Når du gjør tredjelandsvurderinger ser du på om lover i land utenfor EU/EØS respekterer retts-sikkerhetsstandardene våre. Men vi må også respektere dem. Vi leser C-203/15 og C-698/15! Det kan kjennes litt ironisk å gjøre tredjelandsvurderinger noen ganger. Fordi er vi sikre på at VI lever opp til de samme rettssikkerhetskravene som vi krever at land utenfor EU/EØS gjør for at vi skal kunne overføre personopplysninger dit? Det korte svaret er: ikke alltid. C-203/15 og C-698/15 er en dom...

I denne dommen kom EU-domstilen til at en tidligere verge var en behandlingsansvarlig og må således følge GDPR. Det å være en verge faller ikke under unntaket “rent personlig eller familiemessig aktivitet” da det er en professjonell eller kommersiell aktivitet. Og det gjelder også selv om vergen er i familie med den som blir satt under vergemål. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.07.24 kl. 12.00. Du finner dommen her:...

Herr Schwarz nektet å ta fingreavtrykk for å få pass. Han mente at EU-regelverket som påla Tyskland dette var i strid med personvernet. Domstolen kom til at dette var et legitimt inngrep og at behandlingsgrunnlaget var gyldig. Jeg tar med med 3 ting fra denne dommen: 1) Fingreavtykk er personopplysninger, og det å lagre dem i et pass er en behandling av personopplysninger. 2) Selv om fingreavtrykkteknologien ikke er perfekt og vil noen ganger ta feil, betyr ikke det at det ikke er et...

GDPR artikkel 6(1) har en rekke behandlingsgrunnlag knyttet når det er «nødvendig», men hva betyr det egentlig at noe er «nødvendig»? Vi leser Huber-dommen (C-524/06)! Dommen handler om Herr Huber, som først prøvde å få sine personopplysninger slettet fra et register der han sto oppført som innvandrer med personopplysninger som nasjonalitet, fødselsdato og kjønn. Noe tilsvarende register fantes ikke for tyske statsborgere. Da tyske myndigheter nektet å slette personopplysningene hans,...

C-534/20 (også kalt Leistritz) handler om et personvernombud som ble sparket fra den virksomheten hun jobbet i etter en omorganisering. Kunne hun bli sparket? GDPR inneholder et særlig vern for personvernombud som sier at de ikke kan sparkes eller utsettes for disiplinærreaksjoner for å ha kommet med personvernråd som behandlingsansvarlig er uenig i. Men hvor langt strekker dette vernet seg? Betyr det at en omstrukturering også verner personvernombudet ditt? Det ser vi på i denne dommen!...

C-453/21 handler om i hvilke tilfeller du kan sparke et personvernombud, gitt at et personvernombud nyter et særlig vern etter GDPR. Dette særlig vernet går ut på at et personvernombud ikke kan sparkes eller utsettes for disiplinærreaksjoner for å ha kommet med personvernråd som behandlingsansvarlig er uenig i. Men hvor langt strekker denne beskyttelsen seg? Hva er egentlig formålet med denne særlige beskyttelsen? Og hvilken type interessekonflikt kan personvernombudet sparkes for? Det...

C-212/13 handler om at når du behandler personopplysninger til «rent personlige eller familiemessige aktiviteter», gjelder ikke personvernlovgivningen. Dette er en dom som belyser hvor langt dette unntaket strekker seg. Saken handlet om overvåkning av en privateiendom var en type personopplysninger som var omfattet av personvernlovgivningen. Overvåkningen hadde som formål å beskytte de privatpersonene som bodde i huset og inkluderte overvåkning av en del av offentlig område. Legg merke...

C-487/21 handler om hvilke personopplysninger som du plikter å gi den registrerte innsyn i. Spørsmålet var hva det betyr at den behandlingsansvarlige må gi den registrerte en «kopi» slik som beskrevet i GDPR artikkel 15(3). Dette er en dom jeg trodde jeg hadde lest, men det viser seg at jeg ikke hadde det. Og den er ganske sentral! Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 13.07.24. Du kan se videoopptaket her:...

