IT-jus nr. 5/22

mandag 29. august 2022 @ 08:00

Mens de siste somrene har vært preget av nye store beslutninger fra EU-domstolen eller nye retningslinjer fra EPDB, har denne sommeren  vært relativt fri for store personvernnyheter fra sentrale EU-organer: […]
Av Eva Jarbekk

Mens de siste somrene har vært preget av nye store beslutninger fra EU-domstolen eller nye retningslinjer fra EPDB, har denne sommeren  vært relativt fri for store personvernnyheter fra sentrale EU-organer: Ingen nye Schrems-dommer, ingen nye retningslinjer for tredjelandsoverføringer og ingen nye SCCer (Standard Contractual Clauses). Heller ingen ny overføringsavtale mellom USA og EU, selv om det var forventet.

Derimot har nasjonale personvernmyndighetene vært aktive, og det er mange nye vedtak som er av interesse. Det er tydelig at de håndhever GDPR ganske strengt og ganske bokstavelig. Dette er i og for seg ikke overraskende og har vært varslet av mange, men det stiller sterkere krav til reell etterlevelse.

Det kommer til å bli en spennende personvernhøst og allerede i august har det skjedd mye interessant. Det franske datatilsynets (CNIL) varslede bot på 60 millioner euro til et fransk adtech-selskap for eksempel. Men det tar vi i neste møte. Under er noen av de viktigste sakene fra i sommer.

Hilsen Eva


OVERFØRING TIL TREDJELAND – OFFENTLIG SEKTOR

Forbyr Chromebook på skoler

Det danske datatilsynet har fortsatt å fokusere på skytjenester og overføringer til tredjeland, spesielt overføringer til USA. Datatilsynet har derfor forbudt Helsingør kommune å bruke Google Chromebook på skoler.

Vedtaket ble endelig 18. august, etter at kommunen hadde innlevert mange hundre sider med innvendinger og ordføreren hadde kritisert Datatilsynet kraftig i det offentlige rom. Tilsynet mener kommunen ikke har dokumentert at de har redusert personvernrisikoen barna er utsatt for.

Bakgrunnen for vedtaket er at kommunen ikke kunne fastslå om skolebarnas personopplysninger kunne brukes av tredjepart. Ved å la barna bruke Gmail, Google Dokumenter, Kalender og Google Disk, fant Datatilsynet at databehandlingsavtalen som regulerte dette, tillot at data – ved behov for brukerstøtte – ble overført til land utenfor EU.

I pressemeldingen om vedtaket skriver tilsynet følgende:

«Lærere og elever står lige nu i en svær situation, hvor de ikke kan benytte de redskaber, de plejer. Vores afgørelse forbyder på ingen måde brug af it i skolerne – men den konkrete brug af nogle bestemte redskaber i kommunen er ikke forsvarlig over for børnenes oplysninger. Og lidt firkantet sagt er det en konsekvens af kommunens valg og fravalg gennem flere år,» siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

«Målet her er ikke at leve op til noget uigennemskueligt bureaukrati, men at passe på elevernes oplysninger. Børn har ifølge GDPR krav på en særlig beskyttelse. Vi kan hver især som voksne mennesker frit vælge, hvilke digitale tjenester vi har lyst til at bruge, men børn skal nu engang benytte de redskaber, som folkeskolerne stiller til rådighed for dem. Og derfor er det vigtigt, at kommunerne sikrer sig, at børnenes oplysninger ikke bliver brugt til andre formål end dem, folkeskoleloven giver mulighed for – eksempelvis markedsføring, profilering eller produktudvikling.»

Pressemeldingen viser at Datatilsynet er meget klar over konsekvensene av sin avgjørelse. Det viser også at det at man – eller «alle» – har brukt en type løsning i mange år ikke gjør krav til etterlevelse mindre. Det danske tilsynet pleier å si at det «bare» følger prinsippene som EU-domstolen fastslo i Schrems II-dommen. Samtidig er viser de seg ganske handlekraftige i kjølvannet Schrems II-dommen sammenlignet med en del andre tilsyn. Utfallet av denne saken vil nok bestemme hvor aktive også andre tilsyn blir fremover.

