ThommessenFlow Finn folk
Fagstoff

Oppsummering av personvernåret 2022

GETTYIMAGES 622180676 1920

I denne artikkelen oppsummerer vi de viktigste personvernsakene fra 2022, og betydningen disse sakene har for norske virksomheter. Vi forsøker også å spå hvilke temaer som vil prege 2023, og hva virksomheter kan gjøre for å forberede seg på det nye året.

Det viktigste temaet i 2022

Det viktigste personverntemaet i 2022 var overføring av personopplysninger til land utenfor EØS (såkalte "tredjeland"). Dette temaet har dominert personvernområdet helt siden den såkalte Schrems II-avgjørelsen ble avsagt i 2020. I Schrems II-avgjørelsen ugyldiggjorde EU-domstolen Privacy Shield – et rammeverk for å overføre personopplysninger til USA. EU-domstolen kom videre frem til at selskaper kun kan benytte Standard Contractual Clauses ("SCC-er") til å overføre personopplysninger til tredjeland, dersom selskapet kan dokumentere at lovgivning og praksis i destinasjonslandet ikke undergraver personvernforpliktelsene og -garantiene inntatt i SCC-ene. EU-domstolen kom i denne sammenheng frem til at Section 702 av Foreign Intelligence Surveillance Act gir amerikanske etterretningsmyndigheter en uforholdsmessig vid adgang til personopplysninger som overføres til amerikanske IT-selskaper. Dette innebærer at bruk av IT-tjenester levert av amerikanske selskaper ofte vil være problematisk etter personvernregelverket.

Google Analytics-avgjørelsene

Etter at Schrems II-avgjørelsen ble avsagt, var den generelle holdningen at selskaper må kunne ha en risikobasert tilnærming til hvorvidt de kan overføre personopplysninger til tredjeland. Argumentet var at det bør være uproblematisk å overføre personopplysninger til tredjeland med vid etterretningslovgivning, dersom personopplysningene som skal overføres er uinteressante for etterretningsmyndighetene, eller dersom det av andre grunner er svært lite sannsynlig at etterretningsmyndighetene vil kreve å få tilgang til de overførte personopplysningene.

En slik risikobasert tilnærming ble avvist av en rekke europeiske datatilsyn, i deres avgjørelser vedrørende webanalyse-verktøyet Google Analytics. Disse avgjørelsene ble avsagt gjennom hele 2022, etter at den ideelle organisasjonen "noyb" (grunnlagt av Max Schrems) besluttet å klage inn 101 selskaper i 30 land vedrørende deres bruk av Google Analytics og Facebook Connect.

Digdir og DFØs veileder vedrørende bruk av skytjenester etter Schrems II

Digitaliseringsdirektoratet ("Digdir") og Direktoratet for forvaltning og økonomistyring ("DFØ") publiserte antakeligvis fjorårets mest omtalte personvernrelaterte veileder, nemlig "veiledning for offentlig sektors bruk av skytjenester etter Schrems II". I denne veilederen argumenterer Digdir og DFØ for at virksomheter må kunne overføre personopplysninger til tredjeland på grunnlag av en risikobasert tilnærming, til tross for at de europeiske datatilsynene altså kom til det motsatte standpunkt i Google Analytics-avgjørelsene.

Datatilsynet var relativt raskt ute med å påpeke at Digdir og DFØs rettslige vurderinger var uforenelig med de europeiske tilsynsmyndighetens praksis. Dette førte etter hvert til at Digdir og DFØ reviderte sin veileder.

At selv offentlig organer som Digdir og DFØ ønsker å utfordre tilsynsmyndighetenes tolkning av kravene vedrørende overføring av personopplysninger til tredjeland, viser at tilsynsmyndighetene har lagt seg på en altfor streng linje, og at det nå har blitt for tungvint å overføre personopplysninger til tredjeland.

Slik også denne saken viser, har antakeligvis de skjerpede overføringskravene gått hardest utover globale leverandører av skytjenester, samt virksomheter som ønsker å benytte disse tjenestene. Årsaken til dette er at de globale IT-leverandørene vanligvis har amerikanske eiere (og dermed er underlagt lovgivning som EU-domstolen mente var problematisk). De globale IT-leverandørene har i tillegg ofte et supportnettverk i land utenfor EØS, typisk i USA og i lavkostland i Asia.

Nytt rammeverk for å overføre personopplysninger til USA

De skjerpede dataoverføringskravene har altså vanskeliggjort handel mellom USA og EU/EØS. Det var derfor ikke spesielt overraskende at president von der Leyen og president Biden allerede i mars 2022 annonserte at de var enige ("agreement in principle") om et nytt rammeverk for å overføre personopplysninger fra EU/EØS til USA. Dette rammeverket er kalt "EU-U.S. Data Privacy Framework", og vil altså erstatte Privacy Shield-rammeverket som EU-domstolen ugyldiggjorde i Schrems II.