Den “behandlingsansvarlige” er den som bestemmer formålene med behandlingen av personopplysninger, og hvilke midler som skal brukes (f.eks. hvilken digitale løsning) for å oppfylle disse formålene. Men hvordan blir dette når formålene er pålagt i lov? Denne dommen handler om at offentlige organer kan bli behandlingsansvarlig (og felles behandlingsansvarlige) selv om formålene er pålagt i lov. Hvem som er behandlingsansvarlig kan enten fremgå direkte eller indirekte av loven. Dette er et...

Faller en muntlig behandling av en personopplysninger inn under GDPR? Ja, sier domstolen. Fordi denne typen behandling KAN oppfylle kravet til å «inngå i et register». GDPR gjelder for «automatisert behandling av personopplysninger», men også for ikke-automatisert behandling når det er behandling som inngår i et register. I en nylig avsagt dom fra EU-domstolen, kom domstolen til at muntlig behandling av personopplysninger kan inngå i et register, og dermed vil GDPR gjelde! Dette er et...

Ny dom om hva en personopplysning er! Dette er den andre dommen på kort tid som handler om hva som skal til for at noe er en personopplysning. Vi leser den på LinkedIn Live! I denne dommen overprøver CJEU en tidligere som fastslo at spørsmålet om noe er en personopplysning, skal avgjøres ut ifra om en gjennomsnittlig leser er i stand til å identifisere den registrerte. Dette var i strid med rettsregelen i Breyer-dommen som sier at hvorvidt noe er en personopplysning skal avgjøres ut i fra...

Ny dom om hva en personopplysning er og om felles behandlingsansvar. Saken handler om en sak der IAB Europe - en ideell forening som representerer foretak i adtech-bransjen – har laget en løsning for å gjøre adtech-markedet GDPR-compliant. Dette gjøres ved at brukernes nettpreferanser kodes og lagres i en streng bestående av en kombinasjon av bokstaver og tegn kjent som "Transparency and Consent String" (TC String). Denne TC-stringen deles så med virksomheter slik at brukerne blir...

Pfeiffer-dommen handler om krav til samtykke når den registrerte er en arbeidstaker. Det er en 20 år gammel dom, og vi leser den på LinkedIn Live! Arbeidstakere og samtykke som behandlingsgrunnlag er kinkig. Rett og slett fordi det er en iboende maktubalanse mellom arbeidsgiver og arbeidstaker. Og den maktubalansen gjør at man kan stille spørsmål ved om samtykket var frivillig. Frivillighetskravet er som kjent et av vilkårene for at en samtykke skal kunne sies å være gyldig. Dette er en...

I en ny dom fra den Europeiske Menneskerettighetsdomstolen (EMD) er det vedtatt at det å kreve en bakdør inn i krypterte løsninger er et brudd på menneskerettighetene. Vi leser dommen! Russland har, som mange andre autoritative land, et lovpålagt krav om at data om russiske borgere må lagres på russisk jord. I tillegg har de vedtatt at meta kommunikasjonsdata må lagres i ett år og innholdet av all kommunikasjon må lagres i seks måneder. (Datalagringsdirektivet anyone? – hvis du husker det...

Er det i strid med personvernet å lage en lov som pålegger å offentliggjøre dine trafikkovertredelser? Ja, sa EU-domstolen i 2021. Vi leser dommen som har fått navnet «penalty points» Jeg synes dette er en interessant dom nettopp fordi den understreker at lovgiver også må overholde GDPR. Det vi si at vi ikke kan lage lover hvor noen pålegges å f.eks. publisere personopplysninger og så er ikke publiseringen nødvendig for å oppnå formålet med loven. Det er saker som denne som gjør at jeg...

