Personvernåret – hva kan vi forvente i 2023?

I året som har gått har det som tidligere år, vært mye fokus på kravene til overføringer av personopplysninger ut av EU/EØS i lys av Schrems II-dommen. Det har vært offentlige debatter mellom Datatilsynet og Digdir, hvor ueningheten blant annet gikk på anledningen til å ha en såkalt risikobasert tilnærming ved overføringer av personopplysninger til tredjeland. Det har kommet oppløftende nyheter fra USA i form av en Executive Order, som forhåpentligvis vil kunne bidra til mer forutsigbarhet ved overføringer av personopplysninger til USA fremover. Her oppsummerer vi noe av det viktigste som har skjedd innenfor personvern i 2022 og tar en titt på hva vi kan forvente oss i 2023.

 

Publisert: 13. januar 2023

Det har kommet en rekke nye veiledninger fra EDPB, avgjørelser fra nasjonale tilsyn og spennende nyheter vedrørende tredjelandsoverføringer. I våre artikler gjennom året har vi trukket frem noen av de sentrale hendelsene innenfor personvern det siste året:

I tillegg har Personvernkommisjonen levert sin rapport om personvern i Norge. Digdir og DFØ har publisert sin veileder for bruk av skytjenester i offentlig sektor. Veilederen har skapt en del forvirringer som har ført til offentlige debatter mellom Datatilsynet og Digdir og DFØ. Selv om Digdir og DFØ sier at veilederen følger datatilsynsmyndighetenes tilnærming er det åpenbart at flere av de sentrale vurderingstemaene er ulike.

 

Debatten mellom Datatilsynet og Digdir og DFØ

Det blir spennende å følge utviklingen i kjølvannet av Digdir og DFØs veileder inn i 2023. Datatilsynet på sin side har vært tydelig på at de vil praktisere og håndheve reglene i tråd med egen veileder. Mye av usikkerheten knytter seg til bruk av amerikanske skyleverandører, hvor datasentre ligger i EU/EØS, men hvor leverandøren har morselskap i USA og dermed tar forbehold om utlevering av data i tilfelle av pålegg fra tredjelands myndigheter. Sentralt står blant annet spørsmålet om man kan ha en risikobasert tilnærming ved overføringer til tredjeland.

Vi håper at ytterligere diskusjoner og avklaringer i løpet av det kommende året kan skape mer forutsigbarhet og praktikable løsninger. I forlengelsen av dette kan det nevnes at Datatilsynet har gitt signaler om at de fremover kommer til å unnlate å behandle enhver enkeltsak og heller orientere seg mot de litt større og prinsipielle sakene, noe som gir håp for økt avklaring på de større spørsmålene rundt tredjelandsproblematikken.

 

Avklaringer rundt hva som menes med tilsiktet overføring, og hva som regnes som en instruks

Problemstillingen kommer på bakgrunn av et konkret spørsmål fra det danske IT-selskapet KOMBIT i forbindelse med bruk av Amazon Web Services («AWS») som databehandler. KOMBIT leverer IT-systemet Aula til danske kommuner/ behandlingsansvarlige, og benytter Netcompany som leverandør/databehandler, som igjen benytter AWS som en underleverandør/underdatabehandler.

Personopplysningene som KOMBIT behandler skulle etter avtalen i utgangspunktet kun behandles innenfor EU/EØS. Imidlertid fremgår det et unntak i databehandleravtalen mellom Netcompany og AWS som går ut på at utlevering av personopplysninger til tredjeland kan skje dersom det er nødvendig for å overholde lovgivning eller et bindende vedtak fra en offentlig myndighet.

Datatilsynet bekreftet at dersom AWS skulle komme til å benytte seg av unntaket i databehandleravtalen, er ikke overføringen utilsiktet. Dette innebærer at den behandlingsansvarlige er forpliktet til å sikre at reglene om overføring til tredjeland er overholdt, dersom AWS gjennomfører en slik overføring av personopplysninger. Temaet er like aktuelt i det vi går inn i det nye året, og problemstillingen kommer til å bli drøftet hyppig.

