IT-jus nr. 3 - for deg som har en DPO-rolle

IT-jus nr. 3

Og mange flere nyheter om personvern og datasikkerhet

16. september 2021 @ 11:04

I denne oppdateringen for IT-juridisk nettverk omtaler Eva Jarbekk nye gigantbøter, cookies, Englands nye frihet, Zoom og Schrems II, Apple og Kinas personvern.
Nå sees vi snart til vårt første drop-in-møte i Tilts nettverk. Jeg vet at noen av dere har ting dere vil ta opp, så jeg gleder meg til å diskutere. Personvern er gøy! Skjønt – det å få trussel om bot er jo ikke gøy. Jeg arbeider med de største bøte-sakene i Norge, men i utlandet ser vi enda større summer. Fra et rettssikkerhetsperspektiv er det litt vanskelig å se for seg at relativt små endringer i ordlyd og forklaringer for brukere, skal ha så store konsekvenser. Under er noen betraktninger og linker om dette. Mange har nesten gitt opp å tro at det skal komme et nytt ePrivacy-regelverk om cookies, men nå ser det ut til at det nærmer seg. Under er også noen linker til artikler om Englands nye personvernselvstendighet, noen tanker om Apple virkelig er opptatt av personvern eller ikke og ymse annet. Håper du synes det er interessant!

De nye bøtene

I vår nye GDPR-verden, har vi blitt godt vant med at det tildeles en stor bot i ny og ne. Den norske boten mot Grindr er fremdeles ikke avgjort, og heller ikke den til Disqus. Mens vi venter, har det kommet enda en gigantbot innad i Europa. I 2018 begynte nemlig det irske datatilsynet å etterforske WhatsApp, som er eid av Facebook, for brudd på retningslinjene om åpenhet i GDPR. Etter tre år med etterforskning har de endelig konkludert med at WhatsApp har brutt reglene, og har, i samarbeid med andre europeiske datatilsyn, satt boten på hele 2,3 milliarder norske kroner, eller 225 millioner euro. Det irske datatilsynet blir kritisert for å ha brukt lang tid på etterforskningen, og det var til og med uenighet mellom datatilsynene om hvor stor boten skulle være. Blant annet det tyske datatilsynet mente at Irlands forslag var for lavt. Personvernrådet måtte avgjøre uenigheten og beordret det Irske datatilsynet til å øke boten på grunn av bruddets alvorlighet.

Hvis du syns slike bøter er interessante så ta en titt på denne nettsiden. Det er nemlig en liste over slike bøter og straffer fra europeiske datatilsyn, med korte oversikter over hva boten går ut på. Listen blir regelmessig oppdatert og den angir også hvilken artikkel som er grunnlaget for boten. Det er kanskje en grei nettside å sveipe innom innimellom.

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

ePrivacy nærmer seg

Mange er opptatt av cookies. Mange er også opptatt av når – og om – det kommer et nytt ePrivacy-regelverk om dette. Det første utkastet til ny ePrivacy-forordning ble først lansert i 2017. Prosessen har tatt sin tid, opprinnelig skulle det jo vært lansert sammen med GDPR, men det skjedde ikke. Kommersielle krefter har arbeidet intenst mot begrensningene. I år har det omsider skjedd mer. En stund ga mange opp å lese utkastene fordi det har vært så åpenbart at de ikke ville bli vedtatt. Men i februar vedtok kommisjonen det 14. utkastet (!) som nå tas videre til EU-parlamentet for vedtakelse av endelig ordlyd. Akkurat denne versjonen kan det være lurt å sette seg inn i, det er sannsynlig at den blir vedtatt. Se her for en tidslinje over hva forordningen fortsatt må gjennom før den trer i kraft.

Forordningens utgangspunkt er at all elektronisk kommunikasjon skal være konfidensiell. Med enkelte unntak, kreves det samtykke fra sluttbruker for å behandle elektronisk kommunikasjon. Forordningen er primært rettet mot tilbydere av elektroniske kommunikasjonstjenester, inkludert «over-the-top»-tjenester på eksisterende infrastruktur, slik som Teams, Zoom og WhatsApp. I enkelte tilfeller tillates det også cookie-walls for bruk av tjenester, dvs. at brukere kan bli nektet tilgang hvis de ikke har samtykket.

