{"id":254351,"date":"2023-03-30T07:07:00","date_gmt":"2023-03-30T05:07:00","guid":{"rendered":"https:\/\/tilt.work\/?p=254351"},"modified":"2023-04-01T20:27:56","modified_gmt":"2023-04-01T18:27:56","slug":"it-jus-nr-4-23","status":"publish","type":"post","link":"https:\/\/tilt.work\/blog\/2023\/03\/30\/it-jus-nr-4-23\/","title":{"rendered":"IT-jus nr. 4\/23"},"content":{"rendered":"\n
Den mest praktiske og viktige nyheten om personvern i Norge den siste tiden, er Datatilsynets reviderte veileder om overf\u00f8ringer av personopplysninger til tredje land. Kanskje ingen nyhet egentlig, men det er en meget god samlet fremstilling av forvaltningspraksis, domspraksis og andre kilder fra mange land som er relevante for \u00e5 ta stilling til om en overf\u00f8ring er i tr\u00e5d med GDPR kapittel V. Den vil kunne v\u00e6re et praktisk oppslagsverk for mange, da de f\u00e6rreste nok er kjent med alle aspekter av problemstillingene. Helt generelt synes jeg det har blitt mye fokus p\u00e5 tredjelandsoverf\u00f8ringer fra klienter i det siste, Datatilsynets vedtak om henholdsvis GA og saken Helse S\u00f8r-\u00d8st har nok bidratt til dette. Hjelper det \u00e5 bruke GA4, for eksempel? Det kommer vi tilbake til i neste nettverksm\u00f8te. <\/strong> En annen viktig sak er at det er blitt klart for mange at man ikke alltid kan klage til Personvernnemnda p\u00e5 vedtak fra Datatilsynet som man er uenig i. Det har ogs\u00e5 meget store konsekvenser fordi kostnaden p\u00e5 personvernsp\u00f8rsm\u00e5l \u00f8ker. Min favoritt blant nyhetene under er nok likevel sp\u00f8rsm\u00e5let om hunder har personvern. Happy reading!<\/span><\/span> Hilsen Eva<\/p>\n\n\n\n Et av de viktigste utsagnene i den nye veilederen fra Datatilsynet, er en liten enkel setning. Den lyder: \u00abDatatilsynet vil tolke loven likt som EDPB i en eventuell tilsynssak<\/strong>\u00bb.\u00a0Overraskende er det ikke, det ville det derimot v\u00e6rt om de hadde skrevet noe annet. Dette kan nok sies \u00e5 sette punktum for deler av veilederen fra DigDir.<\/p>\n\n\n\n Vi skal ikke g\u00e5 gjennom kriteriene for overf\u00f8ringer, de fleste kan dem n\u00e5 godt. Men det er verdt \u00e5 merke seg at de skriver f\u00f8lgende:<\/p>\n\n\n\n Og:<\/p>\n\n\n\n Sammen med den portugisiske saken jeg omtalte i forrige brev – der det ble delt ut en stor bot fordi man ikke hadde gjort verken DPIA eller TIA – er det all grunn til \u00e5 understreke at det er viktig \u00e5 ha dokumentasjonen p\u00e5 plass.<\/strong> Helse S\u00f8r \u00d8st jobber for tiden med en avtale om lagring av pasientdata i samarbeid med Microsoft. Administrerende direkt\u00f8r i Helse S\u00f8r \u00d8st, Terje Rootwelt, sier at avtalen er n\u00f8dvendig for \u00e5 effektivisere sykehusdriften. Helseregionen skal bytte ut bemannede resepsjoner med skjerml\u00f8sninger der pasientene selv registrerer sine opplysninger, inklusive helseopplysninger. Datatilsynet anser dette som sv\u00e6rt problematisk, ettersom den amerikanske lovgivningen ikke oppstiller et like godt vern av personlige opplysninger som GDPR. Deres anbefaling er dermed \u00e5 vente med en slik omstilling frem til en avtale mellom EU og USA er p\u00e5 plass. Anbefalingen er interessant i seg selv, da det tyder p\u00e5 en optimisme hos v\u00e5rt Datatilsyn om holdbarheten p\u00e5 den fremtidige nye overf\u00f8ringsavtalen. Dette er viktige og riktige argumenter som vil passe inn i 6-trinnsmodellen til EDPB. Dette er noe man b\u00f8r se n\u00e6rmere p\u00e5 hvis man er en offentlig instans som skal bruke skytjenester fra Microsoft. Jeg er ikke kjent med p\u00e5litelig statistikk fra andre leverand\u00f8rer som er s\u00e5 detaljerte og det er \u00e5penbart et krav hvis man skal kunne st\u00f8tte seg p\u00e5 det i en