Siste nytt om cookies
Det er kommet en ny veileder om cookies fra Datatilsynet. Den inneholder for så vidt ingen overraskelser, men virkeligheten er at fremdeles har langt fra alle norske websider har en praksis som er i tråd med reglene. Mange har nok ment at man kan vente med å justere sin praksis inntil man vet hvordan Datatilsynet og NKOM vil tolke reglene nå. Nå vet vi i alle fall hvordan Datatilsynet ser på mange av problemstillingene.
Blant annet virker det som om tilsynet er skeptiske til såkalte multi-purpose cookies som samler data for flere formål. Det mest spennende fremover blir hvordan og om Datatilsynet faktisk har tenkt å håndheve reglene. Det blir en litt underlig situasjon om de ikke gjør det og beholder en avslappet tolkning til reglene, når de samtidig har kritisert det irske datatilsynet for å ha for markedsvennlige tolkninger av GDPR.
Er dette det siste vi hører om coookies? Neppe. Nå må NKOM snart komme med sin veiledning om hvilke cookies som kan regnes som nødvendig. Og deretter tipper jeg det blir en god del juridisk action på dette fremover.
Om personvernombudsordningen hos Telenor
Telenor fikk nylig et overtredelsesgebyr på 4 000 000 som reaksjon på et ganske langvarig tilsyn med hvordan selskapets ombudsordning har vært lagt opp. Tilsynet mente det forslå betydelige mangler ved selskapets internkontroll og evne til å dokumentere sentrale vurderinger, men det er nok konkrete forhold rundt ombudets rolle som interesserer flest.
Kritikken gikk på at ombudet ikke var uavhengig nok og at det forelå en mulig interessekonflikt fordi ombudet hadde flere roller. Det var heller ikke etablert og dokumentert en direkte rapporteringslinje for personvernombudet til høyeste ledelsesnivå. Datatilsynet samkjørte sin beslutning med Telenor i både Danmark og Sverige, noe som medfører at en eventuell klage ikke kan gå til Personvernnemnda, men må til tingretten. Normalt ville en slik sak blitt påklaget til nemda, men jeg er usikker på om saken vil bli tatt til tingretten når beløpet er såpass lavt.
Så litt om noen konkrete forhold som ble kritisert om ombudsfunksjonen
Personvernombudet var advokatfullmektig og tilhørte organisatorisk selskapets juridiske avdeling. Ombudet hadde 50% stilling som personvernombud og 50% stilling som advokatfullmektig. Telenor viste til at siden oktober 2020 hadde vedkommende i praksis brukt mesteparten av arbeidstiden sin på oppgaver knyttet til rollen som personvernombud, men dette var ikke formalisert. Datatilsynet understreker at ombudet ikke må ha arbeidsoppgaver som medfører interessekonflikt og at dette må sikres i stillingsbeskrivelse og interne retningslinjer. De la vekt på at et personvernombud som ikke jobber fulltid som ombud, kan være spesielt utsatt for å komme i en interessekonflikt mellom tidsbruk for ombudsoppgaver og andre arbeidsoppgaver.
Det ble også fremhevet at en henvisning i stillingsbeskrivelsen til at personvernombudet skal rapportere direkte til den øverste ledelsen ikke i seg selv er nok til å sikre overholdelse av Artikkel 38 nr .3 som sier at «personvernombudet skal rapportere direkte til det høyeste ledelsesnivået hos den behandlingsansvarlige eller databehandleren».
Tilsynet mente at personvernombudet skal kunne rapportere til høyeste ledelsesnivå i en virksomhet, som i praksis vil være styret, men kan også være CEO eller ledergruppe. Slike rutinger var ikke etablert eller dokumentert. De la vekt på at manglende formalisering av rutiner for rapportering medfører at ombudet ikke har praktisk mulighet til å kreve sin rett til rapportering. Vedkommende blir overlatt til å omgå hierarkiske nivåer på eget initiativ for å nå øverste leder.
Datatilsynet illustrerer problemet med mangelen på etablerte rutiner med Telenors egen rapport fra et eksternt personvernombud som hadde rollen i en periode og skrev følgende:
«DPO reporting, access & independence -The DPO is unable to perform the role effectively and independently due lack of proper implementation of the role in the organization, including clarified reporting lines, access to highest level of management and interference in reporting.”
