{"id":257125,"date":"2023-06-29T07:07:00","date_gmt":"2023-06-29T05:07:00","guid":{"rendered":"https:\/\/tilt.work\/?p=257125"},"modified":"2023-08-21T22:09:54","modified_gmt":"2023-08-21T20:09:54","slug":"it-jus-nr-7-23","status":"publish","type":"post","link":"https:\/\/tilt.work\/blog\/2023\/06\/29\/it-jus-nr-7-23\/","title":{"rendered":"IT-jus nr. 7\/23"},"content":{"rendered":"\n

N\u00e5 g\u00e5r vi inn i juli og f\u00f8rste halvdel av 2023 er bak oss. Med personvernbriller p\u00e5, er det ganske klart at det er et ungt regelverk vi forholder oss til og at det er hyppige justeringer. Det har jo ofte kommet viktige saker fra domstoler i EU og fra EDPB like f\u00f8r sommerferien \u2013 og det kan skje i \u00e5r ogs\u00e5. Gjerne litt f\u00f8r de tar ferie i Europa \u2013 s\u00e5nn omtrent midt i juli med tilh\u00f8rende avbrutt sommerferie. Vi f\u00e5r se. <\/p>\n\n\n\n

Det er den femte sommeren vi har n\u00e5 etter at GDPR tr\u00e5dte i kraft. Personvernet er langt fra blitt perfekt, men gjennomg\u00e5ende har personvernet blitt bedre enn hva det var. Selv om jeg ogs\u00e5 er enig i at en del av dokumentasjonskravene i EDPBs veiledere er (un\u00f8dig) omfattende og vanskelig \u00e5 forholde seg til. Jeg har ofte tenkt at menneskers opplysninger brukes p\u00e5 stadig nye omr\u00e5der og at noe av det viktigste er at vi f\u00e5r informasjon om hvordan de brukes. S\u00e5 er det ikke s\u00e5 farlig om ikke alle bryr seg, det er helt OK at bare noen gj\u00f8r det.<\/p>\n\n\n\n

Hva har v\u00e6rt viktigst i f\u00f8rste halv\u00e5r? Jeg mener vi har sett fire temaer som er viktige. <\/strong><\/p>\n\n\n\n

\udb40\udc21\u2714\ufe0fDen aller st\u00f8rste boten er n\u00e5 gitt til Meta for brudd p\u00e5 reglene om overf\u00f8ring til tredjeland\/USA<\/strong> \u2013 anslagsvis 14 milliarder norske kroner. Den vil bli bestridt, selvf\u00f8lgelig, men fremover risikerer oppeg\u00e5ende selskaper \u00e5 rammes av at dette er ment \u00e5 v\u00e6re en “signal-bot” som er et varsko for andre. Jeg tror ikke at “fris\u00f8ren p\u00e5 hj\u00f8rnet” vil kjenne p\u00e5 dette, men for mange store selskaper er dette viktig. Og om du ikke f\u00e5r bot, men beskjed om \u00e5 stanse overf\u00f8ringene du har? I praksis er det like ille som en bot for mange.<\/p>\n\n\n\n

\u2714\ufe0f En annen sv\u00e6rt viktig sak er den n\u00e5 s\u00e5kalte SRB-saken om pseudonymiserte personopplysninger<\/strong>. Kan det v\u00e6re slik at det er pustet liv i Breyer-dommen fra 2016 og at opplysninger som besitteren selv ikke kan re-identifisere, kan anses som anonyme og “unnslippe” GDPR? Konsekvensene kan bli sv\u00e6rt store. Klagefristen for SRB-dommen g\u00e5r ut etter at dette nyhetsbrevet er skrevet ferdig. Mange har heiet p\u00e5 dette og sagt at dette er en mer pragmatisk tolkning av GDPR. Jeg tror neppe det blir mindre arbeid hvis dette blir st\u00e5ende \u2013 for da m\u00e5 man dokumentere og vurdere konkret hvilke muligheter for re-identifisering mottakeren av pseudonymiserte personopplysninger har. Men det er klart \u2013 det er fristende \u00e5 kunne anse pseudonymiserte opplysninger som anonymiserte. Sammen med flinke kolleger hadde jeg en kronikk om dette i Digi som kan v\u00e6re verdt \u00e5 lese.<\/a>
 <\/p>\n\n\n\n

