Brækhus inviterer til «Personvern og GDPR i praksis» – en digital manuduksjon med fokus på praktiske personvernrettslige problemstillinger. Manuduksjonen holdes tirsdag den 27. april kl. 14:00, og egner seg spesielt godt for studenter som tar valgfagene JUS5630 og JUS1630 «Privacy and Data Protection».
Manuduksjonen holdes av senioradvokat Alexander Mollan og advokatfullmektig Karna Fog fra vårt teknologiteam:
Alexander har vært en del av teamet siden 2015. Han er spesialist innen personvernrettslige spørsmål og er sertifisert CIPP/E (gullstandarden for europeisk personvernlovgivning) av The International Association of Privacy Professionals (IAPP).
Karna arbeider med GDPR og personvernrettslige problemstillinger. Hun har LL.M. innen Information and Communication Technology Law ved UiO, og skrev masteroppgave om personvern på arbeidsplassen.
Som påmeldt vil du få tilsendt oppgaver i forkant av kurset, slik at du kan forberede deg. Det vil også bli gitt anledning til å stille spørsmål til Alexander og Karna innen den 19. april. På manuduksjonen vil vi blant annet gjennomgå disse oppgavene og spørsmålene i plenum.
Du vil også få råd om hvordan du kan forberede deg og prestere best mulig på hjemmeeksamen.
Getting the Deal Through er en Q&A-basert verdensomspennende referanseguide som dekker 150 jurisdiksjoner. Guiden blir benyttet som en informasjonsressurs av mer enn 150 000 bedriftsadvokater, privatpraktiserende advokater, samt ledere i selskaper eller i det offentlige, og gir en oversikt over gjeldende regelverk og vesentlige spørsmål innenfor et gitt rettsområde.
Brækhus har spisskompetanse innenfor offentlige anskaffelser og rådgir klienter innen alle typer anskaffelsesformer, fra enkle anbud til eneleverandøranskaffelser og konkurransepreget dialog – og innen de fleste markeder – fra sikkerhetsanskaffelser hvor konkurransegrunnlaget er delvis unntatt offentlighet og forsvarsanskaffelser til konkurransepreget dialog i helsesektoren og enkle entrepriser.
Forretningshemmelighetsloven og hva den betyr for din virksomhet
Den 1. januar trådte forretningshemmelighetsloven i kraft. Loven vil særlig komme oppstartsvirksomheter og små og mellomstore bedrifter til gode, som ofte mangler kompetansen og ressursene til å forfølge og forsvare sine forretningshemmeligheter.
Den nye loven gjennomfører EU-direktiv 2016/943 i norsk rett og samler reglene om vern av forretningshemmeligheter i én lov. Tidligere var vern av forretningshemmeligheter regulert av markedsføringsloven §§ 28 og 29 og straffeloven §§ 207 og 208.
Alle kjenner til begrepet «forretningshemmeligheter», enten man har lest om det eller signert en taushetserklæring, inngått en avtale som inneholdt en bestemmelse om konfidensialitet, eller kanskje selv skapt noe som klassifiseres som en forretningshemmelighet. Forretningshemmeligheter har ofte stor kommersiell verdi for en fysisk eller juridisk innehaver, som kan lide skade i form av blant at svekket markedsposisjon og konkurranseevne eller bli påført tap dersom innholdet blir kjent eller misbrukt av andre.
Begrepet er ikke uttømmende definert, men en forretningshemmelighet er en type viten som er spesifikk for en bedrift, og som er av betydning for dens virksomhet, eksempelvis, interne priser, markedsføringsplaner, oppskrifter, beskrivelser, modeller, tekniske tegninger, råstoffer eller råstoffsammensetninger, maskiner eller maskindeler eller særlige kombinasjoner av maskiner.
Forretningshemmeligheter omfatter også informasjon som ikke nyter beskyttelse under regler om immaterielle rettigheter, slik som varemerker, design, patenter mm. Slike rettigheter vil for mange bedrifter utgjøre store verdier, og disse vil også nyte vern under den nye loven.
Virkeområde
Den nye loven skal sikre innehavere vern mot urettmessig tilegnelse, bruk og formidling av forretningshemmeligheter. I all hovedsak vil loven videreføre gjeldende rett, men vernet blir også utvidet.