EU-U.S. Data Privacy Framework ble gjennomført i amerikansk rett i oktober 2022.

Arbeidet med å gjennomføre EU-U.S. Data Privacy Framework på europeisk nivå begynte i desember 2022, da EU-kommisjonen la frem et utkast til godkjenning av dette rammeverket. Rammeverket vil nå behandles av Det europeiske personvernrådet (på engelsk forkortet til "EDPB"), EU-parlamentet og de enkelte EU-landene, før det formelt sett kan godkjennes. Det er forventet at rammeverket vil godkjennes i løpet av første halvdel av 2023. Det vil derfor i løpet av kort tid bli betraktelig enklere for norske selskaper å overføre personopplysninger til USA, dvs. til amerikanske selskaper som velger å bli EU-U.S. Data Privacy Framework-sertifisert. Det er forventet at de store amerikanske teknologiselskapene vil sertifisere seg, og delta i rammeverket.

De mest interessante overtredelsesgebyrene i 2022

Grindr LLC – Datatilsynet opprettholder det høyeste overtredelsesgebyret ilagt i Norge til nå

I desember 2021 ila Datatilsynet Grindr et overtredelsesgebyr på 65 millioner kroner for brudd på samtykkekravene i GDPR. Grindr er en leverandør av en lokasjonsbasert datingapp, med samme navn, som hovedsakelig er brukt av skeive personer. Saken begynte i 2020 da Forbrukerrådet klagde Grindr inn til Datatilsynet. Bakgrunnen for klagen var at Forbrukerrådet mente at Grindr – i strid med GDPR – utleverte IP-adresser, mobiltelefonens annonserings-ID, alder og kjønn, i tillegg til informasjon om at en person benytter Grindr, til tredjeparter for markedsføringsformål.

Datatilsynet kom frem til at Grindrs deling av de ovennevnte personopplysningene krevde appbrukernes samtykke, og at samtykkene Grindr hadde innhentet til å foreta denne behandlingsaktiviteten ikke tilfredsstilte kravene i GDPR. Grindr hadde med andre ord ikke innhentet gyldige samtykker til å dele appbrukernes personopplysninger med tredjeparter.

Grindr påklaget Datatilsynets overtredelsesgebyr i begynnelsen av 2022. Klagen ble ferdigbehandlet av Datatilsynet i desember 2022, som konkluderte med å opprettholde overtredelsesgebyret fult ut. Klagen har derfor blitt oversendt til Personvernnemda for videre klagebehandling.

Etter vår vurdering er tilsynssaken mot Grindr en av de mest interessante sakene som har pågått over 2022 (og som fortsatt pågår). Saken viser for det første at Datatilsynet våger å sanksjonere virksomheter kraftig dersom Datatilsynet mener at overtredelsen er vesentlig, og at et høyt overtredelsesgebyr er en forholdsmessig reaksjon. Etter vår vurdering kan derfor ikke Datatilsynet lenger sees på som et noe forsiktig tilsyn som, i motsetning til en rekke andre europeiske datatilsyn, avstår fra å ilegge høye overtredelsesgebyr.

Det meste tyder på at Grindr krenket GDPR fordi Grindr ikke forsto at selskapet delte særlige (eller sensitive) kategorier av personopplysninger med tredjeparter. Nærmere bestemt mener Grindr at informasjon om at en person bruker Grindr ikke utgjør en opplysning om personens legning. Til dette svarer Datatilsynet at det ikke bare er uttrykkelig informasjon om en persons legning som vil anses for å være en særlig kategori av personopplysning. Etter GDPR artikkel 9(1) vil også opplysninger som avslører ("revealing") en persons legning utgjøre en særlig kategori av personopplysning. Datatilsynets tolkning av regelverket har senere blitt bekreftet av EU-domstolen, som i sak C-184-20 kom frem til at deling av navnet til en persons ektefelle eller partner vil avsløre vedkommendes seksuelle legning, og dermed utgjøre en behandling av særlig kategorier av personopplysninger.

Tilsynssaken mot Grindr understreker med andre ord viktigheten av at virksomheter har tilstrekkelig kunnskap om hvilke personopplysninger de behandler, herunder om personopplysningene er særlig beskyttelsesverdige. Grindr er i denne sammenheng hverken det første eller siste selskapet som feilaktig har lagt til grunn at det ikke behandler sensitive personopplysninger.

