Personvernssommeren 2023 – en oppsummering

Det er utrolig mye spennende som har skjedd i personvernverden denne sommeren. Her får du en oppsummering av de viktigste hendelsene, slik at du er oppdatert når du er tilbake på kontoret!

EU gir grønt lys for overføring av personopplysninger til USA

EU har innført nye regler som umiddelbart tillater enklere overføring av personopplysninger til USA. Overføring av personopplysninger til land utenfor EU/EØS er i utgangspunktet forbudt, men land kan godkjennes gjennom adekvansbeslutninger. Denne sommeren ble the EU-US Data Privacy Framework godkjent gjennom en slik adekvansbeslutning. Dette gjør det lovlig å overføre personopplysninger til amerikanske virksomheter. Det er viktig å merke seg at det kun er amerikanske virksomheter som har gjennomført, og fått godkjent, en sertifisering som er en del av dette. En liste over alle sertifiserte virksomheter som kan motta personopplysninger som om de var europeiske bedrifter finnes her.

EU-US Data Privacy Framework forenkler prosessen for bedrifter samtidig som den beskytter enkeltpersoners rettigheter. Det er verdt å merke seg at EU-domstolen tidligere har erklært lignende beslutninger for USA som ugyldige. I Schrems II-dommen i 2020 ble det konkludert med at USAs beskyttelsesnivå for personopplysninger var utilstrekkelig, noe som skapte problemer for norske selskaper som benyttet amerikanske tjenester.

Midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram

Datatilsynet har midlertidig forbudt Meta, selskapet bak Facebook og Instagram, å drive adferdsbasert markedsføring som sporer og profilerer brukerne for reklameformål. Forbudet, som varer i tre måneder fra 4. august, kommer etter at EU-domstolen bekreftet at Metas markedsføringsmetoder var ulovlige. Meta har enda ikke innrettet seg etter vedtaket (per 8.8.2023), derfor har Datatilsynet ilagt dem tvangsmulkt. Dersom Meta nå ikke retter seg etter vedtaket, vil de måtte betale en daglig bot på én million kroner fra 14. august.

Selv om forbudet er på plass, er Facebook og Instagram fortsatt tillatt i Norge. Datatilsynet understreker at deres hensikt er å sikre at innbyggernes rettigheter blir ivaretatt. Tobias Judin fra Datatilsynet poengterer at alle forretningsmodeller må respektere personvern og at brukerne bør ha kontroll over sine egne data.

Mens Datatilsynet anerkjenner at mange nordmenn verdsetter sosiale medier, uttrykker de bekymring for de potensielle personvernriskene som adferdsbasert markedsføring innebærer. Meta har muligheten til å utfordre dette vedtaket i retten.

Forbudet mot adferdsbasert markedsføring må ikke blandes med personalisert markedsføring, som fremdeles er tillatt. Meta kan altså fremdeles markedsføre målrettet mot personer basert på informasjon de selv har lagt inn på sin profil.

Selv om adferdsbasert markedsføring nå er forbudt for Meta, så kan de vise denne typen markedsføring til brukere som samtykker til dette på en måte som møter kravene i GDPR.

Datatilsynet kan potensielt bringe saken videre til Det europeiske personvernrådet (EDPB) etter sommeren for ytterligere vurdering.

Datatilsynet varsler hastevedtak mot taxi-tjenesten Yango

Datatilsynet erfarer at taxitjenesten Yango, en russiskeid app, overfører norske personopplysninger til Russland. Bekymringer vokser etter informasjon om en ny russisk lov, satt til å trå i kraft 1. september, som potensielt vil gi russiske sikkerhetsmyndigheter direkte tilgang til data fra russiske taxiselskaper.

Yango, som opererer i Norge og Finland innenfor EØS, behandler personopplysninger som lokasjon, hentested og destinasjon. "Dette utgjør en akutt risiko for personvernet, da russiske myndigheter potensielt kan spore norske borgere via Yango," påpeker Tobias Judin fra Datatilsynet.

Datatilsynet samarbeider med tilsynsmyndighetene i Finland og Nederland om saken, og både Norge og Finland forbereder tiltak. Yango har mottatt et forhåndsvarsel, i samarbeid med det finske datatilsynet, om at overføring av personopplysninger til Russland kan bli forbudt.

Judin uttrykker bekymring for at dataen kan brukes av Russland i skjulte operasjoner, og peker på risikoen for overvåkning og potensielle trusler mot individer i fremtredende samfunnsroller. Yango har fått frist til 14. august for å kommentere, og et vedtak vil bli fattet før den nye russiske loven trer i kraft.

Bruk av Google Analytics var ulovlig, men det er det ikke lenger

Datatilsynet har undersøkt klager knyttet til bruken av Google Analytics på europeiske nettsteder, inkludert telenor.com. Klagen, fremmet av organisasjonen noyb, påpekte ulovlig overføring av personopplysninger ut av EØS ved bruk av det amerikanske analyseverktøyet.

Undersøkelsen konkluderte med at nettsider som benyttet Google Analytics overførte persondata til USA i strid med regelverket, uavhengig av om de brukte Google Analytics 3 eller 4. Dette betyr at bruk av Google Analytics var ulovlig på tidspunktet. Det er det ikke lenger.

EU-US Data Privacy Framework trådde i kraft i juli, og dette gjør overføring av personopplysninger til USA betydelig enklere. For at overføringen skal være lovlig må de amerikanske selskapene som ønsker å ta del, sertifisere seg. Dette har blitt gjort av Google og flere andre amerikanske virksomheter.

Selv om dette tilsynelatende løser problemet med Google Analytics, presiserer Datatilsynet at det fortsatt kan være andre personvernmessige utfordringer med verktøyet.

Datatilsynet har også publisert en liste med råd for de som bruker analyse- og sporingsverktøy. De oppfordrer nettstedseiere til å konsultere rådene for å sikre at deres verktøy oppfyller kravene.