IT-jus nr. 6

Skrevet av Eva Jarbekk for tilt.works IT-juridiske nettverk

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er en betydelig uenighet datatilsynene mellom om hvordan noe så sentralt som samtykkebestemmelsene skal forstås.
 
I 2022 blir det antakelig store endringer i regelverket rundt cookies og mye har allerede skjedd – det  tar jeg likevel ikke opp her fordi det blir et eget tema i nettverket senere. Dessuten kommer det antagelig en ny veileder fra EDPB om anonymisering på nyåret. Slik vi snakket om i siste nettverksmøte, er det mulig det blir en noe mer pragmatisk tilnærming til hva som skal anses som anonyme data. Dette følger vi selvfølgelig opp så snart vi vet mer.
 
Jeg ønsker dere alle en riktig fredfull jul og et godt nyttår!

Hilsen Eva

Den aller, aller største boten:

Datatilsynet varslet først en bot på hundre millioner kroner til datingappen Grindr, fordi tilsynet mente den delte personopplysninger om brukerne med markedsføringspartnere. Etter en del korrespondanse mellom Grindr og Datatilsynet, ble det denne uken kjent at boten er redusert med 35%, ned til 65 000 000. Det er fremdeles et høyt tall.

Den høye boten har vakt oppmerksomhet både her i landet og internasjonalt, blant annet i denne artikkelen fra NRK beta, som ofte har gode artikler om teknologi. Selv etter nedjusteringen er denne boten den desidert største det norske datatilsynet noensinne har kommet med. Den nest største er «bare» på fem millioner kroner – om overføring av personopplysninger til tredjeland.

Det er offentlig kjent at jeg er rådgiver i denne saken, så jeg kan ikke uttale meg om detaljene i den. Men det er åpenbart at vi lever i en tid hvor bøtene både blir hyppigere og høyere. Praksis fra andre lands datatilsyn viser at bøtenivåene der er enda høyere. De fleste sakene, Grindr-boten også, vil påklages og det tar tid før man vet hva sluttresultatet blir. Uansett endelig resultat er det all grunn til å ta inn over seg at datatilsynene lener seg tungt på retningslinjene fra EDPB i forståelsen av reglene. Dette kan ikke sies ofte nok: Pass på samtykkene deres, og pass på hva cookiene samler inn. Mer om dette på nyåret.

Kanskje vi kan slippe noen av overføringsreglene?

EU har kommet med et nytt utkast til retningslinjer angående overføringer til tredjeland i en post-Schrems-II-verden. Det mest sentrale er at det slås fast at ikke absolutt all aksess av opplysninger fra tredjeland skal anses som «overføring». Da slipper man unna overføringsreglene. Jeg har skrevet litt om dette i digi. Selv om dette åpner for noe mer bruk av utviklere i tredjeland, er likevel hovedutfordringene ved overføringsreglene fremdeles gjeldende.


Prinsippielle spørsmål om datatilsynenes rolle:

Det irske datatilsynet har måttet tåle kritikk over lang tid, og i det siste har det toppet seg. De anklages for å være litt vel vennlige mot de store teknologiselskapene, spesifikt mot Facebook/Meta. Schrems og NOYB har brukt den irske offentlighetsloven for å få tilgang til dokumenter som viser at det irske datatilsynet har vært aktive for å endre regelverket slik at Facebook kunne dele personopplysninger uten å måtte innhente samtykke fra brukerne.

Tilsynet argumenterte for at Facebook kunne basere innhentingen av opplysninger på en kontrakt. I kontrakten vil man kunne slå fast at en sentral del av Facebooks tilbud er å tilby brukerne tilpasset reklame. Da ville man ikke trenge samtykker overhodet.

Dette er sterkt kritisert av de andre datatilsynene, og det norske tilsynet er helt i front her og har sendt et eget brev på 11 sider om dette til Irland. Et apropos er at irsk datatilsyn også er på kollisjonskurs med datatilsynet i Luxemburg som synes å mene det absolutt motsatte i boten på ca litt over syv milliarder kroner som de ila Amazon for noen måneder siden.

Irland er et attraktivt sted for teknologigigantene grunnet lav skatt. Det er ikke overraskende at andre lands tilsynsmyndigheter reagerer når det irske datatilsynet tøyer reglene i GDPR for å tekkes gigantene. Det vil forundre meg om Irland når frem med sitt syn her.

Et annet eksempel på at det blåser rundt datatilsynene, finner vi i Belgia. Lederen for det belgiske datatilsynet har nylig valgt å trekke seg i protest etter at tilsynet har blitt forsøkt styrt politisk. EU-kommisjonen har også sendt en «reasoned opinion» til Belgia, hvor EU påpeker at landet ikke følger reglene om at et datatilsyn skal være uavhengig. Belgia har to måneder på å rette opp de interne strukturene sine slik at datatilsynets ansatte blir uavhengige. Du kan lese EU’s brev til Belgia her.


Sverige dømt for manglende rettsikkerhet i overvåkingslov

Den svenske overvåkningsloven, FRA-lagen, ble i november vurdert av Europadomstolen til å være i strid med menneskerettighetene. Dommen kom hele 13 år etter anmeldelsen.