\u2714\ufe0f For lesere i Norge, er det videre verdt \u00e5 merke seg at Personvernnemnda blir mindre viktig fremover<\/strong>. Dette vises gjennom saken om SATS, der klagemuligheten til nemnda ble erstattet av \u00e5 m\u00e5tte ta en klage inn for domstolene \u2013 fordi saken hadde relevans til flere land og da kan den nasjonale nemnda ikke brukes. Det er veldig mange norske og skandinaviske bedrifter som har en tilsvarende aktivitet i utlandet, slik SATS har. Og det er dyrere \u00e5 klage i rettsapparatet enn til Personvernnemnda. Men dette har blitt en realitet og vi ser det i flere saker fra tilsynet n\u00e5. <\/p>\n\n\n\n

\u2714\ufe0f Trenden fra tilsynene og domstolspraksis er at innsynsretten tolkes ganske bokstavelig<\/strong> og tro til bakenforliggende prinsipper om transparens. Det blir bra personvern av det \u2013 men det kan komme som en overraskelse for noen behandlingsansvarlige. Tenk deg at du m\u00e5 fortelle om alle databehandlere du bruker og hvor personopplysningene befinner seg. En utfordring \u2013 ja, for de aller fleste.<\/p>\n\n\n\n

Under finner du mine kommentarer til noen av de andre mest spennende sakene den siste m\u00e5neden. Jeg er sikker p\u00e5 at det vil skje mye til h\u00f8sten ogs\u00e5, gleder meg til det.
Ha en riktig god sommer, ta en velfortjent pust i bakken \u2013 og s\u00e5 blir det fint med nye m\u00f8ter og diskusjoner i nettverket til h\u00f8sten! <\/p>\n\n\n\n

<\/p>\n\n\n\n

Hilsen Eva<\/p>\n\n\n\n

\n\n\n\n

OVERF\u00d8RING TIL USA<\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Finsk datatilsyn beordrer stans av bruk av Google Analytics og reCAPTcha<\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n

Det finske datatilsynet har gitt det meteorologiske instituttet i Finland en irettesettelse p\u00e5 grunn av overf\u00f8ring av personopplysninger til USA ved hjelp av overv\u00e5kningsteknologier. Instituttet har brukt b\u00e5de reCAPTCHA” og Google Analytics (GA) p\u00e5 nettsiden sin.  <\/p>\n\n\n\n

Datatilsynet konkluderte med at instituttet ikke hadde rettslig grunnlag for overf\u00f8ringen av personopplysninger som bruken av reCAPTCHA og GA medf\u00f8rte.<\/strong> Instituttet hadde heller ikke umiddelbart stoppet overf\u00f8ringen av opplysninger etter EU-domstolens Schrems II- avgj\u00f8relse.  De hadde heller ikke gjennomf\u00f8rt en DPIA\/personvernkonsekvensutredning. <\/p>\n\n\n\n

Det har v\u00e6rt mye snakk om GA det siste \u00e5ret, og i Norge venter vi fremdeles p\u00e5 hva Datatilsynet vil mene om saken mot Telenor. Det kan jo fremdeles tenkes at det kommer en avgj\u00f8relse f\u00f8r sommerferien begynner. Mulighetsrommet for at de velger \u00e5 v\u00e6re fleksible og legge vekt p\u00e5 at det ikke har v\u00e6rt innsynsbegj\u00e6ringer mot GA, kan virke som \u00e5 bli innsnevret n\u00e5r disse avgj\u00f8relsene mot GA er ganske like.  Men jeg mener det burde kunne la seg gj\u00f8re. SRB-saken viser jo at “etablerte” sannheter innenfor GDPR kan utfordres. <\/p>\n\n\n\n

Les mer her.<\/a><\/p>\n\n\n\n

\n\n\n\n

INNSYNSBEGJ\u00c6RINGER<\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Svarfrist p\u00e5 innsynsbegj\u00e6ring forlenges ikke p\u00e5 grunn av medarbeideres sykdom<\/h2>\n\n\n\n

