IT-jus nr. 3

torsdag 16. september 2021 @ 11:04

I denne oppdateringen for IT-juridisk nettverk omtaler Eva Jarbekk nye gigantbøter, cookies, Englands nye frihet, Zoom og Schrems II, Apple og Kinas personvern.
Av Eva Jarbekk
Nå sees vi snart til vårt første drop-in-møte i Tilts nettverk. Jeg vet at noen av dere har ting dere vil ta opp, så jeg gleder meg til å diskutere. Personvern er gøy! Skjønt – det å få trussel om bot er jo ikke gøy. Jeg arbeider med de største bøte-sakene i Norge, men i utlandet ser vi enda større summer. Fra et rettssikkerhetsperspektiv er det litt vanskelig å se for seg at relativt små endringer i ordlyd og forklaringer for brukere, skal ha så store konsekvenser. Under er noen betraktninger og linker om dette. Mange har nesten gitt opp å tro at det skal komme et nytt ePrivacy-regelverk om cookies, men nå ser det ut til at det nærmer seg. Under er også noen linker til artikler om Englands nye personvernselvstendighet, noen tanker om Apple virkelig er opptatt av personvern eller ikke og ymse annet. Håper du synes det er interessant!

De nye bøtene

I vår nye GDPR-verden, har vi blitt godt vant med at det tildeles en stor bot i ny og ne. Den norske boten mot Grindr er fremdeles ikke avgjort, og heller ikke den til Disqus. Mens vi venter, har det kommet enda en gigantbot innad i Europa. I 2018 begynte nemlig det irske datatilsynet å etterforske WhatsApp, som er eid av Facebook, for brudd på retningslinjene om åpenhet i GDPR. Etter tre år med etterforskning har de endelig konkludert med at WhatsApp har brutt reglene, og har, i samarbeid med andre europeiske datatilsyn, satt boten på hele 2,3 milliarder norske kroner, eller 225 millioner euro. Det irske datatilsynet blir kritisert for å ha brukt lang tid på etterforskningen, og det var til og med uenighet mellom datatilsynene om hvor stor boten skulle være. Blant annet det tyske datatilsynet mente at Irlands forslag var for lavt. Personvernrådet måtte avgjøre uenigheten og beordret det Irske datatilsynet til å øke boten på grunn av bruddets alvorlighet.

Hvis du syns slike bøter er interessante så ta en titt på denne nettsiden. Det er nemlig en liste over slike bøter og straffer fra europeiske datatilsyn, med korte oversikter over hva boten går ut på. Listen blir regelmessig oppdatert og den angir også hvilken artikkel som er grunnlaget for boten. Det er kanskje en grei nettside å sveipe innom innimellom.

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

ePrivacy nærmer seg

Mange er opptatt av cookies. Mange er også opptatt av når – og om – det kommer et nytt ePrivacy-regelverk om dette. Det første utkastet til ny ePrivacy-forordning ble først lansert i 2017. Prosessen har tatt sin tid, opprinnelig skulle det jo vært lansert sammen med GDPR, men det skjedde ikke. Kommersielle krefter har arbeidet intenst mot begrensningene. I år har det omsider skjedd mer. En stund ga mange opp å lese utkastene fordi det har vært så åpenbart at de ikke ville bli vedtatt. Men i februar vedtok kommisjonen det 14. utkastet (!) som nå tas videre til EU-parlamentet for vedtakelse av endelig ordlyd. Akkurat denne versjonen kan det være lurt å sette seg inn i, det er sannsynlig at den blir vedtatt. Se her for en tidslinje over hva forordningen fortsatt må gjennom før den trer i kraft.

Forordningens utgangspunkt er at all elektronisk kommunikasjon skal være konfidensiell. Med enkelte unntak, kreves det samtykke fra sluttbruker for å behandle elektronisk kommunikasjon. Forordningen er primært rettet mot tilbydere av elektroniske kommunikasjonstjenester, inkludert «over-the-top»-tjenester på eksisterende infrastruktur, slik som Teams, Zoom og WhatsApp. I enkelte tilfeller tillates det også cookie-walls for bruk av tjenester, dvs. at brukere kan bli nektet tilgang hvis de ikke har samtykket.

Samsvaret med GDPR er tydelig, inkludert bøteregimet som er tilsvarende GDPR. Merk imidlertid at ePrivacy-forordningen går lenger, idet den inneholder regler om beskyttelse av juridiske og fysiske personer, mens GDPR kun beskytter fysiske personer.

Englands nye frihet til å gi egne personvernlover

Ettersom Storbritannia ikke lenger er medlem av EU er de heller ikke lenger bundet av GDPR. Det medfører at de er et “tredjeland”, som vi etter Schrems II har sett at EU av og til har et trøblete forhold til. Derfor er det en lettelse for mange at EU i juni kom med sin “Adequacy decision” som definerer Storbritannias personvernregler som gode nok til at man kan overføre data dit. Det var ikke åpenbart at det skulle bli konklusjonen. Denne tillatelsen varer i første omgang i fire år, før den enten må fornyes eller oppheves.

