2020 var et turbulent år. På personvernfronten utløste Covid-19-pandemien en rekke utfordringer, i tillegg til nye avgjørelser og retningslinjer fra EU-domstolen, Kommisjonen og Personvernrådet. Her oppsummerer vi det viktigste i utviklingen fra året som har gått, og hva du bør følge med på i året som kommer.
Smittestopp
Den første versjonen av FHIs app som gjennom smittesporing skulle bidra til bekjempelse av pandemien, Smittestopp, ble i stedet en «Smitteflopp». Etter heftig debatt vedtok Datatilsynet til slutt et forbud mot behandling av personopplysninger knyttet til appen. Datatilsynet la grunn at inngripenen i personvernet ikke var forholdsmessig sett opp imot brukernes personvernrettigheter. Bakgrunnen var blant annet at FHI ikke godtgjorde hvorfor man benyttet GPS-data i kontaktsporing og at brukerne ikke kunne velge å samtykke til hvert av de ulike formålene (hhv. kontaktsporing og forskning).
Før jul lanserte FHI en ny Smittestopp-app, hvor kontaktsporing er det eneste formålet. I den nye appen benyttes kun blåtann og ikke GPS. Datatilsynet har uttalt at personvernet ser ut til å være ivaretatt. Selv om en må håpe at også denne appen blir overflødig så snart som mulig, er det positivt å se at personvernregelverket ikke er til hinder for tekniske løsningers bidrag til å bekjempe pandemien.
Schrems II: Strengere krav for overføring til tredjeland
(Les også vår tidligere oppsummering)
EU-domstolen avsa i juli den såkalte Schrems II-avgjørelsen, hvor Privacy Shield-avtalen mellom EU og USA ble ugyldiggjort. Bakgrunnen for avgjørelsen er amerikanske myndigheters massive overvåkningsprogrammer, som gjør at europeiske borgeres personvern trues når deres personopplysninger blir behandlet av amerikanske selskaper. Spørsmålet dette reiser for europeiske virksomheter er hvordan de kan bruke de beste IT-tjenestene verden har, uten at det går på bekostning av personvernet.
I november publiserte Personvernrådet en veileder som er ment å hjelpe europeiske virksomheter med å overholde reglene om overføring til tredjeland slik de tolkes av EU-domstolen i Schrems II. Veilederen hjelper et stykke på vei, men det er fortsatt komplisert og arbeidskrevende for de fleste virksomheter å innrette seg. I vår rådgivning gjennom høsten har vi sett noen typiske utfordringer som oppstår og gitt råd om hvordan disse kan løses på best mulig vis:
Nye Standard Contractual Clauses
Dagen etter Schrems II-veiledningen fra Personvernrådet publiserte EU-kommisjonen utkast til nye Standard Contractual Clauses (SCC). De nye SCC–ene er bare et utkast, men vil trolig vedtas uten altfor store endringer innen kort tid. Når de vedtas vil man ha ett år på seg til å erstatte eksisterende SCC–er med de nye.
Fordelen med de nye SCC–ene er at de er «modulært» oppbygd, slik at de kan brukes i ulike partskonstellasjoner uten altfor mye krumspring. De kan i utgangspunktet benyttes i partskonstellasjonene behandlingsansvarlig til behandlingsansvarlig, behandlingsansvarlig til databehandler, databehandler til databehandler, og databehandler til behandlingsansvarlig. Videre inkluderes mer anvendelige krav til revisjon og tydeligere krav til sikkerhet.
SCC–ene har også sine ulemper. Blant annet er de relativt kompliserte, noe som øker risikoen for feil bruk. De har også noen reguleringer som kan skape praktiske utfordringer. Blant annet forutsetter noen bestemmelser at det skal være direkte kontakt mellom underdatabehandlere og behandlingsansvarlige, for eksempel ved brudd på personopplysningssikkerheten. Videre kreves tilsynelatende at partene må liste opp alle behandlingsansvarlige. Det høres kanskje ikke uoverkommelig ut, men dersom man for eksempel er en europeisk SaaS-leverandør hvor infrastrukturen ligger hos et ikke-europeisk selskap, og man får nye kunder (behandlingsansvarlige) hver dag eller uke, blir saken en annen.
