Det er mer enn nok å holde seg oppdatert om på vårt felt! I dette nyhetsbrevet har jeg samlet det jeg mener har vært aller viktigst den siste måneden. På toppen av den listen troner den nye veiledningen om databehandleres bruk av personopplysninger fra kunder som er behandlingsansvarlige. Jeg tror at mange har en praksis som ikke er helt i tråd med det som forventes. Det er også noe man må ta stilling til i nye kontrakter og anskaffelser.

Vi ser også stadig økt fokus på tredjelandsoverføringer, hvor søkelyset nå rettes mot India.

God lesning! Jeg gleder meg til å treffe dere til uken – da blir det fullt fokus på AI!

Hilsen Eva

BRUK AV INNSAMLEDE DATA

Databehandleres egen bruk av den behandlingsansvarliges personopplysninger

Den 12. januar i år kom det franske datatilsynet, CNIL, med en kort, men viktig veiledning. Temaet var: Hvordan kan en databehandler, som sanker inn data for sin oppdragsgiver, bruke de samme dataene til sine egne formål?

Dette er et område hvor det ofte er stor uenighet mellom kunde og leverandør. Ofte vil en databehandler ønske å analysere opplysningene og bruke dem til å forbedre sin programvare og sine tjenester.

Den gode nyheten er at tilsynet åpner for dette i stor grad, men de setter to betingelser:

1.  Den behandlingsansvarlige må godkjenne behandlingen
2.  Formålet med behandlingen må være i tråd med det opprinnelige formålet.

I tillegg settes det krav til at personene som er registrert blir informert om bruken. Alt i alt innebærer veiledningen at det må gjøres en rekke vurderinger i hver eneste konkrete situasjon, og det må dokumenteres. Her blir det ikke one-size-fits-all.

Anbefalingene fra tilsynet er ikke overraskende, og jeg tror nok andre tilsyn vil mene dette er riktig tenkt av CNIL. Det som er nytt, er at nå står det i et dokument. Dette er så praktisk viktig, at vi skal ta en runde på det i nettverket senere. Dette kommer åpenbart til å bli et enda viktigere tema i databehandleravtaler fremover.

---

COOKIES OG NYE BØTER

Google Analytics møter «Schrems-veggen»

Ikke overraskende møter Google Analytics (GA) «Schrems-veggen». Les Digis sak hvor Datatilsynet uttaler seg her. Legg merke til at Datatilsynet anbefaler alternativer, men det er ingen eksplisitte trusler om tilsyn. Det avdramatiserer saken noe. Se også denne artikkelen fra Digi som nevner alternativer til GA. Det finnes flere løsninger.

Bakgrunnen for saken er en av NOYBs (Schrems organisasjon) mange klager på virksomheter som bruker GA, denne gangen selve EU-parlamentet. Klagene fra NOYB har også angått virksomheter som bruker Facebook. Den 5. januar i år vedtok EDPS (som overser EU-institusjoners eget personvern) å pålegge EU-parlamentet å slutte å bruke Google Analytics, men de fikk ingen bot. Digi siterer Schrems og skriver «EDPS gjorde det klart at bare det å plassere en informasjonskapsel av en amerikansk leverandør på nettstedet er i strid med EUs personvernlovgivning. Ingen skikkelig beskyttelse mot amerikansk overvåking var på plass, til tross for at europeiske politikere er et kjent mål for overvåking, sier Schrems».

Det ligger 100 andre tilsvarende saker hos datatilsynene. Noen få norske selskaper er også innklaget, og jeg har jobbet med en av sakene. Det er rimelig å tro at konklusjonen på sakene vil bli tilsvarende. Det er fint om virksomhetene slipper bøter, men det er nok på tide å finne alternativer til Google Analytics.

