Den mest praktiske og viktige nyheten om personvern i Norge den siste tiden, er Datatilsynets reviderte veileder om overføringer av personopplysninger til tredje land. Kanskje ingen nyhet egentlig, men det er en meget god samlet fremstilling av forvaltningspraksis, domspraksis og andre kilder fra mange land som er relevante for å ta stilling til om en overføring er i tråd med GDPR kapittel V. Den vil kunne være et praktisk oppslagsverk for mange, da de færreste nok er kjent med alle aspekter av problemstillingene. Helt generelt synes jeg det har blitt mye fokus på tredjelandsoverføringer fra klienter i det siste, Datatilsynets vedtak om henholdsvis GA og saken Helse Sør-Øst har nok bidratt til dette. Hjelper det å bruke GA4, for eksempel? Det kommer vi tilbake til i neste nettverksmøte. En annen viktig sak er at det er blitt klart for mange at man ikke alltid kan klage til Personvernnemnda på vedtak fra Datatilsynet som man er uenig i. Det har også meget store konsekvenser fordi kostnaden på personvernspørsmål øker. Min favoritt blant nyhetene under er nok likevel spørsmålet om hunder har personvern. Happy reading!

Hilsen Eva

TREDJELANDSOVERFØRINGER

«Manglende vurderinger i forkant kan være (…) et alvorlig lovbrudd»

Et av de viktigste utsagnene i den nye veilederen fra Datatilsynet, er en liten enkel setning. Den lyder: «Datatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak». Overraskende er det ikke, det ville det derimot vært om de hadde skrevet noe annet. Dette kan nok sies å sette punktum for deler av veilederen fra DigDir.

Vi skal ikke gå gjennom kriteriene for overføringer, de fleste kan dem nå godt. Men det er verdt å merke seg at de skriver følgende:

• «I en eventuell tilsynssak vil Datatilsynet være særlig opptatt av at vurderingene er dokumentert.»

Og:

• «Vi presiserer for ordens skyld at dere (les behandlingsansvarlige) har plikt til å gjennomføre tilstrekkelige vurderinger i forkant av behandling av personopplysninger, uavhengig om det senere skulle vise seg at behandlingen ikke er problematisk. Manglende vurderinger i forkant kan være i strid med ansvarlighetsprinsippet, noe som i seg selv kan være et alvorlig lovbrudd.»

Sammen med den portugisiske saken jeg omtalte i forrige brev – der det ble delt ut en stor bot fordi man ikke hadde gjort verken DPIA eller TIA – er det all grunn til å understreke at det er viktig å ha dokumentasjonen på plass.

Den 14. februar kom EDPB med en mye omtalt ny guideline om «the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V» (se EDPB Guidelines 05/2021). Overskriften kan høres komplisert ut, men Datatilsynet har inkorporert konklusjonene fra guidelinen i sin oppdaterte veileder.

Der står det blant annet følgende:
Hvis en behandlingsansvarlig basert i EU er databehandler for en enhet som også er basert i EU, men hvor denne enheten er et datterselskap av et selskap basert i et tredjeland, så må spesielle vurderinger gjøres. I seg selv er ikke dette en overføring til tredjeland. Men det blir en overføring om databehandleren, som datterselskap av – for eksempelet amerikansk morselskap – er underlagt lovene i landet der mor er etablert og kan pålegges å overføre opplysninger til tredjelandet i samsvar med lokale lover. Dersom databehandleren overholder dette og overfører dataene til myndigheter i tredjelandet, anser EDPB dette som en tredjelandsoverføring.

Og videre: Dersom den behandlingsansvarlige har forbudt en slik overføring i databehandleravtalen, handler databehandleren i strid med instruksjonene fra den behandlingsansvarlige og anses selv å være behandlingsansvarlig for denne behandlingsoperasjonen i henhold til Art 28 (10) GDPR. Den behandlingsansvarlige plikter på forhånd å kontrollere om leverandørene er underlagt slike tilgangsrettigheter fra utenlandske myndigheter og om nødvendig treffe passende tekniske og organisatoriske tiltak for å sikre at dette ikke skjer.

Akkurat på dette punktet er det mange som bør se nøye på hvordan skytjenestene deres er satt sammen og hvilken tilgang leverandøren har.

Deler av dette er omtalt i en artikkel jeg skrev i digi sammen med noen kolleger. Les den her.

Helse Sør Øst inngår samarbeid med Microsoft om lagring av pasientdata

Helse Sør Øst jobber for tiden med en avtale om lagring av pasientdata i samarbeid med Microsoft. Administrerende direktør i Helse Sør Øst, Terje Rootwelt, sier at avtalen er nødvendig for å effektivisere sykehusdriften. Helseregionen skal bytte ut bemannede resepsjoner med skjermløsninger der pasientene selv registrerer sine opplysninger, inklusive helseopplysninger. Datatilsynet anser dette som svært problematisk, ettersom den amerikanske lovgivningen ikke oppstiller et like godt vern av personlige opplysninger som GDPR. Deres anbefaling er dermed å vente med en slik omstilling frem til en avtale mellom EU og USA er på plass. Anbefalingen er interessant i seg selv, da det tyder på en optimisme hos vårt Datatilsyn om holdbarheten på den fremtidige nye overføringsavtalen.

Rootwelt mener på sin side at behandlingen allerede er innenfor lovverket, og er det beste for pasientene. Rune Simensen, direktør for teknologi og eHelse i Helse Sør-Øst, sier de har hatt omfattende dialog med Datatilsynet om valg av løsninger og at de tar hensyn til alle deres anbefalinger:

•  Det er vurdert om amerikansk lovgivning er ansett for problematisk, både med hensyn til om lovgivningen kan komme til anvendelse og om det er grunn til å tro at lovgivningen i praksis vil komme til anvendelse for helselogistikk-løsningen. Konklusjonen i vurderingen er at problematisk amerikansk lovgivning ikke vil komme til anvendelse i praksis.
• − Vurderingen understøttes av statistikk som viser hvordan regelverket brukes i Europa. I hovedsak synes innsamling å være knyttet til kriminelle individer eller kriminelle grupper. Det finnes ett kjent eksempel hvor data ble innhentet fra en virksomhet, da fra et stråselskap som var involvert i kriminell våpenhandel knyttet til en terrororganisasjon.
• − Microsoft Norge har i møte 15. februar 2022 opplyst at Microsoft aldri har levert ut data fra offentlige europeiske instanser i henhold til FISA-regelverket, sammenfatter han.

Dette er viktige og riktige argumenter som vil passe inn i 6-trinnsmodellen til EDPB. Dette er noe man bør se nærmere på hvis man er en offentlig instans som skal bruke skytjenester fra Microsoft. Jeg er ikke kjent med pålitelig statistikk fra andre leverandører som er så detaljerte og det er åpenbart et krav hvis man skal kunne støtte seg på det i en TIA. Hvis Helse Sør Øst har dokumentasjon på dette, så ser det ut til at de har en ganske god sak.

Les mer her.

BEHANDLING AV PERSONOPPLYSNINGER

10 millioner kroner i bot til Sats, men begrenset adgang til påklaging av vedtaket

Sats fikk nylig bot fra Datatilsynet på 10 millioner kroner, siden deres behandling av personopplysninger ikke var i tråd med kravene etter GDPR. Noen av de problematiske forholdene var blant annet retten til innsyn i egne personopplysninger, og hvor lenge informasjon blir oppbevart. Dersom Sats vil påklage vedtaket, må de imidlertid til domstolene.

Bakgrunnen for at Personvernnemnda ikke kan behandle en klage på vedtaket, er at Sats’ behandling av personopplysninger anses som såkalt «grenseoverskridende behandling». Dette er blant annet fordi ansatte i andre land har tilgang til opplysningene, samt at det blir brukt samme personvernerklæring i forskjellige land. Dette vil også være tilfellet for mange andre virksomheter i Norge, ettersom flere av de som behandler personopplysninger i flere land benytter samme personvernerklæring overfor alle sine kunder.

Dersom Datatilsynet legger til grunn at virksomheten utfører «grenseoverskridende behandling», vil antageligvis langt færre bestride vedtak fra Datatilsynet. Å føre en slik sak for domstolen er både kostbart og risikabelt, noe som tilsier at bare de sakene med størst beløp vil bli behandlet. Dette vil igjen medføre at etterlevelsen av GDPR blir viktigere, men trolig også mer utfordrende, for virksomheter.  

På en side kan utfallet i denne saken tilsi at man bør strømlinjeforme bruken av personopplysninger i Norge og andre land, slikt at disse blir tilnærmet like. På den annen side er nok dette såpass upraktisk at resultatet heller blir at man må være grundig og klok i håndteringen av avvikssaker, tilsyn og andre henvendelser fra Datatilsynet.

Les om saken her.

BINDING CORPORATE RULES OG EFFEKTIVISERING

EDPB med uttalelser om bruken av the Binding Corporate Rules

I desember 2022 kom EDPB med et utkast til veiledning med oppdaterte tolkninger og krav for bruken av the Binding Corporate Rules (BCR). Selskaper som har en godkjent BCR etter gammelt regelverk, skal fortsette å bruke den, men de må oppdatere BCR-dokumentene i henhold til personvernforordningen. Det er en del endringer som skal til. Datatilsynet skal ha varsles om endringene, noe som kan gjøres i forbindelse med den årlige rapporteringsplikten for BCR.

