Nye spørgsmål opstod og flere spurgte f.eks. sig selv: Må arbejdsgivere egentlig registrere oplysninger om COVID-19? Må man videregive oplysninger om COVID-19? Hvor må sådanne oplysninger opbevares? Derudover blev der i flere lande lanceret en app som et supplement til at hjælpe med smittesporingen. Ud over at disse apps var med til bryde infektionskæder hurtigere for landenes egne borgere, så blev flere apps også gjort tilgængelige for udenlandske borgere, som rejste igennem eller til et givent land. Det gav endnu flere spørgsmål, da flere landes love dermed skulle overholdes. Holst, Advokater rådgav Robert Koch-instituttet og det tyske sundhedsministerium om muligheden for at udvide adgangen til download af den tyske COVID-19 app i Danmark og for danske borgere.
Men ikke alt handlede om COVID-19 i 2020. I historiebøgerne vil der for 2020 under GDPR helt sikkert stå navnet Maximillian Schrems, der er en østrigsk aktivist og forfatter, der blevet kendt for sine kampagner mod Facebook for dets krænkelser af privatlivets fred. Schrems havde indgivet en klage til det irske datatilsyn vedrørende overførsel af hans personoplysninger fra Facebook Irland til virksomhedens moderselskab Facebook Inc., der er etableret i USA. Den 16. juli 2020 afsagde EU-Domstolen dom i den såkaldte ”Schrems II-sag”, hvor ”Privacy Shield” blev erklæret ugyldig. Dommen var skelsættende, da den samtidig betød, at der fremadrettet ikke kan ske overførsel af personoplysninger til USA ved brug af Privacy Shield. EU-Domstolen fastslog dog i samme dom, at EU-Kommissionens standardkontrakter fortsat er gyldige, hvis den virksomhed, som overfører data til et tredjeland, sikrer, at der opnås en beskyttelse af persondata i modtagerlandet, som er stort set enslydende med beskyttelsesniveauet i EU. Hvad, det konkret kræver, er fortsat uafklaret, og det har efterladt en del virksomheder i uvished.
Imens vi endnu levede uvidende om COVID-19 og Schrems II, så kom Datatilsynet i starten af 2020 med en ny vejledning for hjemmesidebesøgende, efter en række spørgsmål opstod som følge af en sag ved Danmarks Meteorologiske Institut (DMI). DMI havde siden 2004 haft bannerannoncer på deres hjemmeside og derigennem bidraget til indsamling og videregivelse af personoplysninger om hjemmesidens besøgende til Google.
På DMI’s hjemmeside blev de besøgende mødt med en samtykkeløsning, hvor brugerne fik to valgmuligheder: ”OK" og ”Vis detaljer”. Ved at klikke ”OK” gav de besøgende deres samtykke til flere forskellige behandlingsformål, herunder indsamling af personoplysninger med henblik på at danne statistik af de besøgendes brug af DMI’s hjemmeside samt til brug for adfærdsbasseret markedsføring, så hjemmesidens annoncer kunne målrettes til den enkelte besøgende. Ved at klikke på ”Vis detaljer” fik de besøgende mulighed for at klikke på ”Opdater samtykke” for på den måde at afslå at give sit samtykke.
Datatilsynet slog bl.a. fast, at (i) et samtykke skal være et aktivt tilvalg, når en besøgende på en hjemmeside giver lov til, at vedkommendes oplysninger behandles, (ii) det skal være klart, hvilke forskellige formål den pågældende vil behandle oplysningerne til og (iii) det skal være nemt ikke at give samtykke – også rent visuelt.
Dette medførte, at rigtig mange virksomheder endnu en gang måtte se samtykketeksterne og ikke mindst det visuelle i opsætningen af samtykket igennem.
Persondatalovgivningen bliver mere kompleks, og på verdensplan indføres der ny lovgivning inspireret af GDPR. I verdens andenstørste økonomi, Kina, arbejdes der på nuværende tidspunkt på en ny persondatalov, der tydeligvis er inspireret af GDPR, og som vil berøre alle persondataoverførelser gennem Kina. Tilsvarende afventer en omfattende persondataregulering, der også er GDPR-inspireret, at blive vedtaget i Indiens parlament.
For internationale virksomheder vil behovet for at jonglere med flere forskellige lovgivningsmæssige rammer fortsætte i 2021 og fremadrettet, men i takt med at flere af verdens største økonomier indfører GDPR-lignende regler (senest Brasilien og Californien), må det forventes, at der bliver en mere ensartet forventning til persondatabehandlingen, uanset hvor i verden man er.
COVID-19 medførte i 2020, at flere virksomheder blev opmærksomme på muligheden for fleksible arbejdstider, og at arbejdspladsen fysisk lige så vel kunne være hjemmefra. Det har for mange virksomheder medført et større compliancearbejde i kølvandet på udvidet brug af (usikre) hjemmenetværk og BYOD-problematikker. Nogle virksomheder har allerede været opmærksomme herpå, men mange vil formentlig først følge trop i 2021.
Diskussionen om berettigelsen af end-to-end kryptering vil formentlig fortsætte ind i 2021. I oktober 2020 påpegede USA, Canada, Storbritannien, Australien, New Zealand, Indien og Japan, at end-to-end krypteringsteknologi var til fare for den offentlige sikkerhed, da teknologien kunne vanskeliggøre beskyttelsen af børn mod seksuelle krænkelser online. Det er på den ene side blevet gjort gældende, at end-to-end kryptering f.eks. ikke skulle gælde for Facebook Messenger, mens andre har gjort gældende, at hvis man først åbner op et sted, vil det automatisk sprede sig til andre steder. Ethvert indgreb i end-to-end kryptering vil helt sikkert skabe massiv debat i 2021 mellem de store techselskaber, datatilsyn og aktivister for privatlivets fred og kan også påvirke mulighederne for at overføre data fra EU til et (usikkert) tredjeland.
Holst, Advokater ønsker dig et godt 2021. Vi rådgiver klienter om alle forhold inden for persondataretten og hjælper gerne med udarbejdelse eller gennemgang af eksisterende persondatapolitikker, databehandleraftaler m.v. for at sikre overensstemmelse med gældende lovgivning.
