Den siste måneden har det igjen kommet flere store nyheter om personvern. I Norge har Personvernkommisjonen avgitt sin rapport og det er å håpe at det finnes ressurser og vilje til å følge opp mange gode forslag.

I øvrig går den store diskusjonen på om man kan stole på den nye overføringsgrunnlaget mellom Europa og USA – noe som aldeles ikke er sikkert selv om det ville gjort livet lettere.

Akademikere har også hevet seg ut i en ny diskusjon om hvorvidt EDPB og datatilsynene har gjort rett i å utelukke en risikobasert tilnærming til konsekvenser av overføringer til USA. En mer risikobasert tilnærming ville åpenbart gjort overføringer enklere, samtidig som man ville få utfordrende diskusjoner om hva som er akseptabel risiko. Inntil noen får gjennomført en rettssak som endrer tilsynenes rettsoppfatning, er det nok lurt å følge retningslinjene fra EDPB.

Hilsen Eva

OVERFØRINGER FRA EUROPA TIL USA

Executive Order fra Biden – et skritt i riktig retning?

En av de mest omtalte sakene de siste ukene, er at president Biden den 7. oktober undertegnet en såkalt Executive Order («EO») for å legge til rette for overføringer av personopplysninger fra Europa til USA. Europeere gis en sterkere beskyttelse mot overvåking fra amerikanske myndigheter, særlig ved at det innføres et proporsjonalitetsprinsipp og et nødvendighetsprinsipp. Det skal være nødvendighet og proporsjonalitet mellom formålet for overvåkningen og de personopplysningene som overvåkes. Det opprettes også en klagemekanisme i to instanser for påståtte overtredelser. Den siste klageinstansen kalles en «Data Protection Review Court», og den skal kunne fatte bindende bestemmelser om klager.
 
NOYB har selvfølgelig kommet med en analyse av om tiltakene er gode nok. Kortversjonen av analysen er at overvåkingen fremdeles utgjør det som kalles bulk overvåking og at det de kaller en klagedomstol, ikke er en reell domstol. Videre understreker NOYB at selv om det innføres kriterier om nødvendighet og proporsjonalitet, så innebærer disse ordene noe annet i USA enn hva de gjør i EU.
 
Neste trinn er at EU-kommisjonen vil fremsette et forslag til en såkalt adekvansvurdering av ordningen etter GDPR artikkel 45, og denne vil bli sendt til EDBP for deres uttalelse. Eventuelle kommentarer fra EDPB er ikke avgjørende, men det er grunn til å tro at det vil bli lagt stor vekt på dem. Deretter vil EU-landene stemme over forslaget og til slutt vil kommisjonen vedta adekvansbeslutningen.
 
Muligens har man da et overføringsgrunnlag som kan tas i bruk i mars 2023, men samtidig er det grunn til å tro at NOYB (eller andre) vil angripe dette rettslig. De fleste jeg snakker med, forholder seg mindre til det nye rammeverket og mer til hva som er tilstrekkelige ekstra tiltak etter EDPBs foreliggende retningslinjer.
 
Caitlinn Fennessy fra IAPP har en god analyse om dette, med en litt annen vikling enn NOYB.

Det er farli’, det

Det hadde jo vært fint om man fikk et enkelt og lovlig overføringsgrunnlag for personopplysninger til USA. Bare det at det kommer nye avgjørelser fra Datatilsynene om at man ikke kan bruke Google Analytics setter grå hår i hodet på mange. Det samme gjelder at NRK har besluttet å ikke lenger bruke Mailchimp av samme grunn. 

Jeg er i tvil om jeg synes det er en stor personvernrisiko å bruke Mailchimp for ukontroversielle mailabonnement, selv om NSA skulle følge med på hvilke nyhetsbrev jeg selv har. At det ikke er 100 % formelt compliant forstår jeg. Men er det farlig?

DATABEHANDLERAVTALER 

Google og Microsoft gjør endringer i databehandleravtalene

Nordic Privacy Arena ble nylig avholdt i Stockholm. Jeg var så heldig å få lede en debatt mellom blant annet det danske Datatilsynet ved Allan Frank og Googles personvernsjef, Peter Fleischer. Det var svært interessant!