Lovens § 2 inneholder en legaldefinisjon av «forretningshemmeligheter». Definisjonen viderefører langt på vei den tidligere praksisen, og inneholder tre kumulative vilkår. For å klassifiseres som en forretningshemmelighet må en opplysning være hemmelig og ha en kommersiell verdi nettopp fordi den er hemmelig. I tillegg må innehaveren ha truffet rimelige tiltak for å holde opplysningen hemmelig.
At opplysningen må være hemmelig innebærer at det er sentralt hvilken spredning opplysningen har og hvor lett det er for andre å tilegne seg den. Dette gjelder både opplysningen i sin helhet, men også deler av opplysningen.
Når det gjelder vilkåret om at opplysningen må ha kommersiell verdi skal utgangspunktet ikke tas i den kommersielle verdien for innehaveren, men for andre aktører i markedet, eksempelvis for konkurrerende virksomheter.
At innehaveren må ha iverksatt rimelige tiltak for å sikre hemmelighold innebærer at innehaveren har iverksatt tiltak som f.eks. merking av dokumenter og gjenstander som inneholder forretningshemmeligheter, avtalerettslig regulering med avtaleparter/arbeidstakere/oppdragsgivere eller implementering av fysiske og tekniske tilgangskontroller.
Håndhevingsmidler
Loven gjør det enklere for innehaveren av en forretningshemmelighet å håndheve sine rettigheter og innebærer en tydeligere regulering av hvilke sanksjoner, tiltak og andre håndhevingsmidler som kan påberopes ved inngrep. Før forretningshemmelighetsloven hadde innehaveren håndhevingsmidler som dom om forbud mot eksisterende og fremtidige inngrep, idømmelse av vederlag og erstatning samt kjennelse om midlertidig forføyning og eventuelt ileggelse av straff. Disse håndhevingsmidlene består.
Nytt ved forretningshemmelighetsloven er at domstolene kan gi inngriper pålegg om tiltak som vil avbøte virkningene av gjennomført inngrep, samt vanskeliggjøre fremtidige inngrep. Dette kan eksempelvis være tilbakekalling, endring eller ødeleggelse av varer, dokumenter og gjenstander som inneholder forretningshemmeligheten, samt forbud mot å gjenta handlingen som utgjorde inngrepet. Domstolene kan også forby gjennomføring av en planlagt handling, dersom det er særlig grunn til å frykte at handlingen vil utgjøre et inngrep etter loven.
Forretningshemmelighetsloven tar også hensyn til at en uvitende inngriper kan ha innrettet seg etter krenkelsen i god tro. Loven oppstiller derfor en foreldelsesfrist på tre år for både krav på vederlag og erstatning for inngrep, men også for de øvrige håndhevingsmidlene som innehaveren kan gjøre gjeldende. Fristen løper fra det tidspunktet innehaveren fikk eller burde ha skaffet seg nødvendig kunnskap om inngrepet eller inngriperen.
Praktiske tips
Forretningshemmelighetsloven vil gi større muligheter til å håndheve krenkelser av forretningshemmeligheter, men stiller også krav til årvåkenhet da slike håndhevelsesmuligheter vil kunne prekluderes som følge av foreldelse. Enhver innehaver bør derfor få kontroll på deres forretningshemmeligheter ved å:
Identifisere hva som er forretningshemmeligheter.
Kartlegge hvem som har tilgang til forretningshemmeligheter.
Vurdere om tilgangen til forretningshemmeligheter bør begrenses.
Sikre tiltak for å beskytte mot urettmessig tilgang til forretningshemmeligheter.
Kommunisere til ansatte, underleverandører, kunder eller andre som tar del av forretningshemmeligheter at man anser opplysningene som en forretningshemmelighet og som sin eiendom.
Forplikte mottakere til å bevare taushet om forretningshemmeligheter.
Brækhus – din samarbeidspartner
Gjennom mer enn 90 år har våre teknologiadvokater rådgitt kunder om hvordan de kan sikre og utnytte sine rettigheter. I dag er teknologisk kompetanse blitt avgjørende for mange bedrifters suksess, og vi vil gjerne være din støttespiller og sparringspartner på reisen mot digitalisering.
Vi vet at digitalisering innebærer et enormt mulighetsintervall for effektivisering, automatisering og verdiskaping; samtidig må man kunne navigere det regulatoriske farvannet for blant annet sikring, kjøp, salg, markedsføring og utnyttelse av data, opplysninger eller andre rettigheter.
