Det er ikke bare utviklingen i Javascript-verden som går i et forrykende tempo. Den minst like viktige, dog kanskje noe tørrere (?), personvern-verden går også fremover med stormskritt.
Så det passer seg med en kjapp oppsummering av ting som har skjedd i det siste!
Datatilsynet glemte å informere om egen bruk av cookies
Stort rom for forvirring
EU annonserte på tampen av mars at de har kommet til “prinsipiell enighet” med USA om utforming av et rammeverk som igjen vil gjøre overføring av persondata til USA lovlig. Dette har vært (så godt som) ulovlig siden Schrems-II-dommen i juli 2020, og har skapt store utfordringer for mange selskaper.
Det er imidlertid grunn til å vente med å feire hvis Schrems-dommen har skapt problemer for deg. Det foreligger ingen konkret tekst, og det fremstår som at avtalen skal gjøres som administrativ avtale av EU-kommisjonen. I så fall må den forhåndsgodkjennes av Det europeiske Personvernrådet (EDPB).
Om du skulle oppleve at noen hevder at de følger reglene i den nye Privacy Shield-avtalen, så kan du være sikker på at det ikke er sant, siden det ikke finnes noen tekst enda. Mange selskaper har fortsatt ikke fjernet referansene til Privacy Shield 1.0 i sine personvernerklæringer, så her er det også rom for forvirring.
«Google fikk tidligere i år en bot på ca en milliard kroner for å ikke ha tilfredsstillende utforming og språk på sitt cookiebanner»
Bank bøtelegges for rutinemangel
Danske Bank i Danmark har kommet i hardt vær etter at det ble avdekket at de manglet rutiner for sletting av personopplysninger i over 400 systemer. I tillegg kunne de ikke vise til at data som skulle vært slettet hadde blitt fjernet manuelt.
Det danske datatilsynet har anbefalt en bot på 10 millioner danske kroner.
I Danmark må imidlertid en slik avgjørelse fattes som del av en politietterforskning og dom, så tiden vil vise om boten blir stående.
GDPR-trygge alternativer til Google Analytics? Tormund har oversikten
Google endrer cookiebanneret sitt
Google fikk tidligere i år en bot på cirka en milliard kroner for ikke å ha tilfredsstillende utforming og språk på sitt cookiebanner.
De velger nå å komme med et oppdatert banner for sine europeiske brukere, som gir muligheten til å avvise alle cookies på første steg.
Dette er måten de fleste har ment at GDPR og ePrivacy-forordningen skal forstås, og dette ser ut til å bli bekreftet gjennom avgjørelser i EU-systemet.
PS: Cookies har en litt spesiell status i Norge fordi bruken er regulert i EKom-loven. Krav til aksept for cookies er del av ePrivacy-forordningen til EU, og denne har ikke Norge innarbeidet i norske lover enda. Dette tas det imidlertid skritt for å rette opp når ny EKom-lov nå skal vedtas. Datatilsynet har også i den prosessen bedt om å bli ansett som den relevante myndigheten når det kommer til cookies.
Tror dagens cookie-bannere blir ulovlig: - Åpenbart uærlig og uetisk
Liten spansk nettbutikk får bot
En interessant sak som viser at det ikke er forbeholdt de store nettsidene å bli sett i kortene av tilsynsmyndighetene.
En nettbutikk drevet av en privatperson hadde ikke informasjon om hvordan personopplysningene til brukeren ble behandlet, og brukte også Google Analytics cookies uten å be om samtykke til dette. En bot på €3000 ble fastsatt, men redusert til €1800 ettersom boten ble betalt, og eieren av nettsiden innrømmet skyld.
Og med det gjenstår bare å ønske alle en personvernvennlig mai! ☀️ 🇳🇴 🍦