tilt | på jobb | Tirsdag morgens julekavalkade 2017

Tirsdag morgens julekavalkade 2017

tirsdag 5. desember 2017 @ 05:45

Dette utvalget artikler fra 2017 er Tirsdag morgens julegave til den som vil ha. Vil du ha en egen lekker, nedlastbar PDF-versjon er det også mulig.
Av Paal Leveraas

Julen 2017

Ukebrevet Tirsdag morgen tar noen ukers kunstpause. Takk for at du følger bloggen og abonnerer på ukebrevet. Min lille gave til deg er et utvalg ukebrev jeg er litt ekstra godt fornøyd med. Håper du blir det også. Under er de beste ukebrevene fra 2017. Også tilgjengelig som PDF.

God jul, og gode nye tirsdager i 2018!

Har vi fått for mye psykologisk trygghet?

Har vi fått for mye psykologisk trygghet?

Kan det bli for mye psykologisk trygghet? I en artikkel på BIs nettsider, som også er publisert i Dagens Næringsliv, spør professor Øyvind Kvalnes om vi trenger litt mer angst og uro, og kanskje skal dempe jaget etter psykologisk trygghet.

Psykologisk trygghet er på alles lepper for tiden. Ledere oppfordres til å skape et arbeidsmiljø der det er trygt å være uenig, utfordre hverandre, og ta risiko. Men kan våre behov for trygghet gå på bekostning av positiv uro, en uro som Kvalnes anfører er en forutsetning for vekst og utvikling?

Konformitet?

Forleden deltok jeg i en workshop i regi av Den norske turistforening, ledet av Ole Bjørn Harang og Per Sandvik. De to er blant en fin gjeng av frivillige lederutviklere tilknyttet DNT, hvor jeg selv er med.

Ole Bjørn og Per tok utgangspunkt i Kvalnes sin artikkel. Spørsmålet er om vi er blitt litt for konforme av all denne psykologiske tryggheten.

De spør om psykologisk trygghet kan bidra til å underkjenne kraften i psykologisk uro og uvisshet. Argumentet er at de beste innsatsene ofte kommer i situasjoner der man kaster seg ut i noe uten å vite om det vil gå bra. Denne indre uroen kan være en viktig drivkraft for å yte vårt beste.

Feil premiss

Jeg tenker at det er viktig å holde tunga rett i munnen her. Selve premisset for denne diskusjonen er feil.

Ja, det er en motsetning mellom trygghet og uro og angst. De to opptrer ikke lett samtidig.

Men det er ingen motsetning mellom psykologisk trygghet og uro og angst. De opptrer ofte og gjerne side om side.

Amy Edmondson, som på mange måter “oppfant” psykologisk trygghet (ja, jeg vet at det var mange før henne), fremholder at psykologisk trygghet ikke er et individuelt, men kollektivt fenomen. I det du kommer inn i et rom kan du merke om det er psykologisk trygghet der. Det er ikke noe du bringer med deg inn i rommet, selv om du uten tvil kan påvirke det når du først er på plass.

Den psykologiske tryggheten tilhører gruppa, og går du ut av gruppa og inn i en annen, kan du føle det helt annerledes.

Trygg i skyttergraven

Derfor kan du føle deg psykologisk trygg i en skyttergrav i Ukraina selv om granatene suser over hodet ditt og du skjelver av uro og angst. Det er fordi de som er rundt deg gir deg rom for å være deg selv, på godt og vondt. De dømmer deg ikke, men de utfordrer deg gjerne, de aksepterer uenighet og konstruktiv konflikt, det er absolutt risikovilje til stede. Du vet at du har dine kamerater og kolleger i ryggen.

Som leder er det nyttig for deg å ha en gruppe hvor psykologisk trygghet er tilstede, og særlig dersom dere står ovenfor usikkerhet og utrygghet, og dere hver især kjenner på uro og angst for fremtiden.

Så ikke la deg lure til å tro at du kan slå av på kravene til deg selv.

Det kan hende vi kan få for mye trygghet – ja, det er faktisk svært sannsynlig. Men psykologisk trygghet kan det vanskelig bli for mye av. Det handler om at vi oppfører oss som dugandes folk med hverandre.

God tirsdag.


Les også:

Tips

Hva kan du gjøre – som leder eller medarbeider – for å bidra til psykologisk trygghet?

  • By på deg selv og la selvhøytideligheten falle – le av deg selv, fortell gjerne om feil du har gjort eller ting du syns kan være sårbart å dele. 
  • Still nysgjerrige spørsmål – vær nysgjerrig på andres meninger, tanker og idéer.
  • Gi tilbakemeldinger til hverandre og be om tilbakemeldinger selv – det er viktig at dette blir gjort konkret og vennlig. Kommunikasjon og tilbakemeldinger er et stort tema, og et viktig redskap i å skape psykologisk trygghet.
  • Lytt aktivt når andre forteller om egne idéer, tanker, bekymringer eller feil – vær tilstede og vis at du får med deg det den andre sier med kroppsspråk, ord og handlinger.
  • Ta tak i teamets tilstand – ikke la frustrasjon og usikkerhet ligge å murre. Tør å sett ord på det, fortelle om det du observerer og skape dialog rundt teamet tilstand. 
  • Vis respekt både “av og på banen” – vis forståelse og respekt både når vi er sammen og når vi er hver for oss og på bakrommet. Snakker vi nedlatende om andre bak deres rygg, er vi med å skape en kultur som blir utrygg og usikker. 
  • Genuint fokus på å ønske å lære – vis at du ønsker å lære av kollegaene dine. Vis at det er greit å ikke kunne eller vite alt, men at vi kan lære av hverandre. 
  • Skap tydelighet rundt mål, roller og forventninger – vis hvilken retning vil skal, hvem som skal gjøre hva, og hvordan vi kan gjøre dette. Med andre ord – ha tydelige mål, roller og forventninger. Tydelighet her gjør at det blir mindre usikre team og mer psykologisk trygghet i gruppen. 
  • Skap struktur og rutiner for at vi undersøker oss selv som team – det skaper forutsigbarhet og rammer, som bidrar til psykologisk trygghet. Her undersøker vi hva vi er gode på, hva vi kan bli bedre på, hva som fungerer og vi dermed bør gjøre mer av, og hva som ikke fungerer og vi dermed bør gjøre endringer på. 

Tidligere Tirsdag morgen

Har vi fått for mye psykologisk trygghet?

Har vi fått for mye psykologisk trygghet?

/
Vår jakt på psykologisk trygghet utfordres, blant andre av professor Øyvind Kvalnes. Men premisset for diskusjonen er feil …
Ung kvinne (20-ish) i samtale med eldre herre (60-ish) over frokostbordet. (DALL-E - AI-generert)

Åpent brev til Generasjon Z

/
Jeg aner en dyp uro i den fremvoksende generasjon. Den er nesten ubevisst. Og svært lett å forstå. Jeg kjenner …
Åpent brev til Generasjon Z

Åpent brev til Generasjon Z

VI snakket om generasjonsskiller over frokostbordet. Med mer enn 40 år i arbeidslivet bak oss begge to, er det mange ting å undre seg over: Hvordan normer og forventninger har endret seg. Hvordan kravene til unge mennesker på vei inn i arbeidslivet har endret seg. Den ubegripelige teknologiske utviklingen fra vi satt med penn, papir, og i beste fall en skrivemaskin og et lokalt bibliotek, til en verden hvor all verdens kunnskap er tilgjengelig med noen tastetrykk. En verden hvor maskinene er i ferd med å bli smartere enn menneskene.

Da jeg satte meg ned for å skrive ukens Tirsdag morgen, kjente jeg på mange kaotiske følelser knyttet til utfordringene dere som står på terskelen til arbeidslivet i dag har. Det ligger en tøff jobb foran dere. Jeg vil gjerne hjelpe, men føler det er lite jeg kan bidra med fra mitt ståsted, annet enn å dele noen refleksjoner, erfaringer og tanker om hva som funker og hva som ikke funker.

40 år

Det er nesten 40 år siden jeg var 24, altså pluss minus din alder i dag. Jeg gikk inn i et arbeidsliv som tok i mot meg med åpne armer. En kort utdanning i «EDB og systemering» fra Agder DH var døråpner mer enn god nok i et arbeidsliv hvor det mest sexy nylige teknologiske framskrittet var telefax-maskinene.

Da jeg senere konverterte til journalistikken, var redaktøren som ansatte meg mindre interessert i hva slags utdanning jeg hadde enn om jeg beviselig kunne skrive.

I dag kommer du knapt i betraktning om du ikke har en master, og mange tar to, for sikkerhets skyld. Nåløyet for å slippe inn i arbeidsmarkedet snevres inn, og konkurransen er ikke bare mot andre super-smarte ungdommer, men også mot stadig mer avansert kunstig intelligens.

Se også: Olivias verden

Rett generasjon til oppgaven

Og dette vet du som skal inn i arbeidslivet veldig godt. Der min generasjon skled inn på et bananskall, hviler det en spent, nervøs, hyperaktiv atmosfære over dere i Gen Z.

Dere prøver så hardt, og alt er så fordømt usikkert.

Samtidig bringer din generasjon nytt håp inn i en verden vi har føkka opp ganske grundig. Dere skal arve en klode preget av uro, krig, klimakrise og stadig dypere skillelinjer mellom «oss og dem». Av en eller annen grunn tror jeg at ingen er bedre skikket til å fikse verden enn akkurat dere. Dere er rett generasjon til oppgaven.

11 råd til Gen Z

I den grad det kan være til noen hjelp: Her er noen av erfaringene fra de siste 40 årene omformulert til gode råd.

  1. Definer suksess: Hva er suksess for deg? Er det høy lønn? Stor innflytelse? Makt? Å gjøre en forskjell? Bruk svarene dine når du skal velge karrierestige. Utallige har klatret den før deg, og mange har oppdaget at den lener seg mot feil vegg. Spør deg selv hva som virkelig betyr noe for deg? Jobb mot det, og ikke for andres forventninger. 
  2. Frykten er ditt våpen. Fred og harmoni er fint, men ikke la det være en begrensning på din livs- og talentufoldelse. Det er mye frykt for fremtiden i dagens samfunn. Vit at frykt og uro er undervurdert som katalysatorer for endring. La din uro være din tjener. Den psykologiske tryggheten jeg og mange andre har hyllet som idealet for en arbeidsplass er ikke alltid i din makt å skape. Stå trygt i din egen usikkerhet og gå mot det du er mest redd for.
  3. Gi deg selv mange sjanser: De aller fleste jeg kjenner som har «lykkes» i livet – uansett hva det betyr for dem – startet på utrygg grunn. De feilet, lærte, justerte kursen og prøvde igjen. Planen du har lagt for livet ditt er bare en plan. Livet endrer seg, og det vil du også. Det er greit å ikke ha alle svarene.
  4. Ekte mennesker er ikke perfekte: Jeg ser hvordan generasjonen din strever med å være perfekte. Sosiale medier forsterker følelsen av at alle andre har funnet ut av livet – men det er en illusjon. Perfeksjon er uoppnåelig og ofte uinteressant. Vi vil heller ha noe som er ekte uperfekt enn falsk perfekt.
  5. Refleksjon er undervurdert. Verden skriker til deg at du må prestere, vinne, og bevise din verdi hvert sekund. Verden tar feil. Ta deg tid til å stoppe opp og puste. Av alle ferdigheter du kan utvikle i deg selv, er refleksjon den viktigste.
  6. Bygg nettverk og vær en som gir mer enn du tar: De viktigste mulighetene i livet mitt har kommet gjennom relasjoner. Min filosofi har vært å gi uten forbehold eller forventninger om å få noe tilbake. På lang sikt – og du har mange år foran deg – er det en god investering, slik jeg beskriver i artikkelen «Plant et frø og la naturen gå sin gang».
  7. Vit forskjellen på opptatt og produktiv: Å fylle kalenderen din med møter og gjøremål betyr ikke nødvendigvis at du er produktiv. Vær selektiv med hva du bruker tiden på, hold alt du gjør opp mot det du opplever som en meningsfull retning i livet ditt. Alt som tar deg bort fra sporet kan du minimere eller eliminere.
  8. Vær «feiltastisk»: Jeg tror det var Brenee Brown som skapte uttrykket «failtastic», og Kathrine Aspaas gjorde det til et mantra blant sine norske tilhengere. Dine feil kan være dine beste lærere. Men du lærer ingenting om du feier dem under teppet i håp om at de skal bli borte. Bli venn med dine feil, inviter dem til gode samtaler hvor målet er å unngå de samme feilene i fremtiden. Og når det er sagt: Det er fint om du kan lære av dine feil, men enda bedre er det å lære av andres feil. 
  9. Ta vare på helsa: Jobb er viktig, men uten god helse mister alt annen verdi. Det er noe av det vanskeligste å innse for et ungt menneske. Og husk at fysisk og mental helse går hånd i hånd. Den beste medisinen kan noen ganger være en joggetur.
  10. Vit hva som er viktig: Når dine barn eller barnebarn om 50 år spør deg om hva du angrer på i livet ditt vil jeg bli overrasket om du sier at du angrer på at du jobbet for lite.
  11. La KI være din venn: KI er ikke her for å erstatte deg; den er her for å utvide mulighetene dine. Lær deg hvordan du kan bruke denne teknologien som et verktøy for å bli enda bedre i det du gjør, enten det handler om analyse, kreativitet eller problemløsning. Fremtiden tilhører de som er nysgjerrige nok til å omfavne ny teknologi.

Dystopi og utopi

Kjære Gen Z-er. Ingen generasjon har stått overfor en så kompleks verden som din. Den teknologiske utviklingen jeg har sett gjennom min karriere er «mindblowing», men det kommer til å se ut som et pust i sivet når du om 40 år gir dine råd til nye generasjoner.

Fremtiden er skremmende, fremtiden er fantastisk. Alt er mulig. Dystopi og utopi er like sannsynlig.

Når det kommer til stykket handler din lykke mindre om hvordan verden har det enn om hvordan du tar det.

Lykke til.

Og god tirsdag.

Nå kan du få en standardisert coach

Nå kan du få en standardisert coach

Det er mer enn 20 år siden jeg startet min utdanning som coach. Gjennom disse årene har coaching-profesjonens omdømme endret seg. Den gangen så folk litt rart på deg når du sa du drev med coaching. Bransjen hadde et litt frynsete omdømme, og det var ikke helt uberettiget. Coach er ingen beskyttet tittel. Du vet ikke helt om det du kjøper er snekret sammen hjemme på kjøkkenet, eller er fundert i anerkjente og utprøvde metoder og teknikker.

Den gangen var dessuten det å gå til en coach noe som bare et fåtall kunder så positivt på. Alt for mange hadde den oppfatningen at hvis du går til en coach, er det fordi det er noe galt med deg, noe som må fikses.

Belastende

Dette har heldigvis bedret seg gjennom årene. I dag snakker kunder ofte med stolthet om at de har en coach, og de fleste forstår at en coach er mer i slekt med en personlig trener som hjelper deg å utvikle potensialet ditt enn en terapeut som prøver å reparere deg.

Men hva som er coaching og hva som er noe helt annet, men har fått merkelappen «coaching», er fremdeles uklart for mange.

Dette til tross, har etterspørselen etter coaching vokst jevnt og trutt. Globalt har det vært en vekst på rundt 50 prosent i omsetning fra 2022 til 2024, og antallet coacher på verdensbasis anslås i dag å være nesten 125.000.

Dette gjør at behovet for å definere standarder for coaching har blitt påtrengende. For fem år siden tok derfor tre coaching-organisasjoner – Den norske coach-forening (DNCF), International Coach Federation (ICF) og European Mentoring and Coaching Council (EMCC) – initiativ til å skape en norsk standard for coaching.

Arbeidet er nå avsluttet, og denne uken presenterer Standard Norge fire standarder for coaching som bygger på hverandre. I komiteen har det sittet representanter for mange ulike coaching-retninger, alt fra weekend-kursistene til de som tilbyr studier på fag- eller høyskolenivå. Selv har jeg sittet som komitéleder gjennom hele perioden.

De nye standardene vil, når de tas i bruk, styrke tilliten til profesjonen, og bidra til at kunder kan skille «coacher» fra coacher.

De fire standardene

Den første standarden er NS 11251:2023 – Kompetansestandarden. Den setter klare krav til kompetanse, noe som sikrer at coacher besitter både teoretisk kunnskap og praktiske ferdigheter for å gjennomføre coachingprosesser på en ansvarlig og effektiv måte. Standarden dekker alt fra relasjonskompetanse og kommunikasjonsevner til kunnskap om relevante lover og etiske retningslinjer.

Med dette sikrer man at coachene er godt rustet til å navigere i et felt som ofte overlapper med rådgivning, mentoring og terapi – og samtidig holder seg innenfor coachingens rammer.

Standarden spesifiserer også krav til utdanning og praksis fordelt på ulike kompetanseområder. Dette omfatter alt fra aktiv lytting til juridisk kompetanse og selvinnsikt. I tillegg kreves faglig veiledning og dokumentasjon.

De andre tre standardene bygger videre på kompetansestandarden, og sier noe om:

  • Utdanning (NS 11254:2024), som stiller krav til utdanningsinstitusjoner som tilbyr coachutdanning. Dette sikrer at skolene følger et spesifikt rammeverk, med fokus på kvalitet i læringsinnhold, læringsmål og ferdighetstrening. Det stilles krav til både lærere og veiledere, samt til eksaminering og dokumentasjon av studentenes ferdigheter.
  • Leveranse (NS 11253:2023), som stiller krav til leverandører av coaching-tjenester, altså ikke nødvendigvis coachen(e) selv, men organisasjonene som står som leverandører. Standarden deler leveranseprosessen i tre faser: behovsanalyse, gjennomføring og oppfølging, samt avslutning og evaluering. Standarden skiller mellom coaching og andre fagfelt, som terapi og rådgivning, og bidrar til å etablere coaching som en selvstendig profesjon. Standarden legger også vekt på etiske krav og konfidensialitet.
  • Sertifisering (NS 11252:2024), som stiller krav til organisasjoner som skal sertifisere at en coach har den kompetansen som kreves. En slik organisasjon skal være nøytral og uavhengig av skolene som utdanner coacher.

Økt legitimitet

Med disse fire standardene får coachingbransjen et solid rammeverk som sikrer kvalitet, profesjonalitet og forutsigbarhet. Kompetansestandarden danner fundamentet, og sammen med sertifiserings-, leveranse- og skolestandarden skaper den et helhetlig system som styrker bransjens legitimitet. For coachene betyr dette økt tillit og status som profesjonelle utøvere. For kundene gir det trygghet i at de mottar en tjeneste som møter høye krav til kvalitet og etikk.

Gjennom standardisering modnes coachingmarkedet, og vi beveger oss nærmere målet om et fullt profesjonalisert fagfelt – der både coacher og kunder kan føle seg trygge på at tjenesten holder høy kvalitet og følger klare, strukturerte rammer.

Vil du vite mer om standardene, meld deg på Standard Norges frokostmøte her.

God tirsdag.

Hvordan håndtere den briljante drittsekken?

Hvordan håndtere den briljante drittsekken?

Kundene elsket ham. Ledelsen likte det han fikk til, men var bekymret for hans atferd. Kollegene kunne ikke fordra ham. 

Han var en «briljant drittsekk». 

Hans væremåte forgiftet arbeidsmiljøet. 

Han var et problem som måtte løses. 

Men siden 65 prosent av omsetningen til det fem personer store salgsteamet kom gjennom ham, var det en kilen sak. 

Hva gjør du som leder i en slik situasjon?

Modig ledelse

En «briljant drittsekk» er en medarbeider som leverer eksepsjonelle resultater målt kvantitativt, men som gjennom sin væremåte påvirker miljøet rundt seg på jobb på en negativ måte.

Med en slik person på laget vet du som leder at du må gjøre noe, men du kvier deg.

Å ta tak i en slik situasjon krever mot. For en konfliktsky leder (og forbausende mange ledere er konfliktskye) kan det å ta et oppgjør med en slik person i seg selv være en sterk belastning. Hvis man i tillegg er redd for konsekvensene av å tirre på seg en av de som sikrer pengestrømmen inn i selskapet, kan det virkelig oppleves som å være malt inn i et hjørne som leder. 

Du står overfor en situasjon hvor du skal balansere respekten for kvantitativt gode resultater mot effekten av jevnlige drypp som forgifter kulturen i selskapet.

Fra individ til organisasjon

En måte å adressere dette på er å løfte blikket fra individ til organisasjon. Når en slik atferd får lov til eksistere er det fordi organisasjonen stilltiende – eller i noen tilfelle høylytt – tillater det. Ingen enkeltperson er alene ansvarlig for konflikt i en organisasjon. Alle har et medansvar i det å skape eller tillate respektløs atferd.

Han jeg introduserte innledningsvis i denne artikkelen startet sin karriere i organisasjonen som en talentfull og dyktig medarbeider. HHan var en av de som måler suksess med penger (ingenting galt med det i seg selv), og gjennom årene rehan en væremåte som syntes å gi høyest mulig uttelling på den skalaen. Kulturen i selskapet belønnet individuell suksess, også rent monetært. Derfor var det rasjonelt for vår briljante drittsekk å sette interne konkurrenter så mye som mulig ut av spill.

At det skjedde var like mye organisasjonens som personens ansvar. Den belønnet hva den enkelte skapte, men ignorerte hvordan resultatene ble skapt.

Organisatorisk etikk

Netflix lagde i en tidlig fase av sin eksistens et kulturelt manifest som gikk viralt på nett. Et av avsnittene i manifestet gjør det klart at «no matter how brilliant someone may be, there’s no place in our Dream Team for people who don’t treat their colleagues with decency and respect».

En lignende setning var aldri blitt formulert i organisasjonen hvor vår briljante drittsekk jobbet. Men nå gjorde de det. Etter en lang, smertefull prosess ble vedkommende satt på dør. Samtidig utviklet de et etisk rammeverk som blant annet tydeliggjorde akseptabel mellommenneskelig atferd, og satte det på lik linje med forventninger til resultater. Det ene skulle aldri gå på bekostning av det andre.

Det interessante med denne organisasjonen var at det potensielle tapet av de 65 prosent av omsetningen den briljante selgeren stod for raskt ble absorbert av de andre fire, og med et nytt, mindre giftig arbeidsmiljø blomstret hele avdelingen opp. To år senere hadde de doblet omsetningen.

God tirsdag.

PS. Enhver likhet med virkelige personer er tilfeldig. Basert på virkeligheten, men redigert.  