TIA. Hvis Helse S\u00f8r \u00d8st har dokumentasjon p\u00e5 dette, s\u00e5 ser det ut til at de har en ganske god sak. Sats fikk nylig bot fra Datatilsynet p\u00e5 10 millioner kroner, siden deres behandling av personopplysninger ikke var i tr\u00e5d med kravene etter GDPR. Noen av de problematiske forholdene var blant annet retten til innsyn i egne personopplysninger, og hvor lenge informasjon blir oppbevart. Dersom Sats vil p\u00e5klage vedtaket, m\u00e5 de imidlertid til domstolene. I desember 2022 kom EDPB med et utkast til veiledning med oppdaterte tolkninger og krav for bruken av the Binding Corporate Rules (BCR). Selskaper som har en godkjent BCR etter gammelt regelverk, skal fortsette \u00e5 bruke den, men de m\u00e5 oppdatere BCR-dokumentene i henhold til personvernforordningen. Det er en del endringer som skal til. Datatilsynet skal ha varsles om endringene, noe som kan gj\u00f8res i forbindelse med\u00a0den \u00e5rlige rapporteringsplikten for BCR. EU-kommisjonen skal foresl\u00e5 en ny lov som skal regulere hvordan medlemsstatene ivaretar GDPR. Bakgrunnen for dette er frustrasjon blant eksperter og aktivister rundt et ineffektivt system for \u00e5 h\u00e5ndtere store saker, spesielt i relasjon til Big Tech-selskaper. EDPB har gitt ut retningslinjer med anbefalinger til de som benytter sosiale medier for offentlig, \u00f8konomisk aktivitet og p\u00e5virkning, med tips til hvordan de kan unng\u00e5 s\u00e5kalte \u00abvilledende design\u00bb eller det som ofte kalles \u00abdark patterns\u00bb. EU har hatt fokus p\u00e5 \u00abdark patterns\u00bb en stund og vi ser at det kommer regler om dette i nye regelverk, blant annet i det som kalles DSA, Digital Services Act. De som kjenner meg, vet at jeg er litt over snittet glad i hunder. S\u00e5 det er morsomt \u00e5 kunne avslutte dette nyhetsbrevet med en liten sak om hundens personvern! Uvanlig er det ogs\u00e5.
<\/p>\n\n\n\n
\n\n\n\nTREDJELANDSOVERF\u00d8RINGER<\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\u00abManglende vurderinger i forkant kan v\u00e6re (…) et alvorlig lovbrudd\u00bb<\/strong><\/strong><\/h2>\n\n\n\n
\n
\n
Den 14. februar kom EDPB med en mye omtalt ny guideline om \u00abthe Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V\u00bb (se EDPB Guidelines 05\/2021<\/a>). Overskriften kan h\u00f8res komplisert ut, men Datatilsynet har inkorporert konklusjonene fra guidelinen i sin oppdaterte veileder.
Der st\u00e5r det blant annet f\u00f8lgende:
Hvis en behandlingsansvarlig basert i EU er databehandler for en enhet som ogs\u00e5 er basert i EU, men hvor denne enheten er et datterselskap av et selskap basert i et tredjeland, s\u00e5 m\u00e5 spesielle vurderinger gj\u00f8res. I seg selv er ikke dette en overf\u00f8ring til tredjeland. Men det blir en overf\u00f8ring om databehandleren, som datterselskap av – for eksempelet amerikansk morselskap – er underlagt lovene i landet der mor er etablert og kan p\u00e5legges \u00e5 overf\u00f8re opplysninger til tredjelandet i samsvar med lokale lover. Dersom databehandleren overholder dette og overf\u00f8rer dataene til myndigheter i tredjelandet, anser EDPB dette som en tredjelandsoverf\u00f8ring.
Og videre: Dersom den behandlingsansvarlige har forbudt en slik overf\u00f8ring i databehandleravtalen, handler databehandleren i strid med instruksjonene fra den behandlingsansvarlige og anses selv \u00e5 v\u00e6re behandlingsansvarlig for denne behandlingsoperasjonen i henhold til Art 28 (10) GDPR. Den behandlingsansvarlige plikter p\u00e5 forh\u00e5nd \u00e5 kontrollere om leverand\u00f8rene er underlagt slike tilgangsrettigheter fra utenlandske myndigheter og om n\u00f8dvendig treffe passende tekniske og organisatoriske tiltak for \u00e5 sikre at dette ikke skjer.
