Personvernåret 2020

2020 var et turbulent år. På personvernfronten utløste Covid-19-pandemien en rekke utfordringer, i tillegg til nye avgjørelser og retningslinjer fra EU-domstolen, Kommisjonen og Personvernrådet. Her oppsummerer vi det viktigste i utviklingen fra året som har gått, og hva du bør følge med på i året som kommer.

Publisert: 6. januar 2021

Smittestopp

Den første versjonen av FHIs app som gjennom smittesporing skulle bidra til bekjempelse av pandemien, Smittestopp, ble i stedet en «Smitteflopp». Etter heftig debatt vedtok Datatilsynet til slutt et forbud mot behandling av personopplysninger knyttet til appen. Datatilsynet la grunn at inngripenen i personvernet ikke var forholdsmessig sett opp imot brukernes personvernrettigheter. Bakgrunnen var blant annet at FHI ikke godtgjorde hvorfor man benyttet GPS-data i kontaktsporing og at brukerne ikke kunne velge å samtykke til hvert av de ulike formålene (hhv. kontaktsporing og forskning).

Før jul lanserte FHI en ny Smittestopp-app, hvor kontaktsporing er det eneste formålet. I den nye appen benyttes kun blåtann og ikke GPS. Datatilsynet har uttalt at personvernet ser ut til å være ivaretatt. Selv om en må håpe at også denne appen blir overflødig så snart som mulig, er det positivt å se at personvernregelverket ikke er til hinder for tekniske løsningers bidrag til å bekjempe pandemien.

Schrems II: Strengere krav for overføring til tredjeland

(Les også vår tidligere oppsummering)

EU-domstolen avsa i juli den såkalte Schrems II-avgjørelsen, hvor Privacy Shield-avtalen mellom EU og USA ble ugyldiggjort. Bakgrunnen for avgjørelsen er amerikanske myndigheters massive overvåkningsprogrammer, som gjør at europeiske borgeres personvern trues når deres personopplysninger blir behandlet av amerikanske selskaper. Spørsmålet dette reiser for europeiske virksomheter er hvordan de kan bruke de beste IT-tjenestene verden har, uten at det går på bekostning av personvernet.

I november publiserte Personvernrådet en veileder som er ment å hjelpe europeiske virksomheter med å overholde reglene om overføring til tredjeland slik de tolkes av EU-domstolen i Schrems II. Veilederen hjelper et stykke på vei, men det er fortsatt komplisert og arbeidskrevende for de fleste virksomheter å innrette seg. I vår rådgivning gjennom høsten har vi sett noen typiske utfordringer som oppstår og gitt råd om hvordan disse kan løses på best mulig vis:

  • «Know your transfers»: En del virksomheter har fortsatt ikke full oversikt over sine overføringer til tredjeland. En del av dem som mente de hadde det, oppdager nå at begrepet «overføring» er videre enn de først antok. Det omfatter også aksessering av data lagret i EØS fra lokasjon utenfor EØS. De som i sine behandlingsprotokoller har skrevet «Data lagres i Norge/EU» og lignende, har derfor måttet kartlegge sine behandlingsaktiviteter på nytt for å verifisere om det faktisk skjer en «overføring» eller ei.
    Landvurdering: Reglene gjelder ikke bare USA, men alle land utenfor EØS som ikke er omfattet av en «adequacy decision». Dersom man vil overføre opplysninger til slike land (f.eks. ved outsourcing), må man gjøre en dokumentert vurdering av om landet oppfyller «the European Essential Guarantees». Selv om Personvernrådet har publisert en egen veiledning for å gjøre slike vurderinger, er det komplisert. En mulig løsning i noen tilfeller er å implementere tekniske tiltak tilsvarende det man gjør for land som ikke oppfyller «European Essential Guarantees».
  • Valg av tiltak: Dersom man ønsker å fortsette overføringer basert på Standard Contractual Clauses, må man i de fleste tilfeller implementere ytterligere tiltak for å sikre et beskyttelsesnivå. En feil som kan oppstå er at man ikke gjør en grundig nok vurdering av om tiltakene man foreslår å innføre, faktisk bøter på risikoen det er snakk om – at etterretningsmyndighetene i landet det overføres til, skal få tak i opplysningene.
  • Risikovurdering: Når man diskuterer risikoen ved en overføring, er det lett for at man glir over fra å diskutere den faktiske personvernrisikoen, til å diskutere virksomhetens risiko for at en overføring skal utløse sanksjoner fra Datatilsynet. Dette er lite hensiktsmessig. Dersom man gjør en grundig vurdering av personvernrisikoen og hvordan man kan redusere den til et minimum, vil Datatilsynet nødvendigvis ha liten grunn til å reagere.

