IT-jus nr. 2/22

onsdag 23. mars 2022 @ 08:00

Det er ikke vanskelig å lage nyhetsbrev om personvern. Det vanskelige er å begrense omfanget. Antallet interessante saker er stort og under har jeg valgt ut det jeg opplever som […]
Av Eva Jarbekk

Det er ikke vanskelig å lage nyhetsbrev om personvern. Det vanskelige er å begrense omfanget. Antallet interessante saker er stort og under har jeg valgt ut det jeg opplever som mest relevant akkurat nå.

Det dreier seg selvfølgelig om tredjelandsoverførsler, men også om personlig ansvar for overtredelser for en CEO, leverandørrevisjon og om generell compliance.

God lesning!

Hilsen Eva


PRIVACY SHIELD

Nytt Privacy Shield?

Amerikanske kilder hevder at amerikanske myndigheter og EU er i ferd med å nærme seg en enighet om en ny versjon av Privacy Shield. Kommer en løsning i løpet av våren? Kanskje.

Som tidligere, virker det som om amerikanerne snakker dette mer opp enn hva motparten i Europa gjør. Vi skal ikke se bort fra at krigen i Ukraina forsterker behovet for en avklaring og ikke minst behovet for å styrke samarbeidet på tvers av Atlanteren.

I mellomtiden lanseres tilsyn av bruk av cloudtjenester på tvers av de europeiske landene og nye veiledere for bruk av cloudløsninger publiseres. Se sakene under.


OFFENTLIG BRUK AV SKYTJENESTER

22 datatilsyn deltar i undersøkelse av offentliges bruk av skytjenester

Som ledd i EDPBs Coordinated Enforcement Framwork, har 22 datatilsyn i Europa iverksatt en koordinert undersøkelse av offentlige myndigheters bruk av skytjenester. Formålet er en kartlegging av bruken. Kartleggingen skal danne grunnlag for utforming av generelle retningslinjer om hvordan offentlige myndigheter kan benytte seg av cloudtjenester.

Dette er forøvrig den første konkrete koordinerte undersøkelsen som gjøres under «paraplyen» Coordinated Enforcement Framework, et initiativ som EDPB lanserte i oktober 2020.


NY VEILEDER OM CLOUD COMPUTING

Ny velskrevet, dansk veileder om cloud computing

Det danske datatilsynet har utgitt en ny veiledning om cloud computing. Den er lesverdig, særlig avsnitt 3.5 som omhandler tredjelandsoverføringer. Der går de på en pedagogisk fin måte gjennom utfordringene med FISA 702, EO 12.333 og Cloud Act. Konklusjonene de trekker, er imidlertid akkurat de samme som EDPB gjorde i sin veiledning om tredjelandsoverførsler. Noe annet hadde vært oppsiktsvekkende.

Så hva er nytt? Jo, det er flere eksempler i den nye veilederen som gir gode, praktiske råd for en praktisk og operasjonell vurdering av flere caser. Deres eksempel 10 er tydelig på at man i mindre grad trenger å fokusere på informasjon som finnes tilgjengelig i det offentlige rom, men dette har jo vært sagt og skrevet mange ganger tidligere.

Samtidig skriver de, slik det også har vært sagt før, at baksystemer kan registrere opplysninger som ikke er i det offentlige rom, og da spørs det likevel om det er noen hjelp i dette.


DATA PROTECTION IMPACT ASSESSMENT (DPIA)

DPIA på Teams, OneDrive, Sharepoint og Azure Ad

Datatilsynet i Nederland offentliggjør DPIA på Microsoft Teams, OneDrive Sharepoint og Azure AD.

I DPIA-en ser det ut til at MS double key encryption får positiv omtale. Denne saken må vi komme tilbake til i et nettverksmøte fordi saken fordi DPIA-en er meget omfattende. Vi må også komme tilbake til ulike krypteringsvarianter. Men for de som er spesielt interessert i å vurdere MS-produkter, er dette obligatorisk lesing allerede nå.


DATA PROTECTION OFFICER OG INTERESSEKONFLIKTER

Fokus på DPO-enes uavhengige rolle

En mindre tilsynssak i Belgia har utviklet seg til en større, mer prinsipiell sak angående DPO’enes uavhengige rolle: Ved ordinært tilsyn hos en bank ble det avdekket en mulig interessekonflikt mellom den ansattes rolle som DPO og øvrige roller vedkommende hadde i banken.

En lignende sak ser ut til å være under utvikling her i landet også i forbindelse med en pågående tilsynssak hos Telenor.

Det er all grunn til å være særlig oppmerksom på at bedriftens DPO har en reell uavhengig rolle.

OM CEO-enes personlige ansvar

Nylig ble en administrerende direktør i et firma i Tyskland dømt til å være personlig ansvarlig for brudd på personvern grunnet aktiviteter vedkommende hadde igangsatt i rollen som direktør. Sammen med en kollega har jeg skrevet en omtale av saken i DN. En viktig konsekvens er at man bør forstå at en bedrifts «risikoaksept» ofte kan innebære lovbrudd.