Samsvaret med GDPR er tydelig, inkludert bøteregimet som er tilsvarende GDPR. Merk imidlertid at ePrivacy-forordningen går lenger, idet den inneholder regler om beskyttelse av juridiske og fysiske personer, mens GDPR kun beskytter fysiske personer.

Englands nye frihet til å gi egne personvernlover

Ettersom Storbritannia ikke lenger er medlem av EU er de heller ikke lenger bundet av GDPR. Det medfører at de er et “tredjeland”, som vi etter Schrems II har sett at EU av og til har et trøblete forhold til. Derfor er det en lettelse for mange at EU i juni kom med sin “Adequacy decision” som definerer Storbritannias personvernregler som gode nok til at man kan overføre data dit. Det var ikke åpenbart at det skulle bli konklusjonen. Denne tillatelsen varer i første omgang i fire år, før den enten må fornyes eller oppheves.

Selv om denne bestemmelsen på et vis etablerer Storbritannia som mer likestilt med europeisk lovgivning, er det flere i Storbritannia som er glad for at de endelig kan velge mer fritt hvilke regler som gjelder for dem og ikke. Det er for eksempel foreslått at de skal fjerne “poengløse og irriterende” cookie-varsler og det er også sagt at de skal finne pragmatiske og kommersielle løsninger for overføring av personopplysninger til eksempelvis USA og India. Hvis de gjør det, kan overføringer til Storbritannia likevel bli vanskelige for europeiske selskap, da det vil være et brudd med de nye SCC’ene. Det blir ikke mindre action på dette området fremover.

Zoom og Schrems II

Schrems II-dommen fortsetter å prege europeeres elektroniske hverdag, ettersom implikasjonene av avgjørelsen blir tydeligere. Det nyeste nå er at datatilsynet i Hamburg har bestemt at “On-Demand” møtefunksjon i Zoom ikke følger GDPR og Schrems II. Når man bruker “On-Demand” møter må brukerne registrere seg for å komme inn i møtet. Zoom har alternative og mer anonyme løsninger, og de faller ikke under denne spesifikke beslutningen. Det betyr ikke at de er helt trygge for sanksjoner fremover, da det vanskelig å ta del i noen som helst form for zoom-møte uten å dele personopplysninger med programmet. En del Europeiske organisasjoner orienterer seg nå i hvilke alternativer som finnes. Svenske myndigheter prøver ut 50 forskjellige programmer.

Siden Schrems II kommer til å spille en mer aktiv part i alles hverdag fremover, er det fint at vårt eget Datatilsyn har kommet med sin veileder om tredjelandsoverføringer for en drøy uke siden. Jeg anbefaler dere alle til å ta en titt selv, men hovedtrekkene er at Datatilsynet, på lik linje med veiledere fra både Danmark og EDPB, har tolket dommen strengt. Vi må nok belage oss på en endring i hvilke programvarer vi bruker, eller håpe at de amerikanske gigantene klarer å lage systemer som kun lagrer personverndataene våre innenfor Europa sine grenser. Og helst ikke utleverer gjennom Cloud Act heller, da..

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

Er Apple så gode på personvern som vi tror?

Apple liker å fortelle hvor høyt de prioriterer brukernes personvern. Det er også få skandaler som motsier utsagnene deres. Fordi mange tenker på Apple som en relativt trygg leverandør, kom det som en overraskelse for mange når de nylig varslet at de ville scanne brukeres bilder for barnepornografi. Personvernmessig er det ikke overraskende at det reageres mot dette, og nå har jo Apple sagt at de ikke skal gjøre slik scanning. Så da er vel alt greit? Tja.

Det som har fått mindre oppmerksomhet i Norge, er at Apple har scannet brukernes e-poster i flere år på utkikk etter barnepornografi, som de så kan rapportere videre til myndighetene. I internasjonale personvernfora har dette fått stor oppmerksomhet. Scanningen er til og med beskrevet i deres personvernerklæring siden 2019, og er slik sett transparent. Hvis brukerne leser vilkårene, da.

Det som derimot er problematisk er at man ikke kan finne en god beskrivelse av hvordan algoritmene deres fungerer. Det finnes ingen detaljerte beskrivelser av dette. Denne artikkelen om temaet er høyst lesverdig. Historien er nok neppe over og det er grunn til å anta at Apple vil måtte forklare seg mer om dette fremover. AI/KI og transparens vil helt klart bli et hett tema fremover i mange år.

Kinas nye personvernforordning

Sist men ikke minst så har Kina nylig vedtatt en personvernlovgivning, kalt Personal Information Protection Law (PIPL). Loven krever blant annet at databehandlere må skaffe samtykke før de behandler sensitive personopplysninger slik som økonomiske eller medisisnke opplysninger. På lik linje med GDPR så vil PIPL også gjelde for alle internasjonale aktører. det vil si at norske bedrifter med med tilknytning til Kina burde sette seg godt inn i lovgivningen. Det er for eksempel rimelig å tro at lovgivningen vil gjelde alle norske bedrifter med fabrikker innenfor Kinas grenser.

Det blir interessant å følge med på hvordan denne loven blir tatt i bruk i Kina, men enn så lenge er det mange kommentatorer som er skeptiske til hvorvidt kineseres personvern faktisk kommer til å bli forbedret.

Bilde hentet fra www.pixabay.com
Bilde hentet fra www.pixabay.com

Siste ord

Dette nyhetsbrevet er opprinnelig sendt ut til medlemmer av tilt.works IT-juridiske nettverk og personer som har tegnet eget abonnement på dette nyhetsbrevet.
🏷️

0 Comments

Submit a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Relaterte saker

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

 

"*" indicates required fields

Navn*

På forsiden nå

meningsfull jobb

En meningsfull jobb – hva er egentlig det?

|
Mange av oss surrer rundt i jobber vi har vokst fra eller kjeder oss i. Vi blir i jobben av gammel vane, på grunn av frykt, fordi vi ikke vet hva vi egentlig vil eller vet hva som er meningsfullt for oss.
vente på motivasjon

Motivasjon med englestøv

|
Mange av oss tilbringer livet med å vente på inspirasjon og motivasjon - en liten Tingeling som kaster sitt englestøv over oss. Men motivasjon er ikke noe du får, det er noe du tar.
sykefravær

Start aldri med å gi hele hånda

|
I min tid som ansatt i bedriftshelsetjeneste, spurte jeg min leder og lege hvorfor han hadde valgt denne karrierevegen foran allmennpraksis? Han smilte og svarte på sitt finurlige vis: «Fordi jeg som fastlege må spørre folk hva som feiler dem, men her kan jeg spørre hvor friske de er.»
Den kunstige intelligensens spådommer om 2023

Den kunstige intelligensens spådommer om 2023

|
Hva tenker du om status quo i vår skakkjørte verden mot slutten av 2022? Hva er gode 2023-strategier fra ditt ståsted? Hva sier den kunstige intelligensen?
"Hei, du! Hva er det med roller du ikke forstår?"

«Hei, du! Hva er det med roller du ikke forstår?»

|
Roller og rolleforståelse er et tilbakevendende tema i teamsamlinger. Her er noen observasjoner og refleksjoner som kanskje kan gi deg noen aha-opplevelser.
omstillingsprosess

Endringsmodellen i et 12-timers perspektiv

|
Det foregår harde forhandlinger i eget hode på hvor sympatisk man er forpliktet til å opptre i kaotiske situasjoner.
finn ditt hvorfor

Du har lært teorien. Er du nå klar til å handle? 

|
Selv ved små endringer er det ingen som spør «hvordan» det er med energien og følelsene i og mellom menneskene som blir påvirket.
Å snu krise til mulighet

Å snu krise til mulighet

|
Det er krig, det er klimakrise, nye virusvarianter dukker opp, prisene stiger, boligverdiene synker, aksjemarkedet er uforutsigbart. Yess!!!
katedral

Jakten på en meningsfylt jobb

|
Løfter du blikket og ser ting i et større perspektiv, vil ofte det meningsfulle utfolde seg.