 

Romjula var fristen for å oppdatere til nye SCC-er

EU-kommisjonen har i kjølvannet av Schrems II-dommen vedtatt oppdaterte SCC-er. Det kan nå ikke inngås standardklausuler på de eldre malene og eksisterende kontraktsforhold bygget på de eldre SCC-ene var kun gyldige frem til 27. desember 2022. Virksomheter som enda ikke oppdatert sine SCC-er må derfor omgående sørge for å sjekke sine SCC-er nå og oppdatere ved behov.

Det er fortsatt en krevende om ikke umulig øvelse å vite eksakt hvilke krav som stiles ved overføringer av personopplysninger til land utenfor EU/EØS. Forhåpentligvis får vi klarere retningslinjer og økt veiledning fra tilsyn i løpet av 2023.

 

Endring av lovgivning i USA og mulig adekvansbeslutning

På tampen av 2022 la EU-kommisjonen frem sitt utkast til en adekvansbeslutning for USA. En adekvansbeslutning betyr at landet eller området ivaretar personvernet på en tilsvarende måte som i EU/EØS og kan benyttes som overføringsgrunnlag. Det gjenstår fortsatt for både Personvernrådet og EU-parlamentet å uttale seg. Deretter må EU-landene godkjenne adekvansbeslutningen, før EU-kommisjonen formelt godkjenner adekvansbeslutningen. Først da kan adekvansbeslutningen benyttes som overføringsgrunnlag. Det blir spennende å se om/når beslutningen kommer i løpet av 2023.

 

Fortsatt problematisk med såkalte «onward transfers»

Selv om det kommer på plass en adekvansbeslutning for USA, er ikke overføringsproblematikken løst med det første. I tråd med veiledning fra EDPB må den behandlingsansvarlige vurdere alle aktører som er involvert i overføringen. De fleste amerikanske skytjenesteleverandører benytter seg av support og øvrig bistand fra underleverandører lokalisert i andre tredjeland uten adekvansbeslutning. Det vil derfor ikke være tilstrekkelig å benytte det nye overføringsgrunnlaget ukritisk, uten å foreta ytterligere vurderinger knyttet til dataflyten.

 

Økt bøtevirksomhet fra datatilsyn

GDPR har vært i kraft i 5 år i 2023 og vi ser datatilsyn øke bøtevirksomheten i tråd med at GDPR blir eldre. Sist ut i rekken av bøter var Meta (Facebook og Instagram), som ble ilagt et gebyr på hele 390 millioner euro for brudd på reglene om samtykke til tilpasset annonsering. Det føyer seg inn i rekken av bøter mot Meta, som nå har fått over 10 milliarder norske kroner i bøter for brudd på GDPR.

 

Personvern blir mer enn bare å møte regulatoriske krav og compliance

Fokuset på personvern kommer ikke til å avta i 2023, og heller ikke i kommende år. Personvern har blitt et konkurransefortrinn og et sentralt moment i anskaffelser. Både private og offentlige bedrifter har fått et økt fokus på personvern og krever god ivaretagelse av personvern ved kjøp av tjenester eller ved anskaffelse av nye systemer og løsninger. Dette betyr at det å skape en personvernkultur der alle deler av virksomheten er engasjert, spiller en viktig rolle for å unngå:

  • produktivitetstap
  • inntektstap
  • datainnbrudd
  • og kostnader ved regulatoriske bøter og pålegg

Det har vært et eksepsjonelt travelt år i teknologilovutviklingen i 2022, drevet av et stadig skiftende teknologilandskap. Det er liten tvil om at teknologien vil fortsette å utvikle seg i 2023, og det er ingen tegn til at tilsyn og lovgivere løfter fokuset på sektoren.

Lignende saker

Flere nyheter