For å kunne foreta en vurdering av vedkommendes oppgaver og om det er tydelig nok skille mellom rollen som henholdsvis personvernombud og advokatfullmektig gikk Datatilsynet konkret til verks. De så blant annet på stillingsbeskrivelsen til arbeidstakeren. Den hadde følgende ordlyd i et excel-ark – der det var mellomrom mellom beskrivelsen av arbeidet som advokatfullmektig og rollen som DPO:
«Implement and/or develop as necessary policies, manuals, best practices, provide legal advice (including contribute in relation to Authority Requests) and provide support during negotiations of contracts and liase with external legal counsel. Cooperate closely with other experts in Group Legal and other Group functions as required to support high risk or critical processes. Share information and best practice with colleagues in Group Legal.
Act as DPO in accordance with the GDPR which entail the following activities as examples: – Develop and maintain Privacy Management Tools and Data Transfer Mechanisms – Contribute to Training and Awareness Program – Contribute to embed Data Privacy Into Operations – Inform and Advise on Data Protection Impact Assessments – Inform and Advise on Integrating Privacy by Design into Data Processing Operations – Contribute to management of Third-Party Privacy Risks – Contribute to Privacy Notices – Inform and Advise on Requests and Complaints from Data Subjects – Monitor for New Operational Practices – Develop and Evolve the Relevant Guidelines and Templates to Support Telenor ASA in Matters Regarding Protection of Personal Data – Liaise with Group Compliance on related compliance activities».
Vurderingen til Datatilsynet er som følger:
«Selv om det er en tom linje i Excel-arket som skiller de to avsnittene, mener vi at dette ikke er tilstrekkelig til å tydelig skille mellom oppgavene som skal utføres som henholdsvis personvernombud og advokatfullmektig.»
Tilsynet problematiserte om ombudsrollen overhodet var forenelig med stillingen som advokatfullmektig, men konkluderte ikke på dette, noe som hadde vært ønskelig. Argumenter de pekte på, var at en advokatfullmektig har et avhengighetsforhold til sin prinsipal samt at en fullmektigs ønske om å oppnå advokatbevilling kan stå i motstrid til utøvelsen av ombudsrollen. Likevel kan det være slik at dersom den juridiske rådgivningen handler om andre rettsområder enn personvern, så kan det lettere skilles mellom rollene.
Videre ble det vektlagt at dersom ombudet også er en del av den juridiske avdelingen, så må man ha organisatoriske tiltak på plass for at man skal skille rollen som ombud og som advokat. Dette kan for eksempel være at man har en separat epost for arbeidsoppgaver tilknyttet ombudsrollen. Det er nødvendig for at mottakere av en epost kan forstå om innhold og råd i en mail gis i egenskap av rollen som personvernombud eller juridisk rådgiver. Det er jo ganske fornuftig.
Like interessant er det at tilsynet mente at personvernombudet ikke hadde fått tilstrekkelige ressurser til å gjennomføre sine oppgaver. Dette inkluderer både tid og penger.
I denne saken mente Datatilsynet at den formelle tildelingen av et 50 prosent årsverk til en person ikke er tilstrekkelig med tid gitt selskapets størrelse (ca 1500 ansatte). Uansett antall ansatte bør en virksomhet nok være oppmerksom på om et ombud gir signaler eller rapporterer at vedkommende er betydelig underbemannet/overarbeidet.
Det fremgår av vedtaket at ombudet ikke hadde et eget budsjett. Personvernrelaterte utgifter ble allokert fra sak til sak fra ombudets linjeleder. Datatilsynet mener dette svekker personvernombudets stilling, fordi de overordnende ikke er forpliktet til overholdelse av personvern på samme måte som et ombud. Det er derfor et godt tips å sikre at personvernombudet har sin egen budsjettpost, fremfor å søke om midler ved behov.
Datatilsynet fremhever også at Telenor generelt sett manglet organisatoriske tiltak for å sikre generell overholdelse av GDPR, og viser til følgende epostkorrespondanse som – så vidt jeg forstår – var blitt oversendt Datatilsynet i forbindelse med tilsynet (min utheving under).