EDPB kunne ha gjort mer for å forenkle hverdagen for selskaper som har gjort innsatsen med å skaffe seg en BCR. De kunne i alle fall forenklet godkjenningsprosessen. Slik det er nå, er det nok et fåtall selskaper som vil ønske å gjøre arbeidet med å innføre en BCR, men noen gjør det likevel. Antakelig mest fordi det gir stor kredibilitet og vi ser at det er ønskende interesse fra leverandører for dette. Det er lettere og tryggere å velge en leverandør som har en BCR.

Ny lov for å effektivisere håndhevingen av GDPR

EU-kommisjonen skal foreslå en ny lov som skal regulere hvordan medlemsstatene ivaretar GDPR. Bakgrunnen for dette er frustrasjon blant eksperter og aktivister rundt et ineffektivt system for å håndtere store saker, spesielt i relasjon til Big Tech-selskaper.

Den nye lovgivningen skal blant annet utbedre den såkalte one-stop shop regelen, som har fått mye kritikk. Regelen pålegger de fleste større etterforskninger å gå gjennom det irske systemet fordi selskaper som Meta, Google, Apple og andre har satt opp Irland som sin europeiske base. Irland har fått kritikk for slapp håndheving av GDPR-reglene. For å effektivisere systemet har det blitt lagt inn forslag om å oppstille tidsfrister i prosedyren.

Om kommisjonen vil lykkes i dette er nok ganske usikkert. Fra annet hold hører jeg at man «ikke vil røre» GDPR fordi det er vanskelig å oppnå enighet mellom landene og da får man heller leve med det slik reglene er, på godt og vondt.

Saken er omtalt her.

DARK PATTERNS

 Anbefalinger for å unngå «villedende design»

EDPB har gitt ut retningslinjer med anbefalinger til de som benytter sosiale medier for offentlig, økonomisk aktivitet og påvirkning, med tips til hvordan de kan unngå såkalte «villedende design» eller det som ofte kalles «dark patterns». EU har hatt fokus på «dark patterns» en stund og vi ser at det kommer regler om dette i nye regelverk, blant annet i det som kalles DSA, Digital Services Act.

Jeg skrev om disse guidelinene for et lite år siden, da var de et utkast fra EDPB. Nå er de endelige. De angir en ikke-uttømmende liste med forhold som vil være i strid med GDPR. Mange av eksemplene er også grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for «dark patterns». Veiledningen bør være obligatorisk lesning for alle som arbeider med UX.

En av anbefalingene er eksempelvis å unngå «overloading», hvor brukeren får (for) mye informasjon og for mange forespørsler. Dette kan få brukeren til å avgi samtykker uten at brukeren har satt seg inn i hva som aksepteres. Også såkalt «stirring» løftes frem som problematisk. Ved «stirring» spiller man på følelsene til brukeren for å påvirke deres valg. I tillegg nevner de det de kaller «obstructing», hvor man hindrer eller vanskeliggjør at brukere får den informasjon de søker. Det kan også være at brukeren tvinges inn i unødig lange prosesser for eksempelvis å melde seg ut av en avtale. De nevner også det de kaller «fickling», et lite juridisk ord kanskje, som de bruker om brukergrensesnitt som er lite konsistent og uklare, slik at det er vanskelig for brukeren å anvende personverninnstillinger. Eksempler på dette kan være manglende hierarki, inkonsekvens og ulike språk i brukergrensesnittet.

Jeg ville tro at mange av oss har opplevd systemer som bruker denne type teknikker for å innhente informasjon om oss og å hindre oss i å komme ut av en tjeneste. Jeg synes egentlig det er fint at dette strammes inn.

AVSLØRENDE HUNDENAVN

Er hundenavn personopplysninger?

De som kjenner meg, vet at jeg er litt over snittet glad i hunder. Så det er morsomt å kunne avslutte dette nyhetsbrevet med en liten sak om hundens personvern! Uvanlig er det også.

Denne saken kommer fra England, og gjaldt en person som hadde blitt bitt av en politihund. Spørsmålet var om var om navnet til en hund kunne bli ansett som en personopplysning. Datatilsynet i England, ICO, svarte bekreftende på dette, men da kun i relasjon til denne konkrete saken: Den aktuelle informasjonen gjaldt blant annet om hunden, men også navn på hundefører og oversikt over hundens trening. Informasjon om hunden kunne identifisere hundeføreren og det var det avgjørende. ICO kom til at det var i strid med GDPR å gi ut hundens navn, ettersom dette også indirekte ledet til navnet på hundeføreren.  ICO understreker at hundenavn på et generelt grunnlag faller utenfor begrepet personopplysning, men at opplysningen i tilfeller som dette, kan være omfattet.

Saken er omtalt her .

Jeg ønsker dere alle en riktig god påske! 🐣

KOMMENDE MØTER

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.