Artikkel

Den internasjonale personverndagen 2021

Deloitte Advokatfirma

28. januar er den årlige, internasjonale personverndagen. I forbindelse med årets personverndag, ønsker Deloitte å ta et tilbakeblikk på fjoråret, og sette fokus på noen sentrale problemstillinger virksomheter vil stå overfor det kommende året.

Publisert 28. januar 2021

Personverndagen er en årlig, internasjonal markering for å skape bevissthet og promotere beste praksis innen personvern og beskyttelse av personopplysninger. Markeringen skal bidra til at viktigheten av å verne personopplysninger blir satt på agendaen til både offentlige institusjoner, private virksomheter og forbrukere. Det var Europarådet som først tok initiativet til en årlig personverndag tilbake i 2007, og siden den gang har 28. januar hvert år blitt en felles markering for 47 europeiske land, så vel som USA, Canada og Israel.

Fjoråret, som har vært et utfordrende år for mange på grunn av Covid-19, har også bydd på både utfordringer og spennende avklaringer på personvernfronten. Vi tar et tilbakeblikk på de viktigste sakene siden forrige personverndag, hvor vi uten tvil kan si at 2020 har vært et år hvor personvernet har blitt utfordret. Både myndigheter, befolkningen og arbeidsgivere har i løpet av året stått i mange vanskelige vurderinger.

Et tilbakeblikk på personvernåret 2020

Brexit

Storbritannias planlagte uttreden av EU skapte usikkerhet til om norske virksomheter kunne fortsette å overføre personopplysninger til Storbritannia slik som tidligere. Kun noen dager før den fastsatt løsningen i uttredelsesavtalen utløp, kom det på plass en ny midlertidig forskrift som sikrer at norske virksomheten fortsatt kan overføre personopplysninger til Storbritannia som tidligere. Forskriften er imidlertid midlertidig, og utløper senest seks måneder etter at handels- og samarbeidsavtalen har blitt formelt godkjent i EU og Storbritannia. Det betyr at usikkerheten rundt overføring av personopplysninger til Storbritannia ikke har en endelig løsning, og problemstillingen vil følge oss videre i det kommende året.

Les mer om overføring av personopplysninger til Storbritannia. 

Smittesporing

I mars 2020 ble det vedtatt en forskrift som tilrettela for etablering av et automatisert smittesporingssystem basert på sporing av mobiltelefon via frivillig nedlasting av en smittesporingsapp. Folkehelseinstituttet utviklet appen «Smittestopp» i samarbeid med andre aktører, hvor formålet med appen var sporing av og varsling om Covid-19-smitte. Det ble samlet inn store mengder personopplysninger om brukerne via Smittestopp-appen, som kontinuerlige lokasjonsdata og informasjon om brukernes kontakt med andre. Datatilsynet mente at nytteverdien til Smittestopp-appen ikke var tilstrekkelig dokumentert, og at omfanget av bruken av data i sporingsarbeidet ikke var i tråd med personvernprinsippet om dataminimering. Dette resulterte i at Datatilsynet vedtok et midlertidig forbud mot å innsamle og behandle personopplysninger via Smittestopp-appen, og Folkehelseinstituttet stanset innsamlingen og slettet alle personopplysninger innhentet via appen. Regjeringen besluttet å avvikle Smittestopp-appen, og Folkehelseinstituttet fikk i oppdrag å anskaffe en ny app som ble lansert i desember 2020.

Schrems II-saken

I «Schrems II-saken» fra sommeren 2020 oppstilte EU-domstolen et krav til at virksomheter som skal overføre personopplysninger til tredjeland ikke bare må sikre et gyldig overføringsgrunnlag, men også må gjennomføre undersøkelser av om beskyttelsesnivået som overføringsgrunnlaget legger opp til vil realiseres i praksis. Hva som vil være tilstrekkelig har vært hyppig debattert høsten 2020, og forslag til nye retningslinjer ble fremmet av det europeiske personvernrådet (EDPB). Virksomheter som overfører eller planlegger å overføre personopplysninger til land utenfor EØS, bør lese veiledningen fra EDPB.

Les mer om retningslinjer fra EDPB etter Schrems II-dommen. 

Arbeidsgiveres kontrolltiltak under Covid-19

Myndighetene lanserte i løpet av 2020 en rekke tiltak for å begrense smitte av Covid-19 blant befolkningen. Noen av disse tiltakene har vært utstrakt anbefaling og til tider påbud om arbeid fra arbeidstakers eget hjem. Dette har reist en rekke spørsmål om arbeidsgivers styringsrett i møte med arbeidstakeres rett til personvern og privatliv på jobb. Arbeidsgivere har et legitimt behov for å innføre kontrolltiltak for å redusere smitterisiko på arbeidsplassen. Arbeidsgiver har blant annet en plikt til å iverksette tiltak for å hindre smittespredning i virksomheten, noe som vil kunne begrunne en utvidet styringsrett dersom virksomheten har et særskilt behov for å planlegge forsvarlig bemanning, kartlegge smitte i egen virksomhet, eller kreve at arbeidstakere oppholder seg på bestemt lokalisasjon i karanteneperioden.

