28. januar markerte vi den årlige personverndagen. I den anledning har noen av oss i Knowit som jobber mye med personvern gjort oss opp noen tanker rundt temaet. I en planlagt serie med blogger kan du bli kjent med våre tanker om personvernåret 2023, dagens status og framtiden for personvern.
Personvernåret 2023 startet friskt allerede første uka i januar, med et saftig gebyr på til sammen 390 millioner Euro til Instagram og Facebook (Meta) for brudd på GDPR. Saken mot Whatsapp er fortsatt under behandling. Man behøver ikke være Nostradamus for å spå at dette gebyret ikke er det siste som blir delt ut for brudd på GDPR i år. Ei heller må man være synsk for å kunne melde at dette slettes ikke er slutten på saken. Meta både kan, vil, og har økonomiske muskler til, å anke denne saken til ytterste instans – og litt til. Ingenting tyder heller på at EDPB (European Data Protection Board) har tenkt trekke seg fra videre kamp. Med andre ord tør vi allerede å melde at personvernåret 2023 langt fra blir kjedelig!
Også det norske datatilsynet har begynt å dele ut store gebyrer. Selv om ingen norske gebyrer fra 2022 var på størrelse med de 65 millionene som Grindr fikk i 2021, så ble nok eksempelvis gebyret på 4 millioner til Østre Toten kommune i 2022 opplevd som brutal for en liten kommuneøkonomi. Med andre ord kan det svi godt å bli tatt i store brudd på GDPR i Norge, også i 2023.
Etter at den etter hvert svært berømte Schrems II-dommen ble avsagt sommeren 2020, er det mange virksomheter som benytter seg av amerikanske skytjenester som har følt på uro. Enda verre er det for de som ønsker å inngå slike avtaler etter at dommen ble avsagt. Diskusjonene har rast rundt hva den nye dommen betyr. Nye dommer og gebyrer har fulgt i kjølvannet. Forvirringen blir ikke mindre av at nasjonale datatilsyn har gjort litt ulike vurderinger i de samme sakene. Det er vanskelig å finne konkret og god veiledning i hva man ikke skal gjøre, og spesielt veiledning på hva man bør gjøre i stedet. I fjor publiserte DigDir en veileder for bruk av skytjenester i offentlig sektor som var veldig etterlengtet. Raskt viste det seg likevel at Datatilsynet ikke var enig i alle vurderingene til DigDir. På tross av å ha deltatt på seminar med begge nevnte organer, hvor formålet var å oppklare uenigheten, opplevde selv en av våre egne skribenter fortsatt å være ganske så forvirret rundt lovlige overføringsgrunnlag og risikobaserte vurderinger for bruk av amerikanske skytjenester. Det er forståelig at små og mellomstore – og selv store – bedrifter synes at disse vurderingene er veldig vanskelige, og at feil forekommer.
Men 2023 er året hvor vi har blitt lovet at disse juridiske flokene skal løses og at virksomhetsledere skal kunne sove godt om natten igjen. Det ble meldt at det jobbes med en ny overføringsavtale mellom EU og USA (EU-U.S DPF) da President Biden besøkte EU i mars 2022. Siste melding er at avtalen skal komme på plass i første halvdel av 2023. Som en forberedelse signerte Biden en Executive Order (EO) i oktober 2022 som adresserer en del tiltak for å imøtegå grunnene til at Privacy Shield ble kjent ugyldig i 2020. Viljen er helt klart til stede både i EU og i USA for å få på plass en avtale og løse den juridiske forvirringen som har oppstått. Det er derfor god grunn til å tro at en ny avtale kommer på plass i 2023. Om det kun blir et hvileskjær eller en varig løsning, gjenstår å se.
Max Schrems og organisasjonen NYOB viser heller ingen tegn til å trappe ned sin aktivitet. Vi spår derfor at raskt etter at EU-U.S DPF er signert, vil NYOB melde inn saker til nasjonale datatilsyn i hele EU/EØS-området for å prøve gyldigheten av avtalen, eller om grunnlaget for å kjenne Privacy Shield ugyldig også må gjelde for den nye avtalen. De problematiske overvåkningslovene i USA blir ikke fjernet selv om Biden har signert en ny EO som inneholder tiltak for å komme EU i møte.
