Som de fleste land har Norge personvernlover som går utover den generelle databeskyttelsesforordningen (GDPR). For eksempel er det lover om kredittreferanser og om kameraovervåking i lønnssammenheng; det er lover om arbeidsgivers tilgang til ansattes forretningsdokumenter og ansattes forretningse-poster; og det er lover om datainnsamling i helsesektoren.
Datatilsynet (DPA), Datatilsynetsikrer ikke bare overholdelse av GDPR; det gjelder også forskriftene som er spesifikke for hvert land.
«Fire år etter at GDPR trådte i kraft, har vi sett et massivt tankesettskifte på tvers av bedrifter i en positiv retning,» Tobias Judin, sier leder for den internasjonale seksjonen av Datatilsynet, til Computer Weekly. «Vi ser at de nå investerer mye mer i etterlevelsesarbeidet enn de gjorde før GDPR. Vi er veldig imponert over noen av initiativene.
Men noen selskaper har ennå ikke gjort alt som er nødvendig for å tilpasse prosessene sine til GDPR. Til en viss grad er det fordi regelverket er så komplekst.
Datatilsynet har ilagt bøter, hovedsakelig til offentlige virksomheter, når databehandling har skjedd uten rettslig grunnlag eller uten tilstrekkelig sikkerhet. Noen private organisasjoner har også blitt bøtelagt – for eksempel for ulovlig kameraovervåking og ulovlig kredittreferanse. I ett tilfelle ble data sendt til Kina uten databehandleravtale.
Men de tyngste straffene er ilagt behandlingsansvarlige i USA. Den hittil største boten ble ilagt Grindr, et USA-basert LGBTQ+-nettsted. Datatilsynet bøtelagt Grindr rundt 6,5 millioner euro for å dele brukerdata med tredjeparter for reklameformål. Brukere har ikke gyldig samtykke til deling av dataene deres – og i dette tilfellet kan bare det faktum at de er Grindr-brukere betraktes som sensitiv informasjon.
«Generelt, under GDPR, må du ha et juridisk grunnlag for å dele personopplysninger,» sa Judin. «Et rettslig grunnlag kan for eksempel være samtykke, at deling er nødvendig for å yte tjenesten, eller at selskapets legitime interesse i å dele dataene veier tyngre enn brukernes rettigheter og friheter. For spesialkategoridata er imidlertid terskelen enda høyere. I praksis vil du normalt trenge uttrykkelig samtykke for å dele det.
«Spesialkategoridata inkluderer data om en persons helse, religion, etniske opprinnelse, politiske meninger, seksuelle legning eller sexliv.»
Grindr er for tiden attraktive mot boten.
GDPR i dag og i morgen
«Gjeldende regelverk fungerer godt på substans,» sa Judin til Computer Weekly. «Reglene tillater viktige oppgaver å utføres i allmennhetens interesse – og bedrifter kan behandle personopplysninger for å holde virksomheten deres i live. GDPR gjør det mulig for disse tingene å skje, samtidig som den beskytter den grunnleggende menneskerettigheten til personvern. datakonfidensialitet.
«Men på den prosedyremessige siden er det nødvendig med større håndhevelse. Vi forventer at fire år senere ville de største aktørene, spesielt de største teknologiselskapene, ha endret sine måter å gi mer åpenhet, flere brukervalg og mer brukerkontroll. Vi forventer mindre skadelig og påtrengende forretningspraksis ved bruk av personopplysninger. Men det ble ikke vesentlig.
En ting som kan hjelpe appen er å få en bedre måte å håndtere saker som har konsekvenser for hele Europa. Den nåværende situasjonen er at mange av de største klagene og problemene kun henvises til DPA i landet der det krenkende selskapets hovedkontor er lokalisert. Resultatet er at enkelte databeskyttelsesmyndigheter er overveldet av enorme filer, når problemet kan håndteres bedre på europeisk nivå.
«Vi ser et press mot mer globalt harmoniserte regler, global konvergens,» sa Judin. «For øyeblikket er et av de største problemene at det er svært vanskelig å overføre personopplysninger, for eksempel til USA eller andre land utenfor Europa.
«Samtidig bruker vi alle Internett. Det er globalt av natur. Dette skaper mye hodebry for norske bedrifter og bedrifter over hele Europa. Det skaper også problemer for amerikanske selskaper som ikke alltid kan motta data på grunn av reglene. Vi må sørge for at alle land har samme høye databeskyttelsesnivå – da kan vi dele data i mye større grad. Men det blir ekstremt vanskelig. »
Judin la til: «På dette tidspunktet er det problematisk å overføre personopplysninger til USA. Det kan til og med være problematisk å bruke amerikanske tjenesteleverandører, selv om dataene er lagret i Europa, da de fortsatt er underlagt amerikansk jurisdiksjon. Vi ønsker ikke å senke nivået på databeskyttelse bare for å kunne bruke amerikanske tjenester. »
Ny rammeavtale med USA
Et nytt rammeverk forhandles for tiden mellom Europa og USA. Rammeverket blir ofte referert til som Privacy Shield 2.0, med henvisning til den andre av to tidligere avtaler som har blitt erklært ugyldige av EU-domstolen – Privacy Shield. Den første avtalen ble innkalt Trygg havn.
Hovedproblemet er Foreign Intelligence Surveillance Act (FISA)artikkel 702. Dette er en av lovene spesielt fremhevet av Den europeiske unions domstol i sin vedtak mot Privacy Shield i juli 2020. FISA dateres tilbake til 1978, lenge før Internett. Seksjon 702 ble lagt til som en endring i 2008 for å tillate etterretningsbyråer å samle utenlandsk etterretning fra ikke-amerikanere som befinner seg utenfor USA, enten dataene er på servere i eller utenfor USA. utenfor USA.
«Vi har også overvåkingslover i Europa,» sa Judin. «Men vi krever at tilgang skal være «nødvendig og proporsjonal», og vi trenger effektive rettsmidler og uavhengig tilsyn. Vi ville akseptert amerikanske overvåkingslover hvis vi hadde disse forsikringene.
«Det nye rammeverket vil være svært viktig. Vi vet ikke detaljene ennå, men vi vet at den amerikanske siden er klar til å gjøre endringer. Det vil trolig komme et nytt dekret og et nytt forvaltningsorgan som vil kunne behandle klager fra europeiske borgere.
«På den annen side er noen mennesker ikke veldig fornøyde med det de har sett så langt. En av dem er Max Schrems, den østerrikske databeskyttelsesforkjemperen, som sier at avtalen som forhandles så langt ikke oppfyller standardene fastsatt av EU-domstolen. Schrems og andre er faktisk klare til å utfordre det nye rammeverket selv før det er ferdigstilt.
«Typisk tenker. Uunnskyldende alkoholiker. Internett-fanatiker. Forkjemper for popkultur. TV-junkie.»