Akkurat p\u00e5 dette punktet er det mange som b\u00f8r se n\u00f8ye p\u00e5 hvordan skytjenestene deres er satt sammen og hvilken tilgang leverand\u00f8ren har.<\/strong>
Deler av dette er omtalt i en artikkel jeg skrev i digi sammen med noen kolleger. Les den her<\/a>.<\/p>\n\n\n\nHelse S\u00f8r \u00d8st inng\u00e5r samarbeid med Microsoft om lagring av pasientdata<\/strong><\/h2>\n\n\n\n
Rootwelt mener p\u00e5 sin side at behandlingen allerede er innenfor lovverket, og er det beste for pasientene. Rune Simensen, direkt\u00f8r for teknologi og eHelse i Helse S\u00f8r-\u00d8st, sier de har hatt omfattende dialog med Datatilsynet om valg av l\u00f8sninger og at de tar hensyn til alle deres anbefalinger:<\/p>\n\n\n\n\n
Les mer her.<\/a><\/p>\n\n\n\n
\n\n\n\nBEHANDLING AV PERSONOPPLYSNINGER<\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
10 millioner kroner i bot til Sats, men begrenset adgang til p\u00e5klaging av vedtaket<\/h2>\n\n\n\n
Bakgrunnen for at Personvernnemnda ikke kan behandle en klage p\u00e5 vedtaket, er at Sats’ behandling av personopplysninger anses som s\u00e5kalt \u00abgrenseoverskridende behandling<\/strong>\u00bb. Dette er blant annet fordi ansatte i andre land har tilgang til opplysningene, samt at det blir brukt samme personvernerkl\u00e6ring i forskjellige land. Dette vil ogs\u00e5 v\u00e6re tilfellet for mange andre virksomheter i Norge, ettersom flere av de som behandler personopplysninger i flere land benytter samme personvernerkl\u00e6ring overfor alle sine kunder.
Dersom Datatilsynet legger til grunn at virksomheten utf\u00f8rer \u00abgrenseoverskridende behandling\u00bb, vil antageligvis langt f\u00e6rre bestride vedtak fra Datatilsynet. \u00c5 f\u00f8re en slik sak for domstolen er b\u00e5de kostbart og risikabelt, noe som tilsier at bare de sakene med st\u00f8rst bel\u00f8p vil bli behandlet. Dette vil igjen medf\u00f8re at etterlevelsen av GDPR blir viktigere, men trolig ogs\u00e5 mer utfordrende, for virksomheter.\u00a0\u00a0
P\u00e5 en side kan utfallet i denne saken tilsi at man b\u00f8r str\u00f8mlinjeforme bruken av personopplysninger i Norge og andre land, slikt at disse blir tiln\u00e6rmet like. P\u00e5 den annen side er nok dette s\u00e5pass upraktisk at resultatet heller blir at man m\u00e5 v\u00e6re grundig og klok i h\u00e5ndteringen av avvikssaker, tilsyn og andre henvendelser fra Datatilsynet.
Les om saken her.<\/a><\/p>\n\n\n\n
\n\n\n\nBINDING CORPORATE RULES OG EFFEKTIVISERING<\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
EDPB med uttalelser om bruken av the Binding Corporate Rules<\/strong><\/h2>\n\n\n\n
EDPB kunne ha gjort mer for \u00e5 forenkle hverdagen for selskaper som har gjort innsatsen med \u00e5 skaffe seg en BCR. De kunne i alle fall forenklet godkjenningsprosessen. Slik det er n\u00e5, er det nok et f\u00e5tall selskaper som vil \u00f8nske \u00e5 gj\u00f8re arbeidet med \u00e5 innf\u00f8re en BCR, men noen gj\u00f8r det likevel. Antakelig mest fordi det gir stor kredibilitet og vi ser at det er \u00f8nskende interesse fra leverand\u00f8rer for dette. Det er lettere og tryggere \u00e5 velge en leverand\u00f8r som har en BCR.
<\/p>\n\n\n\nNy lov for \u00e5 effektivisere h\u00e5ndhevingen av GDPR<\/strong><\/h2>\n\n\n\n
Den nye lovgivningen skal blant annet utbedre den s\u00e5kalte one-stop shop regelen, som har f\u00e5tt mye kritikk. Regelen p\u00e5legger de fleste st\u00f8rre etterforskninger \u00e5 g\u00e5 gjennom det irske systemet fordi selskaper som Meta, Google, Apple og andre har satt opp Irland som sin europeiske base. Irland har f\u00e5tt kritikk for slapp h\u00e5ndheving av GDPR-reglene. For \u00e5 effektivisere systemet har det blitt lagt inn forslag om \u00e5 oppstille tidsfrister i prosedyren.