Vi bistår blant annet med:
Arbeidstakeroppfinnelser
Crawling og scraping
Databasevern
Etablering og beskyttelse av immaterielle rettigheter
Forskning- og utviklingsavtaler
Franchise-, agent- og forhandleravtaler
IT-kontrakter og andre teknologiavtaler
Konkurranse- og markedsføringsspørsmål
Opphavsrett
Overdragelse og lisensiering av immaterielle rettigheter
Teknologitransaksjoner (inkl. overtakelsestilbud, oppkjøp, fisjoner og fusjoner)
Tvisteløsning i forbindelse med inngrep, brudd på god markedsføringsskikk, etterligning av produkter og piratkopiering
Underleverandøravtaler, partneravtaler og teaming-avtaler
1. januar 2021 rykker Audun Kleppestø, Line Juuhl og Alexander Mollan opp i Brækhus. Kleppestø til partner, Juuhl til assosiert partner og Mollan til senioradvokat. – Fantastisk for kundene og for Brækhus, sier managing partner Frank C. Aase.
– 2020 har vært et annerledes år for mange. Det er motiverende at det går så bra med Brækhus tross utfordringene forårsaket av Covid-19. Vi er takknemlig for å arbeide med både nye og eksisterende kunder, og med mange spennende saker. Vi gleder oss til å ta fatt på nye oppgaver og utfordringer i nye roller, og ser frem til videre godt samarbeid med kundene, sier Audun Kleppestø.
Kleppestø startet som assosiert partner i Brækhus i 2019, og har tidligere erfaring fra stilling som senioradvokat i SANDS og advokat i Haavind. Han er spesialist innen insolvens og restrukturering, forsikringsrett og finansiering. Han arbeider også mye med selskapsrettslige problemstillinger, inkludert styreansvarssaker, og med generell kontraktsrettslig rådgivning.
Juuhl startet også i Brækhus i 2019, som senioradvokat. Hun kom til Brækhus fra Andersen & Bache-Wiig. Juuhl har spisskompetanse innenfor arveplanlegging, arveoppgjør og generasjonsskifter, med lang erfaring fra utlandet og internasjonale arveskifter. Hun har særlig kompetanse med gjennomføring av arveskifter og rådgivning i saker tilknyttet Norge – Spania.
Mollan har vært i Brækhus siden 2015 og gått gradene fra fullmektig til senioradvokat. Han er spesialisert innen teknologi- og IT og arbeider med kommersielle IT-kontrakter, cybersikkerhet, lisensiering og skytjenester, og i forbindelse med store IT-prosjekter og anskaffelser. Han har også i en periode vært utleid til Capgemini.
Alexander Mollan, Line Juuhl og Audun Kleppestø rykker opp i Brækhus
Audun, Line og Alexander er meget dyktige advokater og har i sin tid i Brækhus skapt svært gode resultater for kundene. Alle tre har dyp og bred kompetanse og forretningsforståelse, og de evner å skape tillit i sine kunderelasjoner. Opprykkene er en viktig annerkjennelse av deres erfaring og kompetanse, og merverdien de skaper for våre kunder. Utviklingen i Brækhus er i fremmarsj og vi er heldige å ha tre så faglige sterke og kommersielle advokater med på laget
Overføring av personopplysninger i kjølvannet av Schrems II
Den 16. juli 2020 avsa EU-domstolen dom i den såkalte Schrems II-saken, hvor domstolen ugyldiggjorde Privacy Shield som grunnlag for overføring av personopplysninger. Domstolen presiserte også de plikter behandlingsansvarlige og databehandlere har til å vurdere bruken av EUs standardkontrakter og andre overføringsgrunnlag.
Før overføring til land utenfor EU/EØS (såkalte «tredjeland») må mottakeren ha gitt «nødvendige garantier» og de registrerte må kunne håndheve rettigheter og benytte effektive rettsmidler, jf. personvernforordningen artikkel 46 (2). Dette kan sikres ved å blant annet benytte et overføringsgrunnlag, eksempelvis EUs standardkontrakter eller bindende virksomhetsregler for overføring innad i et konsern.
Frem til EU-domstolens avgjørelse var det også mulig å overføre personopplysninger fra EU/EØS til USA på grunnlag av EU-U.S Privacy Shield («Privacy Shield»), en sertifiseringsordning hvor amerikanske selskaper kunne sertifiseres for å motta personopplysninger fra et EU/EØS-land.