«__ skrev følgende i en e-post til __ datert 12. April 2021:
«Regarding Data Protection/Transfer Impact Assessments, the current backlog is quite big and I believe the organization is struggling a bit to get up to speed. There is currently little capacity/competency to conduct proper impact assessments among the ASA colleagues».
Det eksterne personvernombudet ble satt på kopi i ovennevnte e-post og svarte blant annet:
«True. However, the lack of capacity/competence to conduct assessments is also a symptom of a more general issue of immature privacy compliance governance and performance at ASA, and a lack of foundational building blocks for privacy compliance, such as e.g. inventory, awareness and competence, operational capacity, implemented processes and unclear roles/responsibilities for group initiatives».
I forbindelse med en diskusjon om utkontraktering av operative oppgaver som gjaldt overholdelse av krav til personvern, skrev det eksterne personvernombudet følgende:
«However, more generally than simply discussing outsourcing of some operational privacy compliance activities (which also would have a time- (in terms of followup/involvement) and monetary cost to ASA), this discussion/issue between the mentioned entities foundationally has to do with defining each entity’s role (privacy wise) and corresponding accountability, responsibilities and operational capacity in initiatives with group dependencies».»
Det er relativt kraftige påstander om mangel på ressurser i denne korrespondansen og det er ikke rart at tilsynet har tatt dette med i sitt vedtak.
Et annet tema som er aktuelt for mange, var at det ble kritisert at ombudet eide aksjer i selskapet. Heller ikke her konkluderte tilsynet, men pekte på at råd fra et ombud kan påvirke og endre forretningsmodellen til et selskap. Det kan igjen påvirke aksjeverdien. Tilsynet har altså ikke slått fast at det er uforenlig for et ombud å eie aksjer i et selskap. Kritikken gikk i hovedsak på at dette ikke var vurdert av Telenor. Akkurat det er det egentlig ganske enkelt å forstå. Telenor argumenterte med at ombudet eide svært få aksjer. Så – om du har et ombud med aksjer – sørg for å lage en vurdering av om ombudet likevel kan fatte uavhengige beslutninger. Og hvis ombudet eier mange aksjer, tror jeg det er en utfordring å la vedkommende være ombud.
Et annet interessant aspekt er at Telenor mente at de ikke var pliktig å ha noe personvernombud. Det var helt frivillig at de hadde et ombud i morselskapet. Heller ikke her konkluderte Datatilsynet, men de skrev at det er kritikkverdig at Telenor ASA ikke hadde dokumentert vurderingen av om de pliktet å ha personvernombud. Dernest, og det er ganske enkelt å forstå, mente tilsynet at Telenor ASA faktisk måtte følge reglene for personvernombud når de først hadde opprettet en slik funksjon. Selv om det var frivillig. Dette viser jo at det er realitet i tittelen personvernombud.
Om du vil ha en som arbeider med personvern, men ikke skal måtte ilegges de formelle forpliktelsene, så bør du kalle vedkommende noe annet enn «personvernombud». Dette er jo bakgrunnen for at mange selskaper faktisk opererer med flere, eller andre titler.
Når man har tilsyn fra Datatilsynet, må man regne med at ens internkontrolldokumentasjon blir nøye gjennomgått. Tilsynet kom til at Telenors artikkel 30-protokoll var både ufullstendig og uoversiktlig. Dette førte til at selskapet ikke hadde klar oversikt over hvilke behandlinger de var behandlingsansvarlig for. Her må det være lov å mene at de færreste selskaper faktisk har en fullstendig og oppdatert behandlingsprotokoll. Og i konsern, tror jeg det er svært mange som ikke har full oversikt over hvilket selskap som har det formelle ansvaret for hva. At ting kan være litt uklart i et konsern, tror jeg ikke er en svært stor personvernrisiko. Jeg synes derfor det er litt virkelighetsfjernt at Datatilsynet i sitt vedtak overfor Telenor ASA skriver at de pålegger selskapet følgende:
Å revidere behandlingsprotokollen etter personvernforordningen artikkel 30 og iverksette organisatoriske tiltak for å sikre at den til enhver tid gir en oppdatert beskrivelse av behandlingsaktivitetene i Telenor ASA, antall registrerte og rollene Telenor ASA har.