Det har v\u00e6rt en del saker om innsynssaker i det siste. Jeg tror det kommer til \u00e5 bli flere av dem. Folk flest er i ferd med \u00e5 bli klar over hva de har rett til \u00e5 f\u00e5 vite og det er saker som utvider dette ogs\u00e5. Den svenske Spotify-saken er en av dem. Denne fra det belgiske datatilsynet viser at det ikke er s\u00e5 enkelt for den behandlingsansvarlige \u00e5 vise til sykdom som unnskyldning for \u00e5 utsette \u00e5 svare, heller. <\/p>\n\n\n\n

En tidligere leietaker ba om innsyn i personopplysninger etter GDPR art. 15 hos utleieren (den behandlingsansvarlige). Innsynsbegj\u00e6ringen ble sendt 2. desember 2019. Den behandlingsansvarlige svarte den 31. desember 2019 at svartiden m\u00e5tte forlenges med to m\u00e5neder. Klageren fikk imidlertid ikke svar f\u00f8r 2. september 2020, alts\u00e5 10 m\u00e5neder etter at anmodningen f\u00f8rst ble sendt. I svaret ble  heller ikke alle sp\u00f8rsm\u00e5l i anmodningen besvart, fordi de hevdet at de etterspurte opplysningene ikke var omfattet av GDPR art. 15. <\/p>\n\n\n\n

Da klagde den ber\u00f8rte personen den personopplysningsansvarlige inn for det belgiske datatilsynet (GBA). GBA understreket viktigheten av at GDPR art. 15 f\u00f8lges og konkluderte med at den behandlingsansvarlige ikke hadde svart p\u00e5 anmodningen innen den opprinnelige fristen og heller ikke etter den forlengede fristen p\u00e5 to m\u00e5neder. Dette kunne ikke unnskyldes med at den ansvarlige for saken var langtidssykemeldt. <\/strong><\/p>\n\n\n\n

Innsynsbegj\u00e6ringer m\u00e5 besvares med informasjon om hvilke konkrete databehandlere man har delt opplysninger med \u2013 og i mange tilfeller ogs\u00e5 hvilke av ens egne ansatte som har f\u00e5tt opplysninger. F\u00f8lgelig forel\u00e5 det en overtredelse av GDPR art. 15.1, 12.3 og 12.4. <\/p>\n\n\n\n

Avgj\u00f8relsen finnes her hos GBA<\/a>.<\/p>\n\n\n\n

<\/p>\n\n\n\n

\n\n\n\n

RETTET ANNONSERING<\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Flere store b\u00f8ter om “targeted ads”?<\/strong><\/h2>\n\n\n\n

Som kjent har retargeting og bruk av personopplysninger i reklame\u00f8yemed gitt opphav til mange store b\u00f8ter. N\u00e5 skrives det at det irske datatilsynet (DPC) var varslet Microsoft om et overtredelsesgebyr til Linkedin. Saken startet med at DPC etterforsket klager mot LinkedIn om at de drev ulovlig m\u00e5lrettet reklame. Microsoft har n\u00e5 f\u00e5tt et forh\u00e5ndsvarsel fra DPC med en tentativ bot p\u00e5 i underkant av 5 milliarder norske kroner for uhjemlet retargeting. <\/p>\n\n\n\n

Avgj\u00f8relsen er ikke offentlig enda, men Microsoft bestrider selvf\u00f8lgelig kravet. Det er enda ikke klart n\u00e5r den endelige avgj\u00f8relsen fra det irske datatilsynet vil foreligge. Samtidig ser vi at b\u00e5de praksis hos noen store akt\u00f8rer (Google) og endringer i regelverk g\u00e5r i retning av eksplisitte samtykker for retargeting.  Personvern er fremdeles et ungt fagomr\u00e5de i rask endring og det at datatilsynene har brukt en del tid (les: \u00e5r) p\u00e5 \u00e5 koordinere seg om hvordan GDPR skal tolkes, har nok gjort at en del akt\u00f8rer har lagt seg p\u00e5 utvidende tolkninger. Det kan se ut som om det strammes inn n\u00e5, men det kommer til \u00e5 b\u00e5de ta tid og \u00e5 skape mange diskusjoner. Og bruker du retargeting overfor dine kunder \u2013 s\u00e5 er det all grunn til \u00e5 f\u00f8lge med p\u00e5 utviklingen.<\/strong><\/p>\n\n\n\n