IT-jus nr. 11/24

IT-jus nr. 11/24

Først av alt vil jeg invitere til et seminar i Schjødt DIGITAL den 13. november hvor vi tar opp en del høyaktuelle problemstillinger innen KI og hvor det er deltakere fra både Norge og andre land. Det kommer til å bli nyttig – blant annet snakker vi om hvordan “finetuning” av standard LLM kan gjøre at man omfattes av kravene til utviklere av en KI/AI – og hvordan man må ta hensyn til underliggende lisensvilkår når ens egen videreutviklede KI/AI skal kommersialiseres. Dessuten tar vi en gjennomgang av den nye veilederen for berettiget interesse som kom fra EDPB nylig – og den gjennomgangen gjøres av han som var med på å skrive selve veilederen – så det blir veldig bra. Fullt program og påmelding (fysisk eller web) finner du her https://schjodt.com/news/schjodt-digital-on-latest-ai-regulatory-developments

Den 4. oktober ble det publisert flere dommer fra CJEU og det var såpass viktig at jeg omtalte dem i et eget nyhetsbrev. I dette nyhetsbrevet ser jeg nærmere på utkastet til Guideline om berettiget interesse og en Opinion om databehandlere – samt en interessant artikkel om hvorvidt en LLM faktisk “lagrer” personopplysninger eller ikke.

Men like viktig kan det være å komme med et lite OBS om at ryktet sier at ny ekomlov antakelig snart blir vedtatt i Stortinget i Norge og det kan hende at ikrafttredelse blir allerede fra førstkommende årssikfte. Det er i så tilfelle tidligere enn mange har trodd. Hvis dette stemmer, betyr det at vi veldig snart får nye cookie-regler i Norge. Og de blir mye strengere enn hva vi har nå. Jeg tipper at dette må bli hovedtema i neste nyhetsbrev i desember. Men – for de av dere som bruker cookies på nettsider til å analysere trafikk, retargete kunder i andre medier samt mye annet – det er lurt å begynne å forberede seg allerede nå.

Som vanlig:

God lesning!

Hilsen Eva


I –Bruk av databehandlere og underdatabehandlere i lys av GDPR Artikkel 28

EDPB har kommet med en viktig uttalelse som adresserer de forpliktelser behandlingsansvarlige har når de benytter databehandlere og underdatabehandlere. Dette skjer etter en forespørsel fra det danske datatilsynet, som ønsket klarhet rundt håndteringen av komplekse databehandlerstrukturer. Særlig for bruk av skytjenester.

Skytjenesteleverandøren benytter seg ofte av en rekke underleverandører for å kunne levere sine tjenester, noe som igjen fører til et problem for dokumentasjonsplikten til behandlingsansvarlig.  Dette har skapt usikkerhet knyttet til overholdelse av Artikkel 28, om behandlingsansvarliges plikter ved bruk av databehandlere. Det danske datatilsynet så derfor et presserende behov for en felles forståelse og håndhevelse av disse reglene på tvers av nasjonale grenser.

Uttalelsen fra EDPB gir veiledning på flere nøkkelområder:

  1. Identifikasjon av alle databehandlere og underdatabehandlere: Behandlingsansvarlige må ha oppdatert og detaljert informasjon om alle databehandlere og underdatabehandlere de benytter. Dette inkluderer navn, adresse og kontaktperson, og plikten gjelder uavhengig av hvilken risiko som knyttes til behandlingsaktiviteten. Denne informasjonen er avgjørende for å sikre GDPR-overholdelse og må være tilgjengelig til enhver tid. Gjelder dette altså i hele leveransekjeden? Ja, de skriver slik at det ikke gjøres noe skille mellom leverandør, underleverandør og underunderleverandører – også leverandører lenger ned i kjeden skal man ha oversikt over. For å klare dette, må man antakelig bruke dynamiske nettsider med oversikt over hvilke leverandører som brukes. Høyst sannsynligvis må man også sende notifikasjon til den behandlingsansvarlige om det gjøres endringer. Det angis ingen plikt til å oppgi all denne informasjonen i selve personvernerklæringen, men oversikten må finnes hos den behandlingsansvarlige. Fra en rettighetsvinkel er dette ikke så overraskende – som behandlingsansvarlig skal man jo klare å svare en registrert på hvem som behandler vedkommendes personopplysninger. Men det er greit å få det avklart.
  2. Ansvarlighet ved valg av databehandler: Prinsippet om ansvarlighet i Artikkel 24 innebærer at behandlingsansvarlige må ha tilstrekkelig garanti for at valg av databehandler ikke svekker de registrertes rettigheter og friheter. Videre skal behandlingsansvarlig, uavhengig av risiko, få verifisert at databehandler og underdatabehandler gir tilstrekkelig garanti for å gjennomføre egnende tiltak som sikrer behandlingen. Det er altså ikke nok for behandlingsansvarlige å anta at deres databehandlere overholder GDPR. De må aktivt verifisere og dokumentere at både databehandlere og deres underdatabehandlere oppfyller nødvendige databeskyttelsesforpliktelser. Dette kan innebære bruk av spørreskjemaer, revisjonsrapporter, og andre verifiseringsmetoder. Omfanget av kontrollen vil likevel kunne variere avhengig av arten av disse tekniske og organisatoriske tiltakene og risikonivået.  For behandling som representerer en høy risiko for de registrertes rettigheter og friheter, bør den behandlingsansvarlige øke sitt verifikasjonsnivå. I den forbindelse mener EDPB at under GDPR har ikke den behandlingsansvarlige en plikt til systematisk å be om underdatabehandleravtaler for å sjekke om personvernsforpliktelsene gitt i den opprinnelige kontrakten har blitt videreført nedover i leverandørkjeden. Den behandlingsansvarlige bør likevel vurdere om dette er nødvendig fra sak til sak.
  3. Overføringer til tredjeland: Den behandlingsansvarlige må vurdere risikoene ved videre overføringer som skjer gjennom hele kjeden, selv om den faktiske overføringen utføres av databehandleren til en underdatabehandler, og ikke av den behandlingsansvarlige selv. Selv om EDPB understreket at behandlingsansvarlige til syvende og sist har ansvaret for dette, anerkjente de at databehandleren også spiller en rolle her. I praksis må behandlingsansvarlige i stor grad stole på de svarene deres databehandlere gir dem på dette området. Videre har behandlingsansvarlig en plikt til å vurdere risikovurdering av overføringer av personopplysninger nedover i kjeden til land utenfor EØS eller som ikke er definert som adekvat tredjeland.  Behandlingsansvarlig må imidlertid fortsatt sjekke at det finnes “tilstrekkelige garantier” for videre overføringer fra adekvate tredjeland.

Hva betyr dette i praksis? Behandlingsansvarlige kommer til å øke oppmerksomheten på bruk av underdatabehandlere. Databehandlerere bør forberede seg på det allerede nå. Det blir mer oppmerksomhet på kontroll, transparens og aktiv forvaltning av personvernforpliktelser gjennom hele behandlingskjeden.

Videre vil uttalelsen kunne ha betydning for retten til innsyn. Etter Artikkel 15 i GDPR har den registrerte rett på informasjon om mottakere eller kategori av mottakere av den registrertes personopplysninger. Dette innebærer at den registrerte må kunne informere om den faktiske identiteten til mottakerne.


II – Ny veileder om “berettiget interesse”

EDPB har utarbeidet en ny veileder som analyserer hvordan behandlingsansvarlige kan behandle personopplysninger basert på berettiget interesse. Disse retningslinjene vil være åpne for offentlig høring frem til 20. november 2024 og det er mulig å gi innspill før de endelige retningslinjene fastsettes. Førsteinntrykket og den generelle oppfatningen tyder på at veilederen ikke er særlig kontroversiell, til tross for at den regulerer det som er et svært viktig behandlingsgrunnlag for mange virksomheter. Den manglende kontroversen kan trolig skyldes at den ikke medfører store endringer i forhold til den eksisterende veilederen fra WP-29.

For å kunne støtte seg på berettiget interesse, må behandlingsansvarlige oppfylle tre kumulative vilkår:

  1. Forfølgelse av en berettiget interesse: Interessen må være lovlig, klart og presist formulert, reell og aktuell. Dette kan for eksempel være tilfelle når den registrerte er en klient eller på annen måte tjener behandlingsansvarlig.
  2. Nødvendigheten av behandlingen: Det må være nødvendig å behandle personopplysningene for å oppnå de berettigede interessene. Dersom det finnes rimelige, like effektive, men mindre inngripende alternativer for å oppnå det samme målet, kan behandlingen ikke anses som nødvendig. Prinsippet om dataminimering skal også tas i betraktning her.
  3. Avveining mot individets interesser: Behandlingsansvarlig må sikre at deres berettigede interesse ikke overstyrer individets interesser, grunnleggende rettigheter eller friheter. I denne avveiningen må behandlingsansvarlig vurdere individets interesser, behandlingens innvirkning, eksistensen av ytterligere sikringstiltak som kan begrense innvirkningen på individet, og den registrertes rimelige forventninger.

Retningslinjene gir også veiledning om hvordan denne vurderingen bør utføres i praksis, med konkrete eksempler som svindelforebygging, direkte markedsføring og informasjonssikkerhet. Dokumentet forklarer også forholdet mellom dette rettslige grunnlaget og en rekke rettigheter den registrerte har under GDPR. Veiledningen virker derfor å være i tråd med den nylig avsagte dommen C-621/22 KNLTB.

Lenke til høringsutkastet


III – Lagring av personopplysninger ved LLM-modeller

I denne artikkelen av Lokke Moerel og Marijn Storm utforskes kompleksiteten ved håndtering av personopplysninger i store språkmodeller (LLMs) med tanke på GDPR.

Det har tidligere blitt argumentert for at siden LLMer ikke “lagrer” personopplysninger i teknisk forstand, kan ikke de registrerte direkte anvende sine rettigheter på selve modellen. Dette vil påvirke anvendelsen av personvernreglene på teknologien. Det vil da kun være i tilfeller hvor personopplysninger behandles i et AI-system at denne behandlingen må overholde GDPR-kravene. I slike tilfeller vil det kun være brukeren av AI-systemet som må respektere de registrertes rettigheter, ikke utvikleren av LLM-modellen. Dette innebærer at selv om LLMer trenes i strid med GDPR, påvirker dette ikke nødvendigvis lovligheten av å bruke disse modellene innenfor et LLM-støttet AI-system. Mange sammensatte problemstillinger her, altså.

Noe av det spennende er at artikkelen viser til veiledning fra Danmarks datatilsyn. De har ment at innholdet i AI-modeller ikke i seg selv utgjør personopplysninger, ettersom de kun er resultatet av behandlingen av personopplysninger. Dette sammenlignes med statistiske rapporter, som er resultatet av databehandling, men som i seg selv ikke er personopplysninger.

Forfatterne argumenterer for at dette er feil. De skriver at selv om LLM’er teknisk sett ikke “lagrer” personopplysninger, kan de likevel anses som personopplysninger på grunn av måten de brukes på. For eksempel vil chatbots generere personopplysninger basert på forespørsler inn i LLM’en. De trekker paralleller til søkemotorer, hvor operatørene regnes som behandlingsansvarlige for håndteringen av personopplysninger av brukerne. Dette er et kritisk punkt fordi det understreker at ansvaret for personvern ikke bare ligger i hvordan data lagres, men også i hvordan de brukes og hvilken innvirkning dette har på individets rettigheter.

Moerel og Storm hevder at dersom retningslinjene fra Hamburg og det danske datatilsynet følges, vil ikke LLM-leverandører være ansvarlige for unøyaktige utdata som omhandler offentlige personer, noe som ville resultere i et gap i personvernsbeskyttelsen. De foreslår at effektiv og fullstendig beskyttelse av de registrerte kun kan oppnås dersom LLM-leverandører betraktes som felles behandlingsansvarlige for bruken av deres LLMer og er ansvarlige for å håndtere forespørsler fra registrerte.

Siste ord er neppe sagt om dette og mulig trengs det noen rettsavgjørelser for å avklare situasjonen.

Do LLMs ‘store’ personal data? This is asking the wrong question


IV – Rett til sletting?

Om sak Agentsia po vpisvaniyata (C-200/23

I Bulgaria oppsto det en rettstvist omkring hvordan personopplysninger skal håndteres i et statlig foretaksregister. En bulgarsk innbygger hadde vært med på å etablere et aksjeselskap. Vedkommendes personopplysninger ble inkludert i selskapets stiftelsesdokumenter, som deretter ble offentliggjort av registeret. Personen forlangte at opplysningene skulle slettes, noe registeret ikke ville gjøre, og det ble en rettssak.

EU-domstolen tok stilling til flere juridiske spørsmål i denne saken. For det første måtte det være klart at registeret måtte regnes som både behandlingsansvarlig og en mottaker av personopplysninger.

Videre er det også klart at den registrerte har rett til å få slettet personopplysninger som er behandlet uten hjemmel. Det ble ikke vektlagt at den registrerte kunne ha sørget for at registeret fikk en redigert utgave der personopplysningene ikke fremgikk, slik som registerets egne prosessuelle regler oppstilte. Den registrertes rett til sletting er absolutt, med mindre behandlingen av disse personopplysningene er nødvendige for å utføre en rettslig forpliktelse eller for å utføre oppgaver av allmenn interesse.

Det tredje spørsmålet EU-domstolen besvarte er at en håndskrevet underskrift kan ansees som en personopplysning. Dette var et spørsmål i saken, selv om konklusjonen i saken neppe er neppe særlig oppsiktsvekkende i lys av definisjonen av en personopplysning i Art. 4(1), hvor det er naturlig å konkludere med at en signatur er en opplysning som kan knyttes til en person.  

Dommen er også interessant for å etablere erstatningsansvar etter GDPR. EU-domstolen anerkjenner (atter en gang) at der den registrerte mister kontrollen over egne personopplysninger, spesielt når de tilgjengeliggjøres på internett, så kan det føre til ikke-materiell skade. Dette kan utløse krav om erstatning, men den registrerte må kunne påvise en årsakssammenheng mellom overtredelsen og de negative konsekvensene den registrerte er påført. Det er dermed ikke noe krav om økonomisk tap, men det er heller ikke tilstrekkelig å kun påvise et brudd på GDPR.

Det var heller ikke formildende for behandlingsansvarlig sitt erstatningsansvar at det forelå en uttalelse fra det nasjonale datatilsynet, som hevdet at foretaksregisteret ikke var ansvarlig.


V – Kan en unnskyldning være tilstrekkelig kompensasjon?

Om sak Patērētāju tiesību aizsardzības centrs (C-507/23)

I en rettssak fra Latvia ble en journalist involvert i en juridisk konflikt med det latviske forbrukertilsynet etter at de hadde parodiert journalisten i en video uten hans tillatelse. Journalisten krevde at videoen skulle fjernes og ba om erstatning for det omdømmetapet han opplevde som følge av videoen. Forbrukerombudet avslo å fjerne videoen og nektet for at det forelå et brudd på personvernreglene, og avviste dermed også kravet om erstatning. En ganske spesiell sak.

Saken eskalerte til de latviske domstolene, som fastslo at publiseringen av videoen var ulovlig, men de avslo å tildele økonomisk erstatning. I stedet ble forbrukerombudet pålagt å gi en offentlig unnskyldning.

EU-domstolen tok deretter opp saken for å vurdere flere spørsmål. For det første fant EU-domstolen at et brudd på GDPR ikke automatisk resulterer i en “skade” som kvalifiserer for erstatning etter artikkel 82(1). For at man skal ha rett på erstatning må det foreligge et brudd på GDPR, det må foreligge en materiell eller ikke-materiell skade og det må være adekvat årsakssammenheng mellom bruddet på GDPR og den aktuelle skaden.

Videre ble det et spørsmål hvorvidt en unnskyldning kan betraktes som adekvat kompensasjon. EU-domstolen fremhever at det i utgangspunktet er opp til nasjonal lovgivning å definere hva som er adekvat kompensasjon. Det er imidlertid ingenting i veien for at en unnskyldning under GDPR kan være en passende form for kompensasjon for ikke-materiell skade, spesielt når det ikke er mulig å gjenopprette den opprinnelige situasjonen, så lenge unnskyldningen fullt ut dekker den påførte skaden.

Det siste spørsmålet var om Artikkel 82(1) om erstatningsansvar innebærer et krav om at erstatningsansvarets størrelse skal påvirkes av behandlingsansvarliges intensjon eller motivasjon. Altså hvorvidt graden av skyld skal være en skjerpende eller formildende omstendighet utfra den aktuelle situasjonen. EU-domstolen fant at man ikke skal vektlegge graden av skyld hos behandlingsansvarlig, og begrunner dette i at hensynet bak Artikkel 82 er å kompensere den registrerte for den lidte skaden, og den har dermed ikke til hensikt å straffe den behandlingsansvarlige utover dette.


VI – Anerkjennelse av transrettigheter

Om sak Mirin (C-4/23)

Selv om denne avgjørelsen ikke direkte gjelder GDPR, så omhandler den tilgrensede spørsmål. Det er ikke overraskende at det nå kommer saker om transpersoners rettigheter og denne dommen kan bidra til større aksept for rettighetene.

EU-domstolen har nylig avgjort at medlemslandene i Den europeiske union må anerkjenne endringer av fornavn og kjønn som er juridisk gjennomført i andre EU-land. Dette ble bestemt i en sak hvor en britisk-rumensk statsborger hadde endret sitt juridiske kjønn og fornavn i Storbritannia og deretter søkte om å få disse endringene registrert i sitt fødeland, Romania.

Romania nektet å registrere endringene på hans fødselsattest og utstede nye dokumenter som reflekterte hans nye identitet, med begrunnelsen om at han måtte gjennomgå en nasjonal prosedyre for kjønnsskifte. Dette førte til at vedkommende tok saken til retten, og spørsmålet ble til slutt henvist til EU-domstolen for å avgjøre om Romanias avslag var i tråd med EU-lovgivningen.

EU-domstolen konkluderte med at Romanias avslag krenket individets rettigheter under EU-lovgivningen, spesielt retten til fri bevegelse og opphold. Domstolen påpekte at det var irrelevant at endringene ble forespurt etter at Storbritannia formelt hadde forlatt EU, siden endringene ble gjennomført mens Storbritannia fortsatt var medlem.

Dommen blir sett på som en stor seier for transpersoners rettigheter i EU, ettersom den sikrer at juridiske identitetsendringer anerkjennes på tvers av medlemslandene uten behov for ytterligere nasjonale prosedyrer. Dette styrker mobiliteten og rettighetene til EU-borgere ved å forenkle prosessen for anerkjennelse av personlig identitet. Kritikere fra land som Ungarn og Slovakia har uttrykt motstand mot dommen, og hevder at den overkjører nasjonale juridiske prinsipper. Saken vil nå gå tilbake til de rumenske domstolene for endelig avgjørelse, men EU-domstolens beslutning setter en bindende presedens for hvordan slike saker skal håndteres i EU.

Saken har neppe veldig stor betydning i Norge, men er likevel prinsipielt viktig.


VII – Politiets tilgang til mobiltelefon ved mistanke om kriminalitet.

Om sak Bezirkshauptmannschaft Landeck (C-548/21)

I denne saken behandlet EU-domstolen spørsmålet om politiets tilgang til data lagret på en mobiltelefon i forbindelse med en kriminalsak i Østerrike. En østerriksk borger hadde fått sin mobiltelefon beslaglagt etter at det ble funnet 85 gram cannabis i en pakke adressert til ham. Politiet forsøkte å låse opp telefonen uten å ha nødvendig godkjenning fra påtalemyndighet eller domstol, og uten å informere den berørte personen om forsøket. Den østerrikske domstolen henviste saken til EU-domstolen for å få avklart om østerriksk lovgivning, som tillater politiets handlinger, er i tråd med EU-lovgivningen. Den nasjonale domstolen bemerket at eieren var anklaget for en forseelse som maksimalt kunne straffes med ett års fengsel, og derfor ble ansett som en mindre alvorlig forbrytelse.

EU-domstolen fastslo at tilgang til opplysninger på en mobiltelefon kan utgjøre et alvorlig inngrep i et individs rett til privatliv. Videre ble det understreket at alvorlighetsgraden av den aktuelle forbrytelsen er en viktig faktor når man vurderer proporsjonaliteten av et slikt inngrep. Likevel vil ikke EU-domstolen begrense slike inngrep til kun bekjempelse av mer alvorlig kriminalitet. Nasjonale lover må definere klare kriterier for denne type inngrep, inkludert hvilke typer lovbrudd som kan rettferdiggjøre et slikt inngrep. Videre må tilgangen til dataene være forholdsmessig og underlagt forhåndsgodkjenning fra en domstol eller en uavhengig myndighet, med mindre det foreligger en nødsituasjon som klart kan begrunnes.

EU-domstolen påpekte også at den berørte personen må informeres om grunnlaget for godkjenningen så snart det ikke setter etterforskningen i fare. Dette sikrer en balanse mellom behovet for effektiv kriminalitetsbekjempelse og beskyttelsen av individets grunnleggende rettigheter. Dette er på mange måter en gjentakelse av helt grunnleggende personvern- og menneskerettighetsprinsipper. Også politiet må ha klare rammer å forholde seg til.


VIII – Må datatilsyn gi bøter ved brudd på GDPR?

Om sak Land Hessen (C-768/21)

Denne saken ble riktignok publisert en uke før de andre, er kanskje ikke den mest spennende, og kan være mer aktuell for andre land enn Norge. Den er likevel med her for helhetens skyld. I denne saken ble det fastslått at tilsynsorganer i EØS ikke automatisk må utstede pålegg, korrigerende tiltak eller bøter ved overtredelser av GDPR. Dette gir tilsynsmyndighetene mulighet til å vurdere om slike tiltak er nødvendige for å rette opp i situasjoner som har ført til brudd på regelverket, eller for å sikre at personvernreglene overholdes fremover. Egentlig synes jeg det er litt pussig at saken ble reist overhodet – for meg gir det ikke mening at tilsynene alltid skal ilegge bøter ved brudd.

Saken som førte til denne dommen, involverte en hendelse der en ansatt i en bank gjentatte ganger hadde skaffet seg urettmessig tilgang til en kundes personopplysninger. Arbeidsgiveren hadde som følge av dette gitt melding til datatilsynet om brudd på personopplysningssikkerheten i henhold til Artikkel 33 i GDPR. I tillegg hadde arbeidsgiver tatt ut disiplinære skritt mot den ansatte og den ansatte hadde forsikret skriftlig at hun ikke hadde misbrukt informasjonen. Arbeidsgiveren valgte å ikke informere den berørte kunden i henhold til Artikkel 34 i GDPR, fordi de ikke anså bruddet som en høy risiko for rettighetene og frihetene til kunden. Kunden oppdaget selv bruddet ved en tilfeldighet, og klaget til datatilsynet i Hessen, som fant at arbeidsgiverens risikovurdering ikke var mangelfull, og valgte derfor ikke å iverksette tiltak mot arbeidsgiveren.