Selv om denne bestemmelsen på et vis etablerer Storbritannia som mer likestilt med europeisk lovgivning, er det flere i Storbritannia som er glad for at de endelig kan velge mer fritt hvilke regler som gjelder for dem og ikke. Det er for eksempel foreslått at de skal fjerne “poengløse og irriterende” cookie-varsler og det er også sagt at de skal finne pragmatiske og kommersielle løsninger for overføring av personopplysninger til eksempelvis USA og India. Hvis de gjør det, kan overføringer til Storbritannia likevel bli vanskelige for europeiske selskap, da det vil være et brudd med de nye SCC’ene. Det blir ikke mindre action på dette området fremover.

Zoom og Schrems II

Schrems II-dommen fortsetter å prege europeeres elektroniske hverdag, ettersom implikasjonene av avgjørelsen blir tydeligere. Det nyeste nå er at datatilsynet i Hamburg har bestemt at “On-Demand” møtefunksjon i Zoom ikke følger GDPR og Schrems II. Når man bruker “On-Demand” møter må brukerne registrere seg for å komme inn i møtet. Zoom har alternative og mer anonyme løsninger, og de faller ikke under denne spesifikke beslutningen. Det betyr ikke at de er helt trygge for sanksjoner fremover, da det vanskelig å ta del i noen som helst form for zoom-møte uten å dele personopplysninger med programmet. En del Europeiske organisasjoner orienterer seg nå i hvilke alternativer som finnes. Svenske myndigheter prøver ut 50 forskjellige programmer.

Siden Schrems II kommer til å spille en mer aktiv part i alles hverdag fremover, er det fint at vårt eget Datatilsyn har kommet med sin veileder om tredjelandsoverføringer for en drøy uke siden. Jeg anbefaler dere alle til å ta en titt selv, men hovedtrekkene er at Datatilsynet, på lik linje med veiledere fra både Danmark og EDPB, har tolket dommen strengt. Vi må nok belage oss på en endring i hvilke programvarer vi bruker, eller håpe at de amerikanske gigantene klarer å lage systemer som kun lagrer personverndataene våre innenfor Europa sine grenser. Og helst ikke utleverer gjennom Cloud Act heller, da..

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

Er Apple så gode på personvern som vi tror?

Apple liker å fortelle hvor høyt de prioriterer brukernes personvern. Det er også få skandaler som motsier utsagnene deres. Fordi mange tenker på Apple som en relativt trygg leverandør, kom det som en overraskelse for mange når de nylig varslet at de ville scanne brukeres bilder for barnepornografi. Personvernmessig er det ikke overraskende at det reageres mot dette, og nå har jo Apple sagt at de ikke skal gjøre slik scanning. Så da er vel alt greit? Tja.

Det som har fått mindre oppmerksomhet i Norge, er at Apple har scannet brukernes e-poster i flere år på utkikk etter barnepornografi, som de så kan rapportere videre til myndighetene. I internasjonale personvernfora har dette fått stor oppmerksomhet. Scanningen er til og med beskrevet i deres personvernerklæring siden 2019, og er slik sett transparent. Hvis brukerne leser vilkårene, da.

Det som derimot er problematisk er at man ikke kan finne en god beskrivelse av hvordan algoritmene deres fungerer. Det finnes ingen detaljerte beskrivelser av dette. Denne artikkelen om temaet er høyst lesverdig. Historien er nok neppe over og det er grunn til å anta at Apple vil måtte forklare seg mer om dette fremover. AI/KI og transparens vil helt klart bli et hett tema fremover i mange år.

Kinas nye personvernforordning

Sist men ikke minst så har Kina nylig vedtatt en personvernlovgivning, kalt Personal Information Protection Law (PIPL). Loven krever blant annet at databehandlere må skaffe samtykke før de behandler sensitive personopplysninger slik som økonomiske eller medisisnke opplysninger. På lik linje med GDPR så vil PIPL også gjelde for alle internasjonale aktører. det vil si at norske bedrifter med med tilknytning til Kina burde sette seg godt inn i lovgivningen. Det er for eksempel rimelig å tro at lovgivningen vil gjelde alle norske bedrifter med fabrikker innenfor Kinas grenser.

Det blir interessant å følge med på hvordan denne loven blir tatt i bruk i Kina, men enn så lenge er det mange kommentatorer som er skeptiske til hvorvidt kineseres personvern faktisk kommer til å bli forbedret.

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

Siste ord

Dette nyhetsbrevet er opprinnelig sendt ut til medlemmer av tilt.works IT-juridiske nettverk og personer som har tegnet eget abonnement på dette nyhetsbrevet.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.