Les mer om Microsoft-saken her.<\/a> <\/p>\n\n\n\n

\n\n\n\n

PERSONOPPLYSNINGER OM BARN<\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Og mens vi snakker om Microsoft \u2013 de har utfordringer i USA ogs\u00e5<\/strong><\/strong><\/h2>\n\n\n\n

Microsoft har inng\u00e5tt et forlik p\u00e5 20 millioner dollar med den f\u00f8derale handelskommisjonen (FTC) for \u00e5 avslutte en anklage om \u00e5 samle inn personopplysninger om barn uten foreldrenes samtykke og i noen tilfeller oppbevare de i flere \u00e5r. <\/p>\n\n\n\n

Bruddet er en krenkelse av the children’s online privacy protection act (COPPA) som skal verne privatlivet til barn under 13 \u00e5r.<\/strong> Loven krever at selskap som samler inn personopplysninger varsler foreldrene om opplysningene som samles inn og at disse gir tillatelse. I tillegg skal personopplysninger som ikke lenger er n\u00f8dvendig \u00e5 oppbevare, slettes. <\/p>\n\n\n\n

FTC p\u00e5st\u00e5r at barn som oppretter brukere i Microsoft Xbox m\u00e5 oppgi en rekke personopplysninger samt at de har en forh\u00e5ndsutfylt “sjekkboks” som tillater Microsoft \u00e5 dele personopplysningene med annons\u00f8rer. Microsoft skal ha samlet opplysningene f\u00f8r de innhentet samtykke. I tillegg bevarte de opplysningene selv om foreldrene ikke fullf\u00f8rte opprettelsen av brukeren. <\/p>\n\n\n\n

X-box sjef Dave McCarthy mener at oppbevaringen av personopplysningene skyldes en teknisk glipp og at opplysningene aldri p\u00e5 noen som helst m\u00e5te ble brukt eller delt. <\/p>\n\n\n\n

FTC krever n\u00e5 at Microsoft m\u00e5 varsle foreldre og innhente samtykke for oppbevaring av opplysninger for alle brukere som er opprettet f\u00f8r mai 2021. I tillegg m\u00e5 Microsoft iverksette nye systemer for \u00e5 slette barns personopplysninger dersom samtykke fra foreldre ikke er innhentet samt sikre at opplysninger er slettet n\u00e5r det ikke lenger er n\u00f8dvendig \u00e5 oppbevare de. <\/p>\n\n\n\n

Det har v\u00e6rt mye aktivitet for FTC i det siste. Denne saken var deres tredje COPPA-relaterte sak de siste ukene. Herunder en sak mot Amazon som oppbevarte opptak fra den velkjente Alexa plattformen til tross for foresp\u00f8rsler fra foreldre om \u00e5 slette opptakene. <\/p>\n\n\n\n

Hele saken kan du lese om her.<\/a><\/p>\n\n\n\n

\n\n\n\n

VEILEDER FOR GEBYR<\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

EDPB har offentliggjort sin endelige veiledning for utm\u00e5ling av overtredelsesgebyr<\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n

Retningslinjene skal s\u00f8rge for at b\u00f8ter beregnes p\u00e5 (omtrent?) samme m\u00e5te i de europeiske landene. Det er selvf\u00f8lgelig artikkel 83 som er styrende, men de har laget en metode som skal anvendes i fastsettelsen av botens st\u00f8rrelse. <\/p>\n\n\n\n

Det er tre elementer som skal v\u00e6re styrende: overtredelsens art, alvorligheten av overtredelsen og omsetningen til overtrederen.<\/strong> Selv om dette kan virke sjablongmessig, er skj\u00f8nn fremdeles sentralt. EDPB skriver selv at skj\u00f8nn m\u00e5 med. Det er alts\u00e5 ingen automatisk standard beregning, men det skal foretas en konkret vurdering av alle omstendigheter i hver enkelt sak. I tillegg skal man ta hensyn til formildende omstendigheter. Dette er likevel et viktig bidrag til rammeverket for \u00e5 f\u00e5 til et mer effektivt samarbeid mellom tilsyn i grensekryssende saker. <\/p>\n\n\n\n