Den berørte kunden anla sak mot tilsynets avgjørelse, og saken ble til slutt henvist til EU-domstolen for å avgjøre om tilsynsmyndigheter alltid må bruke myndigheten sin i henhold til Artikkel 58(2) i GDPR ved brudd på personvernforordningen. EU-domstolen konkluderte med at tilsynsmyndighetene ikke er forpliktet til å utøve korrigerende makt, som å ilegge administrative bøter, med mindre det er passende, nødvendig og proporsjonalt for å rette opp i manglene og sikre full håndhevelse av GDPR. Domstolen påpekte at tilsynsmyndighetene har skjønn til å velge passende og nødvendige tiltak basert på de spesifikke omstendighetene i hver sak.

Denne dommen klargjør at tilsynsmyndighetene har fleksibilitet til å vurdere hver enkelt sak og bestemme de mest passende tiltakene for å sikre at GDPR overholdes. Dette kan innebære at i visse tilfeller, der det allerede er tatt skritt for å stoppe og forhindre gjentakelse av brudd, kan det være unødvendig med ytterligere korrigerende tiltak.


KOMMENDE MØTER

24. okt 14.00 – 16.00 Digitalt nettverksmøte
14. november 12.00 – 13.00 Digital drop-in
12. des 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

IT-jus nr. 10/24

IT-jus nr. 10/24

Den 4. oktober ble det publisert flere dommer fra CJEU som er av praktisk relevans for flere. Her er derfor et ekstranummer av nyhetsbrevet.

I tillegg har EDPB kommet med utkast til Opinion på berettiget interesse og en opinion om databehandlere. Det er som vanlig mer enn nok å følge med på! Jeg kommer tilbake til de siste nyhetene fra EDPB i neste ordinære nyhetsbrev. Spoiler: det blir en økt forventning om økt kontroll og oversikt.

Men under er først en gjennomgang av hovedpunktene i de nye sakene og noen innledende tanker om hvilke praktiske konsekvenser som dommene kan medføre. Alle sakene er ikke like viktige, men vi som jobber med dette må vite om hovedlinjene i dem.

Som vanlig:

God lesning!

Hilsen Eva
i samarbeid med advokatfullmektig Trygve Karlstad


I – Hva er sensitive personopplysninger?

Om sak Lindenapotheke: (C-21/23)

Denne saken, også kjent som Lindenapotheke-saken, dreide seg om en tysk apotekkjede som solgte reseptfrie medisiner på nett via Amazon. Det sentrale spørsmålet var om personopplysninger som ble samlet inn under netthandel av disse produktene skulle regnes som helseopplysninger under GDPR. EU-domstolen konkluderte med at slik informasjon faktisk er helseopplysninger, selv for medisiner som ikke krever resept. Dette var faktisk motsatt konklusjon av Generaladvokatens oppfatning, og motsatt av hva mange trodde ville bli konklusjonen. Domstolen hadde en videre tolkning enn hva mange forventet av hva som anses som helseopplysninger.

Dommen er viktig fordi den støtter en vid tolkning av sensitive personopplysninger under GDPR. Den slår fast at selv kjøp av ikke-reseptpliktige medisiner på nettet kan avsløre informasjon om helse. Domstolen legger vekt på at det vil være en sammenheng mellom medisinen, dens bruk og en identifiserbar person. Dette kan få store konsekvenser for netthandel med medisinske produkter, hvor det nå kreves uttrykkelig samtykke for å behandle slike data.

Dommen tydeliggjør også at det er noe overlapp mellom personvernforordningen og konkurranserett. Dette kan få store konsekvenser. Dommen slår fast at GDPR ikke forhindrer nasjonal lovgivning som tillater konkurrenter å gå til sak mot en person som angivelig bryter GDPR, basert på konkurranserettslige regler mot urettferdig handelspraksis. Dette forsterker individets rettigheter og sikrer et høyt beskyttelsesnivå. Og det kan ikke minst øke konfliktnivået mellom konkurrenter. Om man ser at en konkurrent får markedsmessige fordeler ved å bryte GDPR, ja så kan man bruke det mot konkurrenten.

Det er likevel uklart i hvilken grad EU-domstolen har reflektert omkring de praktiske konsekvensene av en slik avgjørelse. Dommen vil trolig medføre at man må oppstille strengere krav til samtykke for behandling av sensitive personopplysninger ved netthandel enn hva som er vanlig i dag, og en økt risiko for rettslige utfordringer fra konkurrenter ved brudd på GDPR. I forlengelsen av dette bør man se på om produkter man tilbyr, direkte eller indirekte, kan avsløre helseinformasjon eller andre sensitive personopplysninger, noe som mulig utvider definisjonen av hva som betraktes som sensitive personopplysninger under GDPR. Man kan for eksempel tenke seg at dersom man kjøper en bok om en religion, så kan det si noe om hvilken religiøs overbevisning man har. En annen utfordring er hvordan en nettbutikk i praksis skal kunne innhente samtykke dersom kjøperen av produktet ikke er den som skal bruke medisinene eller andre produkter som kan være personopplysninger.  Jeg har ikke svarene på dette, men det er åpenbart at det vil bli mye oppmerksomhet rundt hva som er en særlig kategori personopplysning fremover. Og antakelig vil de som mener skillet mellom vanlige og særlige kategorier personopplysninger er unødvendig, få flere argumenter. Det kan tenkes rammene rundt definisjonen av særlige kategorier bør trekkes noe snevrere. Eller at hjemmelsgrunnlagene bør utvides. For eksempel mener jeg at det ikke er urimelig å trekke avtale inn som et mulig behandlingsgrunnlag i artikkel 9.


II – Kan kommersielle interesser være “berettiget interesse”?

Om sak KNLTB (C-621/22)

I denne saken ble det vurdert om det nederlandske tennisforbundet, KNLTB, sin praksis med å dele personopplysninger om sine medlemmer med eksterne aktører, mot betaling og uten samtykke, kunne hjemles i berettiget interesse under personvernsforordningens Artikkel 6(1)(f).

Domstolen fastslo at kommersielle interesser, inkludert markedsføring, kan betraktes som en berettiget interesse.

Det er tre vilkår som må være oppfylt for at den berettigede interessen kan ansees som lovlig:

  1. For det første må det foreligge en berettiget interesse. EU-domstolen åpner i prinsippet for at det kan være mange ulike interesser som kan være berettigede, så lenge de ikke strider mot annen lovgivning.
  2. For det andre må behandlingen av personopplysninger være nødvendig. Her må man vurdere hvilke alternativer databehandleren har til den aktuelle behandlingen, og om man med rimelighet kan oppnå de samme interessene ved mindre inngripende tiltak. Dette må sees i sammenheng med prinsippet om dataminimalisering i Artikkel 5(1)(c), nemlig at behandlingen skal være adekvat, relevant og begrenset til det som er nødvendig for formålet ved behandlingen. I den sammenheng legger EU-domstolen blant annet vekt på hvorvidt medlemmene hadde realistiske forventninger til hvordan deres data håndteres ved innsamlingstidspunktet, og om denne delingen var noe de kjente til på forhånd.
  3. Det siste vilkåret er at det må foretas en interesseavveining av den berettigede interessen opp mot de grunnleggende rettighetene og frihetene til de registrerte. I denne avveiningen kan det i prinsippet være en rekke relevante momenter, som for eksempel forventningene til de registrerte, graden og omfanget av behandlingen og hvilke konsekvenser den medfører for de registrerte.

Som følge av dommen er det bekreftet at man kan lene seg på berettiget interesse for behandling av data til kun kommersielle formål.  Likevel vil det være omfattende begrensninger for slik behandlingsaktivitet basert på berettiget interesse, slik som disse overnevnte tre kumulative vilkårene oppstiller. Det vil dermed være utfordrende for en virksomhet som ønsker å lene seg på “berettiget interesse” for deling av personopplysninger til kommersielle formål, å forutsi om man overholder personvernforordningen eller ikke. Virksomheten vil måtte utelukkende støtte seg på helhetsvurderinger man har foretatt knyttet til graden av nødvendighet og interesseavveiningen mot de registrertes rettigheter og friheter. Derfor vil virksomheten neppe kunne “vite” om de har foretatt tilstrekkelige vurderinger før man får det testet av datatilsynet eller judisielt. Hensynet til forutsigbarhet for etterlevelse av GDPR gjør seg særlig gjeldende her, ettersom det ennå er begrenset med rettskilder om i hvilken grad man kan bruke “berettiget interesse” som behandlingsgrunnlag for behandling til kommersielle formål.


III – Målrettet annonsering og sensitive personopplysninger

Om sak Maximillian Schrems v Meta Platforms Ireland Ltd (C-446/21)

I denne saken mellom Max Schrems og Meta ble det reist spørsmål om Metas håndtering av personopplysninger, spesielt med tanke på målrettet annonsering og behandling av sensitive data. Schrems hevdet at Meta behandlet hans personopplysninger ulovlig, inkludert informasjon om hans seksuelle legning. Schrems hadde blant annet ikke samtykket til målrettet annonsering og han hadde heller ikke publisert noe om sin egen seksuelle legning på Facebook. Meta hadde samlet inn den aktuelle informasjonen om hans legning fra eksterne nettsteder gjennom bruk av cookies og andre sporingsteknologier.

Domstolens avgjørelse bekreftet at selv om målrettet annonsering ikke er ulovlig, setter GDPRs dataminimeringsprinsipp strenge grenser for behandling av personopplysninger. Dommen poengterte at sensitive personopplysninger, som seksuell orientering, krever at behandlingsansvarlig opptrer spesielt aktsomt, og kan ikke bruke de sensitive personopplysningene til annonsering uten uttrykkelig samtykke og nødvendige begrensninger i behandlingens varighet og omfang.

Videre fastslo dommen at offentliggjøring av sensitive opplysninger av brukeren selv, ikke automatisk gir plattformer som Facebook rett til å bruke denne informasjonen til andre formål, som for eksempel tilpasset markedsføring. Dette skaper en viktig presedens for hvordan sosiale medier og andre digitale plattformer må håndtere personopplysninger. Og den setter igjen søkelys på hva som er førstepartsdatas og hva som er tredjepartsdata.

Hvis dere sammenstiller informasjon fra flere kanaler (organisasjonsnumre), og det er det mange som gjør, er det grunn til å se på om de aktuelle samtykkene er gode nok og at man ikke oppbevarer personopplysninger lenger enn hva som er strengt nødvendig.


IV – Rett til sletting?

Om sak Agentsia po vpisvaniyata (C-200/23

I Bulgaria oppsto det en rettstvist omkring hvordan personopplysninger skal håndteres i et statlig foretaksregister. En bulgarsk innbygger hadde vært med på å etablere et aksjeselskap. Vedkommendes personopplysninger ble inkludert i selskapets stiftelsesdokumenter, som deretter ble offentliggjort av registeret. Personen forlangte at opplysningene skulle slettes, noe registeret ikke ville gjøre, og det ble en rettssak.

EU-domstolen tok stilling til flere juridiske spørsmål i denne saken. For det første måtte det være klart at registeret måtte regnes som både behandlingsansvarlig og en mottaker av personopplysninger.

Videre er det også klart at den registrerte har rett til å få slettet personopplysninger som er behandlet uten hjemmel. Det ble ikke vektlagt at den registrerte kunne ha sørget for at registeret fikk en redigert utgave der personopplysningene ikke fremgikk, slik som registerets egne prosessuelle regler oppstilte. Den registrertes rett til sletting er absolutt, med mindre behandlingen av disse personopplysningene er nødvendige for å utføre en rettslig forpliktelse eller for å utføre oppgaver av allmenn interesse.

Det tredje spørsmålet EU-domstolen besvarte er at en håndskrevet underskrift kan ansees som en personopplysning. Dette var et spørsmål i saken, selv om konklusjonen i saken neppe er neppe særlig oppsiktsvekkende i lys av definisjonen av en personopplysning i Art. 4(1), hvor det er naturlig å konkludere med at en signatur er en opplysning som kan knyttes til en person.  

Dommen er også interessant for å etablere erstatningsansvar etter GDPR. EU-domstolen anerkjenner (atter en gang) at der den registrerte mister kontrollen over egne personopplysninger, spesielt når de tilgjengeliggjøres på internett, så kan det føre til ikke-materiell skade. Dette kan utløse krav om erstatning, men den registrerte må kunne påvise en årsakssammenheng mellom overtredelsen og de negative konsekvensene den registrerte er påført. Det er dermed ikke noe krav om økonomisk tap, men det er heller ikke tilstrekkelig å kun påvise et brudd på GDPR.

Det var heller ikke formildende for behandlingsansvarlig sitt erstatningsansvar at det forelå en uttalelse fra det nasjonale datatilsynet, som hevdet at foretaksregisteret ikke var ansvarlig.


V – Kan en unnskyldning være tilstrekkelig kompensasjon?

Om sak Patērētāju tiesību aizsardzības centrs (C-507/23)

I en rettssak fra Latvia ble en journalist involvert i en juridisk konflikt med det latviske forbrukertilsynet etter at de hadde parodiert journalisten i en video uten hans tillatelse. Journalisten krevde at videoen skulle fjernes og ba om erstatning for det omdømmetapet han opplevde som følge av videoen. Forbrukerombudet avslo å fjerne videoen og nektet for at det forelå et brudd på personvernreglene, og avviste dermed også kravet om erstatning. En ganske spesiell sak.

Saken eskalerte til de latviske domstolene, som fastslo at publiseringen av videoen var ulovlig, men de avslo å tildele økonomisk erstatning. I stedet ble forbrukerombudet pålagt å gi en offentlig unnskyldning.

EU-domstolen tok deretter opp saken for å vurdere flere spørsmål. For det første fant EU-domstolen at et brudd på GDPR ikke automatisk resulterer i en “skade” som kvalifiserer for erstatning etter artikkel 82(1). For at man skal ha rett på erstatning må det foreligge et brudd på GDPR, det må foreligge en materiell eller ikke-materiell skade og det må være adekvat årsakssammenheng mellom bruddet på GDPR og den aktuelle skaden.

Videre ble det et spørsmål hvorvidt en unnskyldning kan betraktes som adekvat kompensasjon. EU-domstolen fremhever at det i utgangspunktet er opp til nasjonal lovgivning å definere hva som er adekvat kompensasjon. Det er imidlertid ingenting i veien for at en unnskyldning under GDPR kan være en passende form for kompensasjon for ikke-materiell skade, spesielt når det ikke er mulig å gjenopprette den opprinnelige situasjonen, så lenge unnskyldningen fullt ut dekker den påførte skaden.

Det siste spørsmålet var om Artikkel 82(1) om erstatningsansvar innebærer et krav om at erstatningsansvarets størrelse skal påvirkes av behandlingsansvarliges intensjon eller motivasjon. Altså hvorvidt graden av skyld skal være en skjerpende eller formildende omstendighet utfra den aktuelle situasjonen. EU-domstolen fant at man ikke skal vektlegge graden av skyld hos behandlingsansvarlig, og begrunner dette i at hensynet bak Artikkel 82 er å kompensere den registrerte for den lidte skaden, og den har dermed ikke til hensikt å straffe den behandlingsansvarlige utover dette.


VI – Anerkjennelse av transrettigheter

Om sak Mirin (C-4/23)

Selv om denne avgjørelsen ikke direkte gjelder GDPR, så omhandler den tilgrensede spørsmål. Det er ikke overraskende at det nå kommer saker om transpersoners rettigheter og denne dommen kan bidra til større aksept for rettighetene.

EU-domstolen har nylig avgjort at medlemslandene i Den europeiske union må anerkjenne endringer av fornavn og kjønn som er juridisk gjennomført i andre EU-land. Dette ble bestemt i en sak hvor en britisk-rumensk statsborger hadde endret sitt juridiske kjønn og fornavn i Storbritannia og deretter søkte om å få disse endringene registrert i sitt fødeland, Romania.

Romania nektet å registrere endringene på hans fødselsattest og utstede nye dokumenter som reflekterte hans nye identitet, med begrunnelsen om at han måtte gjennomgå en nasjonal prosedyre for kjønnsskifte. Dette førte til at vedkommende tok saken til retten, og spørsmålet ble til slutt henvist til EU-domstolen for å avgjøre om Romanias avslag var i tråd med EU-lovgivningen.

EU-domstolen konkluderte med at Romanias avslag krenket individets rettigheter under EU-lovgivningen, spesielt retten til fri bevegelse og opphold. Domstolen påpekte at det var irrelevant at endringene ble forespurt etter at Storbritannia formelt hadde forlatt EU, siden endringene ble gjennomført mens Storbritannia fortsatt var medlem.

Dommen blir sett på som en stor seier for transpersoners rettigheter i EU, ettersom den sikrer at juridiske identitetsendringer anerkjennes på tvers av medlemslandene uten behov for ytterligere nasjonale prosedyrer. Dette styrker mobiliteten og rettighetene til EU-borgere ved å forenkle prosessen for anerkjennelse av personlig identitet. Kritikere fra land som Ungarn og Slovakia har uttrykt motstand mot dommen, og hevder at den overkjører nasjonale juridiske prinsipper. Saken vil nå gå tilbake til de rumenske domstolene for endelig avgjørelse, men EU-domstolens beslutning setter en bindende presedens for hvordan slike saker skal håndteres i EU.

Saken har neppe veldig stor betydning i Norge, men er likevel prinsipielt viktig.


VII – Politiets tilgang til mobiltelefon ved mistanke om kriminalitet.

Om sak Bezirkshauptmannschaft Landeck (C-548/21)

I denne saken behandlet EU-domstolen spørsmålet om politiets tilgang til data lagret på en mobiltelefon i forbindelse med en kriminalsak i Østerrike. En østerriksk borger hadde fått sin mobiltelefon beslaglagt etter at det ble funnet 85 gram cannabis i en pakke adressert til ham. Politiet forsøkte å låse opp telefonen uten å ha nødvendig godkjenning fra påtalemyndighet eller domstol, og uten å informere den berørte personen om forsøket. Den østerrikske domstolen henviste saken til EU-domstolen for å få avklart om østerriksk lovgivning, som tillater politiets handlinger, er i tråd med EU-lovgivningen. Den nasjonale domstolen bemerket at eieren var anklaget for en forseelse som maksimalt kunne straffes med ett års fengsel, og derfor ble ansett som en mindre alvorlig forbrytelse.

EU-domstolen fastslo at tilgang til opplysninger på en mobiltelefon kan utgjøre et alvorlig inngrep i et individs rett til privatliv. Videre ble det understreket at alvorlighetsgraden av den aktuelle forbrytelsen er en viktig faktor når man vurderer proporsjonaliteten av et slikt inngrep. Likevel vil ikke EU-domstolen begrense slike inngrep til kun bekjempelse av mer alvorlig kriminalitet. Nasjonale lover må definere klare kriterier for denne type inngrep, inkludert hvilke typer lovbrudd som kan rettferdiggjøre et slikt inngrep. Videre må tilgangen til dataene være forholdsmessig og underlagt forhåndsgodkjenning fra en domstol eller en uavhengig myndighet, med mindre det foreligger en nødsituasjon som klart kan begrunnes.

EU-domstolen påpekte også at den berørte personen må informeres om grunnlaget for godkjenningen så snart det ikke setter etterforskningen i fare. Dette sikrer en balanse mellom behovet for effektiv kriminalitetsbekjempelse og beskyttelsen av individets grunnleggende rettigheter. Dette er på mange måter en gjentakelse av helt grunnleggende personvern- og menneskerettighetsprinsipper. Også politiet må ha klare rammer å forholde seg til.


VIII – Må datatilsyn gi bøter ved brudd på GDPR?

Om sak Land Hessen (C-768/21)

Denne saken ble riktignok publisert en uke før de andre, er kanskje ikke den mest spennende, og kan være mer aktuell for andre land enn Norge. Den er likevel med her for helhetens skyld. I denne saken ble det fastslått at tilsynsorganer i EØS ikke automatisk må utstede pålegg, korrigerende tiltak eller bøter ved overtredelser av GDPR. Dette gir tilsynsmyndighetene mulighet til å vurdere om slike tiltak er nødvendige for å rette opp i situasjoner som har ført til brudd på regelverket, eller for å sikre at personvernreglene overholdes fremover. Egentlig synes jeg det er litt pussig at saken ble reist overhodet – for meg gir det ikke mening at tilsynene alltid skal ilegge bøter ved brudd.

Saken som førte til denne dommen, involverte en hendelse der en ansatt i en bank gjentatte ganger hadde skaffet seg urettmessig tilgang til en kundes personopplysninger. Arbeidsgiveren hadde som følge av dette gitt melding til datatilsynet om brudd på personopplysningssikkerheten i henhold til Artikkel 33 i GDPR. I tillegg hadde arbeidsgiver tatt ut disiplinære skritt mot den ansatte og den ansatte hadde forsikret skriftlig at hun ikke hadde misbrukt informasjonen. Arbeidsgiveren valgte å ikke informere den berørte kunden i henhold til Artikkel 34 i GDPR, fordi de ikke anså bruddet som en høy risiko for rettighetene og frihetene til kunden. Kunden oppdaget selv bruddet ved en tilfeldighet, og klaget til datatilsynet i Hessen, som fant at arbeidsgiverens risikovurdering ikke var mangelfull, og valgte derfor ikke å iverksette tiltak mot arbeidsgiveren.

Den berørte kunden anla sak mot tilsynets avgjørelse, og saken ble til slutt henvist til EU-domstolen for å avgjøre om tilsynsmyndigheter alltid må bruke myndigheten sin i henhold til Artikkel 58(2) i GDPR ved brudd på personvernforordningen. EU-domstolen konkluderte med at tilsynsmyndighetene ikke er forpliktet til å utøve korrigerende makt, som å ilegge administrative bøter, med mindre det er passende, nødvendig og proporsjonalt for å rette opp i manglene og sikre full håndhevelse av GDPR. Domstolen påpekte at tilsynsmyndighetene har skjønn til å velge passende og nødvendige tiltak basert på de spesifikke omstendighetene i hver sak.

Denne dommen klargjør at tilsynsmyndighetene har fleksibilitet til å vurdere hver enkelt sak og bestemme de mest passende tiltakene for å sikre at GDPR overholdes. Dette kan innebære at i visse tilfeller, der det allerede er tatt skritt for å stoppe og forhindre gjentakelse av brudd, kan det være unødvendig med ytterligere korrigerende tiltak.


KOMMENDE MØTER

24. okt 14.00 – 16.00 Digitalt nettverksmøte
14. november 12.00 – 13.00 Digital drop-in
12. des 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Livet er ferskvare

Livet er ferskvare

«Jeg pleide å ta knebøy mens jeg pusset tennene og lytte til selvutviklingsbøker mens jeg jogget», fortalte hun meg. «Å spise uten å gjøre noe nyttig samtidig føltes som sløsing, og selv tiden jeg brukte på å sove tidsoptimaliserte jeg. Alt for å legge størst mulig nytte inn i hvert minutt av dagen.»

«En krone spart er en krone tjent», sier et gammelt uttrykk. Noen av de jeg jobber med som coach har oversatt dette til «en time spart er en time tjent».