Vi er trolig ikke de eneste som sitter med følelsen av at punktum i saken ikke er satt, selv når det kommer en ny avtale. En del virksomheter vil kanskje skynde seg å inngå avtaler med amerikanske skytjenester i den tiden EU-U.S DPF fortsatt ikke er prøvd i datatilsynene. Med et gyldig overføringsgrunnlag i bunn blir avtaleinngåelsen med amerikanske skytjenester betydelig enklere både i omfang og kompleksitet enn det har vært etter dommen i 2020. Samtidig tror vi heller ikke at noen personvernjurister vil gå konkurs i 2023. Det er nok av problemstillinger å ta tak i, og vi må fremdeles gjøre grundige vurderinger knyttet til formål, behandlingsgrunnlag og risiko.
Max Schrems og NYOB har meldt inn 101 saker mot Facebook og Google knyttet til dataoverføring fra EU til USA. En god del av disse fikk et utfall i 2022, men mange er fortsatt under behandling. De tre sakene som har blitt meldt inn i Norge har ikke blitt avgjort. Det blir interessant å se om det kommer flere avgjørelser i løpet av året og om det kommer ulike avgjørelser på samme type sak. Det blir også interessant å se om European Data Protection Board (EDPB) velger å overstyre flere avgjørelser i nasjonale datatilsyn slik de gjorde med gebyret til Meta, hvor de overstyrte det irske datatilsynet.
Tredjepartcookiens endelige død er svært nært forestående, men problemet fjerningen var ment å løse, overvåkning av enkeltpersoners bevegelser på nett for å kunne tjene gode penger på disse dataene, er ikke borte. Det finnes flere måter adtech-selskapene kan identifisere oss på, eksempelvis via nettleserhistorikk, lokasjonsdata og nettleserparametere – og bruke til sin økonomiske fordel.
Antallet tjenester og ‘duppeditter’ vi kobler mot nett øker stadig. Det betyr også at mengden data vi utleverer om oss selv øker. Dess større datamengde man utlever om seg selv, dess enklere blir man å identifisere, selv om dataene i utgangspunktet skulle være anonyme. Vi er vel kanskje ikke de eneste som har outsourcet støvsuging og gulvvask hjemme til en smart, liten, effektiv og selvgående potensiell wifi-spion?
Meget mulig det er en økende bevissthet rundt dette hos hvermansen, både knyttet til personvern og sikkerhet. Likevel; disse tjenestene gjør hverdagen både enklere og morsommere. Mange av tjenestene vi bruker mye tid på er gratis å bruke, og mange av dem har vi blitt vant til og forventer å kunne bruke i hverdagen. Skal vi være helt ærlige så elsker vi jo mange av disse tjenestene, og kunne ikke tenkt oss et liv uten. Samtidig må selskapene som tilbyr gratistjenestene tjene penger. Da blir dataene vi legger igjen hos dem blir utgangspunktet for selskapets inntekter. Denne forretningsmodellen er ikke lett å endre på kort varsel.
Ei heller skal man rette store moralske pekefingre mot de virksomhetene som har utnyttet mulighetsrommet de har hatt. Per nå har vi som enkeltindivider vist oss mer villige til å betale for tjenestene med både egne og andres persondata heller enn penger. Appetitten for å godta alle cookies man blir spurt om er ekstremt høy – og vil antageligvis forbli høy. Finlesing av vilkår og cookiepolicies man blir presentert for er nok kun for spesielt interesserte, også i 2023. Endringer så sent i techbransjens evolusjon tror vi bare vil kunne skje gjennom reguleringer på EU-nivå – noe vi også planlegger å mene noe om i et eget blogginnlegg.
Som vi skrev innledningsvis så tror vi absolutt ikke at 2023 blir et kjedelig år for personvernet? Men vi tror og håper det vil skje ting som gir noen bedre nattesøvn, i hvertfall for en periode…
Ta gjerne kontakt, med Adelheid eller Helén, hvis du vil vite mer eller dele dine synspunkter rundt dette.