Selv om de endelige retningslinjene stort sett er i overensstemmelse med tilbakemeldingene fra den offentlige h\u00f8ringen, s\u00e5 inneb\u00e6rer de endelige retningslinjene en endring i hvordan st\u00f8rrelsen p\u00e5 et foretak skal vektlegges for \u00e5 fastlegge startsatsen. Det som defineres som mindre alvorlige brudd kan gis mellom 0-10% av maksimumsstraff, medium brudd gis mellom 10-20% av maksimumsstraff og alvorlige brudd skal ha mellom 20-100% av maksimumsstraffen. Det er klart det vil bli diskusjon om hvilken kategori et brudd havner i \u2013 hittil har tilsynene hatt en tendens til \u00e5 anse brudd p\u00e5 grunnleggende rettigheter som alvorlige. Det skal ogs\u00e5 tas hensyn til et selskaps omsetning (og b\u00e6reevne) og de har innf\u00f8rt “startniv\u00e5er” for b\u00f8ter for ulike typer omsetning. <\/p>\n\n\n\n

Vi kommer til \u00e5 f\u00e5 se mye diskusjon om dette fremover i sakene om ilagte b\u00f8ter.

Veiledningen er tilgjengelig her.<\/a><\/p>\n\n\n\n

\n\n\n\n

HJELP TIL \u00c5 KLAGE<\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Det er de f\u00e5 som er opptatt av personvern, som sikrer de manges personvern<\/strong><\/strong><\/h2>\n\n\n\n

Dette er et utsagn som har v\u00e6rt sagt mange ganger og det er helt sant. Og da er det nyttig at folk klager p\u00e5 brudd p\u00e5 personvern.<\/p>\n\n\n\n

N\u00e5 hjelper EDPB folk \u00e5 klage. De har utviklet en mal for et klageskjema samt kvittering for mottak av klage. <\/strong>M\u00e5let er \u00e5 gi klageren generell informasjon om neste steg etter en klage og \u00e5 underrette om retten til effektiv h\u00e5ndhevelse av avgj\u00f8relsene fra tilsynene. Malene skal ogs\u00e5 gj\u00f8re det enklere for tilsynene \u00e5 behandle klager i grenseoverskridende saker. <\/p>\n\n\n\n

Malene tar h\u00f8yde for forskjeller i nasjonal lovgivning og tillater tilsynene \u00e5 gj\u00f8re tilpasning til egne lover. EDPB har ogs\u00e5 kommet med oppdaterte versjoner for s\u00f8knad om godkjennelse av “BCR”, Binding Corporate Rules, for behandlingsansvarlige. Anbefalingene oppdaterer det eksisterende BCR-C referansedokumentet. EDPB utvikler for tiden en tilsvarende anbefalingsmodell for databehandlere (BCR-P). <\/p>\n\n\n\n

Les mer om dette her.<\/a><\/p>\n\n\n\n

\n\n\n\n

INNSYN P\u00c5 EGET SPR\u00c5K<\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

I Sverige har IMY gitt Spotify en stor bot<\/strong><\/strong><\/strong><\/strong><\/h2>\n\n\n\n

N\u00e5r brukere av Spotify krever innsyn i sine personopplysninger, gir Spotify ut tre typer informasjon; profilinformasjon, historikk linket til brukerens personopplysninger og spesifikk informasjon som en bruker krever \u00e5 f\u00e5 utlevert. Informasjonen gis i et s\u00e5kalt teknisk JSON format. <\/p>\n\n\n\n

Det svenske datatilsynet, IMY, mener det er tilstrekkelig at informasjon gj\u00f8res tilgjengelig gjennom en nettbasert l\u00f8sning. Imidlertid er det helt avgj\u00f8rende at informasjonen blir formulert p\u00e5 en slik m\u00e5te at den oppfyller form\u00e5let med innsynsbegj\u00e6ringen. Brukeren skal kunne sette seg inn i hvordan personopplysningene blir behandlet og at behandlingen er i tr\u00e5d med loven. <\/p>\n\n\n\n

Spotify hadde ikke tilpasset informasjonen til en bruker-spesifikk situasjon, noe som vanskeliggjorde pr\u00f8vingen av om behandlingen av personopplysningen var i tr\u00e5d med loven. I tillegg var informasjon ikke lett tilgjengelig og for uklar og generell n\u00e5r den f\u00f8rst ble gitt som gjorde det vanskelig for vanlige brukere \u00e5 forst\u00e5 den. <\/p>\n\n\n\n