Å pålegge noen å ha en «til enhver tid oppdatert beskrivelse av behandlingsaktiviteter og antall registrerte», tror jeg faktisk ikke styrker personvernet. Jeg i tvil om den delen av vedtaket vil stå seg hvis det prøves, også. På den annen side er dette en påminnelse om at ombud i konsern faktisk må sette søkelys på om konsernet har en god nok oversikt over hvem som er ansvarlig for hvilke behandlinger.
Et annet interessant poeng er at partene var uenige om behandlingen var grenseoverskridende eller ikke. Artikkel 3 nr. 1 understreker at forordningen gjelder for behandling av personopplysninger uavhengig av hvor behandlingen finner sted, så lenge den er knyttet til aktiviteter i en virksomhet innenfor EU. Datatilsynet mente at Telenor Group, med virksomhet både innenfor og utenfor EØS, dermed har grenseoverskridende behandlingsaktivitet. Telenor ASA argumenterte mot at saken var grenseoverskridende, fordi saken ikke gjaldt bestemte behandlingsaktiviteter. Datatilsynet fastholdt at behandlingen oppfyller kravene i artikkel 4 nr. 23, da den påvirker registrerte i flere EØS-land, deriblant de 15 000 ansatte i Telenor. I tillegg hadde Telenor interne rutiner og retningslinjer som var de samme i alle land Telenor Group opererer i.
Er det noe å lære av denne saken? Absolutt.
Om du ikke vil at personvernombudet skal måtte følge de ganske strenge reglene i GDPR – gi vedkommende en annen tittel. Dette gjelder bare hvis du ikke er pålagt å ha et ombud.
Pass på kommunikasjonsmidlene. Ombudet bør ha en mailadresse som inneholder «personvernombud», «privacy» eller lignende. Spesielt om ombudet også har andre funksjoner og roller.
For ombud som har flere roller – advokatfullmektig, aksjonær, rådgiver, annet – dokumenter en vurdering av at vedkommende er uavhengig. En person som delvis har en ombudsfunksjon, bør ikke for resten av sin tid ha en rolle som er bestemmende for bruk av personopplysninger. Det vil si – vedkommende bør ikke inneha noen av de funksjonene som typisk er uforenlig med å være ombud.
Gi ombudet ditt tilstrekkelige ressurser. Innse at det faktisk koster penger og tid. Spesielt om du er et stort selskap.
Og vær tydelig og eksplisitt på hvem ombudet skal rapportere til.
Exit strategier om DPF faller
Etter at president Trump tiltrådte som president i USA har det blitt mer usikre tider i Europa. Dette merkes også på tech- og personvernområdet. Den siste tiden har det vært mange meninger om avhengigheten til Europa ovenfor amerikanske techselskaper og hva som skjer dersom det skulle bli ulovlig å overføre personopplysninger til USA.
Danske IT-eksperter har uttalt at dersom USA stenger av sine skytjenester, så vil Danmark være «stengt i løpet av en time». Vår digitaliseringsminister Karianne Tung var først ute med å be norske virksomheter «ha en plan», men korrigerte kort tid etterpå med at hun aldri hadde sagt at norske selskaper må ha en exit-strategi. Datatilsynet, på den annen side, skriver at man bør ha en exit-strategi om overføringsavtalen med USA faller.
Men hva betyr det egentlig at man må ha en «exit-strategi»? Og hvilke praktiske muligheter kan man iverksette?
Når det snakkes om «exit-strategier» så handler det delvis om at man i dag har regler som gjør det enkelt å overføre personopplysninger til USA. Dette kalles «Data Privacy Framework» («DPF»). Bakgrunnen for DPF var at de tidligere reglene om overføring til USA ble kjent ugyldig av EU-domstolen i den såkalte «Schrems II»-dommen. I etterkant av dette signerte president Biden en presidentordre som er en forutsetning for DPF. Når man overfører personopplysninger til et selskap som er DPF-sertifisert, så anser EU-kommisjonen at dette selskapet beskytter personopplysningene på en adekvat måte. Selv om DPF ikke er perfekt, så er det langt mer praktisk enn tilstanden mellom Schrems II-dommen og før DPF trådte i kraft.