Men livet er ikke en høyrentekonto som gir høyere livskvalitet en gang i fremtiden hvis du bare ofrer noe i dag. Tiden du sparte i dag kommer ikke tilbake med renter i morgen.

Livet er ferskvare. Det du ikke bruker kommer ikke tilbake.

Tidsoptimaliseringsmaskiner

Jeg har selv noen av tendensene til mine tidsoptimaliserende kunder. Hvis jeg ikke tar meg på tak, blir et måltid lett en oppgave jeg skal løse på kortest mulig tid. En tur med deltidshunden fylles med podcaster og lydbøker – gjerne med tema om hvordan være mer tilstede i øyeblikket.

Vi blir tidsoptimaliseringsmaskiner som løper gjennom livet for å komme raskest mulig i mål.

Men livet er ferskvare. Det har ikke noe mål utover å leves.

Lidelse og død

Disse refleksjonene er en gjenganger i mitt liv, og kanskje ditt, men blir trigget på nytt av den uendelige strømmen av dårlige nyheter fra verden rundt oss. Lidelse, konflikt og død. Tusenvis drepes i krigshandlinger. Millioner av mennesker er på flukt. Naturkatastrofer river bort samfunn.

Hvert enkelt liv som blir revet bort tilhører et menneske som deg og meg. Hvert enkelt liv var en serie øyeblikk som aldri kommer tilbake.

Også de livene som gikk tapt var ferskvare.

Lysglimtene

Og verdens elendighet kan minne oss om at ingenting kan tas for gitt. Hvis du utsetter drømmene dine, ordene du skulle ha sagt til en venn, de endringene du vet må til; hvis du utsetter alt dette til i morgen, kan det være for sent.

Når vi er som mest overveldet av all smerten i verden skal vi lete etter lysglimtene. De er der. Mennesker som finner sammen i kriser, fremmede som hjelper hverandre, små handlinger av godhet som kanskje ikke når overskriftene, men som betyr alt for dem det gjelder. Disse historiene viser oss at håpet lever, og at vi alle har kraften til å gjøre en positiv forskjell.

Livet er ferskvare. Hvert øyeblikk kan utgjøre en forskjell.

Spis. I dag.

Dette er ikke en oppfordring til å ignorere verdens utfordringer eller late som om alt er perfekt. Det er en oppfordring til å møte livet med åpenhet, takknemlighet og en vilje til å gjøre det beste ut av den tiden vi har fått.

Så for ditt optimaliserings-gen: Det å leve mens du kan er det mest optimale. Det handler om å være tilstede i øyeblikket, kjenne på takknemligheten over de små tingene: solen som varmer ansiktet, latteren fra en venn, smaken av et godt måltid. Disse øyeblikkene er flyktige, men utgjør veven i livet.

Livet er ferskvare.

Og det er forbanna skjørt.

Du har fått det. Bruk det. Spis det. I dag.

God tirsdag.

Den troløse intelligensen

Den troløse intelligensen

Jeg er en av disse irriterende personene som stiller spørsmål ved etablerte sannheter. Kanskje er det derfor jeg ble bedt om å holde et foredrag om fordelene med overvåkning på arbeidsplassen. Et foredrag som skal holdes i det nærmeste «løvens hule» man kan komme i denne sammenheng: den årlige konferansen for mennesker som er opptatt av HMS – helse, miljø og sikkerhet.

Les mer: HMS-tinget 2024

Og tittelen på foredraget?

«Hvordan kan overvåkning og ny teknologi bidra til et bedre og tryggere arbeidsliv i Norge? Er det til beste for både arbeidsgiver og arbeidstaker?»

Det skal ikke være kjedelig, nei.

Hjernen var alene

Jeg kunne selvsagt startet med å stille spørsmålstegn ved selve premisset i foredragets tittel: at vi trenger et tryggere arbeidsliv i Norge. Men la oss for husfredens skyld godta at også det norske arbeidslivet kan bli bedre og tryggere, og resonnere ut fra det.

Så la oss gå rett til kjernen: Når vi snakker om teknologi i dag, snakker vi veldig ofte om kunstig intelligens. Teknologi har allerede endret arbeidslivet vårt til de grader at hvis noen skrudde den av, ville det meste stoppet opp. Kunstig intelligens vil eskalere denne transformasjonen dramatisk.

Jeg skriver denne artikkelen i intens dialog med ChatGPT. Etter 40 år i arbeidslivet har jeg for første gang fått et verktøy mellom hendene som gjør mer enn å forenkle kommunikasjon. ChatGPT avlaster mentalt rutinearbeid når jeg skal skrive en artikkel, eller et foredrag. Dette er arbeid hjernen min tidligere har gjort alene.

Men i all sin hjelpsomme imøtekommenhet er ChatGPT en troløs venn, og en representant for krefter som kan og vil bli brukt mot oss, som individer, og som menneskehet.

Mange har sammenlignet skadepotensialet i KI med atomkraft. Til forskjell fra kjernekraft, som er under streng kontroll, er moderne teknologi som KI tilgjengelig for nesten alle. Det er som om hver person på jorden har fått sin egen atomreaktor å eksperimentere med, uten nødvendigvis å forstå risikoene. Dette er grunnlaget for den dype bekymring blant mange av de som har vært med å utvikle teknologien.

En farlig kombinasjon

Ikke bare store institusjoner, men også enkeltindivider, kan utnytte teknologiens kraft til potensielt skadelige formål. Kombinasjonen av avansert teknologi og menneskelig feilbarlighet kan være en farlig kombinasjon.

Overvåkning representerer den konkrete manifestasjonen av hvordan teknologi kan brukes til å utøve kontroll og makt over individer. I deler av det internasjonale samfunnet ser vi at overvåkning av digitale aktiviteter, sporing av bevegelser via GPS, eller til og med monitorering av biometriske data som hjertefrekvens og stressnivå er virkemidler arbeidsgivere og myndigheter tar i bruk. KI gjør det enklere, smartere, vanskeligere å oppdage.

Overvåkning som omsorg

Mot dette bakteppet, er det i det hele tatt mulig å se på overvåkning fra et annet perspektiv, fra et positivt ståsted? Kan vi finne måter å bruke teknologi og overvåkning som gagner både arbeidsgiver og arbeidstaker, uten å gå på bekostning av vår trivsel og velferd?

Det finnes jo områder hvor dette er aktuelt. For eksempel: Teknologi kan brukes til å forbedre sikkerheten på arbeidsplassen.Sensorer og automatiserte systemer kan forhindre ulykker ved å varsle om farlige situasjoner før de oppstår.

Kan vi da betrakte overvåkning som en form for omsorg, der målet er å beskytte arbeidstakerne?

I så fall må man bare være nøye på hvor grensen mellom omsorg og kontroll går. Overvåkning kan lett tippe over til å bli et middel for mikrostyring, med mistrivsel og redusert motivasjon som resultat.

Viktig her er intensjonen med overvåkningen. Er målet å støtte de ansatte og skape et tryggere arbeidsmiljø, eller handler det om å presse ut mer produktivitet?

Her er transparens nøkkelen. Hvis arbeidsgivere og myndigheter er åpne om hva som overvåkes, hvorfor det gjøres, og hvordan informasjonen brukes, er det lettere for ansatte å akseptere overvåkningstiltak.

Paradokset

Samtidig lever vi, særlig i Europa, i et spenningsfelt mellom regulering for beskyttelse av individet og sterke krefters ønske og behov om å vite alt om hver enkelt av oss. 

For arbeidsgivere innebærer reguleringene et betydelig merarbeid. Det er så omfattende og kompliserte at det er blitt en belastning å holde seg ajour. Ofte pålegger organisasjoner, – kanskje spesielt offentlige etater, seg større restriksjoner enn nødvendig, for «sikkerhets skyld». I mange tilfelle blir dette en barriere for fellesskapet, både hva gjelder vår kapasitet til å skape ny kunnskap gjennom forskning og for innovasjon og konkurransekraft.

Og de myndighetspålagte begrensningene fremstår som et paradoks når vi ser på hvor mye informasjon vi deler frivillig. Gjennom sosiale medier, apper og andre digitale tjenester gir vi fra oss enorme mengder data. Denne informasjonen kan brukes til alt fra målrettet reklame til mer uetiske formål.

Sammenlignet med dette er overvåkning for et tryggere arbeidsmiljø og et tryggere samfunn lite inngripende.

Tillit

Til syvende og sist handler det om intensjon. Et godt arbeidsmiljø og et godt samfunn bygges på gjensidig respekt og åpen kommunikasjon og gode intensjoner. Teknologi, overvåkning inkludert, kan bidra til større trygghet hvis intensjonen er større trygghet.

Vi har vært ganske gode til å tenke i disse baner i Norge, – kanskje til og med litt for godeMen verden endrer seg raskt, og dagens gode intensjoner baner vei for morgendagens dårlige.

God tirsdag.

Oppskriften på megasuksess

Oppskriften på megasuksess

Jeg møtte JT Foxx forrige uke. Han lover meg mega suksess som mega speaker. Jeg sier takk, men nei takk. Jeg tar heller den lange veien.

Min gode venn Rick Salmon (han som jeg skal lede en workshop med på onsdag) inviterte meg til en event han egentlig ikke hadde lyst til å gå på, men som vi begge gikk på likevel – kanskje litt for å utfordre våre fordommer mot suksessbesatte amerikanere som bare er opptatt av penger. (Ja, Rick er selv amerikaner.)

Det var JT Foxx som var i Oslo. Jeg hadde aldri hørt om JT Foxx før, men det er åpenbart min ignoranse, for han har visstnok snakket i et 50-talls land for titusenvis av deltakere som vanligvis betaler hundrevis om ikke tusenvis av dollar for å høre på ham.

Men i Oslo var det gratis.

Temaet for dagen var hvordan man kan bygge seg opp som en mega speaker. Hvordan kan man bli som JT Foxx og håve inn millioner av dollar på å prate for folk?

«Tracy! Chairs!»

I innsjekkingen satt Tracy, en streng, gråhåret kvinne, og tapet deltakerbånd rundt håndleddene våre. Da vi etter hvert slapp inn i salen på Radisson Blu satt vi 60-70 wannabe megasuksesser og ventet spent på inspirasjon og innblikk i megaspeakerens hemmeligheter.

Men først kom hans forretningspartner Brent Turley. Brents viktigste tips var å connect with your audience. Det gjorde han ved å gjøre narr av skandinaver og vår latterlige «jante law», og for øvrig snakke en time om seg selv, sin familie, sin bankkonto og hvor mange land han har vært i, mens han innimellom bjeffet kommandoer til Tracy.

«Tracy! Chairs!»

Da JT endelig dukket opp (han heter faktisk JT, det er ikke initialene hans), ga han oss mer av det samme. Fram til lunsj snakket han om hvor rik han er, hvor mange selskap og eiendommer han har investert i, og hvordan han startet med to tomme hender og nå omgås celebriteter og superstjerner.

Og nettopp celebriteter viser seg å være essensielt i hans suksessformel.

«Det spiller ingen rolle hva du sier eller kan så lenge du omgås celebriteter og kan bevise det på sosiale medier», var essensen slik jeg hørte det.

JT fikk også inn noen setninger om hvor teite vi skandinaver er, som lever etter den latterlige jante law.

Vi fikk på mange måter bekreftet våre fordommer, og Rick og jeg forlot åstedet i lunsjen.

Mer enn overfladiskhet

Hvorfor forteller jeg det dette en tirsdag morgen?

Jeg er kanskje sær, men jeg har visst ikke veldig sterke drivere for stadig mer penger, og fristes bare sånn måtelig av tanken på å ta selfies med Arnold Schwarzenegger og Julia Roberts.

Og der er vi kanskje dumme. Hadde jeg vært smart skulle jeg tatt selfies med celebriteter jeg har møtt gjennom tidene. Akkurat der har jeg kanskje gått glipp av noen muligheter.

Skal jeg oppsummere hva jeg lærte av JT, vil det være at det er mange ulike perspektiver på suksess. For noen handler det om penger, og det er forståelig. Du må kanskje være oppvokst i verdens rikeste land før du definerer suksess annerledes, for eksempel som personlig utvikling, gode relasjoner, et godt og balansert liv.  Var det noe JT og kompisen hans fikk hamret inn, så er det at tusenvis av mennesker gjerne betaler tusenvis av dollar for drømmen om å bli som dem, og da har de ikke samme ståsted som meg.

Så dette utfordrer meg til å reflektere den enorme tiltrekningskraft folk som JT Foxx har. Det finnes åpenbart nok av mennesker som er villige til å betale store summer for å lære hvordan de kan oppnå den typen suksess Foxx lover.

«Oss» og «dem»

Så, noe av poenget med denne historien er: mer enn bare å peke på forskjellene i verdier mellom «oss» og «dem», er det viktig også å utforske hvorfor jeg reagerer slik jeg gjør. Kanskje er det en forsvarsmekanisme mot et samfunn som hyller suksessens ytre attributter, og kanskje, innerst inne, er jeg redd for at det jeg står for kan være like flyktig som JT Foxxs rikdommer.

Er folk som meg og Rick bare blaserte kvasi-intellektuelle og ditto spirituelle klovner som ikke skjønner hva som er suksesskriteriene i dagens samfunn?

Kanskje det.

Men å betale 5000 dollar for en tur til LA og garantert tre selfies med megakjendiser som fundament for en karriere som «mega speaker»?

Nei takk. Da tar jeg heller den lange veien.

God tirsdag.

PS. Rick og jeg har en workshop ¯som har en litt mer kvasi-intellektuell og -spirituell tilnærming til det å ha innflytelse. Vi kjører den på onsdag, og i likhet med JT Foxx kjører vi den gratis – såfremt du har den rette rabattkoden. Den må du spørre etter i en epost til meg. Det er svært få plasser, og du må melde deg innen dagen er omme (tirsdag 8. oktober). Les mer om temaet her.

PS2: Jeg skal forresten mega-speake på HMS-tinget senere denne måneden. Sjekk det ut her.

IT-jus nr. 9/24

IT-jus nr. 9/24

Når denne introduksjonen skrives, sitter jeg i Stockholm og skal delta på Nordic Privacy Arena. Der skal jeg lede et stort panel som skal diskutere om Europa har de riktige rammebetingelsene for å lykkes i konkurransen med andre kontinenter fremover. Ikke et lite spørsmål.

Høyt på agendaen står den såkalte Draghi-rapporten som kom tidligere i september, der EUs tidligere sentralbanksjef kommer med forslag til hvilke regulatoriske endringer EU trenger fremover. Rapporten har et eget kapittel om “computing and the AI sector”. Fascinerende nok foreslås enda et regelverk som skal hjelpe med dette – en “EU Cloud and Development Act”. Det anbefales å skumme gjennom rapporten.

Hva trenger våre land for å være konkurransedyktige fremover? Neppe regelverk som i Kina, selv om de enkelt kan lære opp mye KI på data. Det må være mer balansert. Men det trengs tydeligere råd fra myndighetene. Kanskje er noe av det viktige nå at tilsynsmyndigheter får ressurser nok til å gjøre den jobben på en ordentlig måte. Når myndighetene kommer med “opinions” som i praksis fungerer som lovgivning, må man opptre klokt. Mer om dette i første innlegg under.

I øvrig er det typisk at størstedelen av foredragene i Stockholm dreier seg om KI. Jeg lurer på å skifte navn på nettverket fra PrivacyTech til Privacy&Tech. Jeg opplever at vi jobber mer med tech i bred forstand for tiden enn bare personvern. Det er som vanlig mange saker under.

God lesning!

Hilsen Eva
i samarbeid med advokatfullmektig Trygve Karlstad


Demokratisk svikt hos EDPB?

Jeg heier på EU selv om institusjonen ikke er perfekt. Det må likevel være lov å peke på ting som bør gjøres bedre. Forskjellen mellom bruken av Opinions og Guidelines hos EDPB er en slik. Opinions fra EDPB blir vedtatt kjapt og uten høring (8-14 uker) – guidelines tar lengre tid og sendes på høring.

Reglene i GDPR er skjønnsmessige. Datatilsynene baserer ofte sin tolkning på ulike retningslinjer fra EU. Et eksempel er EDPBs Opinion om “pay – or consent”. EDPB mener selv Opinions bør brukes på “targeted questions requiring a swift answer, while guidelines are better suited for matters with a larger scope”.  

Hva som er et “targeted question” vil det jo være ulike syn på, men nevnte opinion angir en rekke kriterier for når en tjeneste må tilbys gratis (ja – helt sant), og de skriver også at kriteriene i opinionen skal “typically apply to large online platforms, but not exclusively. Some of the considerations expressed in this opinion may prove useful more generally for the application of the concept of consent in the context of ‘consent or pay’ models.”

Mange vil mene at dette ikke er spesielt “targeted” med en så stor rekkevidde. Opinionen binder dessuten datatilsynenes regeltolkning. Vi har altså en opinion om at enkelte tjenester må tilbys gratis – og det har ikke vært til avstemning i noe parlament og har ikke vært på noen høring.

På samme måte som at jeg mener at fravær av personvern er farlig for demokratiet, mener jeg denne fremgangsmåten fra EDPB er problematisk fra et demokratisk synspunkt. Og nå arbeider EDPB med en ny opinion om trening av KI. Det er ikke gitt at en slik opinion tåler å prøves for om den er blitt til på forsvarlig måte. Det er forståelig at mange har lyst å utfordre slike “Opinions” fra EDPB og jeg tror det blir flere rettssaker om dette fremover.


Taper Europa i kampen om KI?

Du har sikkert hørt det. Europa er en sinke når det gjelder utvikling av KI. Norge er kanskje aller tregest. Jeg skal ikke mene så mye om det er riktig, men det er viktig med balanserte rettslige rammer rundt KI. Som jeg nevnte i forrige nyhetsbrev har det regulatoriske landskapet blant annet ført til at Iphone ikke har åpnet for nyeste KI på sine siste modeller i Europa, og Meta lanserer ikke alle sine KI-modeller i Europa. Flere av de store KI-aktørene har skrevet et åpent brev om hvor dårlige de mener reglene er i EU.

En rekke av de store teknologiselskapene uttrykker i dette brevet bred bekymring for at Europas reguleringer ikke bare er fragmenterte, men også at de står i veien for innovasjon og økonomisk vekst. Dette synet støttes av iPhone og Meta, som begge har måttet tilpasse seg de strenge europeiske personvernreglene, og i noen tilfeller valgt å ikke lansere visse produkter eller tjenester.

På den andre siden må man opprettholde sterke personvernstandarder. Uten disse reguleringene, kan bruk av persondata for å trene KI-modeller føre til alvorlige inngrep i individets privatliv og autonomi. Dette synet er spesielt relevant i lys av EDPBs kommende opinion om trening av KI, som har potensial til å påvirke hvordan persondata kan og bør brukes i fremtiden.

Det er sikkert mye å utsette på tilnærmingen til reguleringen av KI i Europa, både med tanke på GDPR og AI Act. EDPB sitt arbeid med den nye opinionen er derfor kritisk. Det er viktig at denne prosessen ikke blir forhastet, men at den tar hensyn til de ulike synspunktene og bekymringene som er uttrykt av både industrien og personvernforkjemperne.

En veloverveid og informert tilnærming fra EDPB vil være avgjørende for hvilke aktører som kan utvikle KI-modeller i Europa. Dermed er ikke EDPBs Opinion bare interessant fra et personverns-synspunkt, men vil også påvirke hvorvidt Europa kan konkurrere på den globale arenaen uten å ofre sine personvernsprinsipper. Det er avgjørende at man finner en middelvei som tillater Europa å dra nytte av KI-innovasjon, samtidig som man beskytter individer i en verden der data er en stadig mer verdifull ressurs.

Les mer her:

Open letter: Europe needs regulatory certainty on AI

Fortune: Mark Zuckerberg says Europe needs more consistent AI regulation—and even his privacy nemesis agrees


Digitalsikkerhetsloven og Norge

Så over til noe håndfast og praktisk. Selv om det er mye fokus for tiden på NIS 2 direktivet, som skal gjennomføres i hvert av EUs medlemsland innen 17. oktober i år, så vil ikke dette direktivet treffe norske virksomheter direkte ennå. I Norge henger vi litt etter resten av Europa, så vi gjennomfører NIS 1 direktivet ved digitalsikkerhetsloven.

Digitalsikkerhetsloven gjelder for tilbydere av samfunnsviktige tjenester innenfor enkelte sektorer, nemlig energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.  Det kom helt nylig forslag til forskrift om hvem som rammes. Det er tre vesentlige forskjeller mellom NIS og NIS 2. Den første knytter seg til virkeområdet, hvor NIS 2 omfatter mange flere sektorer enn det første NIS direktivet.

I tillegg oppstiller NIS 2 krav til risikostyring og sikkerhetstiltak, deriblant at man skal håndtere risiko hos sine leverandører.

Sist, men ikke minst, så oppstiller NIS 2 strengere sanksjonsmuligheter både økonomisk, men også for styre- og ledelsesansvar i virksomheter.

På kort sikt vil det for norske virksomheter flest være viktigst å sette seg inn i de kravene man finner i digitalsikkerhetsloven, mens det på lengre sikt vil være viktig å tilpasse seg NIS 2, som trolig vil bli en del av norsk rett på et tidspunkt.  

Her finner  du forslaget til forskrift om hvem som omfattes:

Regjeringen: Høring – forslag til forskrift til digitalsikkerhetsloven


Ansiktsgjenkjenning – nå også i Danmark

Den siste tiden har jeg ofte skrevet om at ansiktsgjenkjenning synes å bli mer akseptert i ulike sammenhenger. Nå har det også skjedd i Danmark.

Den danske regjeringen har besluttet å utvide politiets muligheter til å bruke ansiktsgjenkjenningsteknologi i etterforskningen av alvorlige kriminalsaker som drap, grov vold og voldtekt. Dette tiltaket er en del av en større strategi for å effektivisere politiets arbeid og øke sikkerheten.

Denne utviklingen har imidlertid reist bekymringer hos Datatilsynet, og de har derfor sendt en forespørsel til politiet om å få innsikt i de vurderinger og tiltak som er gjort i forbindelse med implementeringen av ansiktsgjenkjenningsteknologien. Blant annet er det etterspurt informasjon om hvordan politiet har planlagt å utføre en konsekvensanalyse for databeskyttelse, samt hvordan de har tenkt å involvere Datatilsynet før teknologien tas i bruk.

Ansiktsgjenkjenningsteknologi representerer et kraftig verktøy for etterforskning og etterretning, men den innebærer også store risikoer for individers privatliv og rettigheter. Slik teknologi må innføres med strenge rammer og retningslinjer for å beskytte borgernes personopplysninger.