Tredelingen av opplysninger mente ikke IMY at var et brudd p\u00e5 artikkel 15 fordi brukeren har mulighet til \u00e5 f\u00e5 alle opplysningene samtidig ved \u00e5 henvende seg til kundeservice. Formateringen av opplysningene (JSON format) var ogs\u00e5 generelt sett tilstrekkelig. Imidlertid ble tekniske opplysninger om historikk bare gitt p\u00e5 engelsk.<\/strong> Det er et krav etter artikkel 12 at opplysninger etter artikkel 15 m\u00e5 gis i en konsis, tydelig og forst\u00e5elig form og p\u00e5 et forst\u00e5elig og klart spr\u00e5k. Datatilsynet konkluderte derfor med at \u00e5 bare gi informasjon p\u00e5 engelsk var et brudd p\u00e5 artikkel 12. <\/p>\n\n\n\n

Datatilsynet tilf\u00f8yde at dersom det er uklart hvilke opplysninger en innsynsbegj\u00e6ring gjelder, s\u00e5 skal den behandlingsansvarlige legge til grunn at brukeren \u00f8nsker innsyn i alle personopplysninger. <\/p>\n\n\n\n

Etterforskningen endte med en bot p\u00e5 50 millioner svenske kroner.<\/p>\n\n\n\n

Saken er omtalt hos NOYB her.<\/a><\/p>\n\n\n\n

\n\n\n\n

TREDJELAND OG BESKATNING<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Kan skatteopplysninger om amerikanske borgere overf\u00f8res til USA ihht FATCA?<\/strong><\/h2>\n\n\n\n

EDPB ba i april 2021 medlemslandene i EU\/E\u00d8S om \u00e5 vurdere, og eventuelt revidere bilaterale avtaler som p\u00e5legger overf\u00f8ring av personopplysninger til tredjeland i forbindelse med beskatning. Organisasjonen Association of Accidental Americans (AAA) har i et brev til EDPB p\u00e5pekt at det har g\u00e5tt sv\u00e6rt lang tid uten at det har skjedd noe hos medlemslandene. Frem til nylig.  <\/p>\n\n\n\n

Flere amerikansk\/belgiske statsborgere bosatt i Belgia ble varslet av banken deres om at den m\u00e5tte opplyse om bankkontoene, herunder innest\u00e5ende og annet, relatert til formue p\u00e5 grunn av FATCA avtalen. Denne avtalen p\u00e5legger blant annet banker \u00e5 opplyse lokale skattemyndigheter om bankkontoer som amerikanske borgere har opprettet i utlandet. Deretter rapporterer de lokale myndighetene videre til USA. Det belgiske datatilsynet mener avtalen er i strid med GDPR. <\/p>\n\n\n\n

Etter GDPR art. 96 s\u00e5 p\u00e5virkes ikke internasjonale avtaler som er inng\u00e5tt f\u00f8r ikrafttredelsen av GDPR, av GDPR. Men datatilsynet mente at unntaksvis m\u00e5 reglene i GDPR likevel sl\u00e5 gjennom dersom bruken av art. 96 f\u00e5r uforholdsmessige konsekvenser for rettighetene til klagerne. <\/p>\n\n\n\n

Datatilsynet mente videre at FATCA-avtalen ikke inneholder et tilstrekkelig klart angitt form\u00e5l og derfor er det ikke mulig \u00e5 unders\u00f8ke i hvilken grad behandlingen av personopplysninger er n\u00f8dvendig for \u00e5 ivareta form\u00e5let. FATCA-avtalen var heller ikke i tr\u00e5d med prinsippene om n\u00f8dvendighet og forholdsmessighet, den inneholder ingen beskyttende tiltak og nevner ikke personvernet til de som f\u00e5r sine personopplysninger behandlet gjennom avtalen. <\/p>\n\n\n\n