Google håper på at tekniske tiltak vil kunne avhjelpe overføringsproblematikken,  mens det danske datatilsynet er opptatt av å være lojal mot ECJ og Schrems II. På konferansen hadde Google en egen seanse der de beskrev hvordan de vil endre databehandleravtalen (i alle fall for noen skoler) i lys av datatilsynets fokus på bruk av enkelte typer personopplysninger som loggdata/hendelsesdata. Dette handler jo egentlig ikke om overføring til USA, men om bruk av opplysninger og balansen mellom databehandler og behandlingsansvarlig.

Microsoft har også gjort en del endringer i sin databehandleravtale, etter det opplyste med virkning for alle kunder, fra 15. september. Det er et skritt i riktig retning at så store aktører endrer sine vilkår.

TREDJELANDSOVERFØRINGER

Er risikobasert tilnærming ok likevel?

Hvordan skal man forstå hva som er relevant risiko når man overfører personopplysninger til land utenfor EU? Som dere vil huske, har både EDPB og datatilsynene vært tydelige på at man i vurderingen av om et mottakerland har «ekvivalent» beskyttelsesnivå, ikke kan ta en risikobasert tilnærming. Enten har mottakerlandet ekvivalent beskyttelsesnivå, eller så har det det ikke.
 
I Norge måtte Digitaliseringdirektoratet (Digdir) nylig gå i møter med det norske Datatilsynet etter at de hadde gitt ut sin nye veileder, nettopp fordi de der hadde anbefalt en risikobasert tilnærming. Datatilsynet var uenig i dette. Veilederen vil antakelig komme en revidert versjon basert på dialog mellom Datatilsynet og Digdir.

Men i Nederland har advokat Lokke Moerel nylig offentliggjort en omfattende juridisk analyse av betingelsene for overføring av personopplysninger til tredjeland, og hun konkluderer med at det er juridisk grunnlag for å kunne benytte seg av en risikobasert tilnærming. Til tross for at retningslinjene til EDPB eksplisitt konkluderer med at det ikke er lovlig. Moerel er ingen nybegynner, hun har tidligere utgitt en meget anvendt bok om Binding Corporate Rules og regnes som en av Europas beste personvernadvokater. I artikkelen skriver hun at EDPB og Datatilsynet tolker GDPR for strengt når de sier at det er en binær forståelse av om mottakerlandet har en «ekvivalent» personvernbeskyttelse som i EU. Hun mener at en slik vurdering skal være risikobasert og hun er tydelig på at EDPB og Datatilsynene er for strenge.
 
I dette nyhetsbrevet er det ikke plass til en gjennomgang av argumentasjonen, og den er muligens også mest aktuell for akademikere, all den tid både EDPB og lokale datatilsyn legger til grunn at slik tilnærming ikke er tilstrekkelig. Likevel: Kortversjon er at Moerel mener at prinsippet om forholdsmessighet i GDPR artikkel 24 skal anvendes også på GDPR kapittel 5 om overføringer, mens EDPB og datatilsynene mener at det er de noe mere rigide prinsippene i artikkel 5 som må anvendes på kapittel 5 om overføringsspørsmål. Den spesielt interesserte kan lese Moerells analyse her.

PERSONVERN

Ditt personvern – vårt felles ansvar

I øvrig har vel alle fått med seg at Personvernkommisjonen nylig har publisert sin rapport «Ditt personvern – vårt felles ansvar». Datatilsynet virker å være enig i funnene og anbefalingene fra kommisjonen. Det er lett å forstå at Datatilsynet støtter dets anbefalinger om konkrete tiltak innenfor digitalisering i skole og barnehage. Datatilsynet mener også det bør utredes videre et generelt forbud mot atferdsbasert markedsføring, noe som har vært høyt på det norske Datatilsynets agenda i lang tid. Les Datatilsynets kommentar her. 

Europeisk personvernsertifisering godkjent

Den 12. oktober, vedtok EDPB det de kaller «Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal». Dette handler om en europeisk personvernsertifisering. Det er første gang EDPB godkjenner et slikt godkjentstempel. Formelt sett er dette gjort basert på GDPR artikkel 42.
Helt konkret innebærer godkjenningen at selskapet European Centre for Certification and Privacy (Europrivacy) kan sertifisere virksomheter – altså godkjenne at de er «compliant» med GDPR.
 
Det blir spennende å se hvordan dette utvikler seg videre, antakelig vil denne type sertifisering være relevant for en god del bedrifter. Samtidig er det i sosiale medier også en del kritikk om at dette vil bli en dyr prosess som ikke passer for alle.