Bøte-varsel til Google og Facebook

Google og Facebook er varslet store bøter for manglende cookie-compliance fra det franske datatilsynet. Kritikken er basert på at selskapene hadde en knapp for å akseptere cookies, men ingen enkel knapp for å avvise cookies.  Google varsles bot 150 000 000 euro og Facebook 60 000 000 euro. De får tre måneder på seg til å endre praksis, etter det tilkommer bøter på 100 000 euro per dag om praksis ikke endres.

---

TREDJELANDSOVERFØRING

Søkelyset rettes mot India

Historien om overføringsproblematikk til tredjeland fortsetter også på overordnet nivå. Det er interessant at Australia undertegnet en CLOUD-act avtale med USA i desember, dette kan du lese om her. Det har som kjent ingen land i EØS gjort.

EDPB har engasjert eksterne rådgivere til å vurdere rettstilstanden i Kina, Russland – og India. Vurderingen av sist nevnte land har kanskje de største praktiske konsekvenser for Vesten. Dette er altså ikke EDPBs egne vurderinger, men vurderinger fra eksterne forskere og eksperter. Kortversjonen er at i Kina har det offentlige få sperrer på å få tilgang til informasjon – på tross av at de nå har en personvernlovgivning. Det samme gjelder Russland, der de i tillegg tilføyer at landet har en «striking record» for å bryte menneskerettigheter.

Om India skriver de at selv om Høyesterett der nylig fattet avgjørelser som ivaretar personvernhensyn, er dette en ny praksis og landet har over lang tid brutt slike prinsipper. Den viktigste kommentaren er kanskje at selv om landet nå får en personvernlovgivning, ser lovgivningen ut til å ha en rekke vidtrekkende hjemler for at myndighetene kan kreve innsyn. Visstnok kan indiske myndigheter ikke holdes ansvarlig for brudd på regelverket. I oppsummeringen heter det: «the features of the proposed Personal Data Protection (PDP) Bill are discussed. The report concludes that, while the right to privacy was recently recognised by the Supreme Court of India, the government still benefits from wide exemptions to the data protection regime for governmental access to personal data. The concept of ‘national security’ is recurring, vague and broad, and it is often used as a ground to access any personal information stored in the Indian territory, including personal data of persons in the EU.» 

Dette er praktiske vurderinger det må være mulig å støtte seg på i egne tredjelandsvurderinger og i kontakt med leverandører. Se selve rapporten her.

EUROPA I SKYEN OG NYE SIKKERHETSHENDELSER

Blir det europeiske skyløsninger?

EU arbeider med nye initiativ for europeiske skyløsninger. Gaia-X, som vi så vidt har snakket om i nettverket, ser ut til å ha interne samarbeidsproblemer. EU-kommisjonen lanserte i desember et nytt initiativ for en «data and cloud alliance» med 39 deltakere, blant dem mange av de store selskapene. Mulig kommer det et nytt sett med retningslinjer for skyløsninger i løpet av 2022, der noe av målet er å redusere avhengighet av utenlandske teknologileverandører.

Stadig flere sikkerhetsbrudd

I forrige nyhetsbrev tok jeg opp at det er en økende trend med sikkerhetsbrudd. Det har kommet enda flere slike over julehelgen, for eksempel denne saken med Compu Group Medical.

Jeg må innrømme at jeg lurer på hvordan bedrifter skal forholde seg til dette. Bevilge ekstra penger til sikkerhet og pentesting? Det er nok en god idé, men den beslutningen må tas i styrerommet. Det er mulig at det er nettopp det Datatilsynet ønsker, ettersom de nå ofte skriver at ledelsen i selskapene som utsettes for slike hendelser har utvist grov uaktsomhet. Det kan åpne for styreansvar. Jeg kommer tilbake til tematikken i en større artikkel jeg arbeider med. Kanskje må Datatilsynet være tydelig på at ansvaret hører hjemme i styrene for at viljen til å bruke penger på datasikkerhet skal øke.

At vi må snakke mer om sikkerhet, er helt klart. Men jeg vil gjerne ha innspill på hvilke aspekter dere trenger input på. Vi snakker om det til uken.

KOMMENDE MØTER

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.