IT-jus nr. 6

mandag 20. desember 2021 @ 10:30

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er […]
Av Eva Jarbekk

I årets siste brev fra IT-juridisk nettverk har jeg samlet noen artikler som er relevante for oss som arbeider med «hverdags-personvern», men jeg løfter også blikket opp til et prinsipielt plan. Det er tankevekkende at Sverige dømmes av en europeisk domstol for å mangle rettssikkerhetsgarantier i sine regler om overvåking. Det er også tankevekkende at det er en betydelig uenighet datatilsynene mellom om hvordan noe så sentralt som samtykkebestemmelsene skal forstås.
 
I 2022 blir det antakelig store endringer i regelverket rundt cookies og mye har allerede skjedd – det  tar jeg likevel ikke opp her fordi det blir et eget tema i nettverket senere. Dessuten kommer det antagelig en ny veileder fra EDPB om anonymisering på nyåret. Slik vi snakket om i siste nettverksmøte, er det mulig det blir en noe mer pragmatisk tilnærming til hva som skal anses som anonyme data. Dette følger vi selvfølgelig opp så snart vi vet mer.
 
Jeg ønsker dere alle en riktig fredfull jul og et godt nyttår!

Hilsen Eva

Den aller, aller største boten:

Datatilsynet varslet først en bot på hundre millioner kroner til datingappen Grindr, fordi tilsynet mente den delte personopplysninger om brukerne med markedsføringspartnere. Etter en del korrespondanse mellom Grindr og Datatilsynet, ble det denne uken kjent at boten er redusert med 35%, ned til 65 000 000. Det er fremdeles et høyt tall.

Den høye boten har vakt oppmerksomhet både her i landet og internasjonalt, blant annet i denne artikkelen fra NRK beta, som ofte har gode artikler om teknologi. Selv etter nedjusteringen er denne boten den desidert største det norske datatilsynet noensinne har kommet med. Den nest største er «bare» på fem millioner kroner – om overføring av personopplysninger til tredjeland.

Det er offentlig kjent at jeg er rådgiver i denne saken, så jeg kan ikke uttale meg om detaljene i den. Men det er åpenbart at vi lever i en tid hvor bøtene både blir hyppigere og høyere. Praksis fra andre lands datatilsyn viser at bøtenivåene der er enda høyere. De fleste sakene, Grindr-boten også, vil påklages og det tar tid før man vet hva sluttresultatet blir. Uansett endelig resultat er det all grunn til å ta inn over seg at datatilsynene lener seg tungt på retningslinjene fra EDPB i forståelsen av reglene. Dette kan ikke sies ofte nok: Pass på samtykkene deres, og pass på hva cookiene samler inn. Mer om dette på nyåret.

Kanskje vi kan slippe noen av overføringsreglene?

EU har kommet med et nytt utkast til retningslinjer angående overføringer til tredjeland i en post-Schrems-II-verden. Det mest sentrale er at det slås fast at ikke absolutt all aksess av opplysninger fra tredjeland skal anses som «overføring». Da slipper man unna overføringsreglene. Jeg har skrevet litt om dette i digi. Selv om dette åpner for noe mer bruk av utviklere i tredjeland, er likevel hovedutfordringene ved overføringsreglene fremdeles gjeldende.


Prinsippielle spørsmål om datatilsynenes rolle:

Det irske datatilsynet har måttet tåle kritikk over lang tid, og i det siste har det toppet seg. De anklages for å være litt vel vennlige mot de store teknologiselskapene, spesifikt mot Facebook/Meta. Schrems og NOYB har brukt den irske offentlighetsloven for å få tilgang til dokumenter som viser at det irske datatilsynet har vært aktive for å endre regelverket slik at Facebook kunne dele personopplysninger uten å måtte innhente samtykke fra brukerne.

Tilsynet argumenterte for at Facebook kunne basere innhentingen av opplysninger på en kontrakt. I kontrakten vil man kunne slå fast at en sentral del av Facebooks tilbud er å tilby brukerne tilpasset reklame. Da ville man ikke trenge samtykker overhodet.