Det er åpenbart at noen selskaper vil mene at det er business å gjøre i personvern. Europrivacy er ett av dem.

TEMA FOR NESTE MØTE

Nye EU-regelverk blir tema i neste møte

I vårt digitale møte på torsdag skal vi snakke om nye regelverk fra EU innen vårt område. Det er mange å ta av. Nå har f.eks. EU-kommisjonen nylig foreslått nok et sett med regler om kunstig intelligens. De foreslår noe som kalles et AI Liability Directive som skal redusere bevisbyrden for mennesker som vil saksøke en ansvarlig på grunn av hendelser med produkter som bruker kunstig intelligens. Dette regelverket vil, hvis det blir vedtatt, gjelde i tillegg til den foreslåtte forordningen om AI. Det er selvfølgelig vanskelig å si både om og når dette eventuelt blir en realitet, men kjernen i tankegangen synes å være at individene ikke skal kunne måtte forstå selve logikken bak den kunstige intelligens de har blitt utsatt for, men at det holder med en årsakssammenheng mellom produktet og en oppstått skade. Vi får nok av regler å forholde oss til fremover. Les mer om dette her.

EUROPEISKE DATATILSYN

Stor aktivitet blant datatilsynene i Europa

I øvrig er det som vanlig en rekke nye saker fra Datatilsynet i Europa. Det er flere avgjørelser om manglende respons på innsynsbegjæringer, manglende samtykker, opplysninger som lagres for lenge, manglende sikkerhetstiltak og andre forhold. Under er noen saker som vekket min interesse.
 
Samtykker er stadig i vinden. Det italienske Datatilsynet, Garante, har bøtelagt et amerikansk selskap som tilbyr en app for diabetikere. Boten på 45 000 EUR gjelder blant annet at brukernes epostadresser ble tilgjengelig for andre, men også at ved å laste ned appen ville et klikk medføre at de aksepterte hele personvernerklæringen. Dette forhindret brukerne fra å gi separate samtykker til ulike behandlinger, som blant annet omfattet helserelaterte opplysninger. Dette var i strid med blant annet prinsippet om transparens. Saken omhandlet også en rekke andre elementer og dere kan lese mer om disse her. Mye taler for at man må ha mere granulære samtykker fremover.
 
I en sak fra Nederland, var situasjonen at en ansatt snoket i journalen til en av pasientene gjentatte ganger. Den behandlingsansvarlige ble pålagt å betale pasienten 2000 € for tort og svie. I saken ble sykehuset også kritisert for å ikke på en tilstrekkelig måte logge ansatte med ubegrenset tilgang til pasientjournaler og at de kun gjennomførte månedlige stikkprøver på to journaler for å se om det var gjort urettmessige oppslag. Beslutningen er i liten grad omtalt i engelskspråklige medier, men finnes i original språk her. Saken viser at logger er viktig (men ofte oversett) og at det er sentralt å ha en god balanse mellom å ha for få og for mange logger.
 
Samtidig kommer NOYB med krass kritikk av flere nye avgjørelser om erstatning for tort og svie i Europa. Et av forholdene som blir kritisert springer ut av en ny sak for ECJ der Generaladvokaten søker å begrense hvor mye det kan søkes erstatning for. Fra et norsk synspunkt synes denne kritikken litt fremmed ettersom vi ikke har tradisjon for å gi store beløp i erstatning for tort og svie. Det er klart at det nok kan virke motiverende for å sikre etterlevelse hvis slike krav blir store, likevel tror jeg nok at det viktigste er at Datatilsynet sikrer etterlevelse gjennom for eksempel å pålegge vedtak om å stanse behandlinger som ikke er slik de skal.

PÅMINNELSER

Få på plass databehandleravtaler, folkens!

I Polen ble det i sommer gitt en bot til et kultursenter som overførte personopplysninger til et eksternt personvernombud. Årsaken til boten var at kultursenteret ikke hadde inngått en skriftlig avtale med personvernombudet slik det er krav om etter artikkel 28.

Har du husket fristen 27. desember?

Til de av dere som overfører personopplysninger til land utenfor EØS: Husk at det er en frist for å få alle overføringer til land utenfor EØS over til de nye SCC’ene den 27. desember i år. Hvis ikke leverandørene deres har tatt initiativ til dette for dere, må dere kontakte dem selv nå.

KOMMENDE MØTER

Se hele oversikten over kommende aktiviteter i nettverket her.

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.