Dette er en bonusepisode i anledning personverndagen om hva du som ikke driver med personvern trenger å vite om personvern. Foredraget kunne også ha blitt kalt "de tingene jeg skulle ønske alle visste om personvern fordi det ville ha gjort jobben min som personvernrådgiver så mye enklere!". Dette er et opptak fra et webinar som ble holdt på LinkedIn Live søndag 28.01.24 kl. 11.00. Du kan se opptaket her:...

Planet49-dommen slo fast at samtykkereglene for cookies etter ePrivacy-direktivet, er det samme som etter GDPR. Den inneholder også om mange formuleringer om hva som ligger i “informert” samtykke. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt torsdag 25.01.24 kl. 16.00-17.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62017CJ0673 Du finner videoopptaket fra LinkedIn Live her:...

Orange Romania-dommen har blitt en klassiker fra CJEU enda den bare er fra 2020. Den handler om at en teleleverandør ikke hadde innhentet gyldig samtykke. Dommen inneholder godbiter som: - at det er behandlingsansvarlig som er ansvarlig for å dokumentere gyldig samtykke - det å kreve en håndskrevet bekreftelse på at den registrerte ikke har samtykket, betyr at frivillighetskravet ikke er oppfylt - forhåndsavkrysning når du ber om samtykke, er ikke greit Dette er et lydopptak fra en...

I to nylige dommer fra CJEU, har domstolen behandlet spørsmålet om når du egentlig kan bøtelegges for brudd på GDPR. Vi leser dommen hvor litauiske NAV ble dømt for brudd! Hva kom CJEU til? I disse to dommene konkluderte de med at du ikke kan bøtelegges for brudd på GDPR med mindre du har brutt regelverket med forsett (viten og vilje) eller uaktsomt (du burde ha skjønt). Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt torsdag 11.01.24 kl. 16.00-17.00. Du finner...

Etter GDPR kan du få erstatning for ikke-materiell skade. I denne saken var personopplysningene til en person lekket på internett etter at et offentlig organ var blitt utsatt for et cyberangrep. Kan frykten for at disse personopplysningene misbrukes være erstatningspliktig? Ja, mente EU-domstolen. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt torsdag 21.12.23 kl. 12.00-13.00. Du finner dommen her:...

Er en credit score en automatisett avgjørelse som omfattes av forbudet mot automatiserte avgjørelser i GDPR artikkel 22? Ja, det er det denne dommen svarer på. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt torsdag 14.12.23 kl. 16.00-17.00. Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=280426&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=298351 Du finner videoopptaket fra LinkedIn...

Er bilen din sitt identifikasjonsnummer en personopplysning om deg som har kjøpt bilen? Vi leser den veldig nye Scania-dommen (C-319/22)! Dommen handler om i hvilke tilfeller det identifikasjonsnummeret som er unikt for din bil er en personopplysning om deg som eier. Formål med denne typen identifikasjonsnummer er å kunne finne ut hvilke deler en enkelt bil er lagd av, og det er viktig for å kunne vedlikeholde bilden. (Troooor jeg, jeg vet VELDIG lite om biler. Jeg kar knapt...

Har du rett til innsyn i hvem som har hatt tilgang til personopplysningene dine etter GDPR artikkel 15(1)? Vi leser Pankki S-dommen (C-579/21)! Dommen handler om en bank i Finland som ikke ville gi en registrert innsyn i hvilke ansatte i banken som hadde hatt tilgang til personopplysningene til den registrerte. Dette er en dom som i Norge har blitt brukt til å avslå innsyn i hvem som har sett på dine personopplysninger. Og jeg er nysgjerrig på hvor stort nedslagsfelt den bør ha. For...

En nasjonalforsamlings arbeid faller i utgangspunktet utenfor GDPR. Men kan en parlamentskomite likevel bli behandlingsansvarlig? Ja, mente EU-domstolen. Dette er nok en dom som handler om behandlingsansvar. Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt fredag 10.11.23 kl. 16.00-17.00. Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62019CJ0272 Du finner videoopptaket fra LinkedIn Live her:...