Year in review 2021: Data Protection (GDPR)

| Innsikt

Ikke uventet var det i personvernåret 2021 stort søkelys på etterlevelse av EU-domstolens Schrems II-avgjørelse og de skjerpede kravene til internasjonale dataoverføringer. Men også brudd på GDPR ved sikkerhetshendelser har fått mye oppmerksomhet, og vi fikk en historisk høy bot fra Datatilsynet på hele 65 millioner kroner i Grindr-saken.

Rekordmange bøtesaker i 2021
På europeisk plan er det i løpet av 2021 utstedt rekordmange bøter for overtredelse av personvernforordningen (GDPR). Siden personvernforordningen trådte i kraft i EU 25. mai 2018, har tilsynsmyndighetene ilagt eller varslet bøter i ca. 900 saker med akkumulert sum på ca. 1.3 milliarder euro. Hele 500 av disse saker er fra 2021 med akkumulerte bøter i perioden på hele 1,1 milliarder euro, herunder en varslet bot på 746 millioner euro til Amazon (Luxembourg) og 225 millioner euro til Whatsapp (Irland).

Også det norske Datatilsynet ilagt et historisk høyt overtredelsesgebyr i 2021, med gebyr på 65 millioner kroner til date-appen Grindr for manglende samtykke for deling av informasjon med tredjeparter for markedsføringsformål.

Cyberangrep og lekking av personopplysninger
En annen sentral sak fra året som gikk, er Datatilsynets varsel til Østre Toten Kommune om overtredelsesgebyr på hele 4 millioner kroner. Saken gjaldt det omfattende løsepengevirusangrepet som rammet kommunen tidligere i år. Overtredelsesgebyret er av en betydelig størrelse for kommunen med knapt 15 000 innbyggere og kommer i tillegg til de store kostnadene som er gått med på å bygge opp igjen kommunens IT-infrastruktur. Datatilsynet begrunner den strenge sanksjonen med at det forelå grunnleggende svikt i kommunens arbeid med informasjonssikkerhet.

I 2021 ble også Stortinget rammet av nok et angrep, og på slutten av året har Nordic Choice-kjeden blitt utsatt for løsepengevirusangrep hvor hackerne benytter trusler om publisering av personopplysninger som ekstra pressmiddel. At personopplysninger benyttes som pressmiddel ved cyberangrep, ser ellers ut til å være en ny og dyster tendens. Ifølge den seneste trend-rapporten til det europeiske rådet for nett- og informasjonssikkerhet (ENISA), har trusler om lekking av eksfiltrerte data i forbindelse med cyber-angrep økt fra 8,7 % i 2020 til hele 81 % i 2021 (Q2). Nasjonal sikkerhetsmyndighet (NSM) advarer da også norske bedrifter om økt fare for cyberangrep i julen og oppfordrer til økt beredskap. Her er det viktig å merke seg at GDPR forutsetter at alle virksomheter foretar konkrete risikovurderinger og sørger for å ha på plass egnede tekniske og organisatoriske sikkerhetstiltak i lys av risikoen ved behandlingen.

Prinsipiell avklaring vedr. deling av brukererfaringer på nett
I desember avsa Høyesterett dom i den prinsipielle «legeliste-saken» . Høyesterett fastholdt resultatet fra Lagmannsretten om at leger, kiropraktorer, tannleger og andre helsearbeidere må tåle deling av negative brukervurderinger på Legelisten.no. Legeforeningen, som var saksøker i saken, argumenterte for at delingen av kritiske innlegg på nettstedet var i strid med grunnleggende personvernhensyn. Legeforeningen viste blant annet til mangelfull bruk av personvernøkende teknologi og at bruken av søkemotorer førte til spredning av personopplysninger som gikk lenger enn det som var nødvendig. Høyesterett var ikke enig i dette og legger i sin dom til grunn at hensynet til ytringsfriheten og allmennhetens informasjonsbehov veier tungt. Dommen er konkret begrunnet, men gir likevel en pekepinn på terskelen for å nekte deling av brukererfaringer knyttet til profesjonstjenester på nettet.