Generelt mener tilsynet at den DPIA‘en som kommunen har gjennomført, er for overfladisk. Tar man bort overskrifter og annen «luft», reduseres analysen fra 36 sider til 6-7 sider. Beskrivelsen av risiko for barnas personvern er tynn, og avhjelpende tiltak dårlig beskrevet. Kommunen kritiseres blant annet for å ikke ha beskrevet konsekvensene av sin kontrakt med Google. Spesielt pekes det på at det ikke tas høyde for at Google på en del områder definerer seg som behandlingsansvarlig for enkelte av opplysningene. Dette er ganske grunnleggende personvernjuss. Tar man et behandlingsansvar, har det mange konsekvenser. I denne sammenhengen minner jeg om de undersøkelser EDPS selv har gjort av plassering av behandlingsansvar i sin kontrakt med Microsoft. Flere må nok ta inn over seg at dette er relevant i risikovurderinger av skytjenester. Se mer om EDPS’ sine konklusjoner fra 2020 her.  EDPS holder som kjent på med en lignende analyse nå i 2022, men resultatene derfra er ikke offentliggjort enda. 

Datatilsynet påpeker i omtalen av vedtaket at selv om det konkrete vedtaket gjelder Helsingør, vil de samme prinsippene gjelde også for andre kommuner. Kommunen er gitt en frist til å slette brukerdata.

Det norske Datatilsynet har ikke fattet noen tilsvarende vedtak om skytjenester i norske skoler, men de har kommentert avgjørelsen.


OVERFØRING TIL TREDJELAND – PRIVAT SEKTOR

Undersøker selskaper i forsikrings- og helsesektoren

Det danske Datatilsynet har også varslet at de undersøker tredjelandsoverføringer utført av to private selskaper i Danmark, for å se om disse selskapene følger alle gjeldende retningslinjer om overføring av data. Det ene selskapet er i forsikringssektoren, det andre i helsesektoren Det skal bli spennende å se om tilsynet er like prinsipielle her som med Helsingør. Jeg ville gjette på at de er det, fordi dette er bransjer som oppbevarer sensitive data.


India trekker sitt forslag til personvernlovgiving

Her kan også nevnes at India har trukket sitt forslag til ny personvernlovgivning. Bakgrunnen synes å være at de ønsker å kunne bli et «adekvat» land å overføre til fra EU. I dette kan man nok legge at de forsto at den foreslåtte lovgivningen ikke var tilstrekkelig, spesielt var det kritisert at myndighetene fikk for store rettigheter til å kreve innsyn. Dette ligner på kritikken som har blitt rettet også mot USA.

En av mine indiske personvernvenner har skrevet om dette her.

Hva er verst – bøter eller pålegg om å stoppe tjeneste?

I lys av Helsingør-saken er det fristende å sitere en klient som denne uken sa at det er jo ikke alltid truslene om bøter som er det verste – det er enda mer truende for virksomheten om man blir pålagt å slutte å bruke it-tjenester man er avhengig av. Denne klienten har mange kundedata i en amerikansk skyløsning. Det er nok lurt om flere begynner å tenke slik.


FORDELSPROGRAMMER OG KUNDEINFORMASJON

Åpner gransking av Elkjøp

Det norske Datatilsynet har åpnet en gransking av Elkjøp, en av de største forbrukerelektronikkgruppene i Norge. Datatilsynet har gjennomført stedlig tilsyn og kontroll av Elkjøps kontorer. Slike fysiske tilsyn kan gjøres av Datatilsynet, men det er ganske uvanlig. 

Bakgrunnen for tilsynet er at Datatilsynet over en lengre periode har mottatt flere klager og avviksmeldinger knyttet til behandling av kundeopplysninger i Elkjøp.

Tilsynet har gjennomgått dokumenter, tatt stikkprøver i systemer og i kundesaker, samt gjennomført intervjuer av ledelse og andre medarbeidere. Dette kan i seg selv være en oppfordring til å se på om dere har rutiner for hva man skal gjøre dersom Datatilsynet banker på døren en dag. Det ligner på dawn raids og det er lurt å ha en intern retningslinje om hva man bør foreta seg – og hva man ikke bør gjøre.