Se mer her:

Datatilsynet: Datatilsynet stiller spørgsmål til Rigspolitiet om ansigtsgenkendelse


Mer fokus på betydning av automatiserte avgjørelser

En domstol i Belgia måtte nylig ta stilling til et spørsmål omkring midlertidig begrensing (shadow banning) på sosiale medier i lys av personvernforordningen. Meta hadde redusert synligheten av innlegg fra den høyrevridde belgiske politikeren Tom Vandendriessche, uten at han var klar over det. Domstolen måtte derfor ta stilling til hvorvidt dette brøt med reglene i GDPR om automatisert individuell behandling i artikkel 22, samt kravene til informasjon og åpenhet i artikkel 13 og 14.

Den belgiske domstolen vektla at dersom man moderer innhold på denne måten så må databehandleren gjennomføre tiltak som ivaretar den registrertes rettigheter. Dette inkluderer informasjon om den automatiserte behandlingen, forklaring bak den konkrete beslutningen og en mulighet for den registrerte til å klage på beslutningen.  Konklusjonen ble derfor at Metas beslutning om å fjerne noen av Vandendriessches meldinger og innføre shadow banning var en automatisert beslutning uten “meaningful human intervention” og i strid med GDPR artikkel 13 og 14.

Dommen er særlig relevant i lys av den enorme utviklingen av AI-modeller. GDPR, men også DSA, oppstiller begrensninger i hvordan man kan benytte seg av automatiserte behandlinger i tilfeller som dette. Rettspraksis som dette er derfor særlig viktig for å kunne oppstille konkrete krav til hva man må etterleve før man benytter seg av AI-moduler. Jo mer man benytter seg av automatiserte modeller dersto mer vil kravene til å gi forklaring, og mulighet til den registrerte til å klage på beslutningen, skjerpes.

Les mer om saken her:

Lexology: Recent judicial scrutiny of the shadow banning practices


Uber-saken – hva handler den egentlig om?

Det nederlandske datatilsynet har ilagt Uber en bot på 290 millioner euro for brudd på personvernreglene i GDPR. Uber ble funnet skyldig i å ha overført personopplysninger om europeiske sjåfører til USA uten tilstrekkelige sikkerhetstiltak for å beskytte dataene. Personopplysningene som ble overført inneholdt sensitiv informasjon som kontoopplysninger, taxilisenser, lokasjonsdata, bilder, betalingsdetaljer, identitetsdokumenter og i noen tilfeller kriminelle og medisinske data. Overføringen av disse dataene til Ubers hovedkontor i USA pågikk i over to år uten bruk av standard personvernbestemmelser (SCCs) som overføringsgrunnlag.

Det som imidlertid er verdt å merke seg er at Uber besluttet å fjerne sine SCCs fordi de trodde de ikke trengte dette for sine overføringer av personopplysninger. Uber antok at Artikkel 3 i GDPR gjorde at hele virksomheten deres, inkludert den som er lokalisert i USA, var omfattet av personvernforordningen. Denne artikkelen utvider virkeområdet til behandling utenfor EU når det er relatert til tilbud av varer eller tjenester til personer innenfor EU. I tillegg støttet de seg på en uttalelse fra EU-kommisjonen som angir at SCCs ikke kan brukes for dataoverføringer til databehandlere eller prosessorer hvor behandlingen er direkte underlagt GDPR. Videre hadde Kommisjonen uttalt at de var i ferd med å utvikle nye SCCs for disse tilfellene.

Dette synet ble imidlertid ikke støttet av det nederlandske datatilsynet. Det kritiserte Uber for deres tolkning og insisterte på at Uber burde fortsatt å bruke SCCs. Det nederlandske DPA argumenterte for at Uber på ingen måte kunne ha utledet fra Kommisjonens uttalelser at SCCs eller andre overføringsgrunnlag ikke var nødvendig.

Denne saken illustrerer utfordringene bedrifter kan møte på i tolkningen av GDPR og nødvendigheten av å være forsiktig med juridiske tolkninger, spesielt når det gjelder internasjonal dataoverføring. Til tross for at Uber hadde forsøkt å etterleve regelverket lojalt, fikk de lite gehør for dette av det nederlandske datatilsynet.

Saken er komplisert og viser hvor sammensatt regelverkene er. Beslutningen fremstår formalistisk fra datatilsynets side. Saken er naturligvis anket. Det er lett å forstå at mange kritiserer avgjørelsen og jeg er ikke sikker på at det er denne type forvaltningspraksis som bringer personvernet fremover.

Les mer om saken her:

Autoriteit persoongegevens: Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers’ data to the US


Flere SCC’er!

Som nevnt ovenfor, forbereder den europeiske kommisjonen en konsultasjon om nye SCCs for dataoverføringer til databehandlere og prosessorer utenfor EU som er direkte underlagt GDPR. Disse vil da gjelde parallelt med de eksisterende SCCs som regulerer forhold hvor importøren ikke er underlagt GDPR.

I lys av Uber-saken, er en sentral problemstilling som har oppstått hvorvidt SCCs fortsatt er nødvendige når overføringen skjer til en dataimportør som befinner seg utenfor EU, men som er direkte underlagt GDPR. Dette har ført til en debatt om hvorvidt SCCs kan føre til unødvendig dobling av forpliktelser og skape forvirring for bedrifter som forsøker å overholde overlappende juridiske krav.

EDPB har konkludert med at man bør kreve SCCs, selv når importøren er underlagt GDPR, ettersom SCCs vil kunne adressere mulige motsetninger mellom utenlandske lover og EU-regelverk. Som understreket kan dette ha betydelige praktiske konsekvenser, som den nylige boten på 290 millioner euro til Uber i Nederland.

De nye SCCs sikter mot å løse den forvirringen som Uber opplevde, ved tydelig å skissere forpliktelsene for importører i tredjeland som er direkte underlagt GDPR. Dette vil bidra til å sikre konsekvent overholdelse samtidig som det unngås unødvendig dobling av krav som kan belaste bedrifter. Kommisjonen planlegger å lansere en offentlig konsultasjon i løpet av fjerde kvartal 2024, med et forventet utkast innen andre kvartal 2025.

Om det reelt sett blir bedre personvern av at vi får enda et sett med SCC’er er jeg usikker på. Men det formelle blir enklere å ordne.


I en sak fra det belgiske datatilsynet ble det vurdert hvordan cookie banners på ulike nettsiders var utformet. Datatilsynet fant at det ikke var tilstrekkelig å klikke på en knapp det sto “click more” for å avvise informasjonskapsler, og det krevdes at avvis-knappen skulle presenteres sammen med akseptknappen for å gi et reelt valg om samtykke til informasjonskapsler.

Videre ble fargebruken på knappene ansett som villedende, og rent grafisk var det for komplisert å trekke tilbake samtykke sammenlignet med å gi det. Som forbruker er jeg helt enig.

Les mer om saken her:

GDPRhub: APD/GBA (Belgium) – 113/2024


Ny avgjørelse fra CJEU – Deling av kontaktinformasjon – C-17/22 og C-18/22

Saken dreier seg om hvorvidt en gruppe investeringsselskaper kunne kreve at en stiftelse utleverer kontaktinformasjon om sine deltakere med indirekte eierandeler i investeringsfond. Saksøkte, altså stiftelsen, motsatte seg å utlevere denne informasjonen, og fremholdt at avtalerettslige klausuler forbød slik deling av data til andre aksjonærer. Tyske domstoler var usikre om hvorvidt eksisterende tysk rettspraksis, som pålegger saksøkte å dele dataene med mindre det foreligger misbruk av rettigheter, er forenlig med GDPR. Derfor ble saken henvist videre til EU-domstolen.

EU-domstolen vurderte dermed spørsmålet opp mot flere bestemmelser i personvernforordningen, spesielt artikkel 6(1) som omhandler behandlingens lovlighet. Domstolen vurderte ulike rettslige grunnlag for behandlingen:

  1. Artikkel 6(1)(a) GDPR – Samtykke: Ettersom de registrerte ikke hadde gitt samtykke, så kunne ikke dataene deles.
  2. Artikkel 6(1)(b) GDPR – Nødvendig for å oppfylle en avtale: Etter en tolkning av kontrakten som de registrerte hadde inngått, konkluderte domstolen at avtalen forbød utlevering av informasjon om deres identitet.
  3. Artikkel 6(1)(f) GDPR – Legitime interesser: EU-domstolen fant argumenter for at det forelå legitim interesse for å få tilgang til informasjonen, men domstolen presiserte at det finnes mindre inngripende måter å oppnå dette på, som for eksempel å spørre de registrerte om de ønsker å bli kontaktet. Domstolen uttrykte tvil om dette kunne være et tilstrekkelig rettslig grunnlag.
  4. Artikkel 6(1)(c) GDPR – Rettslig forpliktelse: Domstolen bemerket at selv om det ikke foreligger en lovhjemlet forpliktelse, kunne rettspraksis mulig utgjøre en rettslig forpliktelse. Imidlertid må det kunne oppstilles enkelte krav til at dersom rettspraksis skal utgjøre en rettslig forpliktelse, må den være tilstrekkelig klar og forutsigbar. Det var imidlertid opp til nasjonale domstoler å avgjøre om disse kravene er oppfylt.

Tre nye uttalelser fra generaladvokatene (AG-opinions)

Innsyn i algoritmer ved automatiserte behandlinger – C-203/22

Saken dreier seg om en mobiloperatør som nektet å inngå en kontrakt med en person på grunn av påstått utilstrekkelig kredittverdighet, vurdert ved hjelp av tjenester fra Dun & Bradstreet i Østerrike. Personen krevde innsyn i algoritmen bak den automatiserte behandlingen som ble brukt for å vurdere kredittverdigheten, noe som førte til en rekke juridiske spørsmål og til slutt en henvisning til EU-domstolen for en foreløpig avgjørelse.

Generaladvokat De La Tour publiserte nylig sin mening om saken. Først fremhevet De La Tour at den registrerte må få “meningsfull informasjon” om logikken bak automatiserte behandlingen, som ble innfortolket i artikkel 15(1) bokstav h. Videre ble det understreket at den registrerte har “rett til en forklaring” om de mekanismer som er brukt i den automatiserte beslutningsprosessen. Dette er ikke bare for å verifisere lovligheten av databehandlingsaktiviteten, men også for å muliggjøre utøvelsen av andre rettigheter den registrerte har under GDPR, spesielt de som er knyttet til Artikkel 22.

Generaladvokaten fremhevet at et individ må få informasjonen i samsvar med kravet om åpenhet, og må inneholde detaljer om konteksten og logikken bak den automatiserte behandlingen. Informasjonen skal være klar og tilgjengelig, og om nødvendig supplert med ytterligere forklaring. Kravet er imidlertid ikke så vidt at forklaringen må dekke hvordan algoritmen fungerer, på grunn av dens komplekse natur, men bør heller inneholde en klar og forståelig beskrivelse av den anvendte logikken, inkludert metoden, kriteriene som er brukt, og deres vekting. Videre bør den registrerte kunne bruke informasjonen som er gitt for å kontrollere at dataene som er brukt er riktig og vurdere om behandlingen samsvarer med disse dataene. Saken, når den blir endelig, vil antakelig gi nyttige avklaringer om forklaringsplikten for algoritmer.

C-247/23 – GDPR, retting og transrettigheter

En transperson som ble tildelt flyktningstatus i Ungarn, klaget inn det ungarske immigrasjonsmyndighetene for feilregistrering i asylregisteret. Ved søknad om flyktningstatus påpekte vedkommende at han identifiserte seg som mann og brukte sin transseksualitet som grunnlag for anerkjennelse som flyktning. Behandlingsansvarlig, altså immigrasjonsmyndighetene, registrerte vedkommende som kvinne. Senere ba den registrerte om at oppføringen i asylregistrert skulle endre navn og kjønn fra kvinne til mann, men dette ble avvist fordi den registrerte ikke kunne bevise at kjønnsbekreftende behandling var gjennomført.

Ungarske domstoler har referert saken videre til EU-domstolen hvor sakens kjerne er tolkningen av Artikkel 16 i GDPR. I den forbindelse har generaladvokat Collins foreslått at retten burde tolke Artikkel 16 i GDPR, i lys av Artikkel 5(1)(d), slik at en nasjonal myndighet som har laget et flyktningsregister, er pålagt å rette personopplysninger om kjønn som feilaktig ble registrert, dersom den registrerte ber om det. Videre bør det ikke kreves at den registrerte må bevise gjennomført kjønnsbekreftende kirurgi for å rette kjønnsdata. Artikkel 16 inneholder ikke noe krav til bevis fra den registrerte. Beviskravet for retting av data bør vurderes fra sak til sak, men det kan ikke kreves at den registrerte må påvise en spesiell interesse for rettelsen eller at den påståtte unøyaktigheten forårsaker skade.

C-383/23 – Beregning av GDPR bot

I en nylig uttalelse fra generaladvokat Medina, fremhevet han hvordan bøter for brudd på personvernforordningen bør beregnes når de pålegges en behandlingsansvarlig eller databehandler som er en del av et større foretak. Når maksimalt bøtenivå skal fastsettes, skal den totale årlige omsetningen til hele foretaket, inkludert morselskapet, tas i betraktning. Dette setter en øvre grense for hvor store bøter som kan ilegges. Dette er kanskje ikke overraskende, men en nyttig påminnelse om at det ofte er et betydelig rom for å gi store bøter. Den siste tiden har vi både sett svært store bøter – men også at det ilegges mange irettesettelser.

Det er imidlertid viktig å merke seg at dette kun er ett av flere elementer som vurderes når den faktiske boten skal fastsettes. Datatilsynet eller domstolen må også foreta en konkret vurdering basert på andre faktorer, som foretakets beslutningsmakt, omfanget av overtredelsen, og antall enheter i foretaket som er involvert.


Svensk forvirring om samtykke, avtaler og litt om fusjoner og ansvar

Det svenske datatilsynet (IMY) har foretatt et tilsyn hos Expressen Lifestyle AB og funnet at selskapet har behandlet personopplysninger uten å oppgi korrekt rettslig grunnlag. Etter innføringen av GDPR i 2018, baserte Expressen hovedsakelig behandlingen av abonnementsdata på kontraktsmessig nødvendighet og berettiget interesse, fremfor samtykke.

Det ble oppdaget en feil i personvernerklæringen til selskapets nettbutikk som ga uttrykk for at det rettslige grunnlaget var basert på samtykke, og som dermed ikke var oppdatert i tråd med selskapets faktiske praksis. Videre ble det gitt informasjon om retten til å trekke tilbake samtykket, noe som forsterket inntrykket av at samtykke var det rettslige grunnlaget for behandlingen. Etter at tilsynet startet, tok Expressen umiddelbare skritt for å korrigere informasjonen i deres nettbutikk.

IMY konkluderte med at den opprinnelige teksten i personvernavklaringen ga inntrykk av at samtykke var det juridiske grunnlaget for behandling av personopplysninger. Siden Expressen faktisk baserte sin behandling på avtale og berettiget interesse, fant IMY at Expressen hadde brutt artikkel 13(1) bokstav c ved å oppgi feilaktig rettslig grunnlag. Tilsynsmyndigheten fant at overtredelsene var mindre alvorlige, ettersom nettstedet ikke var hovedsiden som ble brukt av abonnentene for å tegne abonnementer. Antallet berørte personer var begrenset, og bruddet førte ikke til alvorlige konsekvenser for de registrerte. Derfor utstedte IMY en reprimande uten bøter.

Dette tilfellet understreker viktigheten av å sikre at all kommunikasjon om rettslig grunnlag for behandling av personopplysninger er korrekt og tydelig. Mange blander avtaler med samtykke, og grensen kan være hårfin. Hvis du bruker noen av disse som grunnlag for behandling – ta en titt på informasjonen du gir kundene dine og se om ordlyden trenger en oppfriskning.

Les mer her:

IMY: Tillsyn enligt dataskyddsförordningen – Expressen Lifestyle AB


Enkelte Datatilsyn blir også saksøkt

Som sikkert mange kjenner til har det den siste tiden vært særlig søkelys på hvorvidt såkalt “pay or okay” er i tråd med personvernforordningen. Pay or okay dreier seg om å gi brukerne et valg om sporing og profilering for markedsføringsformål eller betale en avgift for å slippe (rettet) reklame.

Bakgrunnen er at sommeren 2021 la en person inn en klage mot Der Spiegels “pay or okay”-banner. Etter nesten tre års vurdering, konkluderte datatilsynet i Hamburg med at dette i prinsippet er tillatt. Beslutningen er imidlertid svært kontroversiell. Kritikken går på at fakta i saken er lettvint behandlet, og det stilles spørsmål ved om brukernes samtykke virkelig kan anses som frivillig når over 99,9% av brukerne aksepterer sporing under slike omstendigheter.

I forlengelsen av dette har NOYB reist søksmål mot datatilsynet angående deres håndtering av “pay or okay”-banneret. Særlig reiser søksmålet spørsmål omkring datatilsynets partiskhet. Det fremheves blant annet at datatilsynet hadde vært i tett dialog med Der Spiegel gjennom hele prosessen og at de hadde gitt råd om foreslåtte endringer. Datatilsynet har også fakturert Der Spiegel for de administrative kostnadene i prosedyren, men denne summen ansees å være betydelig lavere enn hva juridiske rådgivninger normalt ville kostet.

Les mer om saken her:

NOYB: ‘Pay or OK’ at DER SPIEGEL: noyb sues Hamburg DPA


NOYB fortsetter å klage på EUs institusjoner

Det er ingenting som tyder på at NOYB har tenkt til å gi seg med det første. I tillegg til to saker der de har klaget på EDPS, klager de nå inn selve EU-parlamentet.

I mai 2024 avslørte EU-Parlamentet en omfattende datalekkasje på deres rekrutteringsplattform, PEOPLE, som berører personopplysningene til over 8.000 nåværende og tidligere ansatte. Lekkasjen inkluderer sensitive data som ID-kort, pass, kriminelle rulleblad, bostedsdokumenter og ekteskapsattester, som kan avsløre en persons seksuelle orientering. Det er fortsatt uklart når og hvordan bruddet skjedde, og det ble først oppdaget flere måneder i etterkant.

I kjølvannet av dette datainnbruddet har NOYB klaget inn EU-parlamentet til EDPS. Klagen peker på manglende etterlevelse av grunnleggende prinsipper som dataminimering og lagringskrav. Mange av disse opplysningene har EU-parlamentet lagret i 10 år, langt utover det som anses som nødvendig. Dessuten har EU-parlamentet lenge vært kjent med sårbarheter i sitt datasikkerhetssystem, og de har vært utsatt for lignende cyberangrep tidligere. Noyb ønsker dermed at EDPS skal sikre at EU-Parlamentet overholder personvernforordningen.

Les mer om klagen her:

NOYB: Noyb files two complaints against EU Parliament over massive data breach


Nok en sak om innsyn, blant annet i informasjon i epost

Denne saken dreier seg om en tidligere ansatt og kunde hos det svenske togoperatørselskapet SJ som hadde bedt om tilgang til sine personopplysninger. SJ kunne imidlertid ikke gi dette på grunn av tekniske problemer med bank-ID-verifisering i selskapets kundeportal. SJ ba derfor om ytterligere informasjon for manuell identifikasjon, som ble verifisert av den registrerte tre måneder senere ved hjelp av bank-ID på mobil.

Først mottok den registrerte informasjon om behandlingen av personopplysninger relatert til den registrertes arbeidsforhold, men informasjonen dekket kun perioden fra 2008 og utelot tekniske data. Deretter fikk den registrerte mangelfull informasjon om kundeforholdet. Selskapet hevdet at all informasjon var tilgjengelig på deres nettside, men den registrerte ble ikke informert om hvordan man kunne få tilgang til den informasjon som manglet.

Den registrerte klaget så til det svenske Datatilsynet (IMY). IMY konkluderte med at fristen for å svare på forespørselen i utgangspunktet begynte allerede ved den første forespørselen fra den registrerte, men denne fristen ble skjøvet ut til databehandleren mottok den identifikasjonsinformasjon de etterspurte. SJ hadde uansett ikke gitt rett til innsyn innen fristen, eller informert om en forlengelse av fristen, noe som brøt med Artikkel 12(3). Videre fastslo Datatilsynet at mangelen på fullstendig informasjon var et brudd på GDPR Artikkel 15. Ettersom dette bare var et mindre brudd på personvernforordningen fikk selskapet bare en irettesettelse.

Les mer her:

IMY: Beslut efter tillsyn enligt dataskyddsförordningen – SJ AB


Offentlighetslov og GDPR – ikke bare enkelt

Datatilsynet har ilagt Stavanger Arbeiderparti en irettesettelse for behandling av personopplysninger på vegne av flertallspartiene i Stavanger. Dette skjer etter klager fra flere privatpersoner som mottok politisk reklame via e-post i forbindelse med kommunevalget den 20. august 2023. E-postene ble sendt til foreldre til barn i barnehager og skoler i Stavanger, hvor kontaktinformasjonen var utlevert av kommunen under offentlighetsloven.

Klagene til Datatilsynet omhandlet spørsmål som gjelder lovligheten av både kommunens og partienes håndtering av personopplysningene. Datatilsynet ba derfor om en redegjørelse fra Stavanger Arbeiderparti for å klargjøre formålet med og det rettslige grunnlaget for e-postutsendelsen.

I sitt vedtak konkluderte Datatilsynet med at Stavanger Arbeiderparti ikke hadde utført nødvendige vurderinger av hjemmelen for behandlingen av personopplysningene, og at de heller ikke hadde informert de registrerte om denne behandlingen på en tilfredsstillende måte. På grunn av disse manglene ble partiet ilagt en irettesettelse. Datatilsynet har nå avsluttet saken.

GDPRhub: Datatilsynet (Norway) – 23/03206


Kommer CSAM likevel?

I forrige nyhetsbrev skrev jeg at CSAM-forslaget ble trukket. Nå har det ungarske formannsskapet sagt at de vil få gjennomført loven likevel og at man sikter mot en enighet i Rådets møte i oktober. Selv om det gjøres endringer i hvordan overvåkning, søk og oppslag i chatter skal gjøres, vil det antakelig ikke svekke kritikerne som mener at tiltaket er for inngripende. Politico har offentliggjort interne dokumenter om prosessen, som kan leses her av interesserte: an internal document published by Politico


Bøter er ikke så spennende lenger, men noen er interessante

Det nederlandske datatilsynet har ilagt det amerikanske selskapet Clearview AI en bot på 30,5 millioner euro for ulovlig innsamling av data til ansiktsgjenkjenning.

Clearview AI har bygget en database med over 30 milliarder bilder, inkludert bilder av nederlandske borgere, uten deres viten eller samtykke. Disse bildene er skrapt fra internett og konvertert til unike biometriske koder. Clearview sine tjenester er mye brukt av etterretnings- og etterforskningsorganer utenfor EU, ved at man laster opp et bilde som sammenlignes til Clearviews sin enorme database.

Det var særlig to forhold som utgjorde et brudd på personvernforordningen. For det første anså det nederlandske datatilsynet ansiktsgjenkjenningsteknologien til Clearview som svært inngripende for rettighetene til de registrerte. Databasen lagret særlige kategorier av personopplysninger, og datatilsynet fant ingen av unntakene i Artikkel 9 oppfylt. Det andre forholdet var at Clearview ikke var tilstrekkelig åpne om bruken av bildene og de biometriske dataene, og har ikke samarbeidet med forespørsler om innsyn i dataene.

