April var måneden vi trodde våren hadde kommet, men hvor det raskt viste seg at vinteren fortsatt stod på dørstokken.
Litt som et cookiebanner du er sikker på at du har trykket avvis på, men som dukker opp igjen når du minst venter det.
Åpna for anonyme skattesøk - men plutselig snudde politikerne
EU skeptisk til datautveksling
Med 37 mot 0 stemmer vedtok komiteen for borgerrettigheter i EU at det forslaget som foreligger for en avtale om datautveksling mellom EU og USA ikke er godt nok. Dette er avtalen som har som mål å erstatte Privacy Shield, og svare ut Schrems-II-dommen.
"We are not convinced that this new framework sufficiently protects personal data of our citizens, and therefore we doubt it will survive the test of the CJEU." — Komiteens ordfører Juan Fernando López Aguilar
I praksis vil det si at komiteen mener det er sannsynlig at EU-domstolen ikke kommer til å opprettholde avtalen hvis (eller når) det blir klaget inn til domstolen.
Selv om dette kanskje kan virke som en seier for personvernet, så har ikke komiteen noen makt i denne saken. Det er EU-kommisjonen som bestemmer om overføringsrammeverket skal vedtas eller ikke. Allikevel vil de nok foretrekke å ikke stå alene i sin vurdering av hvor trygge persondataene til europeiske borgere vil være i amerikanernes hender.
Åpner for å la brukerne velge: Vil du betale med penger eller cookies?
Personvernlovverket står ikke i veien for livreddende tiltak
I forbindelse med den store rasfaren i Nord-Norge denne våren har flere kommuner gitt uttrykk for at de gjerne skulle ha sendt ut varsler på SMS, men har ment at de ikke har kunnet gjøre dette på grunn av personopplysningsloven. Datatilsynet har gått ut med en påminnelse om at GDPR artikkel 6 gir rett til å behandle personopplysninger for å verne om liv og helse.
Denne saken er et veldig godt eksempel på hvorfor det finnes et eget behandlingsgrunnlag for å verne om liv og helse.
Det er også en god påminnelse til oss alle om at GDPR ikke er laget for å hindre oss i å behandle personopplysninger, men skal hjelpe oss med å behandle dem riktig.
«I det som fremstår som en satirisk beskrivelse av byråkrati har en person bedt om å få slettet opplysninger hos NAV.»
Datatilsynet advarer mot sporingspiksler
Etter en sak i Svergie der man på en rekke europeiske nettapotek fant sporingspiksler som sendte informasjon om brukernes søk og kjøp til bl.a. Facebook, minner Datatilsynet om risikoen forbundet med denne teknologien.
Mange nettsider bruker såkalte sporingspiksler for å koble sammen kundene sine med informasjon om deres interesser for å lettere kunne markedsføre mot dem.
Dersom man bruker sporingspiksler til å sende informasjon til tredjepart, må man huske på at det kreves overføringsgrunnlag for å sende personopplysninger til en tredjepart. Å sende helseopplysninger til et amerikansk selskap vil nok kreve grundige vurderinger for å kunne stå seg.
“Med mindre virksomheten har gjort gode vurderinger, har oversikt over dataflyt og er trygge på at bruken av verktøyene er i tråd med personvernreglene, bør verktøyene rett og slett fjernes.”
— Tobias Judin i Datatilsynet.
Mener regjeringa ikke har hørt på PST-kritikken: - Kanskje ikke uventa
Klage-pingpong ga til slutt ikke rett til sletting
I det som fremstår som en satirisk beskrivelse av byråkrati har en person bedt om å få slettet opplysninger hos NAV, etter å ha laget en søknad om sosialhjelp som aldri ble behandlet. Jeg beklager, men dette blir komplisert:
Personen ba NAV slette dataene, noe NAV avviste. NAV oppga at klage måtte sendes til Statsforvalteren, men her ble klagen avvist, og klager ble henvist til Datatilsynet. Tilsynet avviser at de er riktig klageinstans, og avslår å behandle klagen, uten adgang til å klage på avslaget. Klager tar på nytt kontakt med Statsforvalteren, som nok en gang avviser at de kan mene noe om saken, noe som endelig medfører at Datatilsynet går med på at de kan behandle klagen.
Dessverre mener Datatilsynet at de ikke har kompetanse til å overprøve NAV og avslutter saken. Brevet med vedtak blir sendt til klagers gamle adresse, og kommer derfor i retur før det sendes til riktig adresse. Klager påklager denne avgjørelsen, men får nå beskjed om at fristen for å klage på avgjørelsen har gått ut. Klager forsøker å klage saken inn til Sivilombudet, men de oppgir at de ikke kan behandle saken før Personvernnemda (som er klageinnstans for Datatilsynet) har behandlet saken. Klagerne klager derfor til Personvernnemda som tar tak i saken.
Nå faser også NAV ut Google Analytics: - Burde bekymre de som fortsatt sitter på gjerdet
Har rett til å nekte sletting
Personvernnemda påpeker at det som formelt er klaget inn til dem er Datatilsynets avvisning av å behandle klagen, og ikke selve saken om sletting. På tross av dette velger nemda å være pragmatiske og ta saken til avslutning:
"Med denne sakens historikk, ser nemnda det som lite hensiktsmessig å sende saken tilbake til Datatilsynet for en ny vurdering av dette spørsmålet. Nemnda vil derfor ta stilling til [slettekravet]."
Til syvende og sist konkluderer nemda med at NAV har rett til å nekte sletting, da informasjon vedrørende søknader om sosialhjelp er arkivverdige, og det dermed foreligger en plikt til å arkivere dem.