Ingen sommarsemester för GDPR

När vi nu glider in i september kan vi konstatera att 2021 har varit ytterligare en händelserik sommar på dataskyddsområdet.

Nivån på sanktionsavgifter ökar

Under sommaren har vi sett två sanktionsbelopp som avviker markant från de nivåer vi tidigare sett. Luxemburg utfärdade en sanktionsavgift mot Amazon på 7,6 miljarder (!) kronor. Amazon själva säger att inget fel begåtts och ett överklagande är sannolikt att vänta. Några veckor senare tog även Irland i med hårdhandskarna och utfärdade en sanktionsavgift på knappt 2,3 miljarder kronor. Föremålet för denna är WhatsApp och markerar slutet (?) på en lång historia där Irland från början ville utfärda ett betydligt lägre belopp. Medlemsstaterna sa nej och EDPB antog ett bindande beslut som krävde att Irland såg över bl.a. sanktionsbeloppet.

Sociala medier under luppen

Även Tiktok har fått en sanktionsavgift (drygt 760 miljoner kronor) efter att endast tillhandahållit sin informationstext på engelska. Eftersom Tiktok används av barn ansåg den holländska dataskyddsmyndigheten att detta var undermåligt.

GDPR kräver att information lämnas på ett transparent och tydligt sätt och även om inget konkret språkkrav finns är den gemensamma uppfattningen att information ska lämnas på ett språk som mottagaren kan ta till sig. Beroende på typ av verksamhet och vem man riktar sig till kan det därför vara bra att se över om de språkversioner som finns av intergritetsmeddelandet är tillräckligt. Utgångspunkten i Sverige bör vara att information ska lämnas på svenska. Endast i undantagsfall bör engelska vara tillräckligt som enda språkversion.

Fler invändningar mot digitala mötesverktyg

Liksom juli månad har den svenska debatten varit het kring frågan om användning av Teams är förenlig med GDPR eftersom verktyget inkluderar överföring av uppgifter till USA. Medan Skatteverket och sju andra myndigheter har tagit offentlig ställning till att inte använda Teams har andra, främst högskolor, tagit motsatt ställning. Eller de inväntar, rättare sagt, ”de initiativ som EU gör för att lösa detta”.

Samtidigt har myndigheter i Tyskland förbjudits att använda Zoom med anledning av just tredjelandsöverföringsfrågan.

Vi ser tydliga trender på att allt fler väljer att avvakta större investeringar och systembyten när dessa inkluderar överföring av personuppgifter till tredjeland. Hittills väljer många, å andra sidan, att stå risken för redan implementerade system och verktyg som innebär samma problematik - ofta för att kostnaderna att byta är allt för stora i detta osäkra rättsläge.

Så vad gör EU för att ”lösa detta”?

I början på sommaren godkände EDPB de första uppförandekoderna för molntjänster (EU CoC). Anslutning till dessa indikerar arbetssätt förenliga med GDPR. De flesta stora har anslutit sig till någon av koderna; Microsoft, Google, Amazon och Salesforce. Koderna tar samtidigt uttryckligt inte sikte på att läka eventuell brister i tredjelandsöverföringsfrågan. Läs vår artikel på temat här

EDPB har även antagit den (än så länge) slutliga rekommendationen kring tredjelandsöverföringar i ljuset av Schrems II - denna öppnar upp för en någon mer nyanserad bedömning i de fall man har att göra med ”problematisk lagstiftning” (läs USA) för det fall sådan lagstiftning inte träffar den överföring man önskar göra. En sådan bedömning måste dock vila på objektiva grunder vilket gör att det i praktiken inte kommer vara helt lätt att förlita sig på denna argumentationslinje.

Storbritannien har också lyckats få sitt adekvansbeslut till sist. Det innebär, med vissa begränsningar, att överföringar till Storbritannien fortsatt är förenligt med GDPR. Det finns samtidigt mycket kritik mot beslutet och vi får se hur länge det står sig.

Kakor, kakor, kakor

Innan sommaren skickade noyb.eu ut flera hundra varningar till företag som har en bristfällig cookiehantering på sin hemsida. Nu har de tagit 422 av dessa vidare till behörig tillsynsmyndighet runtom i EU. Vi väntar dessutom fortfarande spänt på avgöranden i de mål som noyb.eu initierade förra sommaren avseende användning av Facebook och Google kakor. Det är alltså hög tid att se över cookiehanteringen på hemsidan.