Indsigt

Deloitte Privacy Newsletter

Privacy nyhedsbrevet udkommer hver 2. måned, og vi håber, at I vil finde det interessant.

Vi ønsker at holde dig opdateret inden for dette område og har derfor i nedenstående, udvalgt information om EU-forordningen, regulering, oplysningskampagner og praksisinitiativer, der vedrører beskyttelse af persondata, retningsgivende emner om området samt projekter, som markedet synes at være optaget af.

Seneste nyt
EU’s højesteretsdomstol erklærer Safe Harbor ugyldig EU-Domstolen har, d. 6. oktober 2015, afsagt kendelse omkring, at EU-US Safe Harbor frameworket, for overførsel af personlige oplysninger fra EU til USA, er ugyldigt.

Baggrund
Sagen blev bragt for EU’s højesteretsdomstol af Max Schrems, en østrigsk Facebook-bruger, der indgav en klage til den irske databeskyttelsemyndighed (DBM), efter Snowdens afsløringer havde vist, at hans data, og at data for andre EU-borgere, havde været tilgået af amerikanske efterretningstjenester. Data fra europæiske Facebook-brugere bliver overført fra dets datterselskab i Irland til servere placeret i USA, hvor de behandles. Den irske DBM afviste først klagen med den begrundelse, at under Safe Harbor-ordningen var USA påkrævet, af Europa-Kommissionen, at sikre tilstrækkelig beskyttelse af overførte personoplysninger (dvs. beskyttelse svarende til EU-standarder). Irlands højesteret, som sagen derefter blev bragt til, henvendte sig til EU-Domstolen, hvorvidt denne argumentation holdt, det vil sige om beslutningen fra Europa-Kommissionen, (EU’s udøvende organ) om bekræftelse af, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, kan fjerne eller mindske beføjelser, tilgængelige for en national DBM, til at undersøge, om dette er tilfældet.

EU-Domstolen afviste klart dette ræsonnement og hævdede, at en national DBM skal være i stand til at undersøge, med fuldstændig uafhængighed, om overførsel af en persons data til et ikke-EU-land er i overensstemmelse med kravene i EU’s Databeskyttelsesdirektiv.

EU-Domstolen bekræftede yderligere, at Domstolen alene kan erklære en europæisk kommissionens beslutning for ugyldig, og begyndte derfor at undersøge tilstrækkeligheden af Safe Harbor frameworket. EU-Domstolen besluttede at erklære afgørelsen om Safe Harbor ugyldig af følgende årsager:

  • National sikkerhed, offentlig interesse og retshåndhævelseskrav i USA rangerer højere end Safe Harbor-ordningen, således at USA’s forehavender er forpligtet til, uden begrænsning, at se bort fra de beskyttende regler, der er fastsat i ordningen, hvor de er i strid med sådanne krav;
  • USA's myndigheder var i stand til at få adgang til de personlige oplysninger, der blev overført fra EU til USA og behandle det på en måde, der er uforenelig med de formål, hvortil det blev overført, ud over hvad der var strengt nødvendigt og passende for beskyttelsen af nationale sikkerhed;
  • De pågældende personer havde ingen administrative eller retslige klagemuligheder, hvilket gjorde det muligt at få adgang til, rette i eller slette, navnlig, data vedrørende dem.

EU-Domstolen erklærede det kun ugyldigt. Den forudså ikke nogen henstandsperiode eller overgangsperiode.

Konsekvenser: revidering af strategi for dataoverførsel
Den direkte konsekvens af denne dom er, at den irske DBM nu skal undersøge Max
Schrems klage omkring due diligence og ved afslutningen af sin undersøgelse, beslutte, i henhold til Direktivet, om overførsel af data fra Facebooks europæiske brugere til USA bør suspenderes, på baggrund af, at landet ikke lever op til et tilstrækkeligt beskyttelsesniveau for personoplysninger. En mere omfattende konsekvens af EU-Domstolens kendelse er, at en af de vigtigste og mest brugte retslige rammer for videregivelse af personoplysninger mellem EU og USA er blevet erklæret ugyldig, hvilket dermed tvinger 4.400 USA-baserede virksomheder til at revidere deres datatransferstrategi på kort sigt. Europa-Kommissionen bekræftede, på et pressemøde senere på dagen, at andre mekanismer til organisering af datatransfer til USA, som EU modelkontrakter og bindende virksomhedsregler forbliver gyldige. Endvidere understregede de, at Databeskyttelsesdirektivet indeholder visse undtagelser, der giver mulighed for internationale dataoverførsler, dvs. når det er nødvendigt ifm. udførelse af en kontrakt (f.eks. EU-borger, der booker et hotel i USA), ifm. sager af vigtig samfundsinteresse (bekæmpelse af svig, osv.), til beskyttelse af vitale oplysninger for den registrerede, liv- og-død-situationer, f.eks. akut overførsel af medicinske data, eller baseret på det frie og informerede samtykke fra den registrerede.

Næste trin
Kommissionen vil snart udsende en vejledning til nationale databeskyttelsesmyndigheder og virksomheder for at sikre en ensartet fortolkning af dommen i hele EU, genindføre retssikkerheden for virksomheder og beskytte den transatlantiske strøm af data – omtalt som "rygraden i den europæiske økonomi”.
Med henblik herpå vil de samarbejde med Artikel 29-arbejdsgruppen, EU’s rådgivende organ omkring beskyttelse af personoplysninger, som samler alle 28 nationale databeskyttelsesmyndigheder. Derudover vil Kommissionen fungere som kontakt for forespørgsler fra organisationer.

I mellemtiden vil Kommissionen fortsætte forhandlingerne med USA, som startede i oktober 2013, omkring et nyt Safe Harbor Framework. Kommissær Vĕra Jourová gjorde opmærksom på, at EU-Domstolens afgørelse anerkender de bekymringer, der blev rejst af Kommissionen i 2013, og at forhandlingerne fremadrettet vil bygge på afgørelsen. Hun kunne ikke oplyse en tidsfrist for forhandlingerne, eftersom forhandlingerne om nationale sikkerhedsmæssige aspekter tager længere tid, end hun oprindeligt havde håbet. Som en sidenote sagde kommissærerne, at forhandlingerne om reformen af EU's databeskyttelseslovgivning, i form af generelle databeskyttelsesforordningen, stadig er planlagt til at slutte inden udgangen af 2015.
Vi vil holde os ajourført omkring effekten af EU-Domstolens afgørelse om Safe Harbor og de forskellige landes reaktioner på de igangværende forhandlinger mellem EU og USA omkring en opdateret, mere sikker Safe Harbor-aftale og omkring EU’s forhandlinger om the General Data Protection Regulation for general databeskyttelse.

Nyheder
ICO udsteder den største bøde nogensinde for generende opkald Storbritanniens databeskyttelsesmyndighed, the Information Commissioner Officer (ICO), har udstedt en bøde til et grønt energiselskab, Home Energy & Lifestyle Management Ltd (HELM), på £200.000, efter deres dom om, at de hensynsløst havde brudt reglerne for marketingsrelaterede opkald.

En ICO-undersøgelse fandt frem til, at HELM anvendte et automatisk opkaldssystem for at udføre over seks millioner direkte markedsføringsopkald, hvor de tilbød 'gratis' solpaneler. Opkaldene blev ofte gentaget, og det var ikke altid muligt at få kontakt til en person, eller at stoppe opkaldene via en valgmenu.
Det er kun tilladt for en organisation at foretage et automatiseret opkald, hvis personen specifikt har givet samtykke til at modtage automatiserede opkald fra denne organisation. ICO vurderede, at dette ikke var tilfældet, men selskabet indrømmer, at de ikke var opmærksomme på reglerne. Den rekord store bøde bør ses som en advarsel til andre virksomheder, ifølge ICO Head of Enforcement, Steve Eckersley.
ICO har offentliggjort detaljerede retningslinjer for virksomheder, der udfører marketing, hvori de forklarer deres juridiske krav under the Data Protection Act (DPA) og the Privacy and Electronic
Communications Regulations (PECR).
Vejledningen dækker de omstændigheder, hvori organisationer har lov til at udføre markedsføring over telefonen, ved sms, e-mail, post eller fax.

USA’s forsvarsministerium kræver nu, at samarbejdspartnere rapporterer hacks
Den 2. oktober annoncerede USA’s forsvarsministerium, at de snart vil kræve, at alle deres samarbejdspartnere rapporterer alle større cyber-sikkerhedsbrud.
Beslutningen kommer efter et par hårde måneder for amerikanske embedsmænd og deres personlige oplysninger.

Lederen af the Office of Personnel Management trådte tilbage, efter det blev afsløret, at over 22 millioner ansatte inden for regeringen har fået snuppet alle deres følsomme oplysninger – alt fra sikkerhedsgodkendelse til 5.6 millioner sæt fingeraftryk.
Indtil nu har samarbejdspartnerne haft anvendt en frivillig ordning til rapportering af alvorlige overtrædelser af forskellig art.

De nye lovgivningsmæssige krav gør det klart, at forsvarsministeriet allerede krævede, at samarbejdspartnere rapporterer brud på "personligt identificerbare oplysninger" eller finansielle oplysninger. Dette nye direktiv vil blot udvide den obligatoriske rapportering.

Nye sikkerhedsbrud og håndhævelser

  • Experian, som hjælper virksomheder med at styre kreditrisiko, og forebygge svindel, er blevet hacket. 15 millioner mennesker, der brugte virksomhedens tjenester, deriblandt kunder hos mobilselskabet T-Mobile, kan have fået deres private oplysninger offentliggjort. Experian sagde, i en udtalelse på deres hjemmeside, at de ikke ved, hvem der står bag hacket, og at de tager ”nødvendige skridt” for at forhindre yderligere hændelser.
  • En statsrevision viste, at den amerikanske regering lagrede følsomme, personlige oplysninger på millioner af sundhedsforsikringskunder i et computersystem med grundliggende sikkerhedsmangler. Systemet hedder MIDAS og er det centrale, elektroniske opbevaringslager, der er blevet benyttet ifm. præsident Barack Obamas sundhedsplejelov.
  • Den 21. september afviste franske databeskyttelsesregulatorer Googles forsøg på at appellere en bestemmelse, der kræver, at selskabet blokerer franske resultater, der er blevet fjernet under Europas ”right to be forgotten”, fra alle Googles sider.
  • Detailmæglerfirmaet Scottrade Inc. offentliggjorde for nyligt, at de har haft et brud på sikkerheden, der involverede kontaktinforrmation og potentielt CPR-numre på 4.6 millioner kunder. Virksomheden informerede, at den uautoriserede adgang ser ud til at have fundet sted over en periode fra sidst i 2013 til først i 2014.

Læs forrige nyhedsbrev her

 
Fandt du dette nyttigt?