Det er også noe bekymringsverdig at dette vedtaket føyer seg i rekken av andre europeiske datatilsyn som har gitt bot til Clearview for lignende overtredelser, med liten vilje for Clearview til å endre sin praksis.

Les mer her

Autoriteit persoongegevens: Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition


En kjent sak om dataskraping har fått en avslutning

Det har nå blitt inngått et forlik i en kjent sak om dataskraping. Staten Texas hadde saksøkt Meta for å ha brukt ansiktsgjenkjenningsteknologi ulovlig for å skrape biometriske data til millioner av innbyggere i Texas uten samtykke.  Ifølge Texas hadde Meta skrapt denne informasjonen fra bilder og videoer som brukere lastet opp på Facebook. Partene har nå blitt enige om et forlik, som går ut på at Meta skal betale 1,4 milliarder dollar til Texas.

Les mer her:

Reuters: Meta to pay $1.4 billion to settle Texas facial recognition data lawsuit


KOMMENDE MØTER

24. okt 14.00 – 16.00 Digitalt nettverksmøte
14. november 12.00 – 13.00 Digital drop-in
12. des 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Hvordan? Hvorfor? Dét er spørsmålet. (Hjelp meg å finne svaret)

Hvordan? Hvorfor? Dét er spørsmålet. (Hjelp meg å finne svaret)

Mange vil kjenne DISK fra boka «Omgitt av idioter» av Thomas Eriksson. Jeg bruker ofte dette verktøyet når jeg jobber med coaching-kunder, både individuelt og som bakteppe i teamcoaching. Det er ett av flere verktøy jeg er sertifisert i.

Nå har jeg oppdaget et verktøy som bygger videre på DISK, og vil gjerne rekruttere et team med maks fem medlemmer til å utforske det sammen med meg, helt gratis.

Kanskje det er ditt team?

How and Why Index leveres av samme selskap som jeg har samarbeidet med i et par tiår hva gjelder DISK – svenske Ensize AB. Denne analysen kombinerer elementer fra DISK og BIG 5 for å kartlegge atferdsmønstre og motivasjon.

Jeg vil gjerne lære mer om denne analysen. Det vil jeg gjerne gjøre med ekte mennesker, og du er antagelig et ekte eksemplar av arten. (Du leser jo tross alt Tirsdag morgen.) 😉

Hvis du i tillegg er del av et team med ytterligere fire ekte mennesker, syns jeg du skal vurdere å melde interesse for å bli mitt pilot-team på denne analysen.

Fra misforståelse til konflikt

Våre ulike preferanser for kommunikasjon er en vanlig kilde til misforståelser som kan utvikle seg til konflikt.

Forståelsen av hvordan vi mennesker tilpasser oss forskjellige situasjoner er nøkkel til effektivt samarbeid, ledelse, og personlig utvikling.

Det er her HOW & WHY Index kommer inn.

Hvordan og hvorfor

HOW Index måler atferdsstil i ulike situasjoner, som for eksempel med kolleger eller ledere, og avdekker hvordan vi tilpasser oss under press. WHY Index utforsker våre underliggende motivasjoner – hva som gir oss energi, og hva vi prøver å unngå.

Verktøyet kan brukes i en rekke sammenhenger for å forbedre kommunikasjon og samarbeid, for eksempel:

  • Toleranse for mangfold: Analysen har ingen “vinnere” eller “tapere” – alle typer trengs, og alle kvaliteter anerkjennes. Dette perspektivet åpner gjerne for en bedre forståelse av hvorfor kognitivt og emosjonelt mangfold er viktig.
  • Rekruttering: for å finne kandidater som passer inn i bedriftskulturen og teamet.
  • Teamutvikling: for å styrke samarbeid og kommunikasjon i et team.
  • Lederutvikling: for å gi ledere bedre forståelse for hvordan de kan motivere og kommunisere effektivt med sine medarbeidere.

Hvordan kan dette være nyttig for dere?

Har du noen gang følt at samarbeidet i teamet ditt ikke flyter helt som det burde? Eller kanskje at kommunikasjonen har noen disharmoniske undertoner?

​«Kommunikasjon er nøkkelen til alt. Effektivitet, inkludering, engasjement og trivsel.»

Innsikt og forståelse av egen og andres atferd i ulike situasjoner, kan forbedre kommunikasjonen. Og kommunikasjon er nøkkelen til alt: Effektivitet, inkludering, engasjement og trivsel.

De indidivuelle gjennomgangene du får i denne piloten vil antagelig bidra til positive endringer. Deltakerne får dypere innsikt i hvordan vi handler, tilpasser oss, og hvorfor vi tar bestemte valg. Og vi vet jo at effektivt samarbeid ofte bunner i en dypere forståelse av hverandre, både hva angår atferd og drivkrefter.

Meld din interesse

Nå inviterer jeg altså deg og fire kolleger til å overbevise meg om at akkurat dere skal teste ut HOW & WHY Index sammen med meg.

Jeg har bare fem slike tester jeg kan prøve ut, så derfor vil jeg måtte velge ett team blant de som svarer. Du får gjøre deg og ditt team så lekre du bare kan.

Kanskje vi snakkes snart!

God tirsdag.


Bli pilot på HOW & WHY Index®

Overbevis meg om at du og ditt team (på maks 5 medlemmer) er det rette for en gratis pilot med HOW & WHY Index®. OBS! Analysen foreligger foreløpig ikke på norsk, men på en rekke andre språk, inkludert engelsk.

Navn(Påkrevd)
Del litt om teamet ditt.
Hva er de gode grunnene til at akkurat VI skal jobbe sammen? Overbevis meg!
Kryss av her hvis du også ønsker å melde deg på som abonnent på ukebrevet Tirsdag morgen.

Innflytelse som en lederferdighet

Innflytelse som en lederferdighet

Jeg liker å ha innflytelse. Lyset jeg er i stand til å tenne i øynene på en annen gir meg små, berusende dopamin-kick.

Gleden i at det jeg sier har en effekt på andre mennesker er en verdi jeg er blitt svært bevisst på. Men at dette er en grunnleggende verdi for meg blir ikke alltid tatt godt i mot.

Innflytelsens paradoks

Innflytelse er et ord som smaker av noe vi ikke liker å vedkjenne oss. Det jeg beskrev over er omtrent like vanskelig å sette ord på som om jeg skulle ha fortalt at jeg er en som søker makt.

Men både makt og innflytelse er verktøy for å sette andre mennesker i bevegelse. De kan brukes til å rive ned eller bygge opp.

Hitler hadde makt og innflytelse. Han brukte den på måter folk flest tar avstand fra. Nelson Mandela og Mor Theresa hadde det også. De brukte det på måter folk flest applauderer. 

Forskjellen på det gode og det onde springer gjerne ut av intensjonen til den som utøver makten.

Jeg liker å ha innflytelse. Ikke først og fremst fordi akkurat jeg får en annen person til å bevege seg, men fordi jeg tror det er viktig at det skjer.

Du kan også omfavne innflytelsen, særlig hvis du har et team du leder. Disse ferdighetene kan være det som skiller høyt presterende team fra de middelmådige.

Obligatorisk

Innflytelse er i stadig mindre grad noe som springer ut av posisjon og plassering i hierarkiet (selv om det ikke er uvesentlig). Hvis du leder andre, er din evne til å få folk i bevegelse en forutsetning.

Det er en obligatorisk lederferdighet, og blir stadig viktigere.

Og det er sjelden nok å ha en underordnet stab du kan motivere og inspirere til endring. Du skal influere nedover, oppover, til siden og ut. I større organisasjoner holder det ikke å fortelle folka dine hva de skal gjøre, du må også jobbe med overordnede, ledere i andre avdelinger, spesialister langt unna ditt virksomhetsområde, og ikke så rent sjelden eksterne interessenter også.

Og det hele starter med å erkjenne at dette er en del av dynamikken i alt som skjer, og at du enten kan velge å la dynamikken styre deg, eller du kan selv sette deg i førersetet. 

Jeg snakket forleden med en svært kunnskapsrik spesialist som ikke har noen formell lederposisjon, og absolutt ikke ønsker det heller, men som nyter stor faglig respekt, og gjennom sitt arbeid også har stor makt. Det er en makt hun aldri har søkt etter, og som hun bare motvillig erkjenner at hun har.

Men når vi setter en frustrerende episode med kolleger inn i en kontekst hvor hun ikke “bare” er en kollega, men en person med stor autoritet, makt og innflytelse, blir den sterke reaksjonen til kollegene på en krass uttalelse hun kom med plutselig mer forståelig.

Konfrontert med dette perspektivet, så jeg et lite lys bli tent i øynene hennes.

(Og jeg fikk mitt dopamin-kick.)

Bli med på workshop

Innflytelse handler, som nesten alt annet, om bevisstgjøring, teknikk og trening, men også små praktiske håndgrep. Som leder må du først løfte betydningen av innflytelse opp i frontalpannelappen. Vite at du trenger det, og deretter utforske og trene på teknikker for å bruke det.

Du kan starte dette på en lavterskel måte i oktober, hvis du blir med på en workshop jeg arrangerer sammen med amerikanske Rick Salmon. Han og jeg brenner for temaet etter å ha sett betydningen det har for mennesker vi har jobbet med. Nå har vi lyst til å dele ulike perspektiver, erfaringer og ikke minst praktiske tips.

Les mer om workshop’en her (engelsk landingsside her).

God tirsdag.

IT-jus nr. 8/24

IT-jus nr. 8/24

Vi som arbeider med personvern har et stammespråk. Jeg hørte nylig meg selv si at “Fordi OpenAI foreløpig ikke står på DPF-listen, må du på grunn av SCC’ene lage en TIA i tillegg til DPIA, men jeg tror du slipper en FRIA.” Og mange i rommet forsto hva jeg sa. Men ikke alle – selv om de arbeider med personvern. Det er tankevekkende at personvern har blitt så komplisert.

Jeg tror det er lurt å stille krav til at de som skal jobbe med personvern i en bedrift har noen års erfaring – eller får hjelp og opplæring av en med erfaring. Og her kan jeg komme med en liten personlig gladnyhet: den grunnleggende læreboken i personvern som jeg har skrevet sammen med Simen Sommerfeldt, kom i ny utgave i forrige uke. Når vi en gang iblant får inn en nyansatt som skal jobbe med personvern, pleier jeg faktisk å be dem lese den. Mange sier at den er nyttig. Den forklarer både DPF, TIA’er, DPIA’er og mye annet. Og det er stas å holde i en bok man har skrevet.

En annen ting jeg tenker en del på for tiden, er hvor mye “case law” som er viktig for personvern. Det er egentlig en ganske fremmed situasjon for regeltolkning i Norge. Vi er vant til at man (ofte) kan lese en norsk lovtekst og forstå hvordan den skal brukes. Det er nesten ikke slik med GDPR. Tekstene er så rundt formulert at det i praksis er domsavgjørelser som best beskriver hvordan en paragraf skal forstås. Det gjør at det er vanskeligere for mange å forstå hvordan regelen skal brukes. Derfor er det helt vesentlig at vi holder oss oppdatert, vi som arbeider med dette.  Under er et knippe av siste måneds viktige avgjørelser.

God lesning!

Hilsen Eva


Senkes terskelen for hva som er automatiserte avgjørelser?

Det er i alle fall økende oppmerksomhet om hva som er en automatisert avgjørelse.

En bruker av plattformen X (tidligere kjent som Twitter), fikk kontoen sin midlertidig begrenset (shadowbanned) på grunn av en melding han postet som inneholdt et sensitivt begrep. Brukeren tok saken til retten og ba blant annet om at X skulle gi informasjon om hvordan deres automatiserte beslutningstaking fungerer. X anførte at det ikke var tale om automatisert beslutningstaking fordi systemets parametre ble bestemt av mennesker.

Retten avviste argumentet og la til grunn at det avgjørende for om det var en automatisert avgjørelse, var om det var menneskelig inngripen i selve beslutningsprosessen, noe det ikke var. Dette kan vise seg å være en ganske praktisk avgjørelse med betydning for flere.

Du kan lese mer om denne saken her:

GDPRhub: Rb. Amsterdam – 742407 / HA RK 23-366


Hva som er et relevant avvik er alltid viktig

Her er en ny avgjørelse fra Spania som (igjen) viser at det ikke alltid skal så mye til for at noe regnes som et avvik.

GEOPOST ESPAÑA, S.L. ble ilagt en bot på 45 000 euro for brudd på GDPR. Saken startet med en klage fra en kunde som oppdaget at leveringsselskapet hadde etterlatt en lapp med kundens personopplysninger på en postboks på feil adresse, der lappen var tilgjengelig for flere uvedkommende personer. Det var postbudet som gjorde dette – han trodde han var på riktig adresse og at kunden ikke var hjemme – og etterlot en lapp med informasjon.

AEPD konkluderte med at dette var brudd på konfidensialitet i henhold til GDPR art. 5 og 32. Selskapet hevdet bruddet på artikkel 32 også dekket bruddet på artikkel 5, men AEPD kom til at begge artiklene var overtrådt. Det ble også lagt til grunn at selskapets ansvar ikke kunne fraskrives på grunn av en ansatts uaktsomhet.

Dette er et eksempel på at man ikke kan vise til ansattes uaktsomhet – og antakelig heller ikke rutinebrudd – for å slippe ansvar.

Saken er omtalt her

GDPRhub: AEPD Spain PS/00670/2022


Ikke alle sletteanmodninger må overholdes

Det belgiske datatilsynet har behandlet en sak der spørsmålet var hvorvidt en registrert hadde rett til å få sine personopplysninger slettet. Slettingsforespørselen ble begrunnet med at opplysningene kunne medføre stor negativ innvirkning samt mulig ærekrenkelse for vedkommende. Databehandleren avslo forespørselen fordi opplysningene var nødvendig for en overordnet offentlig interesse. Avslaget ble deretter klaget inn til den belgiske datatilsynsmyndigheten.

Tilsynet mente at avslaget knyttet til slettingsforespørselen var berettiget da det ble ansett å være “reasonably plausible” at opplysningene ville trenges i retten. Slik jeg forstår saken, hadde politiet vist interesse for opplysningene i forbindelse med en sak og man hadde grunn til å tro at de ville bli relevante i en rettssak. Opplysningenes relevans for den eventuelle saken ble tillagt vekt i avgjørelsen om at opplysningene ikke måtte slettes.

Du kan lese mer om saken her:

GPRDhub: APD/GBA (Belgium) – 49/2024


Personvernombud må ikke navngis

Tysk Høyesterett (BGH) har avsagt en viktig dom som klargjør kravene til informasjon om personvernombud. Saken involverte mange faktiske forhold, hvor flere spørsmål dreide seg om hva den registrerte skulle få innsyn i.

Den registrerte ville ha tilgang til absolutt all informasjon en bank hadde om vedkommende: alle notater, vurderinger, algoritmer brukt av banken, alle databehandlere og navn på alle personer og institusjoner som hadde tilgang til dataene.

Deler av saken endte i tysk høyesterett som blant annet konkluderte med at banken ikke måtte oppgi navnet på bankens personvernombud. Retten fastslo at det under GDPR art. 13 (1) b er tilstrekkelig å gi kontaktinformasjonen til personvernombudet uten at dette nødvendigvis inkluderer navnet.

Mer om saken her:

GDPRhub: BGH-VI ZR 370/22


KUNSTIG INTELLIGENS

Lyst å lage en KI-chatbot?

Det kan være lurt å vite hva man gjør. Det nederlandske datatilsynet har gitt ut advarsel om den økte bruken av KI-drevne chatboter etter flere lekkasjer av sensitive data. Tilsynsmyndigheten påpeker at selv om digitale assistenter som ChatGPT kan spare tid, utgjør de også en risiko for i forbindelse med databeskyttelse.

Advarselen kommer etter flere saker i Nederland hvor sensitive personopplysninger har blitt lekket. I et av tilfellene førte en legeassistent privat informasjon om pasienter inn i et ChatGPT-basert program, der opplysningene ble lagret på teknologiselskapets servere og potensielt brukt til å trene programvaren.

Tilsynet understreker at selskaper må ha klare retningslinjer for ansatte om bruken av AI-drevne chatboter for å sikre at personvernet ivaretas. Selv tror jeg jo mange selskaper har slike retningslinjer, men jeg ser noen utfordringer med om de faktisk overholdes eller ikke.

Dutchnews: Dutch privacy watchdog warns firms that use AI chatbots


Diskusjonene om hjemmel for å trene KI fortsette

Det er umulig å ha gått glipp av diskusjonene om Metas trening av KI tidligere i år. Slik sett skulle det bare mangle at det ikke også kommer fokus på andre aktører som faktisk har gjort det samme som Meta ønsket å gjøre.

Den irske datatilsynsmyndigheten (DPC) har tatt rettslige skritt mot X (Twitter) på grunn av deres praksis med å bruke personopplysninger fra EU-brukere til å trene KI-modeller. DPC hevder at praksisen bryter med GDPR.

Ifølge DPC har X verken gitt tilstrekkelig informasjon om hvordan dataene brukes eller innhentet nødvendig samtykke.

Til tross for at X har innført noen avhjelpende tiltak, som en mekanisme for å velge bort slik databehandling, hevder DPC at mange brukere fortsatt ikke har fått tilstrekkelig beskyttelse. DPC har derfor bedt retten om å pålegge X å stanse, begrense eller forby behandlingen av personopplysninger for å utvikle, trene eller forbedre KI-systemer. Det er grunn til å tro at dette vil være en pågående sak i lang tid fremover.

Les mer her:

Euractiv: Irish privacy watchdog takes X to court over data processing for AI training

I sammenheng med saken i Irland har også personvernorganisasjonen NOYB levert flere andre klager mot X i Østerrike, Belgia, Frankrike, Hellas, Italia, Nederland, Spania og Portugal. Klagen går, som i Irland, ut på at X bruker personopplysninger fra over 60 millioner brukere ulovlig for å trene sine KI-teknologier. NOYB mener samtykke skulle vært innhentet. NOYB håper at involveringen av flere europeiske datatilsynsmyndigheter vil øke presset på den irske DPC og X for å overholde EU-lovgivningen.

NOYB: Twitter’s AI plans hit with 9 more GDPR complaints


Samtykke til ansiktsgjenkjenning på treningssenter var gyldig – hvis…

Det danske Datatilsynet har nylig behandlet en klage angående bruk av ansiktsgjenkjenning for å kunne komme inn på et treningssenter.

En bruker klaget til Datatilsynet og hevdet at samtykket til ansiktsgjenkjenning var ugyldig fordi det ikke var andre alternativer. Det viste seg at det fantes alternativer, men de var ikke kommunisert.

Brukere av treningssenteret som ikke ønsker å samtykke til ansiktsgjenkjenning, kunne bli sluppet inn av resepsjonen i den bemannede åpningstiden.  Utenfor bemannet åpningstid kunne de kontakte en døgnstøtte som enten kunne fjernåpne døren eller generere en kode til døren.

Datatilsynet konkluderte med at SHC kunne innhente gyldig samtykke for bruk av ansiktsgjenkjenning, forutsatt at samtykket var informert og korrekt innhentet. Dette innebærer at medlemmene må få klar og tydelig informasjon om hvordan deres biometriske data vil bli brukt, og at de frivillig gir sitt samtykke uten press.

Treningssenteret fikk kritikk for å ha informert klageren om at det ikke var andre alternativer enn ansiktsgjenkjenning. Dette medførte at et eventuelt samtykke ble innhentet under press.

Senteret ble pålagt å tilby et annet adgangsalternativ for de som ikke ønsket å bruke teknologien.

Hvis du vurderer å begynne å bruke ansiktsgjenkjenning, er det lurt å lese avgjørelsen som er tilgjengelig her:

Datatilsynet: Samtykke til ansigtsgenkendelse i fitnesscenter var gyldigt


Lojalitetsprogrammer blir bare vanligere – og er ikke alltid enkle å få gjort riktig

Den greske supermarkedkjeden Alfa Vita har et lojalitetskortprogram kalt “AB Plus” som samler inn personopplysninger fra kundene sine. NOYB hevder at de ikke overholder grunnleggende GDPR-regler og viser til et tilfelle der en kunde ba om tilgang de til personopplysninger selskapet hadde registrert, men kun fikk innsyn i noen få opplysninger. AB behandler kundenes kjøpsvaner, hyppigheten av deres besøk i en AB-butikk, bruken av tilbud som kommuniseres til dem, deres hjemmeadresse og den totale kostnaden for deres kjøp. Formålet er profilering. Kunden som krevde innsyn, fikk kun en liste over foretatte kjøp og kontaktinformasjon. Det er tydelig at selskapet har flere opplysninger enn bare det.

I tillegg krever supermarkedkjeden at kunder oppgraderer til “AB Plus Unique” samt samtykker til deling av data med tredjeparter for å få vite hvor mange penger kunden har spart opp i programmet.  Det virker ikke bare utfordrende i forhold til GDPR, men også som ganske dårlig kundebehandling.

I lys av dette har NOYB levert en klage til den greske datatilsynsmyndigheten. Jeg tipper at kjeden får ryddet opp i dette ganske raskt.

NOYB skriver om saken her:

NOYB: 8 Years of GDPR: Greek supermarket’s Loyalty Card still not compliant


Informasjon delt som privatperson eller behandlingsansvarlig?

Det italienske datatilsynet behandlet nylig en sak hvor en ordfører var anklaget for å ha delt informasjon ulovlig.

Et parlamentsmedlem hadde mottatt flere fartsbøter fra en kommune og mente disse var “unfair”. Medlemmet tok opp saken i en parlamentssesjon og diskuterte den i media. En avis intervjuet i den forbindelse ordføreren i kommunen som utstedte de aktuelle bøtene. Ordføreren bekreftet antall bøter og at førerkortet til parlamentsmedlemmet ikke var inndratt.

Parlamentsmedlemmet likte dette dårlig og klaget til datatilsynet, og mente ordførerens avsløring av slik informasjon var ulovlig.

Ordføreren hevdet at informasjonen var delt som privatperson og ikke som kommunens representant. Videre anførte ordføreren at parlamentsmedlemmet selv hadde offentliggjort informasjonen, slik at det ikke egentlig var snakk om ny informasjon.

Datatilsynet konkluderte imidlertid med at ordføreren handlet som en representant for kommunen, som dermed kan betraktes som behandlingsansvarlig. De sa at den italienske personvernloven kun tillater offentlig administrasjon å dele opplysninger med tredjeparter når deling er autorisert ved lov. Det var derfor irrelevant om informasjonen allerede var offentligjort eller ikke. Tilsynet fant derfor at det brudd på en rekke GDPR-artikler.