COOKIES

Om samtykker til markedsføring og cookies

Det skjer enda mer i Belgia som kan ha ringvirkninger for oss her i Norge: Det belgiske datatilsynet har varslet IAB Europe, en multinasjonal bransjeorganisasjon for mediehus og annonsører, en bot på 250 000 euro for brudd på GDPR. Bruddet har skjedd ved at det datarammeverket som IAB Europe har utviklet for innsamling og samtykker til markedsføring/annonsering, og som medlemmene i organisasjonen benytter seg av, innebærer vesentlige brudd på grunnleggende prinsipper for behandling av personopplysninger, hjemmelsgrunnlag, opplysningsplikt og behandlingssikkerhet.

LesBelgisk afgørelse kan have betydning for danske hjemmesider og Populært rammeverk for samtykke-bokser er ikke i tråd med GDPR

Det belgiske datatilsynet fant at selv om IAB Europe anså seg selv som kun en databehandler, er de i realiteten å anse som behandlingsansvarlig. Det henger sammen med at det er IAB Europe som bestemmer vilkår og retningslinjene for bruken av datarammeverket.

En annen ting det kan være grunn til å merke seg i denne saken, er beløpets størrelse og fristen for å rette opp: IAB Europe er gitt en frist på 2 måneder til å komme opp med en plan for å rette feilene og den skal være implementert innen 6 måneder. Strategien med å gi en lav bot først med mulighet til å rette feil er ganske ny fra et datatilsyn, men vil oppleves mer rettferdig enn en veldig høy bot uten mulighet til å rette.

Svensk og dansk datatilsyn gir også ut mange «reprimander», ikke alltid bøter. Det kan godt hende det blir like bra personvern av en slik tilnærming som av å gi store bøter med en gang.

Vi er blant cookie-verstingene

I saken om IAB Europe, er håndteringen av cookies en helt sentral del av vedtaket. Presset mot cookie’ene øker, og her hjemme på berget er vi nå blant «verstingene» når det gjelder aksept og bruk av cookies. Dette fordi vi – pussig nok – fremdeles aksepterer browsersamtykker. Datatilsynet har derfor sendt et brev til til Kommunal- og distriktsdepartementet om å strømlinjeforme norske cookie-regler med de som gjelder i EU.

Uavhengig av dette, er det vår klare anbefaling at virksomheter med aktivitet i flere land bør forholde seg til EUs regler, og EDPBs retningslinjer på dette området, og ikke avvente departementets svar. Et annet tilfelle der det fokuseres på bruk av cookies, er nedenforstående kritikk fra det danske datatilsynet mot rubrikkmagasinet Den Blaa Avis:

Datatilsynet vurderer, at de forskellige behandlinger, som en besøgende ved at vælge ”Accepter” gav samtykke til, udgjorde flere forskellige behandlingsformål, herunder markedsføring, indsamling af oplysninger med henblik på at forbedre og personalisere brugerens oplevelse på hjemmesiden samt videregivelse af oplysninger til tredjepartsselskaber med henblik på disse selskabers behandling af oplysningerne. Formålene var derfor ikke opdelte og præcist angivet.

Endvidere var tredjepartsselskaberne ikke specifikt angivet i samtykkeløsningen, og der fremgik heller ikke et link eller fold-ud menu i nær tilknytning til det formål, hvortil oplysningerne blev videregivet.


PERSONVERN

Vær nøye med personvernerklæringene – de må stemme

En pussig liten sak fra det danske datatilsynet viser hvor viktig det er at personvernerklæringene stemmer overens med den databehandling som faktisk finner sted: Datatilsynet fant at Næstved kommune hadde brutt Artikkel 5(1)(a) i GDPR ved å hevde i sin personvernerklæring at de benyttet seg av dataene til markedsføring, når de beviselig ikke gjorde dette.

Du kan ende opp som ansvarlig for underleverandørers handlinger

Leverandøraudit er viktig. Det italienske datatilsynet har varslet en bot på 400 000 euro til en virksomhet som ikke i tilstrekkelig grad hadde sikret seg at en underleverandør behandlet persondataene de mottok fra dem på en korrekt og ansvarlig måte.

Et gedigent forlik, men likevel «et spytt i havet» for et tog som har gått for lenge siden

Meta, morselskapet til Facebook, har inngått forlik på $90 millioner i et gruppesøksmål som har versert i rettssystemet i 10 år. Forliket dreier seg om en praksis som Facebook har forlatt for lengst, nemlig at de sporet brukernes aktiviteter på internett selv etter at de var logget av plattformen.

Det kan ta lang tid å lande store personvern-saker, men det kan likevel koste dyrt til slutt. Selv praksis som har opphørt for lenge siden kan lede til gruppesøksmål og sanksjoneres. Det kan koste dyrt langt inn i fremtiden å ikke være compliant nå.

Til slutt: Vårt hjemlige datatilsyn har stadig fokus på kredittopplysninger og misbruk av slik informasjon. I saken gjennomførte en etterforsker en kredittvurderingen på vegne av en kunde som mente å ha et erstatningskrav mot den kredittvurderte. Det var ikke god nok grunn.


KOMMENDE MØTER

24. mars 14.00 – 16.00 Digitalt nettverksmøte
21. april 12.00 – 13.00 Digital drop-in
12. mai 14.00 – 17.00 Nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
#