I Schrems II kom EU-domstolen til at Privacy Shield ikke tilfredsstilte kravene etter det EU-rettslige proporsjonalitetsprinsippet. Avgjørende for domstolen var at amerikanske overvåkningsprogrammer ikke er begrenset til det som strengt tatt er nødvendig. Det ble også lagt vekt på at europeiske borgere ikke har tilstrekkelig mulighet til å få overprøvd beslutningene om overvåkning.
EU-domstolen fant at EUs standardkontrakter fortsatt er et gyldig overføringsgrunnlag, forutsatt at opplysningene kan gis et beskyttelsesnivå i mottakerlandet som i hovedsak tilsvarer det som garanteres i EU/EØS gjennom personvernforordningen. Domstolen presiserte at plikten til å vurdere mottakerlandets beskyttelsesnivå ikke er begrenset til EUs standardkontrakter, men gjelder for alle overføringsgrunnlag.
Den som overfører personvernopplysninger må sjekke, vurdere og evt. iverksette tiltak
I lys av dommen må den som allerede overfører eller vurderer å overføre personopplysninger til tredjeland kartlegge hvilket overføringsgrunnlag som benyttes eller skal benyttes. Hvis ikke dette er klart for eksisterende overføringer bør eksisterende databehandleravtaler eller overføringsavtaler gjennomgås umiddelbart.
Hvis det er avtalt at Privacy Shield skal benyttes for overføring til USA må man uten ugrunnet opphold ta kontakt med mottakeren og få på plass en avtale om å benytte et annet overføringsgrunnlag.
Uavhengig av om man allerede overfører personopplysninger utenfor EU/EØS eller vurderer å gjøre det, må man vurdere om mottakerlandets beskyttelsesnivå faktisk er tilsvarende som i EU/EØS. Den som mottar opplysningene utenfor EU/EØS kan være underlagt lovgivning som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eksempelvis ved å gi myndighetene i tredjeland uforholdsmessig stor adgang til dataene.
Det kan også være andre omstendigheter som reduserer beskyttelsesnivået, eksempelvis at de registrertes rettigheter ikke vil kunne ivaretas i praksis. Det europeiske Personvernrådet (EDPB) kom den 10. november med en veileder for hvordan man skal vurdere overvåkingslover i et mottakerland og hvilken betydning slike lover kan ha for personopplysningenes beskyttelsesnivå.
Dersom man finner at beskyttelsesnivået ikke vil være tilsvarende som i EU/EØS, må man iverksette «ytterligere tiltak» som sikrer et tilsvarende beskyttelsesnivå. EUs personvernråd (EDPB) publiserte den 11. november en veileder med eksempler på slike tiltak. Hvilke ytterligere tiltak som kan og bør iverksettes må vurderes konkret og nedfelles skriftlig. Det kan være kontraktuelle, tekniske eller organisatoriske tiltak. Hvis man ikke klarer å gjennomføre denne vurderingen selv bør man vurdere å innhente ekstern bistand eller avstå fra overføringen.
Overføring av personopplysninger i kjølvannet av Schrems II
Den 16. juli avsa EU-domstolen en prinsipielt viktig dom i den såkalte Schrems II-saken. Dommen har stor betydning for overføring av personopplysninger til land utenfor EU/EØS. La advokat Alexander Mollan navigere deg gjennom dommen og dens betydning for nettopp din organisasjon. Programleder Ida Brabrand. Produsert av Øystein Weibell/Kanonlyd.
Du har hørt om begrepene compliance, CSR og ESG, men vet du hva de betyr og ikke minst hva de innebærer? Enhver organisasjon må drive med compliance, mens CSR og ESG på tidspunktet for denne episoden av Lovlytt er frivillige øvelser som benyttes for å ta samfunnsansvar, skaffe et konkurransefortrinn, gjennomføre produkt- eller tjenesteevalueringer samt kartlegge risiko og risikoreduserende tiltak. La advokat Alexander Mollan navigere deg gjennom begrepene og deres betydning for nettopp din organisasjon. Programleder Eivind Arntsen. Produsert av Øystein Weibell/Kanonlyd.
Alexander Mollan har skrevet en artikkel om de nye endringene i regelverket for spillreklame på TV og internett i juli-utgaven av tidsskriftet Gambling.Re.
