I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er en betydelig uenighet datatilsynene mellom om hvordan noe så sentralt som samtykkebestemmelsene skal forstås.
I 2022 blir det antakelig store endringer i regelverket rundt cookies og mye har allerede skjedd – det tar jeg likevel ikke opp her fordi det blir et eget tema i nettverket senere. Dessuten kommer det antagelig en ny veileder fra EDPB om anonymisering på nyåret. Slik vi snakket om i siste nettverksmøte, er det mulig det blir en noe mer pragmatisk tilnærming til hva som skal anses som anonyme data. Dette følger vi selvfølgelig opp så snart vi vet mer.
Jeg ønsker dere alle en riktig fredfull jul og et godt nyttår!
Hilsen Eva |
Den aller, aller største boten:
Datatilsynet varslet først en bot på hundre millioner kroner til datingappen Grindr, fordi tilsynet mente den delte personopplysninger om brukerne med markedsføringspartnere. Etter en del korrespondanse mellom Grindr og Datatilsynet, ble det denne uken kjent at boten er redusert med 35%, ned til 65 000 000. Det er fremdeles et høyt tall.
Den høye boten har vakt oppmerksomhet både her i landet og internasjonalt, blant annet i denne artikkelen fra NRK beta, som ofte har gode artikler om teknologi. Selv etter nedjusteringen er denne boten den desidert største det norske datatilsynet noensinne har kommet med. Den nest største er «bare» på fem millioner kroner – om overføring av personopplysninger til tredjeland.
Det er offentlig kjent at jeg er rådgiver i denne saken, så jeg kan ikke uttale meg om detaljene i den. Men det er åpenbart at vi lever i en tid hvor bøtene både blir hyppigere og høyere. Praksis fra andre lands datatilsyn viser at bøtenivåene der er enda høyere. De fleste sakene, Grindr-boten også, vil påklages og det tar tid før man vet hva sluttresultatet blir. Uansett endelig resultat er det all grunn til å ta inn over seg at datatilsynene lener seg tungt på retningslinjene fra EDPB i forståelsen av reglene. Dette kan ikke sies ofte nok: Pass på samtykkene deres, og pass på hva cookiene samler inn. Mer om dette på nyåret. |
Kanskje vi kan slippe noen av overføringsreglene?
EU har kommet med et nytt utkast til retningslinjer angående overføringer til tredjeland i en post-Schrems-II-verden. Det mest sentrale er at det slås fast at ikke absolutt all aksess av opplysninger fra tredjeland skal anses som «overføring». Da slipper man unna overføringsreglene. Jeg har skrevet litt om dette i digi. Selv om dette åpner for noe mer bruk av utviklere i tredjeland, er likevel hovedutfordringene ved overføringsreglene fremdeles gjeldende.
Prinsippielle spørsmål om datatilsynenes rolle:
Det irske datatilsynet har måttet tåle kritikk over lang tid, og i det siste har det toppet seg. De anklages for å være litt vel vennlige mot de store teknologiselskapene, spesifikt mot Facebook/Meta. Schrems og NOYB har brukt den irske offentlighetsloven for å få tilgang til dokumenter som viser at det irske datatilsynet har vært aktive for å endre regelverket slik at Facebook kunne dele personopplysninger uten å måtte innhente samtykke fra brukerne.
Tilsynet argumenterte for at Facebook kunne basere innhentingen av opplysninger på en kontrakt. I kontrakten vil man kunne slå fast at en sentral del av Facebooks tilbud er å tilby brukerne tilpasset reklame. Da ville man ikke trenge samtykker overhodet.
Dette er sterkt kritisert av de andre datatilsynene, og det norske tilsynet er helt i front her og har sendt et eget brev på 11 sider om dette til Irland. Et apropos er at irsk datatilsyn også er på kollisjonskurs med datatilsynet i Luxemburg som synes å mene det absolutt motsatte i boten på ca litt over syv milliarder kroner som de ila Amazon for noen måneder siden.
Irland er et attraktivt sted for teknologigigantene grunnet lav skatt. Det er ikke overraskende at andre lands tilsynsmyndigheter reagerer når det irske datatilsynet tøyer reglene i GDPR for å tekkes gigantene. Det vil forundre meg om Irland når frem med sitt syn her.
Et annet eksempel på at det blåser rundt datatilsynene, finner vi i Belgia. Lederen for det belgiske datatilsynet har nylig valgt å trekke seg i protest etter at tilsynet har blitt forsøkt styrt politisk. EU-kommisjonen har også sendt en «reasoned opinion» til Belgia, hvor EU påpeker at landet ikke følger reglene om at et datatilsyn skal være uavhengig. Belgia har to måneder på å rette opp de interne strukturene sine slik at datatilsynets ansatte blir uavhengige. Du kan lese EU’s brev til Belgia her.
Sverige dømt for manglende rettsikkerhet i overvåkingslov
Den svenske overvåkningsloven, FRA-lagen, ble i november vurdert av Europadomstolen til å være i strid med menneskerettighetene. Dommen kom hele 13 år etter anmeldelsen.
Essensen er at overvåkning av kommunikasjon nok kan være lovlig, men det må rettssikkerhetsgarantier på plass. Dette hadde ikke den svenske loven i tilstrekkelig grad. Spesielt pekes det på at ikke bare enkeltpersoner skal ha et vern, men bedrifter også. Dessuten må man sørge for at informasjon som overleveres til et annet lands etterretningstjeneste ikke misbrukes. Det siste elementet i kritikken går på at den som blir avlyttet ikke har noen måte å kunne kontrollere eller klage for å sørge for at avlytting skjer slik loven angir. Dette siste elementet ligner på deler av argumentasjonen i Schrems-saken.
Det er bra at lover etterprøves, det er ikke så bra at det tar så lang tid. Sverige må nå endre ordlyden i loven, samtidig kritiserer svenske menneskerettighetsorganisasjoner landet for å utvide bruksområdet for loven, før manglene er rettet. Dette er et spørsmål om moral, etikk og juss. Det kommer til å bli mange diskusjoner om overvåking fremover. |
Vi må snakke mer om hacking
Til slutt: Personvern kan sammenlignes med en mynt med to sider. Den ene siden handler om å sørge for at opplysninger hentes inn og brukes på riktig juridisk grunnlag. Den andre siden er informasjonssikkerheten – å ha systemer som ikke lar uønskede personer bryte seg inn og stjele informasjon de ikke har rett til.
Det er en stadig strøm av vellykkede hacker-angrep i Norge. Noen av de siste som er blitt rammet er Nordic Choice Hotels, Ikea og nettsiden Booking.com. Forrige uke kom det melding om at en kommune i Sverige, Kalix, ser ut til å være rammet av et randsomware-angrep på samme måte som Østre Toten. Alt fra lønnssystemer til sykejournaler og epost er frosset. Kommunen kan ikke betale regninger. Det er kritisk i ordets opprinnelige betydning. Det er ikke snakk om om en virksomhet er utsatt for angrep – det er snakk om når det skjer. Dere i nettverket vet dette godt. Kanskje må vi snakke litt mer om hvordan man kan sikre seg best i praksis.
Kommende møter:
27. jan 14.00 – 17.00 Nettverksmøte |
24. feb 12.00 – 13.00 Digital drop-in |
24. mars 14.00 – 16.00 Digitalt nettverksmøte |
Se hele oversikten over kommende aktiviteter i nettverket her. |