Essensen er at overvåkning av kommunikasjon nok kan være lovlig, men det må rettssikkerhetsgarantier på plass. Dette hadde ikke den svenske loven i tilstrekkelig grad. Spesielt pekes det på at ikke bare enkeltpersoner skal ha et vern, men bedrifter også. Dessuten må man sørge for at informasjon som overleveres til et annet lands etterretningstjeneste ikke misbrukes. Det siste elementet i kritikken går på at den som blir avlyttet ikke har noen måte å kunne kontrollere eller klage for å sørge for at avlytting skjer slik loven angir. Dette siste elementet ligner på deler av argumentasjonen i Schrems-saken.

Det er bra at lover etterprøves, det er ikke så bra at det tar så lang tid. Sverige må nå endre ordlyden i loven, samtidig kritiserer svenske menneskerettighetsorganisasjoner landet for å utvide bruksområdet for loven, før manglene er rettet. Dette er et spørsmål om moral, etikk og juss. Det kommer til å bli mange diskusjoner om overvåking fremover.

Vi må snakke mer om hacking

Til slutt: Personvern kan sammenlignes med en mynt med to sider. Den ene siden handler om å sørge for at opplysninger hentes inn og brukes på riktig juridisk grunnlag. Den andre siden er informasjonssikkerheten – å ha systemer som ikke lar uønskede personer bryte seg inn og stjele informasjon de ikke har rett til.

Det er en stadig strøm av vellykkede hacker-angrep i Norge. Noen av de siste som er blitt rammet er  Nordic Choice Hotels, Ikea og nettsiden Booking.com. Forrige uke kom det melding om at en kommune i Sverige, Kalix, ser ut til å være rammet av et randsomware-angrep på samme måte som Østre Toten. Alt fra lønnssystemer til sykejournaler og epost er frosset. Kommunen kan ikke betale regninger. Det er kritisk i ordets opprinnelige betydning. Det er ikke snakk om om en virksomhet er utsatt for angrep – det er snakk om når det skjer. Dere i nettverket vet dette godt. Kanskje må vi snakke litt mer om hvordan man kan sikre seg best i praksis.


Kommende møter:

27. jan 14.00 – 17.00
 Nettverksmøte
24. feb 12.00 – 13.00
 Digital drop-in
24. mars 14.00 – 16.00
 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Eva Jarbekk
Artikler av Eva Jarbekk (alle)

IT-juridisk nettverk

IT-jus nr. 2/22

Det er ikke vanskelig å lage nyhetsbrev om personvern. Det vanskelige er å begrense omfanget. Antallet interessante...

IT-jus nr. 1/22

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært...

IT-jus nr. 5

Personvern og it-sikkerhet er i vinden som aldri før. Knapt en måned har gått siden sist nyhetsbrev, og antallet...

IT-jus nr. 4

Høsten varsler sitt komme med stormer og lavtrykk på rekke og rad. Stormer gjør det også rundt forordninger og...

IT-jus nr. 3

I denne oppdateringen for IT-juridisk nettverk omtaler Eva Jarbekk nye gigantbøter, cookies, Englands nye frihet, Zoom og Schrems II, Apple og Kinas personvern.

Hva skjer i nettverket?

0 kommentarer

Legg inn en kommentar

IT-jus nr. 2/22

IT-jus nr. 2/22

Det er ikke vanskelig å lage nyhetsbrev om personvern. Det vanskelige er å begrense omfanget. Antallet interessante...

IT-jus nr. 1/22

IT-jus nr. 1/22

Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært...

IT-jus nr. 5

IT-jus nr. 5

Personvern og it-sikkerhet er i vinden som aldri før. Knapt en måned har gått siden sist nyhetsbrev, og antallet...

Alle artikler

borgerlønn

Borgerlønn som svar på økonomiske skjevheter

|
Når så mange pilotprosjekter viser at borgerlønn er bra for samfunnet, hvorfor setter vi ikke bare i gang?
etnisk mangfold

Etnisk mangfold og lønnsomhet: Hvor finner vi de gode rådene?

|
Hvor skal vi henvende oss for å finne ut hvilke mangfoldsstrategier som egentlig fungerer?
tillit Stortinget

Tillit og to andre suksessfaktorer for lykkelandet Norge

|
Norge er et tillitsbasert land. Vi stoler på hverandre. Tilliten skaper grobunn for velstand, noe som er verdt å minne om på en dag som i dag.
meninger med innhold

Ti stille om du ikke har noe å tilføre

|
På russekortet mitt i 1983 sto det «Det er bedre å holde kjeft og bli mistenkt for å være idiot, enn å åpne kjeften og fjerne all tvil»
huske bedre

Gode råd for å huske bedre

|
Det viktigste tipset for å huske det du nettopp har lært, er å lære det videre til andre.
test ut jobben

Vær en karriereturist!

|
Har du tanker om å endre retning eller rolle? Er du i tvil? Test det ut!
Ridderens leveregler og min reise inn i det ukjente

Ridderens leveregler og min reise inn i det ukjente

|
Skal du på en reise inn i det ukjente, kan 600 år gamle leveregler for riddere kanskje være til nytte.
den kritiske stemmen

Derfor skal du lytte til den kritiske stemmen

|
Fordelene med å gå i takt er mange, men i gitte situasjoner er denne aktiviteten direkte farlig, gitt at marsjretningen er mot et ukjent stup.
kollegasamtale

Kollegasamtaler er balsam for arbeidsmiljøet

|
Samtaler mellom kolleger er et viktig tiltak for å bygge den organisasjonskulturen som ivaretar medarbeidernes behov for påvirkning.
%d bloggere liker dette: