Hva skjedde på personvernfronten i året som gikk, og hvilke konsekvenser vil begivenhetene ha for deg i 2021? Vi gir deg en oppsummering.
1. Strengere krav for bedrifter som overfører personopplysninger fra EU/EØS-land til tredjeland
Bakgrunn: En østerriksk advokat, Max Schrems, gikk til sak mot Facebook Ireland fordi han mente selskapets overføring av hans personopplysninger til Facebook i USA – basert på sertifisering etter EU–US Privacy Shield-avtalen – ikke i tilstrekkelig grad ivaretok personvernet hans. Schrems vant saken, og i dommen påpeker EU-domstolen følgende:
- Virksomheter kan ikke lenger overføre personopplysninger til USA gjennom overføringsmekanismen EU–US Privacy Shield, og
- Virksomheter må sørge for at de(n) registrerte oppnår et beskyttelsesnivå som i praksis tilsvarer det i EU/EØS, og eventuelt iverksetter ytterligere tiltak for å utjevne forskjellene.
Konsekvenser: Det stilles strengere krav for bedrifter som overfører personopplysninger fra EU/EØS-land til tredjeland (som USA). Problemstillingen er aktuell for bedrifter som bruker skytjenester, lagrer data på servere, outsourcer tjenester, mottar fjernhjelp og bruker informasjonskapsler (cookies) på nettsider.
2. Retningslinjer om overføring av personopplysninger til land utenfor EU/EØS
Bakgrunn: I kjølvannet av Schrems II-saken publiserte Personvernrådet retningslinjer for vurderinger ved overføring av personopplysninger og ytterligere tiltak og retningslinjer for vurdering av beskyttelsesnivå i tredjeland, herunder overvåkingslover. Retningslinjene pålegger dataeksportøren en seksstegsprosess, som inkluderer å ha god oversikt over personopplysningene som blir overført til tredjeland (herunder overføringsgrunnlag) og å vurdere behovet for ytterligere sikkerhetstiltak proaktivt og kontinuerlig.
Konsekvenser: Dataeksportører må sørge for å vurdere overføringen og beskyttelsesnivået i tredjelandet. Dersom personopplysningene ikke nyter samme beskyttelsesnivå som tilsvarer det GDPR etablerer, må dataeksportøren iverksette ytterligere tiltak som utjevner denne forskjellen eller faktisk avbryte overføringen.
3. Personopplysninger kan foreløpig overføres fritt til Storbritannia
Bakgrunn: Storbritannias overgangsperiode, som gjorde at EUs forhold til Storbritannia i praksis forble som om det var et EU-land ut 2020 (og GDPR fortsatt gjaldt), har utløpt. EU-kommisjonen undersøker for tiden om Storbritannia kan bli et land som EU/EØS-land kan overføre personopplysninger til uten overføringsmekanisme (såkalt adekvansbeslutning). Norske myndigheter har vedtatt en midlertidig forskrift som innebærer at Storbritannia ikke er å regne som tredjeland.
Konsekvenser: I påvente av at EU og Storbritannia inngår en endelig handels- og samarbeidsavtale, kan personopplysninger fortsatt overføres fra EU/EØS-land til Storbritannia som før.
4. Forslag om nye standardpersonvernbestemmelser (SCC)
Bakgrunn: EU-kommisjonen har lansert et utkast til nye standardpersonvernbestemmelser (Standard Contractual Clauses), som har vært ute til høring. Etter planen skal utkastet erstatte de nåværende standardpersonvernbestemmelser fra tiden før GDPR trådte i kraft i 2018. Utkastet inneholder blant annet fleksible "moduler", der SCC kan tilpasses ulike overføringskonstellasjoner mellom behandlingsansvarlige og databehandler, og inntredelsesklausul der tredjeparter kan slutte seg til eksisterende standardpersonvernbestemmelser.
Konsekvenser: Dersom utkastene blir vedtatt, plikter alle virksomheter å erstatte eksisterende standardpersonvernbestemmelsene med de nye standardpersonvernbestemmelser innen tolv måneder.
5. Datatilsynet slår ned på ulovlig kredittsjekker i privat sektor
Bakgrunn: I 2020 ga Datatilsynet for første gang overtredelsesgebyr til virksomheter i privat sektor. Den første overtredelsessaken gjaldt et selskap som foretok kredittsjekk av et enkeltpersonforetak uten å ha rettslig grunnlag til det. Datatilsynet har senere fulgt opp dette med andre overtredelsesgebyr til virksomheter som har foretatt kredittsjekk av enkeltpersonforetak og enkeltpersoner.
Konsekvenser: Virksomheter må sørge for at alle medarbeidere har en aktiv og praktisk tilnærming til å overholde personvernregelverket, og sørge for løpende vurdering og dokumentasjon av rettslig grunnlag for behandling, rutiner for behandling (internkontroll) og protokoller for behandlingsaktiviteter. Manglende overholdelse kan få store konsekvenser for virksomhetens økonomi og omdømme.
Ønsker du å holde deg løpende orientert om nyheter og regelendringer innen personvern?
Thommessen utvikler for tiden ThommessenTracker for privacy, som er en digital tjeneste for deg som ønsker å holde deg løpende orientert om nyheter og regelendringer innenfor personvern. Ta kontakt med digitaliseringssjef Trine Melsether (tme@thommessen.no) dersom du ønsker en gratis og uforpliktende prøvetilgang.