Ganmbling.Re er en månedlig publikasjon som utforsker juridiske problemstillinger som påvirker nettbaserte spilloperatører og deres samarbeidspartnere. Tidsskriftet behandler blant annet temaer som lisensiering, mobilspill, offshore virksomhet, gambling, betalingsformidling, svindel, kryptovaluta, nettbasert poker, sosial spilling, reklame, sportsbetting, eSports, fantasisport (DFS) og hvitvasking.
Brækhus har inngående kunnskap om det regulatoriske landskapet for spillvirksomhet i Norge og på europeisk nivå, samt de regulatoriske forhold, beslutningsprosesser og tekniske og operasjonelle forhold som er av betydning for våre klienter.
EU-kommisjonen har godkjent Japan som et tredjeland med tilstrekkelig beskyttelsesnivå for overføringer av personopplysninger
Den 23. januar besluttet EU-kommisjonen at Japan skal anses for å inneha et tilstrekkelig beskyttelsesnivå for overføring av personopplysninger. Japan er dermed et godkjent tredjeland for overføring av personopplysninger fra land i EU/EØS.
For å kunne overføre personopplysninger til land utenfor EU/EØS må man benytte seg av en overføringsmekanisme. En av disse mekanismene er en beslutning fra EU-kommisjonen som tillater overføringen på grunnlag av at mottakerlandet anses å inneha et tilstrekkelig beskyttelsesnivå for de registrertes personopplysninger.
EU-kommisjonens beslutning om at Japan anses å inneha et tilstrekkelig beskyttelsesnivå innebærer at personopplysninger kan overføres til og fra Japan på samme måte som overføring mellom land innenfor EU/EØS. For slike overføringer vil det ikke lenger være behov for å benytte Standard personvernbestemmelser vedtatt av EU-kommisjonen, innhente godkjennelse fra Datatilsynet eller sikre at det foreligger en annen overføringsmekanisme.
EU-kommisjonens beslutning kommer i kjølvannet av EUs strategi om fri flyt av data som nedfelt i EUs «Commission’s Communication on Exchanging and Protecting Personal Data in a Globalised World». Beslutningen må også ses i sammenheng med frihandelsavtalen mellom EU og Japan som trådte i kraft den 1. februar 2019. I forbindelse med beslutningen uttalte EU-kommissær Věra Jourová at
“This adequacy decision creates the world’s largest area of safe data flows.Europeans’ data will benefit from high privacy standards when their data is transferred to Japan.Our companies will also benefit from a privileged access to a 127 million consumers’ market.Investing in privacy pays off; this arrangement will serve as an example for future partnerships in this key area and help setting global standards.”
I tillegg til Japan har EU-kommisjonen på tidspunktet for denne nyheten godkjent følgende land:
Andorra
Argentina
Canada
Færøyene
Guernsey
Israel
Isle of Man
Jersey
New Zealand
Sveits
Uruguay
Overføring på andre grunnlag
Utover EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå for overføring av personopplysninger utenfor EU/EØS kan man benytte seg av følgende mekanismer:
Bindende virksomhetsregler for et konsern eller gruppe av foretak
Godkjente atferdsnormer eller sertifiseringsmekanismer (per i dag finnes ingen slike godkjente mekanismer)
Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
EU-USA Privacy Shield (kun for overføring til USA)
Brækhus – Din rådgiver innenfor personvern
Våre advokater er bevisste på at personopplysninger utgjør et risikomoment for virksomheter. Dels foreligger den alminnelige juridiske risikoen i at feil håndtering av personopplysninger kan medføre overtredelse av lovpålagte krav. Det er også en kommersiell risiko forbundet med slik håndtering, idet virksomheter vil kunne risikere tap av anseelse og rykte. Stadig flere virksomheter blir oppmerksomme på ansvaret og risikoen slike opplysninger innebærer.
Vi vet at personopplysninger også utgjør en mulighet. Med den teknologiske utviklingen vi står overfor i dagens samfunn kan personopplysninger utgjøre en betydelig aktiva for den innovative virksomhet som står rustet til å benytte regelverket for Big Data, skytjenester og pseudonymiserte opplysninger.
Vi står klare til å bistå med rådgivning innen hele spektret av personvern, fra innsamling av personopplysninger, gjennom lagring og kategorisering, til lovlig utveksling, herunder verdsettelse og kommersialisering, transaksjoner, regulatoriske problemstillinger og compliance, samt tvisteløsning.
