Tilbake til nyheter

IT-Gruk 3/2023: Personvernnyheter med Grimm og gru

10. mars, 2023
Personvern blir aldri kjedelig, men det betyr ikke at fagfeltet ikke er utfordrende. Den første delen av 2023 har kommet med noen personvernnyheter til glede for de som er personverninteresserte, men også en viss grad av gru for de som stadig venter på en avklaring for overføring av personopplysninger til USA. Vi fortsetter å følge historien som fort kan ende i et «Schrems III». Her er en kort introduksjon til det siste innen personvern sammen med vår egen lille vri.

 

Datatilsynet med varsel om Google Analytics-vedtak

Verktøyet Google Analytics (GA), som er et gratis analyseverktøy fra Google, har vært under press fra Europeiske personvernmyndigheter. Den europeiske personvernorganisasjonen NOYB («None of your business») klaget opprinnelig inn 101 selskaper for bruk av GA på sine nettsider, inkludert tre norske nettsteder. Det gjorde at Datatilsynet har måttet gjøre sine vurderinger og nå kommet med et varsel om vedtak. Ikke overraskende, så har Datatilsynet foreløpig konkludert med at bruken av GA er i strid med GDPR knyttet til reglene om overføring av personopplysninger ut av EØS. Dette er i tråd med andre eksisterende vedtak fra Europeiske tilsynsmyndigheter i Østerrike, Frankrike og Italia, samt EUs datatilsynsmyndighet EDPS.

Hva betyr dette: Bruker dere fortsatt GA på nettsidene deres? Det er sterke grunner til å avslutte bruken og finne et alternativ.

 

Kan jeg snart overføre personopplysninger til USA?

Spørsmålet over får vi regelmessig, og svaret er ikke ja eller nei. Det kan hende det finnes et lovlig grunnlag for overføring til USA basert på eksempelvis bruk av EUs standardkontrakt (SCC) med tilfredsstillende tekniske og organisatoriske tiltak som sikrer personvernet etter GDPR. Spørsmålet er imidlertid rettet mot avtalen mellom EU og USA om et Data Privacy Framework som vil lette flyt av personopplysninger over Atlanterhavet. Rett før jul kom utkastet til en adekvansbeslutning fra EU-kommisjonen som svar på den amerikanske presidentordren fra 7. oktober 2022. Ordren er ment å gi personopplysninger tilfredsstillende beskyttelse i USA ved overføring. Nå har EU-parlamentets komité med ansvar for personvern uttalt seg negativt og mener EU-kommisjonen ikke bør uten videre komme til en adekvansbeslutning for USA. Hovedgrunnene er blant annet uklarheter i presidentordren, at beslutninger fra den tenkte uavhengige personverndomstolen ikke vil være offentlige, samt at USA ikke har en føderal personvernlov på plass. Ikke lenge etter kom EDPB med sin vurdering, som også ser enkelte mangler og behov for klargjøring, før de mener EU er klar for en adekvansbeslutning for USA. Blant annet mener EDPB at beslutningen må gis under forutsetning om at presidentordren iverksettes. Hva nå EU-parlamentet og deretter EU-kommisjonen gjør, og når, er rimelig uklart.

Hva betyr dette: Mange skulle ønske dette kunne avklares raskt, men vi frykter at disse tilbakemeldingene vil kreve flere runder mellom USA og EU. Og skulle det komme en beslutning; vel da er det antagelig tid for Max Schrems og «never ending story» med Grimm og gru?

 

Ikke ta ulovlig Sats med personvernet ditt!

Februar ga oss det største overtredelsesgebyret for et norsk foretak. Datatilsynet har kommet til at treningskjeden Sats har brutt flere bestemmelser i GDPR knyttet til de registrertes rett til informasjon, innsyn og sletting, samt manglende behandlingsgrunnlag for enkelte personopplysninger. Vedtaket kommer som følge av flere klager, som favner hele Sats-konsernet, på hele MNOK 10.

Hva betyr dette: Etterlevelse av GDPR er ikke en engangsøvelse. Virksomheter må oppfylle sine plikter overfor de registrerte og dermed eksempelvis gi innsyn, slette eller rette. Det er også viktig å merke seg plikten til å informere. Hvordan overholder dere informasjonsplikten over alle deres registrerte? Og hvordan er det lagt til rette for at de registrertes rettigheter ivaretas før øvrig?

 

Datatilsynet og tilsynsvirksomhet

Vi merker oss helsesektoren er i en presset situasjon med krav fra myndighetene til å kutte i sine budsjetter. Det gjør at Datatilsynet i begynnelsen av mars så seg nødt til å uttrykke bekymring for at det vil kunne påvirke IT-sikkerheten og personvernet på norske sykehus. Er det da overraskende at Helse Sør-Øst, som det største regionale helseforetaket, samtidig kom til en tilslutning i direktørmøte om å kutte antallet personvernombud og sentralisere rollen?

Hva betyr dette: Personvernet blir ikke nødvendigvis nedprioritert, men kan det sende et signal om at personvernombudsrollen kan være en salderingspost? Og vil andre norske offentlige virksomheter følge etter hvis og når budsjetter settes under press?

 

Noe nytt fra EDPB?

Det europeiske personvernrådet har ikke ligget på latsiden i det siste. I februar publiserte EDPB hele tre nye retningslinjer. Den ene er en retningslinje om manipulativt design i sosiale medier (Guidelines 03/2022), som tilsier hvordan grensesnitt påvirker brukernes valg uten at det er bevisste valg. I tillegg er det kommet en retningslinje omkring det geografiske anvendelsesområdet etter GDPR artikkel 3, som skal veilede for når det faktisk finner sted en (internasjonal) overføring av personopplysninger eller ikke (Guidelines 05/2021). Til slutt har det kommet en retningslinje for sertifisering som et overføringsverktøy (Guidelines 07/2022) og hvordan et slik verktøy kan brukes ved overføringer.

Hva betyr dette: For manipulativt design så finnes nå praktiske råd og anbefalinger til utviklere og tilbydere av sosiale medier for å unngå brudd med GDPR.  

 

Og så til slutt, litt fra EDPS

Mens vi venter på grunnlag for overføring av personopplysninger til USA, og som kanskje kan påvirke enkeltes bruk av Office365, så har EU-organenes datatilsynsmyndighet EDPS sett på alternativer til systemer som Office365. EDPS har inngått en avtale for å teste ut (eller pilotere) bruk av den EU-baserte Open Source-løsningen Nextcloud og Collabora. Dette er gjort for å støtte en EU-institusjon for å møte personvernet og gi alternativer til dagens monopolsituasjon med store skybaserte tjenestetilbydere som oftest innebærer en overføring av personopplysninger utenfor EU/EØS.

Hva betyr dette: Har du virkelig lyst til å bytte ut dagens IT-verktøy? Kanskje det etter hvert kommer reelle alternativer. Det er ikke ukjent for de som har måttet bytte ut Google Analytics.

 

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en mail til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider. I Grette har vi mange tiårs erfaringer med prosjekter og avtaler hvor vi jobber tett med teknologer, ingeniører og ledelse for å bringe prosjekter i havn og at de etterlever regelverk. Ta gjerne kontakt for en uformell samtale og rask vurdering. 

Gå til
  • Spisskompetanse
  • Mennesker
  • Cases
  • Kurs