Om kommisjonen vil lykkes i dette er nok ganske usikkert. Fra annet hold h\u00f8rer jeg at man \u00abikke vil r\u00f8re\u00bb GDPR fordi det er vanskelig \u00e5 oppn\u00e5 enighet mellom landene og da f\u00e5r man heller leve med det slik reglene er, p\u00e5 godt og vondt.
Saken er omtalt her.<\/a><\/p>\n\n\n\n
\n\n\n\nDARK PATTERNS<\/strong><\/strong><\/h2>\n\n\n\n
\u00a0Anbefalinger for \u00e5 unng\u00e5 \u00abvilledende design\u00bb<\/strong><\/h2>\n\n\n\n
Jeg skrev om disse guidelinene for et lite \u00e5r siden, da var de et utkast fra EDPB. N\u00e5 er de endelige. De angir en ikke-utt\u00f8mmende liste med forhold som vil v\u00e6re i strid med GDPR. Mange av eksemplene er ogs\u00e5 grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for \u00abdark patterns\u00bb. Veiledningen b\u00f8r v\u00e6re obligatorisk lesning for alle som arbeider med UX.<\/a>
En av anbefalingene er eksempelvis \u00e5 unng\u00e5 \u00aboverloading\u00bb, hvor brukeren f\u00e5r (for) mye informasjon og for mange foresp\u00f8rsler. Dette kan f\u00e5 brukeren til \u00e5 avgi samtykker uten at brukeren har satt seg inn i hva som aksepteres. Ogs\u00e5 s\u00e5kalt \u00abstirring\u00bb l\u00f8ftes frem som problematisk. Ved \u00abstirring\u00bb spiller man p\u00e5 f\u00f8lelsene til brukeren for \u00e5 p\u00e5virke deres valg. I tillegg nevner de det de kaller \u00abobstructing\u00bb, hvor man hindrer eller vanskeliggj\u00f8r at brukere f\u00e5r den informasjon de s\u00f8ker. Det kan ogs\u00e5 v\u00e6re at brukeren tvinges inn i un\u00f8dig lange prosesser for eksempelvis \u00e5 melde seg ut av en avtale. De nevner ogs\u00e5 det de kaller \u00abfickling\u00bb, et lite juridisk ord kanskje, som de bruker om brukergrensesnitt som er lite konsistent og uklare, slik at det er vanskelig for brukeren \u00e5 anvende personverninnstillinger. Eksempler p\u00e5 dette kan v\u00e6re manglende hierarki, inkonsekvens og ulike spr\u00e5k i brukergrensesnittet.
Jeg ville tro at mange av oss har opplevd systemer som bruker denne type teknikker for \u00e5 innhente informasjon om oss og \u00e5 hindre oss i \u00e5 komme ut av en tjeneste. Jeg synes egentlig det er fint at dette strammes inn.<\/p>\n\n\n\n
\n\n\n\nAVSL\u00d8RENDE HUNDENAVN<\/strong><\/strong><\/h2>\n\n\n\n
Er hundenavn personopplysninger?<\/strong><\/strong><\/h2>\n\n\n\n
Denne saken kommer fra England, og gjaldt en person som hadde blitt bitt av en politihund. Sp\u00f8rsm\u00e5let var om var om navnet til en hund kunne bli ansett som en personopplysning. Datatilsynet i England, ICO, svarte bekreftende p\u00e5 dette, men da kun i relasjon til denne konkrete saken: Den aktuelle informasjonen gjaldt blant annet om hunden, men ogs\u00e5 navn p\u00e5 hundef\u00f8rer og oversikt over hundens trening. Informasjon om hunden kunne identifisere hundef\u00f8reren<\/em> og det var det avgj\u00f8rende. ICO kom til at det var i strid med GDPR \u00e5 gi ut hundens navn, ettersom dette ogs\u00e5 indirekte ledet til navnet p\u00e5 hundef\u00f8reren.\u00a0 ICO understreker at hundenavn p\u00e5 et generelt grunnlag faller utenfor begrepet personopplysning, men at opplysningen i tilfeller som dette, kan v\u00e6re omfattet.
Saken er omtalt her <\/a>.
Jeg \u00f8nsker dere alle en riktig god p\u00e5ske! \ud83d\udc23<\/p>\n\n\n\n
\n\n\n\nKOMMENDE M\u00d8T<\/strong>ER<\/h2>\n\n\n\n