I tillegg, med ansatte på hjemmekontor i månedsvis, har arbeidsgivere måtte finne nye metoder for å følge opp ansattes arbeid, som i enkelte tilfeller utfordrer ansettes rett til personvern i eget hjem. Det kan eksempelvis være utvidet kontroll av arbeidsutstyr for å sikre at kapasiteten på VPN ikke overskrides grunnet aktivitet som ikke angår jobb, eksempelvis å streame Netflix. Et annet eksempel er pålegg om bruk av kamera i møter, eller opptak av møter som senere publiseres enten internt eller eksternt.

Hvilken adgang arbeidsgiver har til å dele opplysninger om at en arbeidstaker er smittet med Covid-19, har også vært diskutert. I dette spørsmålet kom både ICO og andre personvernmyndigheter på banen. ICO har blant annet uttalt at arbeidsgivere kan holde sine ansatte oppdatert om potensiell koronasmitte på arbeidsplassen, men arbeidsgiveren må huske på at det sannsynligvis er unødvendig å navngi den smittede ansatte.

Mer om deling av opplysninger om smitte kan du lese her.

Informasjonssikkerhet og konfidensialitet

Videre har utbredt bruk av hjemmekontor skapt nye utfordringer knyttet til informasjonssikkerhet og cyberangrep. I 2020 ble det observert en økt mengde cyberangrep. Behovet for å iverksette tiltak for å sikre et forsvarlig nivå av sikkerhet på det eksterne kontoret har vært viktig for alle virksomheter som har flyttet hele eller deler av arbeidsstokken til hjemmekontor. Manglende eller mangelfull informasjonssikkerhet medfører en risiko for at personopplysninger kan komme på avveie. Videre kan man også stille spørsmål ved om det er mulig å fullt ut opprettholde kravene til konfidensialitet når hele storfamilien er tvunget til å gjennomføre arbeids- og skolehverdagen fra kjøkkenbordet.

Ilagte overtredelsesgebyr

Siden den forrige internasjonale personverndagen i 2020 har Datatilsynet i Norge ilagt både offentlige og private aktører overtredelsesgebyr som en følge av overtredelser av personvernregelverket. Overtredelsesgebyrenes størrelse har variert fra 75 000 kroner til 3 millioner kroner. Overtredelsene har blant annet omhandlet brudd på konfidensialitet slik at personopplysninger har blitt tilgjengeliggjort for uvedkommende, innsamling og bruk av opplysninger fra kameraovervåking uten tillatelse, lagring av rapportuttrekk fra pasientjournal utenfor sikker sone, kredittvurdering uten rettslig grunnlag, manglende sikring av personopplysninger i kommunikasjonssystem mellom skole og hjem, behandling av personopplysninger til formål som var uforenlige med det opprinnelige formålet og manglende sletting av kameraopptak. Det er også i januar i år varslet det hittil største overtredelsesgebyret i Norge på 100 millioner kroner til datingappen Grindr for brudd på samtykkekravene i GDPR. Endelig vedtak foreligger ikke enda.

Det har også i løpet av 2020 blitt ilagt overtredelsesgebyrer av andre europeiske datatilsyn. Blant annet ila det italienske datatilsynet et overtredelsesgebyr på 27,8 millioner euro for ulovlig behandling av personopplysninger for markedsføringsformål som berørte millioner av registrerte, og i Sverige ble Google ilagt et overtredelsesgebyr på 75 millioner kroner for manglende etterlevelse av «retten til å bli glemt». I Polen ble en barneskole ilagt overtredelsesgebyr for å ha behandlet biometriske data av 680 barn uten lovlig grunnlag, og i Frankrike ble en aktør ilagt et overtredelsesgebyr på 250 000 euro for ulovlig lydopptak. Et finsk selskap ble ilagt et overtredelsesgebyr på 7000 euro for direkte markedsføring uten samtykke og forsømmelse av de registrertes rettigheter, mens det største overtredelsesgebyret på 35,3 millioner euro ble ilagt H&M i Tyskland for i en årrekke å ha samlet inn data om flere hundre ansattes privatliv som var tilgjengelig for opptil 50 ledere i selskapet, og som på grunn av en teknisk feil, ble gjort tilgjengelig for hele virksomheten i noen timer i oktober 2019.  

