Gjennom sommeren har det skjedd mye på personvernfronten. Vi tar deg gjennom den siste utviklingen, inkludert rettssaken mellom Datatilsynet og Meta, Datatilsynets hastevedtak mot Yango, nye regler for overføring av personopplysninger til USA og siste nytt i Google Analytics-saken.
Nye regler for overføring av personopplysninger til USA
Den 10. juli ble overføringer av personopplysninger til USA godkjent ved en såkalt adekvansbeslutning fra EU-kommisjonen. EU-kommisjonen mener at det nye regelverket «EU-US Data Privacy Framework» gir like god beskyttelse av personopplysninger i USA som GDPR gir i EU.
Adekvansbeslutningen gjelder for amerikanske virksomheter som er selvsertifiserte og som står oppført på en offentlig tilgjengelig liste (se her). Det er også lovlig å overføre til virksomheter som ikke står oppført på denne listen, men da må det et overføringsgrunnlag på plass, for eksempel standard contractual clauses.
Selv om de nye reglene og adekvansbeslutningen representerer et viktig skritt fremover for sikker deling av personopplysninger, er det allerede varslet at adekvansbeslutningen antakeligvis vil prøves for EU-domstolen. Det kan bety en ny Schrems-dom, men enn så lenge har overføringer til USA blitt betydelig lettere.
NB! Selv om EU-kommisjonen nå har gitt grønt lys for overføringer til USA, må fremdeles de vanlige reglene i GDPR følges. Blant annet må behandling av personopplysninger ha et behandlingsgrunnlag og det må foreligge en databehandleravtale for å overføre personopplysninger.
Datatilsynet gir kritikk til Telenor for ulovlig bruk av Google Analytics
Datatilsynet varslet tidligere i år om vedtak mot Telenor i den såkalte Google Analytics-saken. Bakgrunnen for saken var en klage fra interesseorganisasjonen NOYB som påsto at Telenor sendte personopplysninger ulovlig ut av EØS til USA gjennom bruk av Google Analytics.
På grunn av overføringene av personopplysninger til USA har Datatilsynet konkludert med at Telenors bruk av Google Analytics har vært ulovlig frem til nå. Likevel gis det ikke et overtredelsesgebyr, kun en formell irettesettelse. Det er også verdt å merke at Telenor faktisk avsluttet bruken av Google Analytics i 2021.
Ettersom det har kommet nye regler for overføringer av personopplysninger til USA, kan Google Analytics brukes fremover. Dette markerer en betydelig endring for virksomheter som bruker analyse- og sporingsverktøy på sitt nettsted. Datatilsynet har også utarbeidet en liste med råd for analyse og sporing på nettsteder, som kan leses her.
Rettssak mellom Datatilsynet og Meta
Datatilsynet nedla i sommer et forbud mot Metas adferdsbaserte markedsføring på Facebook og Instagram for norske brukere. Da Meta ikke rettet seg etter forbudet, fulgte Datatilsynet opp med å ilegge Meta dagbøter på 1 million norske kroner. Meta har nå gått til sak mot Datatilsynet, og begjært midlertidig forføyning for å stanse vedtaket.
Meta har sitt europeiske hovedkontor i Irland og klagesaker mot Meta behandles derfor av det irske datatilsynet. Det irske datatilsynet er også ledende tilsynsmyndighet overfor Meta, som vil si at de avsier vedtak i samarbeid med og på vegne av alle berørte tilsynsmyndigheter, også datatilsynet i Norge.
Det irske tilsynet har allerede ilagt Meta overtredelsesgebyr for deres adferdsbaserte markedsføring uten gyldig behandlingsgrunnlag. Dette vedtaket omfatter norske brukere, og Meta har derfor argumentert for at det ikke er noe behov for at tilsynet i Norge avsier et eget forbud.
Datatilsynet i Norge mener på sin side at det haster å stanse Metas ulovlige behandling, fordi Meta har store mengder informasjon om nordmenn gjennom Facebook og Instagram. Denne informasjonen brukes til å lage profiler om brukerne som sier noe om deres behov og interesser, som igjen brukes til å sende målrettet reklame. Denne praksisen mener Datatilsynet at Meta må innhente samtykker for å gjøre, og har derfor nedlagt et forbud i Norge mot denne typen markedsføring.
Datatilsynet har benyttet seg av en hastemekanisme i GDPR som ikke er brukt tidligere. Oslo tingrett skal nå ta stilling til saken og det ventes en avgjørelse i løpet av kort tid.
Datatilsynet griper inn mot Yangos overføring av personopplysninger til Russland
I august informerte Datatilsynet om at taxitjenesten Yango overfører norske innbyggeres personopplysninger til Russland. På grunn av ny russisk lovgivning var Datatilsynets syn at russiske sikkerhetsmyndigheter kunne få ubegrenset tilgang til dataene fra Yango om norske brukere. Derfor varslet Datatilsynet om å nedlegge forbud mot disse overføringene av personopplysninger, for å beskytte norske brukeres personvern.
Den 31. august bekreftet Datatilsynet at Yango overfører norske brukeres personopplysninger til Russland, men at disse dataene ikke er omfattet av den nye loven. Datatilsynet vil derfor avvente med å avsi vedtak om forbud, men informerer om at de fremdeles undersøker om overføringene er i tråd med kravene i GDPR.
Behov for bistand?
Har du spørsmål eller utfordringer innen personvern? Ta kontakt med en av våre advokater på vårt personvernteam.