Dette er sterkt kritisert av de andre datatilsynene, og det norske tilsynet er helt i front her og har sendt et eget brev på 11 sider om dette til Irland. Et apropos er at irsk datatilsyn også er på kollisjonskurs med datatilsynet i Luxemburg som synes å mene det absolutt motsatte i boten på ca litt over syv milliarder kroner som de ila Amazon for noen måneder siden.

Irland er et attraktivt sted for teknologigigantene grunnet lav skatt. Det er ikke overraskende at andre lands tilsynsmyndigheter reagerer når det irske datatilsynet tøyer reglene i GDPR for å tekkes gigantene. Det vil forundre meg om Irland når frem med sitt syn her.

Et annet eksempel på at det blåser rundt datatilsynene, finner vi i Belgia. Lederen for det belgiske datatilsynet har nylig valgt å trekke seg i protest etter at tilsynet har blitt forsøkt styrt politisk. EU-kommisjonen har også sendt en «reasoned opinion» til Belgia, hvor EU påpeker at landet ikke følger reglene om at et datatilsyn skal være uavhengig. Belgia har to måneder på å rette opp de interne strukturene sine slik at datatilsynets ansatte blir uavhengige. Du kan lese EU’s brev til Belgia her.


Sverige dømt for manglende rettsikkerhet i overvåkingslov

Den svenske overvåkningsloven, FRA-lagen, ble i november vurdert av Europadomstolen til å være i strid med menneskerettighetene. Dommen kom hele 13 år etter anmeldelsen.

Essensen er at overvåkning av kommunikasjon nok kan være lovlig, men det må rettssikkerhetsgarantier på plass. Dette hadde ikke den svenske loven i tilstrekkelig grad. Spesielt pekes det på at ikke bare enkeltpersoner skal ha et vern, men bedrifter også. Dessuten må man sørge for at informasjon som overleveres til et annet lands etterretningstjeneste ikke misbrukes. Det siste elementet i kritikken går på at den som blir avlyttet ikke har noen måte å kunne kontrollere eller klage for å sørge for at avlytting skjer slik loven angir. Dette siste elementet ligner på deler av argumentasjonen i Schrems-saken.

Det er bra at lover etterprøves, det er ikke så bra at det tar så lang tid. Sverige må nå endre ordlyden i loven, samtidig kritiserer svenske menneskerettighetsorganisasjoner landet for å utvide bruksområdet for loven, før manglene er rettet. Dette er et spørsmål om moral, etikk og juss. Det kommer til å bli mange diskusjoner om overvåking fremover.

Vi må snakke mer om hacking

Til slutt: Personvern kan sammenlignes med en mynt med to sider. Den ene siden handler om å sørge for at opplysninger hentes inn og brukes på riktig juridisk grunnlag. Den andre siden er informasjonssikkerheten – å ha systemer som ikke lar uønskede personer bryte seg inn og stjele informasjon de ikke har rett til.

Det er en stadig strøm av vellykkede hacker-angrep i Norge. Noen av de siste som er blitt rammet er  Nordic Choice Hotels, Ikea og nettsiden Booking.com. Forrige uke kom det melding om at en kommune i Sverige, Kalix, ser ut til å være rammet av et randsomware-angrep på samme måte som Østre Toten. Alt fra lønnssystemer til sykejournaler og epost er frosset. Kommunen kan ikke betale regninger. Det er kritisk i ordets opprinnelige betydning. Det er ikke snakk om om en virksomhet er utsatt for angrep – det er snakk om når det skjer. Dere i nettverket vet dette godt. Kanskje må vi snakke litt mer om hvordan man kan sikre seg best i praksis.


Kommende møter:

27. jan 14.00 – 17.00
 Nettverksmøte
24. feb 12.00 – 13.00
 Digital drop-in
24. mars 14.00 – 16.00
 Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Salgsbroen, alle pilarer er like viktige.

Kan du skape tillit? Da er du en selger!

|
Du skal si til deg selv: «Jeg er en selger», og du skal si det med stolthet.
Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

De ubevisste holdningene til eldre arbeidstakere

|
Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere.
Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

|
Overraskende kundeinnsikt fra erfarne soloprenører.
Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

|
Ukens Tirsdag morgen er skrevet spesielt til en stor gruppe mennesker jeg beundrer: soloprenørene. Dere andre: Les på eget ansvar.
Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.