Meta Inc. – behandling av barns personopplysninger på Instagram

Det irske datatilsynet ila Meta et overtredelsesgebyr på 405 millioner euro (ca. 4 milliarder kroner) høsten 2022. Bakgrunnen for dette er at brukerkontoer som opprettes på Instagram er offentlig tilgjengelige, med mindre brukeren aktivt velger at brukerkonto/profilen skal være privat. Dette gjaldt også dersom brukerkontoen var opprettet av barn. Instagram tillot i tillegg tenåringer med forretningsprofiler på Instagram å gjøre sine e-postadresser og telefonnummer offentlig tilgjengelig. Det irske datatilsynet mente at Meta hadde krenket en rekke forpliktelser i GDPR i tilknytning til denne behandlingen av barns personopplysninger.

Overtredelsesgebyret ilagt av det irske datatilsynet er det nest høyeste overtredelsesgebyret ilagt av europeiske datatilsyn siden GDPR trådte i kraft, og det høyeste gebyret ilagt i 2022.

På samme måte som Datatilsynets sanksjon mot Grindr, viser denne saken at virksomheter må være særlig aktsomme dersom de skal behandle beskyttelsesverdige opplysninger (i dette tilfellet barns personopplysninger).

De mest relevante EDPB veilederne utgitt i 2022

Veileder om retten til innsyn

Etter GDPR har den "registrerte", altså den personen som personopplysningene relaterer seg til, retten til å få innsyn i hvilke opplysninger som blir behandlet, samt informasjon om hvordan disse opplysningene blir behandlet. Med denne retten skal den registrerte kunne "forvisse seg om og kontrollere at behandlingen er lovlig", jf. GDPR fortalepunkt 63. I januar 2022 publiserte EDPB en veileder om de registrertes rett til innsyn. Denne veilederen inneholder en detaljert beskrivelse av rekkevidden av virksomheters plikt til å gi innsyn, samt hvordan virksomheter skal håndtere innsynsanmodninger.

EDPBs veileder er særlig relevant for virksomheter som regelmessig mottar innsynsbegjæringer.

Retningslinjer om datatilsynenes saksbehandling i grenseoverskridende saker – "one-stop shop"

GDPR introduserte en såkalte "one-stop shop"-mekanisme. Denne mekanismen sørger for at virksomheter som er involvert i grenseoverskridende behandling av personopplysninger på tvers av EØS-området kan forholde seg til ett datatilsyn (den såkalte "ledende tilsynsmyndigheten"). I mars 2022 publiserte EDPB en veileder vedrørende "one-stop-shop"-mekanismen. Veilederen inneholder nærmere informasjon om når denne mekanismen kommer til anvendelse, samt hvordan de europeiske datatilsynene skal samarbeide med hverandre og EDPB under denne mekanismen. Veilederen er særlig relevant for virksomheter som er involvert i grenseoverskridende behandling av personopplysninger innenfor EØS-området, og som ønsker å vite hvilken tilsynsmyndighet som er deres ledende tilsynsmyndighet, samt hvilke datatilsyn virksomheten typisk vil måtte forholde seg til.

Våre spådommer for 2023

Vi tror at trendene fra 2022 vil fortsette inn i det nye året.

Som nærmere beskrevet ovenfor, vil EU-U.S. Data Privacy Framework gjøre det enklere for virksomheter å overføre personopplysninger til USA, når (og hvis) dette rammeverket godkjennes av EU-kommisjonen.

EU-kommisjonens vedtakelse av EU-U.S. Data Privacy Framework vil imidlertid ikke løse alle overføringsproblemer introdusert i Schrems II-avgjørelsen og tilsynsmyndighetenes etterfølgende praksis.

For det første, har noyb uttalt at de vil utfordre det nye rammeverke t dersom det viser seg at amerikansk lovgivning ikke ivaretar personvernet til europeiske borgere, til tross for lovendringene Biden-administrasjonen har innført i forbindelse med gjennomføringen av rammeverket i USA. Det foreligger med andre ord en risiko for at EU-U.S. Data Privacy Framework kan bli ugyldiggjort i en "Schrems III-avgjørelse". For det andre, vil ikke rammeverket gjelde for alle overføringer av personopplysninger til USA. Rammeverket vil kun gjelde for overføringer til private amerikanske selskaper som har valgt å sertifisere seg under rammeverket. Rammeverket vil i tillegg kun dekke overføringer av personopplysninger til USA. Virksomheter som ønsker å overføre personopplysninger til andre tredjeland vil derfor fortsatt måtte etterleve de strenge overføringskravene i GDPR.

Videre tror vi at de europeiske datatilsynene vil fortsette å ha et særlig fokus på behandling av særlig beskyttelsesverdige personopplysninger, samt personopplysningene til samfunnsgrupper som bør vernes særskilt (slik som barn, forbrukere og arbeidstakere).

ThommessenTracker Privacy

Har du lyst til å holde deg løpende oppdatert på rettsutviklingen innenfor personvernområdet og andre fagområder? Ta kontakt med oss for å prøve ThommessenTracker!

Kontaktpersoner