Som behandlingsansvarlig, hadde de belgiske skattemyndighetene heller ikke gitt tilstrekkelig informasjon om behandlingen av personopplysninger slik GDPR artikkel 13 og 14 foreskriver og de hadde ikke foretatt en DPIA\/konsekvensutredning av det \u00e5 dele personopplysninger med USA. Belgiske skattemyndighetene hadde ikke iverksatt tiltak for \u00e5 s\u00f8rge for at delingen av personopplysninger var i overensstemmelse med GDPR. F\u00f8lgelig vedtok det belgiske datatilsynet et forbud mot \u00e5 behandle klagernes personopplysninger etter FACTA-avtalen. <\/p>\n\n\n\n

Norge har ogs\u00e5 signert FATCA-avtalen med USA,<\/strong> og det var en del diskusjoner om personvern da den ble undertegnet. S\u00e5 langt kan jeg ikke se at det har kommet diskusjoner tilsvarende den i Belgia. <\/p>\n\n\n\n

Les mer her<\/a>

og her<\/a><\/p>\n\n\n\n

\n\n\n\n

HJELP HR-SJEFEN!<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Og atter en p\u00e5minnelse om at HR-opplysninger skal behandles klokt<\/strong><\/h2>\n\n\n\n

Hovedstadens beredskapstjeneste i Danmark oppdaget at det nye arkiveringssystemet deres (ESDH), ga alle ansatte tilgang til n\u00e5v\u00e6rende og tidligere ansattes personopplysninger. Herunder navn, personnummer og adresser (ogs\u00e5 skjulte). Dette gjaldt totalt 2000 ansatte. Etter en n\u00e6rmere unders\u00f8kelse avdekket den behandlingsansvarlige at seks forskjellige brukere hadde brukt tilgangen uten at det hadde relevans for utf\u00f8relsen av jobben deres. <\/p>\n\n\n\n

Det danske datatilsynet valgte \u00e5 kritisere beredskapstjenesten, men ga ikke b\u00f8ter (det er sjelden det gis b\u00f8ter i Danmark fordi det m\u00e5 gjennom politiet). <\/p>\n\n\n\n

I andre europeiske land ser vi mye oppmerksomhet p\u00e5 hvem som har tilgang til HR-data. Reglene vil jo v\u00e6re de samme i Norge, men forel\u00f8pig er det ikke mange saker om dette her. Men det kan endre seg. <\/p>\n\n\n\n

Det kan v\u00e6re lurt \u00e5 sjekke tilganger til HR-data, hvor lenge de oppbevares og om de ligger i skytjenester som kan medf\u00f8re overf\u00f8ring til USA \u2013 da trengs en TIA (transfer impact asessment).<\/strong> Ogs\u00e5 n\u00e5r leverand\u00f8ren er skandinavisk, men bruker en underleverand\u00f8r som er amerikansk. Jeg hadde nylig m\u00f8te med en HR-sjef som “plutselig forsto” at vedkommendes norske avtalepart hadde amerikanske underleverand\u00f8rer og at det utl\u00f8ste en tredjelands-situasjon. Fint for vedkommende at det dukket opp i samtale med meg, og ikke med Datatilsynet. Hjelp din egen HR-sjef!<\/p>\n\n\n\n

Les mer om den danske saken her.<\/a><\/p>\n\n\n\n

\n\n\n\n

AI Act<\/strong><\/h2>\n\n\n\n
\"\"<\/figure>\n\n\n\n

Status p\u00e5 AI Act \u2013 snart ferdig og med nesten dobbelt s\u00e5 store b\u00f8ter som i GDPR?<\/strong><\/h2>\n\n\n\n

Etter at Europaparlamentet den 14. juni foreslo endringer i den opprinnelige lovteksten utarbeidet av kommisjonen, foreg\u00e5r det n\u00e5 trilogforhandlinger om et endelig resultat. De som sitter tett p\u00e5 Brussel angir litt ulike tidsscenarioer for n\u00e5r vi f\u00e5r en endelig forordning, men gitt den oppmerksomheten AI har for tiden, kan dette g\u00e5 fort. Det er samtidig verdt \u00e5 merke seg at GDPR ikke “forsvinner” med AI Act. En databehandler m\u00e5 fremdeles ha hjemmel i GDPR, men det er en rekke formkrav i tillegg i AI Act. <\/p>\n\n\n\n

B\u00f8teniv\u00e5et i AI Act er lagt vesentlig over niv\u00e5et i GDR, det foresl\u00e5s f\u00f8lgende: <\/p>\n\n\n\n