Tilsynsvirksomhet og bøter
2020 har vært et travelt år for datatilsynsmyndighetene. Samlet er det utstedt nærmere 300 bøter til store og mindre selskaper på europeisk plan for brudd på GDPR, ca. dobbelt så mange som i 2019. Særlig fra det britiske datatilsynet, ICO, har vi sett eksempler tre-sifrede millionbøter. Det ventes at denne økende takten vil fortsette inn i 2021, og at også det norske Datatilsynet i større grad vil benytte de strenge sanksjonsmulighetene.
Schrems II og skjerpede krav til overføring
Det som særlig har preget året 2020 er Schems II-saken fra EU-domstolen i sommer. Med sin umiddelbare virkning har dommen gjort det nødvendig for de aller fleste europeiske virksomheter å foreta nye og grundige vurderinger for dataoverføringer til land utenfor EØS. I dommen ble Privacy Shield underkjent, mens bruk av EUs standardavtaler nå forutsetter konkrete vurderinger og tilleggstiltak.
I kjølvannet av dommen har EUs personvernråd (EDPB) og lokale tilsynsmyndigheter utarbeidet veiledninger for hvordan virksomheter skal tilnærme seg overføringer. De skjerpede kravene fra EDPB som vi gjennomgikk i webinar tidligere i høst, kan få enorme konsekvenser for mange virksomheter. For eksempel vil mange av de vanlig brukte skytjenestene med overføring til USA tilsynelatende ikke være lovlig. Det knytter seg derfor stor spenning til utfallet av den offentlige høringen av EDPBs veiledning med frist 21. desember.
Det skal også nevnes at EU-Kommisjonen har publisert forslag til nye og oppdaterte EU standardkontrakter for overføringer. Det ventes at de endelige avtalene vil være klare tidlig 2021 og at virksomheter vil ha ett år på seg til å inngå de nye avtalene. Selv om avtalene forsøker å ta hensyn til utfordringene knyttet til innsyn fra tredjelands myndigheter, vil det fremdeles være nødvendig å se hen til de skjerpede kravene etter Schrems II og EDPBs (oppdaterte) veiledninger.
Brexit
Avslutningsvis må det nevnes at konsekvensene av Brexit for overføring av personopplysninger i skrivende stund fremdeles er uavklart. Det mest sannsynlige scenariet er at det ikke foreligger en såkalt “adequacy decision” fra EU-kommisjonen innen 1. januar. Det betyr at virksomheter må ha på plass et overføringsgrunnlag for overføring fra EØS til Storbritannia. For virksomheter med etableringer i Storbritannia er det viktig å merke seg at det også kreves overføringsgrunnlag etter britiske regler for overføringer fra Storbritannia til såkalte tredjeland. Arbeidet med å sikre etterlevelse av de strenge overføringskravene etter GDPR vil med andre ord prege personvernbildet en god stund fremover, og mest sannsynlig hele 2021.
