Jul, jul, strålende personvernjul! Selv om ribbe og pinnekjøtt for lengst er fortært, og mange nok har ryddet ut juletreet allerede, så skal vi ta en kikk tilbake på desember, og se hva slags personvernpakker vi fikk!
EU-kommisjonen har publisert utkast til adekvansavgjørelse for USA
Etter Schrems-II-dommen ble det forbudt å overføre personopplysninger til USA. Bakgrunnen var at EU-domstolen mente at rettighetene europeiske borgere har krav på ikke kan ivaretas i USA dersom amerikanske myndigheter benytter etterretningslovgivningen for å kreve personopplysninger utlevert.
Dette gjorde også den såkalte Privacy Shield-avtalen ugyldig, den tredje slike avtalen som har vært forsøkt mellom EU og USA. EU-kommisjonen forsøker nå å få en lignende avtale på plass ved bruk av en såkalt adekvansavgjørelse. Dette er en uttalelse som fastslår at personvernbeskyttelsen i et gitt land er like god som den er i EU.
En viktig del av grunnlaget for å kunne gi en adekvansavgjørelse til USA er en ny presidentordre (executive order 14086) som pålegger etterretningsorganisasjonene i USA å sørge for at alle deres aktiviteter er nødvendige, og gjort med grundige vurderinger rundt personvern.
Dette betyr Metas gigabot for deg: - Nå vet vi at tjenestene er i strid med GDPR
En åpenbar utfordring med å basere en slik adekvansavgjørelse på en presidentordre er at denne kan endres uten varsel, og en ny president (eller den sittende) kan tilbakekalle ordren når det måtte passe dem. Det kan sette de som velger å overføre data til USA i en situasjon der overføringen blir ulovlig på dagen.
Det har kommet signaler om at EU håper å ha denne avgjørelsen klar til sommeren. Dersom avgjørelsen blir vedtatt vil man kunne lene seg på denne umiddelbart, men den vil utvilsomt umiddelbart bli dratt inn for rettsapparatet i EU. Om man leser presidentordren fremkommer det også at fristen for å implementere en del av tiltakene for de amerikanske e-tjenestene er satt ett år fra vedtak, altså 7. oktober 2023, noe som potensielt også kan forsinke iverksettelsen.
Hele utkastet kan leses her.
«Det gis ekstra kritikk for at dette har vært tatt opp internt så tidlig som 2017, men at svaret har vært å trenere saken.»
Epic Games får kjempebot av amerikanske FTC
Det er ikke ofte vi får personvernnyheter fra andre siden av dammen.
Derfor var det litt overraskende da amerikanske Federal Trade Comission (FTC) kunngjorde at selskapet bak Fortnite — Epic Games — får en halv milliard dollar i bot.
Dette inkluderer en bot for designmønstre som har vært ment å lure brukerne til å bruke mer penger på spillet enn de har ønsket, men også for dårlige standardvalg for personverninnstillinger.
I Fortnite har tekst- og talechat vært aktivert som standard for alle brukere. Dette har medført at spesielt barn har vært utsatt for å havne i situasjoner der de opplever mobbing, trakassering og kontakt med overgripere.
Det gis ekstra kritikk for at dette har vært tatt opp internt så tidlig som 2017, men at svaret har vært å trenere saken.
I tillegg mener FTC at det er for vanskelig å deaktivere chat-tjenestene.
Regjeringen vil la PST lagre åpne data — har i liten grad lyttet til høringsinnspillene
I starten av desember offentliggjorde regjeringen et forslag om å la PST lagre offentlig tilgjengelige data over lang tid.
Datatilsynet, Advokatforeningen, Norsk institusjon for menneskerettigheter og andre har kommet med en rekke kritiske innspill i høringsrunden. I proposisjonen til Stortinget fremstår det som at Regjeringen i liten grad har tatt disse til etterretning, noe som kanskje ikke er uventet.
Av lyspunkt er at lagringstiden foreslås kortet ned til maks 5 år. Som en konsekvens av dette foreslås det imidlertid å innføre en mekanisme for å vedta utsatt sletting av informasjon, så fristen for sletting blir ikke lenger absolutt.
Regjeringen anslår at det vil koste 40 millioner å utvikle systemet, og at PST permanent vil trenge 15 ekstra årsverk, og 25 millioner kroner i økte driftsrammer for å drive systemet. Samtidig mener man at PSTs internkontroll nå har blitt så god at EOS-utvalget på Stortinget ikke vil trenge økte midler for å drive kontroll av systemet.