I utgangspunktet er det, per dags dato, ikke et klart svar på om Trump har planer om å legge ned DPF. Ei heller på om EU selv kan finne på å si at det ikke lenger kan brukes. Skulle Trump for eksempel fatte enkelte tiltak mot danske opplysninger, om enn spisset, er det ikke utenkelig Kommisjonen vil mene at DPF ikke kan stoles på.
Selv om ikke Trump selv trekker tilbake DPF eller EU sier at det ikke kan brukes lenger, så det tenkes at spørsmålet vil bli prøvd juridisk ved en klage.
Spørsmålet som mange virksomheter spør seg nå, er derfor: Hva hvis DPF faller? Hva gjør vi da?
For det første kan man fortsatt bruke det som på godt norsk gjerne kalles Standard Contractual Clauses (SCC). Fordelen med SCC er at de er et standardisert rammeverk for overføring av personopplysninger som er forhåndsgodkjent av EU-kommisjonen. Samtidig er overføringer basert på SCC en langt mer tidkrevende prosess enn tilfellet er i dag hvor man baserer overføringen på DPF.
EDPB har gitt ut retningslinjer for hvordan SCC’ene skal brukes. Det er særlig fire sentrale trinn som er avgjørende for at man bruker SCC på riktig og lovlig måte. En rask repetisjon kan være på sin plass.
For det første må man kartlegge overføringene. Det er viktig å ha oversikt over hvor personopplysningene befinner seg, herunder om alle prosesser, systemer, tjenester, databehandlere og underleverandører som overfører personopplysninger ut av EØS. Det er også lurt å vite hvilke opplysninger som er viktigst.
Dernest må man identifisere overføringsgrunnlaget, dette kan eksempelvis være SCC, samtykke eller Binding Corporate Rules («BCR»).
For det tredje må man undersøke om overføringsgrunnlaget er effektivt, nemlig om lover og praksis i mottakerlandet er ok. Dersom lokale lover og praksis går lenger enn det som er proporsjonalt under EU-lovgivning så vil man kunne ha et problem med overføringer til det aktuelle landet. Jeg tror det er lov å si at det har blitt noe vanskeligere å lande på at det er en forutsigbar og stabil rettstilstand i USA for tiden. Dersom det blir aktuelt å gjøre slike vurderinger igjen, må vi komme tilbake til dette. Da må vi se litt mer på CLOUD Act også.
Det fjerde trinnet gjelder om man konkluderer med at beskyttelsesnivået i mottakerlandet er lavere beskyttelsesnivå enn påkrevet. Etter Schrems II var sentrale tiltak kryptering, pseudonymisering og noen ganger confidential computing. Bakgrunnen var at man ville sikre konfidensialitet – leverandørens skulle hindres i å «bryte seg inn» i kundens data.
Med den nye presidenten i USA, har man i stor grad også begynt å se på om det kan tenkes at noen kan bryte tilgangen til våre opplysninger. Det er en ganske annen type vurdering hvor de tiltakene man tidligere gjorde (kryptering, presudonymisering o.l.) ikke spiller så stor rolle. Jeg tror det da vil spille stor rolle hvilken sektor man opererer innenfor. Aktører i samfunnskritiske sektorer og leverandører til disse, vil måtte legge stor vekt på sikkerhet for at opplysninger forblir tilgjengelige.
I lys av usikkerheten rundt DPF, er det viktig å vurdere hvordan dette kan påvirke kontrakter og avtaler. Det er økt fokus på at kontrakter bør inneholde klausuler som tillater endringer i leveransemodeller og teknologiske løsninger for å sikre at de til enhver tid er i samsvar med GDPR. Et annet element er at databehandleravtaler gis bestemmelser som gir mulighet for å endre lokasjon for datalagring og bytte leverandør dersom det blir nødvendig. Vi hører allerede nå om databehandleravtaler der det står at en kontrakt kan heves (!) hvis man ikke er compliant med DPF eller SCC.
Det er også avgjørende å ha en robust backup-strategi som sikrer at viktige data er lagret utenfor kontrollsfæren til den skyleverandøren man bruker.