En litt uvanlig sak, på mange måter, men den kan bli viktig for de som representerer offentlig sektor.

GDPRhub:Garante per la protezione dei dati personali (Italy) – 10039570


Nok en kjempebot

Den nederlandske datatilsynsmyndigheten (DPA) har nylig ilagt Uber en bot på 290 millioner euro. Årsaken er at tilsynet fant at Uber, over en periode på to år, hadde overført og lagret sensitive data om europeiske taxisjåfører i USA. Dette ble gjort uten å overholde overføringskravene som stilles av personvernforordningen for sikring av slik data. Opplysningene om sjåførene var blant annet betalignsinformasjon, id-informasjon, men i noen tilfeller også informasjon om straff og helsedata. I en periode på 2 år ble ikke riktig overføringsverktøy brukt.

Etterforskningen ble startet etter at over 170 franske sjåfører sendte inn klage til den franske menneskerettslige interesseorganisasjonen Ligue des droits de l’Homme (LDH), som tok videre kontakt med det franske datatilsynet. Fordi Ubers hovedkvarter er i Nederland var det det nederlandske datatilsynet som ila sanksjonen, men etterforskningen ble utført i nært samarbeid med det franske datatilsynet og i koordinasjon med andre tilsynsmyndigheter i Europa.

Uber har allerede varslet at saken vil bli anket. På den ene siden er det tankevekkende at GDPR gjentatte ganger gir meget store bøter for aktiviteter som er avsluttet. På en annen side vil selvfølgelig prevensjonseffekten være mindre om overtredelser gjort av store aktører ikke ble sanksjonert i betydelig grad.

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers’ data to the US


Opptak skal slettes når de skal

Det danske datatilsynet har gitt alvorlig kritikk til en nattklubb for manglende innsikt i, og sletting av, video-overvåkningsopptak. Saken starten ved at en borger klaget over at nattklubben ikke ga ham tilgang til de opptak hvor han var avbildet. Nattklubben nektet innsyn fordi de mente at det kunne kompromittere sikkerheten og kriminalitetsbekjempelsen på utestedet, samt at de ikke kunne anonymisere andre personer på opptakene uten å også anonymisere klageren, fordi folk sto tett inntil hverandre. Før saken var ferdigbehandlet hadde nattklubben også slettet videoen på grunn av en menneskelig feil.

Datatilsynet konkluderte med at nattklubben ikke kunne avvise innsyn med henvisning til offentlige interesser uten støtte fra politiet. Videre ble det kritisert at opptakene ble slettet før tilsynet hadde ferdigbehandlet saken, da dette brøt med prinsippene om lovlighet, rimelighet og gjennomsiktighet.

Datatilsynet: Natklub får alvorlig kritik: Manglende indsigt i og sletning af tv-overvågningsoptagelser


Ansatte på vei ut? Epostkassen skal slettes

Det belgiske datatilsynet (APD/GBA) har ilagt en betydelig bot til et selskap for flere alvorlige brudd på GDPR-regelverket.

En ansatt i et selskap som hadde ansvar for å administrere flere boligeiendommer, ble oppsagt. Etter oppsigelsen beholdt arbeidsgiveren den ansattes e-postadresse aktiv, med den begrunnelse at det var nødvendig for å sikre en sømløs overføring av arbeidsoppgaver til en ny ansatt. Arbeidsgiveren viste til sin berettigede interesse. De verken etterkom eller besvarte den ansattes anmodning om å slette kontoen.

Tilsynet la til grunn at epostadressen til den tidligere ansatte var personopplysninger som må lukkes når vedkommende slutter i jobben, og at man skal legge inn en automatisk svarmelding. Det fremheves at unntak kan gjøres for visse roller, men i dette tilfelle hadde innboksen vært aktiv i over 5 måneder, noe som brøt med GDPR. Arbeidsgiveren kunne ikke bruke berettiget interesse som rettslig grunnlag og brøt også GDPR ved å ikke svare på slettingsforespørselen.

I Norge har vi jo spesialregler om sletting av epostkasser når noen slutter, men det er interessant å se at tilsynsmyndigheter kommer til omtrent samme resultat uten slike spesialregler. Dette kan være viktig for selskaper som opererer i mange ulike europeiske land.

GDPRhub: APD/GBA (Belgium) – 97/2024


Vi er kanskje ikke helt ferdig med overføringsproblematikk likevel

Den franske datatilsynsmyndigheten (CNIL) har uttrykt bekymring fordi den nåværende europeiske sertifiseringsordningen for skytjenester (EUCS) ikke lenger gir leverandører muligheten til å vise at de beskytter lagrede data mot tilgang fra utenlandske myndigheter.

Dette medfører ifølge CNIL økt risiko for at data lagret av skytjenesteleverandører med ikke-europeiske morselskaper kan bli utlevert til utenlandske myndigheter. Det understrekes at det er nødvendig med strengere sikkerhetstiltak for å opprettholde et høyt nivå av databeskyttelse for europeiske borgere. De anbefaler å innføre “immunitetskriterier” i EUCS-sertifiseringen, for å sikre at sensitive data ikke blir utsatt for juridisk press fra ikke-europeiske land.

Nå vil jo alltid GDPRs krav gjelde i bakgrunnen som en sikkerhet, og dersom en leverandør påstår at de er “compliant” med andre krav til skytjenester, må man sjekke at det faktisk stemmer med kravene i GDPR.

CNIL:Cloud: the risks of a European certification allowing foreign authorities access to sensitive data

Lexology: CNIL Highlights Concerns Over EU Cloud Certification and Data Protection


GDPR blir neppe endret med det første selv om regelverket ikke er perfekt

GDPR er ikke perfekt. Langt fra, faktisk, og mange er enige om det. EU-kommisjonen har likevel besluttet å ikke endre GDPR, men heller fokusere på å styrke håndhevingen av regelverket. Avgjørelsen kommer som følge av en rapport fra juli 2024, som beskrev betydelige utfordringer med håndhevingen av GDPR. Rapporten fremhevet at mange medlemsland sliter med å implementere og håndheve reglene effektivt, noe som fører til inkonsekvent beskyttelse av persondata på tvers av EU. Ingen overraskelse der.  

For å styrke håndhevingen av reglene er det foreslått å øke ressursene til nasjonale datatilsynsmyndigheter og forbedre samarbeidet mellom dem. Kommisjonen vil også fokusere på å forbedre opplæringen og bevisstheten rundt GDPR blant borgere og bedrifter. Dette inkluderer kampanjer for å øke forståelsen av personvernrettigheter og plikter, samt veiledning for bedrifter om hvordan de kan overholde regelverket.

Kommisjonen understreker at selv om GDPR har vært effektivt i å sette standarder for databeskyttelse globalt, er det fremdeles behov for forbedring og tilpasning for å imøtekomme nye utfordringer i den digitale tidsalderen.

Rapporten er for så vidt interessant lesning, selv om problemstillingene er ganske overordnede. Men for de som liker de store linjene, finnes den her:

Euractiv: European Commission opposes amending GDPR, focusing on enforcement instead


KOMMENDE MØTER

19. sept 12.00 – 13.00 Digital drop-in
24. okt 13.00 – 16.00 Digitalt nettverksmøte
14. november – 12.00 – 13.00 Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

IT-jus nr. 7/24

IT-jus nr. 7/24

Håper alle har hatt en fin sommer og er klare for en fantastisk og fargerik høst 🍂! På personvernfronten ble juli litt roligere enn mange andre år. Det kom ingen banebrytende avgjørelser fra EU, slik det har vært så mange ganger tidligere, men det er likevel mer enn nok av relevante saker å merke seg.

Selv har jeg brukt noe av sommeren til å ferdigstille ny utgave av introduksjonsboken i GDPR som jeg har skrevet sammen med Simen Sommerfeldt. Ny papirutgave er rett rundt hjørnet. Det blir stas. Fremover oppdaterer jeg og et team i Schjødt kommentarutgaven til GDPR i Karnov – og deretter begynner jeg på en kommentarutgave til AI Act. Det er nok å gjøre.

AI Act trådte i kraft i EU den 1. august og antakelig inkorporeres reglene i Norge i løpet av 2025. Vi kommer fort dit. Jeg ser at nesten alle personvernarrangement for tiden handler om KI. Vårt neste nettverksmøte skal ha en bolk om anskaffelse av KI og vi skal høre mer om leverandørers bruk av kunders data.

Under er et knippe andre relevante saker. Det kunne vært enda flere, men jeg syntes jeg måtte stoppe når jeg rundet 10 manus-sider.

God lesning!

Hilsen Eva


BIOMETRI

Kameraer analyserer følelser på togstatsjoner

I forrige nyhetsbrev skrev jeg at jeg var overrasket over hvor mange nye saker det nå er der ansiktsgjenkjenning tillates. Her er nok en slik sak:

I England har man i to år brukt Amazon-KI-kameraer til å overvåke og analysere passasjerers følelser. Systemet er testet på åtte togstasjoner. Det er en kombinasjon av smarte CCTV-kameraer og tradisjonelle kameraer hvor videostrømmene er koblet til skybasert analyseprogramvare. Systemet registrerer alder, kjønn og ulike følelser. Ansiktsuttrykk og andre non-verbale signaler tolkes slik at man finner passasjerer som kan være bekymret eller opprørte – og da kan funksjonærer forhindre konflikter eller nødsituasjoner.

Dette reiser både spørsmål om det er etisk akseptabelt og om analysen faktisk gir korrekte tolkninger av passasjerenes følelser.

Systemet bruker maskinlæring for å oppdage personer som går i sporet, forutsi overfylte plattformer og å identifisere det de kaller for “antisosial atferd”.

London Underground har gjort en analyse av hva man kan oppnå ved sanntidsdatainnsikt om passasjeratferd. I tillegg til ovennevnte, mener de man kan skape sanntidsvarsler for billettfusk, finne folk som lener seg over sporene, røyker, sitter på benker i lengre perioder eller bretter ut elektriske scootere. Dels skrives at ansiktsgjenkjenning ikke er nødvendig, men på den annen side skriver de at ansiktsgjenkjenning ville kunne avsløre gjengangere.

Jeg må si at jeg er litt skeptisk til dette og jeg er i tvil om dette ville blitt tillatt innenfor EØS. Storbritannia har en litt annen personverntradisjon enn EU. Men det blir spennende å se hva som tillates fremover.

Du kan lese mer om denne saken her:


Hva med nevrodata og “brain fingerprinting”?

Europas datatilsyn har begynt å se på nevroteknologier. Bakgrunnen er produkter som samler inn og behandler nevrale data, eksempelvis hodebånd som registrerer informasjon fra hjernen. Dette kan brukes i velværeprodukter for meditasjon, for oppmerksomhetstrening eller for å styre en maskin.

Feltet er i rask utvikling på mange områder som medisin, underholdning, markedsføring, velvære, sikkerhet, overvåkning av ansatte, og annet.

I begynnelsen av juni ga EDPS og Datatilsynet i Spania ut en egen rapport om dette; “TechDispatch on Neurodata”. Rapporten beskriver ulike nevroteknologier og personvernutfordringer rundt dette. Det er ganske åpenbart at nevrodata om enkeltindivider kan være sensitiv informasjon.

Rapporten går nærmere inn på dette og bør absolutt leses av de som vurderer å bruke denne type produkter – være seg som forbruker eller behandlingsansvarlig. Jeg har sett raskt på rapporten og har lært meg et helt nytt begrep – “brain fingerprinting” – altså å reprodusere tanker som tenkes i en hjerne.

Hjernen er aktiv 24 timer i døgnet med tanker – og drømmer og mareritt. Å skulle reprodusere all slik aktivitet for bruk i den virkelige verden høres ikke bare bra ut. De skriver på side 16 I rapporten:

“As a rule, the EDPS considers that the processing of data such as ‘brain fingerprinting’ should only occur for healthcare purpose, accompanied by all data protection conditions and safeguards. It would be alarming for any controller, other than a provider of healthcare, to use neurodata to detect or infer an individual’s health information (in particular very sensitive information that is possibly not yet known to that individual themselves, e.g. about psychological disorders or a neurogenerative disease).”

Det virker mildt sagt fornuftig at de foreslår at en svært restriktiv tilnærming.  

Du finner rapporten her:

https://www.edps.europa.eu/system/files/2024-06/techdispatch_neurodata_en.pdf


KUNSTIG INTELLIGENS

Hjemmel for utvikling av KI? Om Meta, OpenAI og litt til

På forsommeren var det en heftig debatt i Norge om utviklingen av LLM-modeller. Noen mener at samtykke er det beste rettslige grunnlaget, ikke berettiget interesse. Det italienske datatilsynet har som kjent brukt mye tid på OpenAI’s ChatGPT. Dette har resultert i en egen Taskforce i EDPB som ser på bruken av personopplysninger i LLM’er, og ChatGPT spesielt. De kom med en foreløpig rapport i mai.

Når det gjelder utvikling av AI-modeller, har selskaper vanligvis brukt berettiget interesse som rettslig grunnlag. Dette er forståelig, da det kan være utfordrende å få samtykke fra hver enkelt person når informasjon fra mange personer trengs for å trene en modell. Rapporten fra EDPBs Taskforce åpner for muligheten for å bruke berettiget interesse, men det krever en grundig vurdering fra den behandlingsansvarlige der det også spiller inn hvordan LLM-modellen brukes til for et allmennyttig formål. Dette betyr at vurderingen kan variere fra sak til sak.

Taskforcen setter søkelys på at ChatGPT/OpenAI har basert seg på “web scraping”. Dette vil være tredjeparts data, men de tar ikke opp om det er forskjell på å bruke data fra tredjeparter eller førsteparter. Ei heller om det betyr noe om dataene er offentlige eller private. Man kan tenke seg at en kontraktsmessig relasjon mellom behandlingsansvarlig og brukeren (slik det er for førsteparter), gjør det lettere å sikre gjennomsiktighet og informasjon enn ved “scraping” fra tredjeparter.

Rapporten er likevel kun en foreløpig rapport og det blir spennende å se hvordan en endelig versjon blir. Jeg skrev en artikkel om dette sammen med kollega Anna Olberg Eide som ble publisert i IAPP i sommer – du finner den her:

https://iapp.org/news/a/ai-development-raises-question-of-legal-basis

Samtidig har det norske datatilsynet sagt til Meta at de må bruke samtykke. Det kan virke som om det irske datatilsynet støtter dette. Om dette blir et generelt krav for all AI, vil det nok begrense mulighetene for å utvikle gode AI-verktøy i EU. Man kunne antakelig komme langt med å anerkjenne berettiget interesse, men med en enkel mulighet for reservasjon.

Meta har på sin side konkludert med at de foreløpig pauser både utrulling av sin nye Llama-modell i Europa:

Meta har videre uttalt at de ikke vil trene Llama på informasjon fra Facebook. Det er mange i Norge som bruker Llama, så det blir interessant å følge dette videre.


KI på mobiltelefoner gir en rekke utfordringer

Apple og OpenAI ønsker å innlemme ChatGPT i Apples operativsystemer, men dette har blitt kritisert.

En ting er mulige konkurranserettslige problemer. Mange er bekymret for at store teknologiselskaper vil dominere AI gjennom oppkjøp og partnerskap. En annen ting er uklarheter rundt tilgangen til tredjepartsapper og brukernes personvern. Her kan det bli utfordringer både i forhold til Digital Markets Act og GDPR.

Ifølge det som er kjent fra Apple, skal ChatGPT innpasses i operativsystemene for iPhone, iPad og Mac senere i år. Apple fortalte dette på Worldwide Developer Conference 2024 den 8. juni da de introduserte operativsystemet iOS18.

For å gi bedre svar, skal “Siri” få tilgang til ChatGPT samt brukernes meldinger og e-poster. Dessuten skal skriveverktøy som Notes og Pages få tilgang til ChatGPT 4 for å hjelpe brukerne med å lage skriftlig og visuelt innhold.

OpenAI skal ikke lagre data som anvendes og brukernes IP-adresser (mobiltelefonen) skal være skjult. Det vil nok bli en omfattende diskusjon om dette er teknisk sett helt riktig. Visstnok skal det hele også baseres på samtykke.  Det blir spennende å se hvordan de har tenkt å gjennomføre et slikt samtykke – om det må skje før hver bruk av KI’en, kan det bli tungvint. Om de ikke gjør det slik, kan de risikere at samtykket anses ugyldig i EU. Dette har Apple nok tatt inn over seg.

Selv om Apple tradisjonelt har vært ansett som et selskap som verdsetter personvern høyt, høres nå flere kritiske røster. Det hjelper kanskje heller ikke at OpenAI har et noe mer ustødig forhold til regelverket – jamfør prosessene som gjennomføres initiert av det Italienske datatilsynet. Resultatet av dette er at EDPB har nedsatt en gruppe som arbeider videre med personvern i ChatGPT.

Det interessante er at Apple opplever EU som såpass regulatorisk vanskelig, at de velger å utsette innføring av disse tjenestene i EU, se https://techreport.com/news/apple-intelligence-will-not-launch-eu/

Også i Kina utsettes prosjektet, men da fordi Kina ikke tillater ChatGPT. Det ser ut som om leverandører i større grad må hensynta ulike lands reguleringer fremover. Det kommer til å bli utfordrende.


PERSONOPPLYSNINGER

Meta har utfordringer også i Nigeria

Det er ikke ofte vi har nyheter om personvern fra Afrika, men nå har det Nigerianske konkurranse- og forbrukervernmyndigheten sett nærmere på Facebook og Whatsapp. Det skal være svært mange nigerianske brukere av disse tjenestene. De har også en egen personvernlov som stiller omfattende krav til at behandlingsansvarlige har en egen personvernorganisasjon og melder inn en egen Data Protection Audit jevnlig. Meta har visstnok ikke gjort noe av dette – i tillegg til at det foreligger en rekke andre brudd på nigeriansk personvernlov. Dette har nå resultert i en bot på ikke mindre enn 220 millioner amerikanske dollar.

Saken er omtalt her

https://observer.ug/index.php/businessnews/81928-nigeria-fines-meta-220m-for-data-protection-consumer-rights-violations


Klager på Microsoft – hva kan en leverandør bruke kundens opplysninger til?

På vegne av to skolebarn i Østerrike fremmet NOYB i begynnelsen av juni to klager mot Microsofts (MS) bruk av personopplysninger. Opplysningene kommer fra skoleverktøyet Microsoft 365 Education. NOYB kan reise slike saker på vegne av enkeltpersoner.

Faren til den ene eleven hadde rettet henvendelser til både MS og til skolen for å få klarhet i hvordan barnets personopplysninger ble behandlet. MS svarte at det var skolen som var ansvarlig for behandlingen. Det er jo ikke helt usannsynlig all den tid eleven ikke har noen direkte forbindelse med MS og det er skolen som har kjøpt inn programvaren. Skolen, på sin side, svarte at den eneste informasjon de var behandlingsansvarlig for, var elevens epostadresse. Det er altså ikke helt samsvar mellom det aktørene oppgir om behandlingsansvar.

Jeg har ikke lest dokumentasjonen fra MS selv, men NOYB skriver at brukervilkår og personvernerklæringer er en “labyrint” som er vanskelig å finne frem i og forstå. Akkurat det er jo ikke helt uvanlig.

Den andre saken dreier seg også om en skoleelev i Østerrike. Der hevder NOYB at MS skal ha installert informasjonskapsler som, ifølge Microsofts egen dokumentasjon, analyserer brukeratferd, samler inn nettleserdata og brukes til reklame. NOYB hevder dette kan brukes til svært inngripende profilering, og kritiserer at det skjer uten at elevens skole engang er klar over det. De mener at det er sannsynlig at selskapet sporer alle mindreårige som bruker deres utdanningsprodukter uten gyldig behandlingsgrunnlag.

Vi har vært inne på dette teamet i nettverket tidligere. Hva kan en it-leverandør selv ta behandlingsansvar for når de er en databehandler og personopplysningene stammer fra kundens ansatte eller elever? En av de best kjente sakene om dette er Google Chromebook/Workspace-saken fra Danmark der Helsingør kommune måtte stanse bruken av Chromebooks i skolen i en periode i 2022 – selve saken startet i 2019.

Det danske Datatilsynet gjennomgikk deretter praksis på området i hele 53 kommuner. Hovedpoenget var at kommunene og skolene ikke hadde hjemmel til å “gi” elevenes personopplysninger til Google. Som databehandler, kan Google altså ikke selv tilta seg behandlingsansvar for elevenes personopplysninger. Fritt oversatt, skriver Datatilsynet følgende:

“Før man tar i bruk et verktøy, må man som ansvarlig for data få en oversikt over hvordan man behandler personopplysninger i det, og man må kunne dokumentere det. Dette kravet gjelder for alle organisasjoner. Men når det gjelder offentlige myndigheter – der vi som borgere ikke selv kan velge bort at våre opplysninger blir behandlet – har Datatilsynet en spesiell forventning om at de nødvendige analysene blir gjennomført og dokumentert,” sier Allan Frank, IT-sikkerhetsspesialist og jurist i Datatilsynet, og fortsetter:

“De fleste standard IT-produkter har i dag en veldig kompleks kontraktsstruktur som ikke bare inneholder mange muligheter for variasjoner i behandlingen av personopplysninger, men også har en relativt høy frekvens av endringer. Dette gjør det vanskeligere enn nødvendig for ansvarlige virksomheter og myndigheter å overholde personvernforordningen (GDPR), fordi man lett mister oversikten over hva som skjer med dataene. Vi i Datatilsynet oppfordrer derfor til at kontraktene gjøres mer gjennomsiktige – ikke bare med hensyn til behandlingsstrukturen, men også med hensyn til konsekvensene når forholdene rundt leveransen endres.”

Det er lett å være enig i dette. Videre er det praktisk viktig at tilsynet skriver at de har kommet til at skolene har hjemmel til å videreformidle elevenes opplysninger med formål om å levere tjenestene, forbedre sikkerheten og påliteligheten til tjenestene, kommunikasjon med blant annet kommunene, og overholde juridiske forpliktelser.

Samtidig mener de folkeskoleloven ikke gir hjemmel til at kommunene kan videreformidle elevenes opplysninger til vedlikehold og forbedring av Google Workspace for Education-tjenesten, ChromeOS og Chrome-nettleseren, eller til måling av ytelse og utvikling av nye funksjoner og tjenester i ChromeOS og Chrome-nettleseren.

På denne bakgrunnen påla Datatilsynet i januar 2024 kommunene å bringe behandlingen i samsvar med reglene ved å sikre at det er hjemmel for all behandling som skjer. Dette kan for eksempel gjøres ved:

  • At kommunene ikke lenger videreformidler personopplysninger til Google for disse formålene. Dette vil sannsynligvis kreve at Google utvikler en teknisk mulighet for å avskjære disse datastrømmene.
  • At Google selv avstår fra å behandle opplysningene for disse formålene.
  • At Folketinget etablerer en tilstrekkelig klar rettslig basis for videreformidling til disse formålene.