    Nye Standard Contractual Clauses

Dagen etter Schrems II-veiledningen fra Personvernrådet publiserte EU-kommisjonen utkast til nye Standard Contractual Clauses (SCC). De nye SCC–ene er bare et utkast, men vil trolig vedtas uten altfor store endringer innen kort tid. Når de vedtas vil man ha ett år på seg til å erstatte eksisterende SCC–er med de nye.

Fordelen med de nye SCC–ene er at de er «modulært» oppbygd, slik at de kan brukes i ulike partskonstellasjoner uten altfor mye krumspring. De kan i utgangspunktet benyttes i partskonstellasjonene behandlingsansvarlig til behandlingsansvarlig, behandlingsansvarlig til databehandler, databehandler til databehandler, og databehandler til behandlingsansvarlig. Videre inkluderes mer anvendelige krav til revisjon og tydeligere krav til sikkerhet.

SCC–ene har også sine ulemper. Blant annet er de relativt kompliserte, noe som øker risikoen for feil bruk. De har også noen reguleringer som kan skape praktiske utfordringer. Blant annet forutsetter noen bestemmelser at det skal være direkte kontakt mellom underdatabehandlere og behandlingsansvarlige, for eksempel ved brudd på personopplysningssikkerheten. Videre kreves tilsynelatende at partene må liste opp alle behandlingsansvarlige. Det høres kanskje ikke uoverkommelig ut, men dersom man for eksempel er en europeisk SaaS-leverandør hvor infrastrukturen ligger hos et ikke-europeisk selskap, og man får nye kunder (behandlingsansvarlige) hver dag eller uke, blir saken en annen.

I tillegg kommer at EU-kommisjonen blander seg inn i temaer som normalt er underlagt avtalefriheten – nemlig temaer som ansvarsregulering mellom partene, skadesløsholdelse og lovvalg. Det blir interessant å se om de endelige SCC–ene inneholder et de facto-forbud mot ansvarsbegrensninger i avtaler mellom profesjonelle parter.

Brexit – overføringer kan fortsette som før, inntil videre

Brexit-avtalen fastsetter en overgangsperiode frem til 1.7.2021 for overføring av personopplysninger til Storbritannia. Dette er fulgt opp i Norge med en midlertidig forskrift som fastslår at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven.

EU-kommisjonen vurderer nå om Storbritannia skal underlegges en «adequacy decision», som i praksis er en form for godkjenning av beskyttelsesnivået for personopplysninger. Hvorvidt Storbritannia kommer til å få slik godkjenning, er ikke sikkert. Dersom man overfører personopplysninger til Storbritannia i dag, bør man være forberedt på at landet kan få status som tredjeland fra 1.7.2021.

Første GDPR-dom fra EFTA-domstolen

EFTA-domstolen leverte den 10. desember 2020 sin første tolkning av GDPR. Saken gjaldt blant annet spørsmål om hvorvidt en person som klager på personvernbrudd har rett til å forbli anonym overfor den innklagede. Bakgrunnen for saken var to klager til tilsynsmyndighetene som satte spørsmålstegn ved innsamlingen og etterfølgende behandling av personopplysninger av reklameselskapet Adpublisher, gjennom deres online–markedsføring.

EFTA-domstolen kom til at klageren i utgangspunktet ikke kan holdes anonym overfor den innklagede, på grunn av grunnleggende kontradiktoriske prinsipper. Domstolen åpner imidlertid for unntak i tilfeller hvor utlevering av klagerens identitet ikke er nødvendig for å sikre effektiv utøvelse av kontradiksjon. Dette kan være i tilfeller hvor klagen gjelder standardisert og lik form for behandling av personopplysninger for et uspesifisert antall personer.