I tillegg kommer at EU-kommisjonen blander seg inn i temaer som normalt er underlagt avtalefriheten – nemlig temaer som ansvarsregulering mellom partene, skadesløsholdelse og lovvalg. Det blir interessant å se om de endelige SCC–ene inneholder et de facto-forbud mot ansvarsbegrensninger i avtaler mellom profesjonelle parter.
Brexit – overføringer kan fortsette som før, inntil videre
Brexit-avtalen fastsetter en overgangsperiode frem til 1.7.2021 for overføring av personopplysninger til Storbritannia. Dette er fulgt opp i Norge med en midlertidig forskrift som fastslår at Storbritannia ikke skal regnes som et tredjeland etter personopplysningsloven.
EU-kommisjonen vurderer nå om Storbritannia skal underlegges en «adequacy decision», som i praksis er en form for godkjenning av beskyttelsesnivået for personopplysninger. Hvorvidt Storbritannia kommer til å få slik godkjenning, er ikke sikkert. Dersom man overfører personopplysninger til Storbritannia i dag, bør man være forberedt på at landet kan få status som tredjeland fra 1.7.2021.
Første GDPR-dom fra EFTA-domstolen
EFTA-domstolen leverte den 10. desember 2020 sin første tolkning av GDPR. Saken gjaldt blant annet spørsmål om hvorvidt en person som klager på personvernbrudd har rett til å forbli anonym overfor den innklagede. Bakgrunnen for saken var to klager til tilsynsmyndighetene som satte spørsmålstegn ved innsamlingen og etterfølgende behandling av personopplysninger av reklameselskapet Adpublisher, gjennom deres online–markedsføring.
EFTA-domstolen kom til at klageren i utgangspunktet ikke kan holdes anonym overfor den innklagede, på grunn av grunnleggende kontradiktoriske prinsipper. Domstolen åpner imidlertid for unntak i tilfeller hvor utlevering av klagerens identitet ikke er nødvendig for å sikre effektiv utøvelse av kontradiksjon. Dette kan være i tilfeller hvor klagen gjelder standardisert og lik form for behandling av personopplysninger for et uspesifisert antall personer.
Datatilsynets aktiviteter
Datatilsynets aktiviteter i 2020 ser naturlig nok ut til å være sterkt preget av Covid-19-pandemien. I tillegg til arbeidet med Smittestopp, har Datatilsynet også bidratt med innspill til regulatoriske rammebetingelser for smittesporing, samt bistand til arbeidsgivere, butikker, og serveringsbransjens tiltak for smittesporing.
I tillegg ser det ut at Datatilsynet nå, to år etter ikrafttredelsen av den nye personopplysningsloven, strammer noe til håndhevingen. De har varslet flere overtredelsesgebyr for brudd på konfidensialitet og manglende informasjonssikkerhet, samt uhjemlet kredittsjekk. Særlig aktive har Datatilsynet vært i saker som gjelder barns personvern. Blant annet har Datatilsynet ilagt Bergen kommune et overtredelsesgebyr for manglende sikkerhet i en kommunikasjonsløsning mellom skole og hjem. Datatilsynet har også irettesatt kommuner for feil bruk av Google-løsninger i grunnskolen. Irettesettelsene har de fulgt opp med en veileder for riktig bruk av Google-løsningene. Denne formen for veiledning fra Datatilsynet håper vi å se mer av, så lenge kravene som stilles er praktisk gjennomførbare.
Datatilsynet tar seg også tid til å leke i sandkassa. Tilsynet har fått midler fra regjeringen til å åpne en «regulatorisk sandkasse for utvikling av ansvarlig kunstig intelligens». De skal her gi veiledning til selskaper som på ulike måter ønsker å benytte kunstig intelligens til å behandle personopplysninger. Det kan bli spennende å se resultatene av dette, selv om en kanskje skulle ønske at Datatilsynet prioriterte å få ned saksbehandlingstiden generelt, og å veilede mer om konsekvensene av Schrems II og andre praktiske problemstillinger.
Fremover – hva skjer i 2021?
Å spå om fremtiden er det ingen som kan, men vi forventer at 2021 blir preget av: