrete eksempler på hva man kan og ikke kan overføre, i henhold til GDPR og Schrems II.

Eksempel 10 har stor betydning for tolkingen av Schrems II, da det blant annet presiseres at man kun kan overføre personopplysninger til et tredjeland om databehandleren kan garantere at dataene blir behandlet med tilnærmet lik sikkerhet som innenfor EU. Her spesifiseres det at enhver behandler som er underlagt utleveringsplikt til offentlige myndigheter i land uten tilstrekkelig beskyttelsesnivå, ikke anses trygg nok etter EU sine standarder.

Eksempel 9 tar utgangspunkt i et europeisk konsern med kontorer i tredjeland. Det anses da ikke som en overføring at ansatte i tredjelandene har tilgang til personopplysninger hos morselskapet. Betingelsen er dog at kontoret i tredjelandet ikke er et (selvstendig) datterselskap eller opptrer som databehandler for morselskapet. I praksis vil jo dette ofte være tilfelle og eksempelet innebærer at svært mange konsernbehandlinger vil anses som overføringer.

Eksempel 8 forklarer at det ikke regnes som en overføring av personopplysninger til et tredjeland om en ansatt logger inn på arbeidsgivers intranett eller e-post mens den ansatte er i et tredjeland.

Jeg syns personlig dette er interessante vurderinger. Vurderingene skal jo gjøres likt i Norge, og dette har ringvirkninger for norske bedrifter. Dette blir derfor et tema i vårt første møte i nettverket den 18. august.

Den danske veiledningen er på over 30 sider, men inneholder lange passasjer som er raskt lest for de som arbeider mye med overføringer. Det den mangler, etter min mening, er mere detaljer på hva slags kryptering og oppbevaring av krypteringsnøkler som vil anses tilstrekkelige som avhjelpende tiltak, men dette kommer nok etterhvert. Kanskje vil det norske Datatilsynet komme med veiledning om det, i praksis er det jo et sterkt samarbeide mellom myndighetene på å utarbeide veiledere.

www.datatilsynet.dk

Praktisk gjennomgang av EDBPs veileder om tredjelandsoverførsler

Hvis den danske veilederen oppleves for lang å sette seg inn i, finnes det en god gjennomgang av EDPBs veileder om overføring til tredjeland i en artikkel av Henning Mortensen som finnes her

wiredrelations.com

Nederland tar et oppgjør med TikTok

TikTok har fått en bot på 750 000 euro fra det nederlandske datatilsynet fordi de ikke har tilbudt brukerne en personvernerklæring på nederlandsk. Siden mange av TikTok sine brukere er barn, mener datatilsynet at en personvernserklæring på engelsk ikke er tilstrekkelig forståelig. Det nederlandske datatilsynets vurdering av saken støtter derfor også EDPB sin tolkning av prinsippet om transparens, som presiserer at man skal ta hensyn til hvem som leser personvernerklæringene, og skrive dem på en spesifisert og forståelig måte.

Det nederlandske datatilsynet hadde egentlig startet en større undersøkelse av TikTok sine metoder, for å undersøke om de på noen andre måter ikke tok hensyn til barna sine rettigheter. Dette kunne de fordi TikTok ikke hadde et europeisk hovedkontor. Mens undersøkelsen foregikk ble det derimot opprettet et hovedkvarter i Irland, så det nederlandske datatilsynet har nylig overført videre undersøkelser til det irske datatilsynet.

www.autoriteitpersoonsgegevens.nl

Datatilsynet følger opp Shinigami Eyes

Programmet Shinigami Eyes er en kontroversiell “plug-in” tilgjengelig i Google Chrome og Firefox. Den lar brukere rapportere inn kontoer på sosiale medier som de mener er imot transpersoner. Disse profilene blir så markert med rødt i alle brukerne sine nettlesere fremover.

Datatilsynet har mottatt flere henvendelser om programvaren, og har nå sendt ut et krav om redegjørelse til utviklerne bak programvaren. Datatilsynet omtaler dette som en prinsipiell sak som angår ytringsfriheten. Fra et personvernperspektiv, er programvaren problematisk da den samler data om personers antatte politiske meninger, og deler det fritt med andre uten personens samtykke.

www.datatilsynet.no

EDPB håper på innovative personvernerklæringer for VVA’er

Virtual Voice Assistants (VVA) slik som Siri og Alexa er blitt en dagligdags teknologi som de fleste av oss har tilgjengelig via telefonene, pc’ene og til og med høyttalerne våre. Som så mye annen teknologi rundt oss så behandler de ofte sensitive personopplysninger om oss for å utføre kommandoene vi ber dem om.

I juli publiserte EDPB derfor et oppdatert sett med retningslinjer rettet mot utviklerne av disse VVA’ene, som spesifiserer hvilke lover og regler de må følge. Hovedtemaet i retningslinjene er at for all behandling av data som ikke er 100% nødvendig for å utføre kommandoene, så må det finnes et gyldig behandlingsgrunnlag, og brukeren må informeres om hvordan personopplysningene behandles gjennom en personvernserklæring. EDPB foreslår at en slik personvernerklæring kan gis gjennom en lyttbar erklæring hvor også eventuelle samtykker kan gis ved å svare på VVA’en sine spørsmål.

edpb.europa.eu

Noe å glede seg til fremover

EU har som kjent kommet med et utkast til forordning om bruk av AI, se Europe fit for the Digital Age: Artificial Intelligence (europa.eu). Dette er kun det første utkastet, og det skal gjennom mange runder før den blir bindende. Det tar nok noen år får vi har et ferdig gjennomarbeidet dokument om AI som kan supplementere GDPR. Det er interessant å se at mange av prinsippene i GDPR brukes videre i AI-forordningen.

Selv om utkastet er langt fra å være en ferdig forordning, er det mye interessant å finne der. EDPB og European Data Protection Supervisor (EDPS) har sammen publisert en Joint Opinion om dette hvor de blant annet anbefaler å gjøre det ulovlig å bruke AI til biometrisk gjenkjenning på offentlige steder – for eksempel ansiktsgjenkjenning – uansett kontekst. Dette sender et sterkt signal om hvordan EU prioriterer individets rettigheter, og står i kontrast til Kina sin litt mer 1984-aktige tilnærming.

Vi kommer tilbake til dette forslaget senere i nettverket.

www.technologylawdispatch.com

En ny stor bot?

Og helt til slutt i denne lille oversikten – det er nylig blitt kjent at datatilsynet i Luxemburg har varslet en historisk høy bot til Amazon for overtredelse av GDPR, hele 7,8 milliarder norske kroner. Detaljene i saken er ikke offentlig kjent enda, men det er ikke urimelig å gjette på at det kan dreie seg om manglende behandlingsgrunnlag for ulike behandlinger. Se mere her

www.bbc.com

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

IdéCafé

IdéCafé med Nils Petter Nordskar

Lurer du også på hva tilt.work egentlig er? Du er ikke alene. 9. april får vi hjelp av selveste Nils Petter Nordskar – og kanskje deg? – til å finne oss sjæl.

Idéen bak IdéCafé er gratis innspill og idéer til småselskaper som ikke kan bruke store ressurser på profesjonelle i reklame og markedsføring.

Foruten praten mellom Nordskar og tilts Paal Leveraas, er deltakernes innspill hjertelig velkomne, og svært viktige. Mange har fulgt tilt.work og dets utspring – Tirsdag morgen – lenge. Nå har du sjansen til å bli med å forme vår fremtid.


Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.