Datatilsynets aktiviteter

Datatilsynets aktiviteter i 2020 ser naturlig nok ut til å være sterkt preget av Covid-19-pandemien. I tillegg til arbeidet med Smittestopp, har Datatilsynet også bidratt med innspill til regulatoriske rammebetingelser for smittesporing, samt bistand til arbeidsgivere, butikker, og serveringsbransjens tiltak for smittesporing.

I tillegg ser det ut at Datatilsynet nå, to år etter ikrafttredelsen av den nye personopplysningsloven, strammer noe til håndhevingen. De har varslet flere overtredelsesgebyr for brudd på konfidensialitet og manglende informasjonssikkerhet, samt uhjemlet kredittsjekk. Særlig aktive har Datatilsynet vært i saker som gjelder barns personvern. Blant annet har Datatilsynet ilagt Bergen kommune et overtredelsesgebyr for manglende sikkerhet i en kommunikasjonsløsning mellom skole og hjem. Datatilsynet har også irettesatt kommuner for feil bruk av Google-løsninger i grunnskolen. Irettesettelsene har de fulgt opp med en veileder for riktig bruk av Google-løsningene. Denne formen for veiledning fra Datatilsynet håper vi å se mer av, så lenge kravene som stilles er praktisk gjennomførbare.

Datatilsynet tar seg også tid til å leke i sandkassa. Tilsynet har fått midler fra regjeringen til å åpne en «regulatorisk sandkasse for utvikling av ansvarlig kunstig intelligens». De skal her gi veiledning til selskaper som på ulike måter ønsker å benytte kunstig intelligens til å behandle personopplysninger. Det kan bli spennende å se resultatene av dette, selv om en kanskje skulle ønske at Datatilsynet prioriterte å få ned saksbehandlingstiden generelt, og å veilede mer om konsekvensene av Schrems II og andre praktiske problemstillinger.

Fremover – hva skjer i 2021?

Å spå om fremtiden er det ingen som kan, men vi forventer at 2021 blir preget av:

  • Schrems II: Mange virksomheter vil måtte fortsette med risikovurderinger, implementering av tekniske tiltak, oppdatering av kontrakter og eventuelt «hente hjem» behandlingsaktiviteter hvor man ikke finner andre løsninger. Vi håper også på en politisk avklaring mellom EU og USA, men tør ikke ha for høye forventinger. Det vil også muligens komme ytterligere retningslinjer gjennom de saker hvor en rekke virksomheter (også Norge) er innklaget til tilsynsmyndighetene med krav om at bruk av en rekke skyløsninger innebærer ulovlig overføring til tredjeland og at overføringen må stanses.
  • Nye SCC–er: Når disse vedtas, må de implementeres i alle nye avtaler som inngås som involverer behandling av personopplysninger. Så må man ganske raskt begynne arbeidet med å erstatte gamle SCC–er i eksisterende avtaler, siden dette må gjøres innen ett år fra vedtakelsen av de nye SCC-ene.
  • ePrivacy-forordningen: Presidentskapet i EU-rådet publiserte et nytt utkast i november 2020. Dersom forordningen omsider blir vedtatt, vil det få konsekvenser for tilbydere av elektroniske kommunikasjonstjenester og alle som bedriver elektronisk markedsføring i en eller annen form. I det siste utkastet tas det blant annet hensyn til EU-domstolens avgjørelser i Privacy International (sak C-623/17) og La Quadrature du Net and Others (sak C-511/18), hvor EU-domstolen slår fast at en generell og udifferensiert innsamling og lagring av kommunikasjonsopplysninger er i strid med de grunnleggende rettighetene og kommunikasjonsverndirektivet.
  • Akselererende digitalisering: Stadig større deler av samfunnet digitaliseres. Dette skaper nye forretningsmodeller og endringer i tradisjonelle bransjer. Som regel medfører digitalisering også behandling av personopplysninger i større eller mindre grad.

Lignende saker

Personvern og cybersikkerhet03.7.2024

Staten vant i Oslo tingrett- Grindr ilagt overtredelsesgebyr på 65 millioner for brudd på GDPR
Personvern og cybersikkerhet17.6.2024

Meta avventer AI-utvikling med personopplysninger fra EØS-brukere 
Personvern og cybersikkerhet12.6.2024

Personopplysningene dine brukes til å utvikle kunstig intelligens
Flere nyheter