Tilsynet fokuserte på behandling av personopplysninger i selve konsernet, som i Elkjøp består av flere franchisetakere. Felles behandlingsansvar i konsernet var også et tema.  Her er det viktig å påpeke at det i de fleste konsern er nødvendig med såkalt intra-group avtaler om behandling og deling av personopplysninger.
Et interessant fokus var også på informasjonssikkerhet knyttet til smart-produkter. Hvis et slikt først brukes av en kunde, og så selges videre til en annen – har man ivaretatt og slettet personopplysningene som ligger på smart-produktet?

Generelt viser denne saken at det i Norge er et økende fokus på håndtering av kundedata. Hvis kunder klager til tilsynet over behandlingen av sine data, så øker risikoen for oppmerksomhet fra Datatilsynet. Akkurat det skulle bare mangle. Dessuten: Datatilsynet og Forbrukertilsynet er i ferd med å bli et mektig tospann for alle som har kundelojalitets- og fordelsprogrammer.

â€Ķ og gransking av varehuset Magasin

Det danske Datatilsynet har derimot nylig fattet et vedtak om et lojalitetsprogram og avgjørelsen skiller seg betydelig fra det som har vært det generelle synet i Norge og andre land.

Det danske Datatilsynet mottok en klage på at varehuset Magasin stilte krav til at medlemmer i deres lojalitetsprogram måtte motta nyhetsbrev med reklame. Medlemmene måtte samtykke til nyhetsbrev, enten de ville eller ikke. Spørsmålet var om samtykket var frivillig.

Det danske Datatilsynet syntes imidlertid dette var akseptabelt, hovedsakelig fordi forbrukeren likevel kunne kjøpe produkter fra Magasin til ordinære vilkår. Les mer om vedtaket her.

Denne beslutningen kan potensielt ha stor betydning for mange innen retail. Jeg vet om ganske mange som gjerne skulle bundlet reklame med medlemskap på denne måten. Jeg er i ferd med å gjøre noen undersøkelser i saken for å se hvor stor overføringsverdi den faktisk har. I denne saken er utfallet utenom det man skulle forvente.


ANSETTELSESPROSESSER

Innsamling og gjengivelse av referanser for jobbsøkere

Det danske Datatilsynet har også fattet vedtak angående innsamling av referanser til jobbsøkere. En skole (skole A) vurderte å engasjere en person i en praksisplass og snakket med en annen skole (skole B) der den ansatte hadde jobbet tidligere, uten å ha avklart dette med kandidaten i forkant. Jobbsøkeren klaget på dette og viste til GDPR, artikkel 6 (1)(f). Datatilsynet fant at fordi skole A ikke tok noen skriftlige notater av samtalen, var behandlingen av personopplysninger utenfor omfanget av GDPR.

Informasjonen ble rett og slett ikke samlet inn for å bli behandlet elektronisk eller ment å være en del av et register.

Når det gjelder informasjonen gitt av skole B, fant Datatilsynet at de hadde rettslig grunnlag for å gi denne informasjonen i henhold til GDPR artikkel 6 (1)(f). Les beslutningene her.


ANONYM VARSLING OM BRUDD

Egen varslingskanal for brudd på personvernregler?

Den svenske databeskyttelsesmyndigheten IMY har etablert en egen varslingskanal for ansatte som ønsker å varsle IMY om at personvernregler ikke følges av arbeidsgiveren. IMY er forpliktet til å etablere en slik kanal på grunn av en varslingslov som trådte i kraft i Sverige i 2021. Se artikkelen deres om dette her.

Et tilsvarende opplegg er tilgjengelig i Norge, hvor ansatte kan sende anonym informasjon til Datatilsynet.

Det er definitivt både fordeler og ulemper med anonym varsling, og slik praksis har blitt diskutert mye på andre juridiske felt, så som i arbeidsretten. Gitt at betydningen av personvern i arbeidsforhold øker, og at det etter hvert også kan dreie seg om store bøtebeløp for bedrifter, er det kanskje ikke overraskende at det kommer en mulighet for varsling også på denne arenaen. Men det er også lov å si at innføringen av slike anonyme «sladrings»-kanaler sannsynligvis vil bidra til å øke det generelle konfliktnivået innen så vel arbeidsliv som personvern.


KOMMENDE MØTER

25. aug 14.00 – 17.00
  Nettverksmøte
22. sept 12.00 – 13.00
  Digital drop-in
20. okt 14.00 – 16.00
  Digitalt nettverksmøte
Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#