Oppdaterte Schrems II-veiledninger og ny EU standardavtale for overføring av personopplysninger
I juni kom Personvernrådet (EDPB) med oppdatert Schrems II-veiledning om hvordan virksomheter skal foreta dokumenterte vurderinger når personopplysninger overføres til mottakere i land utenfor EØS («tredjeland»). Personvernrådet viderefører i det store og hele 6-trinns-tilnærmingen i tidligere veiledning, men gir nå virksomhetene noe større handlingsrom til å vektlegge leverandørens dokumenterte erfaringer knyttet til pålegg fra tredjelands myndigheter. Det er også verdt å merke seg at Datatilsynet gjennom oppdatering av sin veiledning i september og november har stilt særskilte krav, som ikke er omfattet av Personvernrådets veileder, for behandling av personopplysninger i EØS der leverandøren er underlagt tredjelands overvåkningslovgivning. I Datatilsynets veileder punkt 7 nevner tilsynet situasjonen der leverandøren har tatt forbehold om utlevering av personopplysninger dersom den mottar rettslig bindende pålegg fra tredjelands myndigheter. I slike tilfeller mener tilsynet at kunden må vurdere om det foreligger rettslig grunnlag for utlevering av opplysninger til leverandøren, siden leverandøren kan anses som behandlingsansvarlig når den oppfyller pålegget fra myndighetene. Unntak gjelder dersom det er på plass tiltak som gjør at leverandøren ikke kan utøve meningsfull kontroll over opplysningene.

Praktisk viktig er også at EU-kommisjonen har vedtatt ny EU standardavtale for overføring av personopplysninger til tredjeland. Standardavtalen består av fire moduler for å dekke ulike overføringssituasjoner og må benyttes for alle avtaler som inngås etter 27. september 2021. Overføringsavtaler basert på de gamle standardavtalene inngått før dette, er gyldig frem til 27. desember 2022. Merk at det følger av den nye standardavtalen at partene skal dokumentere vurderingen om at det ikke er grunn til å tro at importøren er forhindret fra å etterleve avtalen, jf. kravet til vurdering i personvernrådets veiledning nevnt over.

Hvis du gikk glipp av våre webinarer om disse temaene tidligere i høst, kan du se disse her: Siste Schrems II-veiledere og ny EU standardavtale for overføring.

I tillegg har Personvernrådet nylig sendt på høring en veileder som klargjør hva som menes med en overføring. Ifølge utkastet må tre vilkår være oppfylt for at det skal foreligge en overføring:

  • En behandlingsansvarlig eller databehandler er underlagt GDPR for en bestemt behandling av personopplysninger.
  • Denne virksomheten (dataeksportøren) tilgjengeliggjør eller sender de aktuelle personopplysningene til en annen behandlingsansvarlig, felles behandlingsansvarlig eller databehandler (dataimportøren).
  • Dataimportøren er i et land utenfor EØS eller er en internasjonal organisasjon.

Ifølge Personvernrådet vil det ikke anses som en overføring av personopplysninger til tredjeland at ansatte i en EØS-basert virksomhet har fjerntilgang til virksomhetens personopplysninger som ledd i arbeidsreise utenfor EØS. Personvernrådet anser ellers at innsamling av personopplysninger direkte fra personer i EØS, på personens eget initiativ, ikke utgjør en overføring. Et praktisk eksempel er hvis privatpersoner i forbindelse med nettbestilling oppgir sin kontaktinformasjon til et firma utenfor EØS. I slike tilfeller finner overføringsreglene ikke anvendelse.

Hva kan forventes i 2022?
Mens mange av de internasjonale skyleverandørene stadig tilpasser sine løsninger for å sikre at personopplysninger gis tilstrekkelig vern i tråd med GDPR, er det ventet at vi snart ser resultatene av forhandlingene som har pågått mellom europeiske og amerikanske myndigheter siden EU-domstolen sommeren 2020 underkjente Privacy Shield-avtalen. Det er åpenbart behov for en politisk avklaring som gir vern om personopplysninger som overføres til USA. Likevel gjenstår det å se om en ny avtale vil lide samme skjebne som Privacy Shield og Safe Harbor før det.

I alle tilfeller vurderer vi at det krevende arbeidet med å vurdere og dokumentere tredjelandsoverføringer vil fortsette gjennom hele 2022. Særlig bør fokuset være på å komme over på ny EU standardavtale i god tid før julen 2022.

Dersom forslaget om å skjerpe cookie-reglene i samsvar med gjeldende ekomdirektiv blir gjennomført, vil dette videre innebære at mange virksomheter må gjennomgå innstillinger og informasjonstekster for å sikre lovlig samtykke til bruk av cookies.