Året 2021 forventes ikke å bli mindre utfordrende på personvernfronten

Brexit har skapt en usikkerhet rundt overføring av personopplysninger til Storbritannia uten at det foreligger en langsiktig løsning, og problemstillingen vil følge oss videre i 2021. I og med at det fortsatt er usikkert knyttet til hva som vil skje om 6 måneder, bør virksomheter fortsatt være forberedt på at brexit kan medføre endringer i adgangen til å overføre personopplysninger til Storbritannia, og forberede seg på dette.

Schrems II-saken har ugyldiggjort Privacy Shield-ordningen for overføring av personopplysninger til USA, og har medført strenge og krevende krav til undersøkelser og tiltak som den enkelte virksomhet må gjennomføre i forkant av overføring av personopplysninger også til andre land utenfor EU/EØS. Dersom det foreligger forhold i destinasjonslandet eller hos mottaker av personopplysningene, som ikke er forenlig med forpliktelsene og beskyttelsesnivået i overføringsgrunnlaget, vil virksomheter være forpliktet til å iverksette «ytterligere tiltak» for å bøte på dette. På nåværende tidspunkt er det imidlertid ikke konkretisert fra hverken EU-domstolen, det europeiske personvernrådet (EDPB) eller Datatilsynet hva «ytterligere tiltak» er ment å innebære. Datatilsynet trekker imidlertid frem at dette er noe som må vurderes konkret i hver enkelt sak og at det kan være snakk om juridiske, tekniske og/eller organisatoriske tiltak. Inntil det kommer en nærmere redegjørelse for hva som ligger i «ytterligere tiltak» er det knyttet stor usikkerhet til lovligheten av overføring av personopplysninger til land utenfor EU/EØS som ikke er forhåndsgodkjente av Europakommisjonen.

I USA har Biden-administrasjonen signalisert at internasjonal personvernpolitikk og global flyt av data er et fokusområde. Allerede samme dag som Biden ble innviet som president, utnevnte Biden-administrasjonen Christoffer Hoff til rollen som «deputy assistand secretary for servies» i «U.S. Department of Commerce». Han vil fungere som den primære samtalepartneren i diskusjoner med EU-kommisjonen om et rammeverk som kan erstatte Privacy Shield-ordningen, og sikre kommersiell overføring av personopplysninger over Atlanterhavet. Sett opp mot den korte tiden som gikk mellom ugyldiggjøring av Safe Harbour og vedtakelsen av Privacy Shield (under ti måneder), kan vi håpe på en ny løsning i løpet av 2021.

Smittesporing vil fortsette i 2021 som et tiltak for å få kontroll på Covid-19 pandemien. I Norge ble en ny versjon av Smittestopp-appen lansert på tampen av 2020, og mange andre land har også utviklet lignende apper for smittesporing som benytter mobiltelefonenes sporingskapasitet. Digital smittesporing vil følge oss videre i 2021, hvor sentrale spørsmål vil være bruken av innsamlede opplysninger og avveiningen av personvernskonsekvensene. Vaksinepass har også vært diskutert som et tiltak for å slippe innreisekarantene i Europa og for andre bruksområder. Vi tror at helseovervåkning kommer til å bli et debattert tema i 2021 i takt med vurdering av tiltak for å gjenåpne samfunnet.

Digitaliseringsprosjekter, som har blitt mer og mer utbredt i Norge, finner sted nesten uten unntak ved bruk av personopplysninger. Mange virksomheter er i gang med automatisering av prosesser, men det er også nå en større grad av hyperautomatisering; virksomheten automatiserer så mange forretnings- og IT-prosesser som mulig ved bruk av blant annet AI, event-drevet programvare, maskinlæring og RPA. Ved digitaliseringsprosjekter er det særlig viktig å gjennomføre risikovurderinger og vurderinger av personvernkonsekvensvurderinger, sammen med øvrige tekniske og organisatoriske tiltak. Ikke minst, og kanskje viktigst, kommer implementeringen av tiltak. Vi ser at Datatilsynet benytter personvernkonsekvensvurderingene aktivt i vurderingen av personvernbrudd, og mangler i en gjennomført personvernkonsekvensvurdering, eller manglen på vurdering i det hele tatt, kan medføre høyere bøtenivå.

Les mer om smarte bygg og persondata og bruk av helseopplysninger til forskningsmål. 

 

Nye kontrolltiltak fra arbeidsgivere som en følge av Covid-19 pandemien, er heller ikke et kapittel som ble avsluttet i 2020. Vi må forvente at ytterligere behov vil aktualiseres og at disse må vurderes opp mot de ansattes rett til privatliv og personvern.

 

Deloitte Advokatfirma

Som et av Norges største forretningsjuridiske advokatfirmaer er Deloitte Advokatfirma en foretrukken rådgiver innen alle områder for forretningsjuss.

Meld deg på vårt nyhetsbrevet
Var denne siden nyttig?