Kommunene fikk frist til 1. august 2024 med å sikre dette. I løpet av juli skal 52 kommuner ha bekreftet at de ikke lenger vil videreformidle slike personopplysninger til Google. Kontraktene med Google skal også være endret slik at personopplysninger kun vil bli behandlet etter instruks fra den ansvarlige kommunen (med unntak av tilfeller der det kreves i henhold til gjeldende EU-regler eller nasjonal lovgivning). Datatilsynet sier at det likevel er noen utestående spørsmål i saken.

Kommunene skal ha bekreftet at de vil avstå fra å bruke tjenester der behandling av personopplysninger skjer i tredjeland som ikke har tilsvarende beskyttelse av registrertes rettigheter. Dette gjelder også for vedlikehold av infrastruktur fra leverandørens side, der det kan skje behandling av personopplysninger som behandles for de ansvarlige kommunene.

Det danske Datatilsynet har bedt EDPB om en uttalelse om den ansvarliges dokumentasjonsplikt for databehandlerens bruk av underdatabehandlere. Når denne uttalelsen foreligger, forventer Datatilsynet å foreta en endelig vurdering av underdatabehandlerkjeden i kommunenes bruk av Googles produkter.

Uten at jeg kjenner saken i detalj, ser det for meg ut som om NOYB forsøker å få til en tilsvarende prosess mot Microsoft som det det danske Datatilsyn har gjort mot Microsoft. Det danske Datatilsynet har fått til relativt store endringer uten å true med bøter, selv om det nok kostet betydelige ressurser da de påla Helsingør kommune å stanse bruken av Chromebooks i skolen. NOYB går (selvsagt) motsatt vei og krever at Microsoft ilegges bøter.

Den første saken fra NOYB mot MS finner du her https://noyb.eu/sites/default/files/2024-06/Microsoft%20Complaint%201%20EN_redacted_0.pdf

Den andre saken fra NOYB mot MS er her:

https://noyb.eu/sites/default/files/2024-06/Microsoft%20Complaint%202%20EN_redacted_0.pdf

Siste utvikling fra det danske Datatilsynet i Google-saken, finner du her https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/chromebook-sagen-kommunerne-efterlever-datatilsynets-seneste-paabud-


Innsynsbegjæringer i sikkerhetslogger?

I Danmark har man nyansert sin oppfatning vesentlig om hvorvidt sikkerhetslogger kan unntas fra innsynsbegjæringer. Lenge var synspunktet at personopplysninger i en sikkerhetslogg ikke var omfattet av innsynsbegjæringer, men så enkelt er det ikke lenger. På bakgrunn av CJEU sak C-579/21 har tilsynet endret oppfatning i en konkret sak der vedkommende som ba om innsyn ønsket dette for å få vite hvem som hadde “abonnert” på informasjon om vedkommende fra folkeregisteret (CPR). Årsaken til begjæringen har jeg ikke funnet, men det er jo ikke uvanlig at borgere ønsker å vite hvilke offentlige ansatte som har gjort oppslag på dem. Denne informasjonen kunne utledes fra sikkerhetsloggen i CPR-systemet.

I sak C-599/21, la CJEU vekt på at dersom en logg viser informasjon som den registrerte har krav på, så skal vedkommende få dette. Det betyr at man må se på hva loggen faktisk viser. I den konkrete saken for CJEU, ønsket vedkommende å få vite hvem som hadde slått opp på vedkommendes informasjon.

Det danske Datatilsynet legger fremover til grunn at den behandlingsansvarlige må gi kopi av logginformasjon når denne viser informasjon vedkommende har krav på. Dette kan for eksempel være informasjon om søk etter deres opplysninger og dato (og formål) for disse søkene.

Hvis det er nødvendig for at den registrerte skal kunne utøve sine rettigheter på en effektiv måte, må den behandlingsansvarlige også oppgi hvem som utførte søket. Dette kan være aktuelt hvis den registrerte mistenker at vedkommendes opplysninger har vært gjenstand for et uautorisert søk.

Dette betyr at den som begjærer innsyn, kan få innsyn i mer dersom man oppgir at årsaken til begjæringen er at man mistenker “snoking” på informasjon.


Tekster om samtykke må være konsekvente

Datatilsynet i Latvia gjennomførte en undersøkelse hos AQUAPHOTO i mai 2023. AQUAPHOTO tilbyr fototjenester til besøkende i et vannlekeland og bruker ansiktskjenningsprogramvare for å identifisere og tilby bilder til kundene. Selskapet informerte om databehandlingen på fire forskjellige måter, men informasjonen var inkonsekvent.

På nettsiden til fornøyelsesparken sto det at besøkende vil bli fotografert ved å oppsøke fotografene. I delen om “Regler for besøkende” på nettsiden, ble det skrevet at besøkende som har med seg mindreårige kan bli fotografert med mindre de har et særlig tegn som viser at de ikke vil bli fotografert. Det sto at tegnet ble delt ut fra standen til AQUAPHOTO. Derimot sa vilkårene fra AQUAPHOTO at et slikt tegn ble delt ut av parken selv, eventuelt fra fotografene. Det var også et informasjonsskilt ved kassen i parken som sa: “Ikke vær redd for AQUAPHOTO-fotografen. Du vil ikke bli fotografert i rødt. Grønne armbånd gir mange flotte bilder”. Jeg forstår det slik at fargen på et armbånd skulle fortelle fotografene om man ønsket å bli fotografert eller ikke.

Selskapet mente de hadde innhentet samtykke – grønt armbånd for å bli fotografert, rødt armbånd for å unngå fotografering.

Datatilsynet fant at AQAPHOTOs praksis ikke oppfylte selskapets egne standarder. Ansatte ved parken informerte ikke om behandlingen, og det var ingen tydelig fremgangsmåte for å velge armbånd. Dessuten ble det tatt bilder i situasjoner der armbåndene ikke var synlig, f eks i attraksjonen “Unique Tornado”.

Datatilsynet ila AQAPHOTO en bot på €1,000 for brudd på GDPR, inkludert artiklene om transparens, samtykke og den generelle behandlingen av personopplysninger. Dette var ikke en stor bot, men personverntrusselen var kanskje heller ikke meget stor. Uansett er saken en grei påminnelse om at ulike former for personvernerklæringer og vilkår må henge sammen. Og så må praksis være slik man har sagt.

Saken er omtalt her https://gdprhub.eu/index.php?title=DVI_(Latvia)_-_02/02/2024&mtc=today


MARKEDSFØRING

Tøffere tider for adtech – NOYB går mot Xandr

Xandr er et meget stort adtech selskap som tilbyr en såkalt Real Time Bidding (RTB) plattform. Det er Microsoft som eier Xandr. Tjenesten fungerer slik at hvis en bruker besøker en nettside, skjer det en algoritmisk auksjon for å avgjøre hvilket selskap som kan vise vedkommende en annonse.

Informasjonen om brukeren kan berikes med annen informasjon som plattformen har om vedkommende. Ofte vil det være slik at jo mer informasjon, jo mer verdifull er annonseplasseringen, fordi den blir mer treffsikker.

NOYB skriver at Xandr samler inn og deler store mengder personlige data for å lage profiler av brukerne og muliggjøre målretting. Noe av informasjonen skal også visstnok kjøpes av eksterne parter. De mener Xandr samler inn hundrevis av sensitive profiler av europeere som inneholder informasjon om deres helse, sexliv eller seksuell orientering, politiske eller filosofiske meninger, religiøse tro eller økonomisk status. Spesifikke segmenter inkluderer ting som ‘french_disability’, ‘pregnant’, ‘lgbt’, ‘gender_equality’ og ‘jewishfrench’.

Det interessante i saken er at Xandr offentliggjør intern statistikk over hvordan de behandler innsynsopplysninger fra de registrerte – og oppgir at de aldri gir innsyn eller respekterer sletteanmodninger med den begrunnelse at de ikke kan identifisere personen.

NOYB har klaget Xandr inn for det italienske datatilsynet, Garante, nå i juli. Jeg vil tro dette kommer til å resultere i en omfattende kartlegging av hvordan RTB’ene og Xandr fungerer og hvilke muligheter de har til å slette data om individer.


Det er blitt større klarhet i hva som kreves av samtykker for cookies. Selv om de europeiske landene har fått en mye mer ensartet praksis, er det fremdeles en del forskjeller. NOYB har som kjent arbeidet mye med dette og har laget en oversikt over hva de ulike landene mener om cookies. Blant annet er det ulik holdning til dette med fargeforskjell på ja- og nei-knapper.

Jeg vil anta at oversikten kanskje må endres fordi det fremdeles er stor endringshastighet på dette, men oversikten kan likevel være nyttig for noen.

Du finner den her:

https://noyb.eu/en/noybs-consent-banner-report-how-authorities-actually-decide


Facebook Pixel

Integritetsskyddsmyndigheten (IMY) i Sverige er opptatt av virksomheter som benytter Facebook Pixel. IMY har ilagt Avanza Bank en bot på 15 millioner kroner. I juni 2021 fikk IMY en avviksmelding fra banken som viste at personopplysninger feilaktig hadde blitt overført til Facebook i perioden fra 15. november 2019 til 2. juni 2021.

Overføringen skjedde fordi banken brukte Facebook-pixelen for markedsføring. To funksjoner i analyseverktøyet ble utilsiktet aktivert av banken slik at personopplysninger om et stort antall personer som var logget inn på bankens nettside eller i bankens app, ble overført til Meta. De overførte personopplysningene omfattet blant annet personnummer og økonomisk informasjon om lån og kontonummer– noen ganger i klartekst, noen ganger i hashet format.

IMY fastslo at banken ikke traff tilstrekkelige tekniske og organisatoriske personverntiltak. Opplysningene var også underlagt lovbestemt taushetsplikt. IMY mener at tap av kontroll over denne type bankinformasjon er en høy risiko for de registrertes friheter og rettigheter.

Du finner saken her https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-avanza.pdf


KONTROLL

EU utsetter omstridt forslag om bakdører i chat-kommunikasjon

Det har vært mye kritikk mot den kommende chatkontroll-lovgivningen, selv om den begrunnes med å skulle hindre seksuelle overgrep mot barn. Mange har advart om at obligatoriske “kikkehull” inn i chat-funksjoner vil bety slutten på kryptert nettbasert kommunikasjon.

Forslaget ville bety at selskaper som WhatsApp og Signal ville måtte bygge inn en bakdør i tjenestene sine som åpner for at myndigheter kan skanne meldinger for materiale relatert til seksuelle overgrep mot barn (CSAM). Dette er et aktverdig mål, selvfølgelig. Men om et slikt skanningssystem bygges inn i en applikasjon, kan det brukes til andre formål også. For eksempel overvåking av journalister eller politikere. Det er en rekke tekniske diskusjoner rundt dette, men hovedpoenget er at myndigheter kan få tilgang til informasjon som er tenkt beskyttet. Uansett om informasjonen er ulovlig eller ikke. Det kan avgjort utgjøre en nedkjølingseffekt på meningsutveksling.

EU kommisjonene skulle ha stemt over forslaget den 19. juni, men dette ble utsatt fordi det er så omstridt. Det betyr ikke at forslaget ikke kommer opp igjen.

Forslaget er nærmere omtalt her:

https://www.theverge.com/2024/6/19/24181214/eu-chat-control-law-propose-scanning-encrypted-messages-csam


ERSTATNINGSSAKER

Hva menes med identitetstyveri?

Det kom to nye avgjørelser fra ECJEU i juni om erstatning for ikke-materiell skade der det ikke er påvist faktisk misbruk av personopplysninger.  

Bare det faktum at det er såpass mange saker om dette fra CJEU, viser at dette er et område som nasjonale domstoler synes er komplisert. Her kan jeg ikke la være å kommentere at norske domstoler så langt har vært ytterst tilbakeholdne med å be om avklaring fra EFTA-domstolen i prinsipielle saker, ref Grindr-saken der tingretten på egen hånd konkluderte med hva som utgjør særlige kategorier personopplysninger. Det er kanskje typisk norsk å mene man vet best selv.

Uansett. Begge de nye sakene ligner på avgjørelsene om ” Österreichische Post” og de øvrige saker om samme tema.

I det første tilfellet hadde en applikasjon fra Scalable Capital blitt hacket og personopplysninger til brukere ble tatt. CJEU bekreftet at formålet med artikkel 82 er kompenserende og ikke straffende, og at kriteriene for å vurdere erstatningen som skal tilkjennes, bør fastsettes av rettssystemet i hver medlemsstat. Domstolen fastslo også at skade forårsaket av brudd på personopplysninger ikke er mindre betydningsfull enn fysisk skade, men at det er mulig for en nasjonal domstol å tilkjenne en mindre erstatning hvis skaden ikke er alvorlig. CJEU ble også bedt om å avklare begrepet “identitetstyveri”, som brukes i fortalens punkt 75 og 85, der dette brukes som et eksempel på en type skade. CJEU bekreftet at selve tyveriet av personopplysninger ikke utgjør identitetstyveri, men understreket at erstatning ikke kan begrenses til tilfeller der datatyveriet senere førte til identitetstyveri. Datatyveri i seg selv kan være tilstrekkelig. Dette er interessante betraktninger som står i avgjørelsens punkt 47-58.

Denne saken er relativt kort å lese gjennom og du finner den her https://curia.europa.eu/juris/document/document.jsf?text=&docid=287303&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=9875513


Velbegrunnet frykt

Den andre avgjørelsen omhandlet en skattemelding som inneholdt informasjon om funksjonshemninger og religiøs tilhørighet. Skattemeldingen ble sendt til feil adresse. Søkerne ba om erstatning på 15 000 euro for tap av kontroll over personopplysningene sine, uten at de kunne fastslå om tredjeparter hadde lest opplysningene.

CJEU bekreftet at frykten en registrert opplever med hensyn til mulig misbruk av personopplysningene hans eller hennes, kan utgjøre “ikke-materiell skade”, og viste tilbake til tidligere avgjørelser hvor de hadde skrevet at det må vektlegges om frykten kan anses som velbegrunnet. CJEU skriver at “ a person’s fear that his or her personal data have, as a result of an infringement of that regulation, been disclosed to third parties, without it being possible to establish that that was in fact the case, is sufficient to give rise to a right to compensation, provided that that fear, with its negative consequences, is duly proven.“, se dommens punkt 36.

Også denne saken er relativt kortfattet og finnes her https://curia.europa.eu/juris/document/document.jsf?text=&docid=287305&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=9875780

I nyhetsbrevet for januar i år hadde jeg en kort oppsummering av situasjonen for å få erstatning for tort og svie – jeg tror den står seg fremdeles.


PERSONVERNOMBUDETS UAVHENGIGHET

Ny svensk gjennomgang av personvernombudets rolle

Integritetsskyddsmyndigheten (IMY) har gjennomgått uavhengigheten til personvernombud i flere offentlige og private virksomheter, se https://www.imy.se/tillsyner/dataskyddsombudens-roll-och-stallning/

Ombudene hadde andre roller i virksomheten i tillegg til å være ombud. Var de da tilstrekkelig uavhengige? Dette er ofte en vanskelig problemstilling; er det virkelig slik at en virksomhet må bekoste et ombud som ikke er delaktig i beslutninger som kan være relevant for personopplysninger? Svaret på det er jo JA.

Flere av virksomhetene unngikk kritikk eller bot selv om ombudet også hadde et visst ansvar for compliance, risiko/sikkerhet og jurist.

Region Västerbotten får kritikk for å tillate at ombudet også er jurist i ledelsen. Socialnemnden i Örebro får kritikk for å ikke gi ombudet tilstrekkelige ressurser (det var ikke ressurser nok til å kunne rapportere) og for ikke å ha rutiner som sikrer rapportering til øverste hold. Trøsten får kanskje være at ingen fikk bot.

Det er ikke enkelt å utpeke personvernombud. Men det er ganske viktig å legge rollen riktig og å åpne for rapportering helt opp til ledelsen.  Det er også ganske lurt å ha årlige rapporter fra ombudet som viser at noe gjøres. Og så må jo ledelsen følge opp avvik som rapportene angir, men det er en annen sak.


MEANWHILE, IN THE USA

Vi har så vidt vært inne på APRA tidligere

Om du ikke husker hva det står for, så er det bare å lære seg. Det står for American Privacy Rights Act. Deres GDPR. Som ikke finnes, men som skisseres opp nå og diskuteres. Innholdet ligner ganske mye på GDPR og det vekker selvsagt store protester i noen kretser.

The Association of National Advertisers og American Association of Advertising Agencies har sammen sendt brev til Representantenes hus og Senatet der de oppfordrer til endringer i forslaget fordi de mener det vil rasere den moderne reklameindustrien og ødelegge små og mellomstore bedrifter som er avhengige av reklame for å nå kundene sine. Det hevdes også at reglene vil frata enkeltpersoner tilgang til produktene, tjenestene, informasjonen og ressursene de nyter og er avhengige av. Det er nok delte meninger om dette er riktig. Heritage Foundation’s Tech Policy Center har rost APRA-utkastet for å redusere insentiver for å misbruke amerikanske forbrukere.

Det er helt sikkert et godt stykke tid før dette blir en endelig lovgivning, men det er fint at amerikanerne diskuterer det. Og når lovforslaget kommer noe lengre, skal vi se nærmere på hva konsekvensene av APRA blir.


KOMMENDE MØTER

22. august 14.00 – 17.00 Nettverksmøte i Oslo
19. sept 12.00 – 13.00 Digital drop-in
24. okt 13.00 – 16.00 Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

8 grunner til at det lønner seg med arbeidsinkludering 

8 grunner til at det lønner seg med arbeidsinkludering 

Arbeidsinkludering handler om å skape muligheter og arbeidsplasser for personer som av ulike grunner står utenfor arbeidsmarkedet. Dette kan inkludere personer med nedsatt funksjonsevne, personer fra nevromangfoldet, personer med innvandrerbakgrunn, langtidsledige, ungdom utenfor utdanning og arbeid, og andre marginaliserte grupper. Målet med arbeidsinkludering er å integrere disse gruppene i arbeidslivet slik at de får muligheten til å bidra og utvikle seg, samtidig som de opplever økonomisk og sosial trygghet. 

En virksomhet som jobber strukturert og profesjonelt med arbeidsinkludering kan oppnå en kinderegg-effekt: gevinst for individet, gevinst for virksomheten og gevinst for samfunnet. 

Tenk strukturert og profesjonelt

For å oppnå kinderegg-effekten må arbeidet med arbeidsinkludering omfatte alle ledd i virksomheten. Ved å ha en strukturert tilnærming vil bedriften oppnå : 

  1. Mangfold og innovasjon: Et mer mangfoldig arbeidsmiljø kan føre til økt innovasjon og kreativitet. Ansatte med ulik bakgrunn og erfaring kan bidra med nye perspektiver og løsninger på problemer.
  2. Redusert turnover: Inkluderende arbeidsplasser kan ha lavere turnover fordi ansatte føler seg verdsatt og støttet. Dette kan redusere kostnadene knyttet til rekruttering og opplæring av nyansatte.
  3. Utvidet målgruppe ved rekruttering: Ved å inkludere flere grupper i arbeidsstyrken, får bedriften tilgang til en større pool av talenter. Dette kan være spesielt verdifullt i bransjer med mangel på kvalifisert arbeidskraft.
  4. Økt trivsel og produktivitet: Et arbeidsmiljø som fremmer inkludering og mangfold kan øke ansattes trivsel og tilfredshet, noe som igjen kan føre til høyere produktivitet og bedre arbeidsprestasjoner. Du bygger stolthet blant andre ansatte når din bedrift tar ansvar på denne måten.  
  5. Kostnadsbesparelser: Inkludering av personer som står utenfor arbeidslivet vil kunne gi bedriften en økonomisk kompensasjon ala lønnstilskudd som vil redusere kostnaden ved å ansette. 
  6. Bedre omdømme: Bedrifter som tar samfunnsansvar og bidrar til inkludering, kan styrke sitt omdømme blant kunder, partnere og i lokalsamfunnet. Dette kan igjen føre til økt kundelojalitet og nye forretningsmuligheter.
  7. Oppfyllelse av lovkrav: Norske bedrifter vil i økende grad måtte tilfredsstille krav til bærekraft, som også inkluderer såkalte sosiale bærekraftskrav. Bedrifter som rapporterer at de jobber godt med arbeidsinkludering vil kunne sjekke av ulike parametere i en slik rapportering. I første fase kommer den nye “bærekraftsloven” eller Corporate Sustainability Reporting Directive (CSRD), som snart flere av de største og mellomstore norske selskapene vil måtte rapportere på. 
  8. Etisk ansvar: Mange bedrifter ønsker å bidra positivt til samfunnet og ser det som et etisk ansvar å inkludere mennesker som ellers kunne ha stått utenfor arbeidslivet.

Arbeidsinkludering kan derfor bidra til både kortsiktige og langsiktige gevinster for bedriften, samt ha en positiv innvirkning på samfunnet som helhet.

Slik kan du jobbe med arbeidsinkludering

  1. Tilrettelegging: Tilpasninger av arbeidsplassen for å møte individuelle behov, for eksempel gjennom fysisk tilrettelegging, fleksible arbeidstider, eller spesialutstyr.
  2. Kompetanseheving: Opplæring og kursing som gjør at individet får nødvendig kompetanse til å utføre arbeidsoppgavene. Dette kan inkludere både faglig opplæring og utvikling av sosiale ferdigheter.
  3. Mentorordninger: Erfarne ansatte kan fungere som mentorer for nye ansatte som trenger ekstra støtte og veiledning for å finne seg til rette i arbeidslivet.
  4. Støtteordninger: Økonomiske insentiver og støtteordninger fra staten eller andre aktører kan bidra til å redusere kostnadene og risikoen for arbeidsgivere ved ansettelse av personer som trenger ekstra støtte.
  5. Samarbeid med NAV og andre aktører: Samarbeid mellom arbeidsgivere, NAV, tiltaksbedrifter og andre relevante organisasjoner kan være avgjørende for å lykkes med arbeidsinkludering.
  6. Arbeidspraksis og midlertidige ansettelser: Gi personer muligheten til å prøve seg i arbeidslivet gjennom praksisplasser eller midlertidige stillinger som kan føre til fast ansettelse.

Arbeidsinkludering kan gi trippel gevinst

  • For individet: Arbeidsinkludering gir personer en mulighet til å delta i arbeidslivet, noe som kan øke selvfølelsen, økonomisk selvstendighet og livskvalitet.
  • For bedriften: Bedrifter kan få tilgang til en bredere “pool” av arbeidskraft, øke mangfoldet og oppnå en mer inkluderende og innovativ arbeidskultur.
  • For samfunnet: Samfunnet som helhet kan dra nytte av reduserte kostnader knyttet til trygder og sosialhjelp, samt en mer variert og inkluderende arbeidsstyrke som bidrar til økonomisk vekst.

Arbeidsinkludering er derfor en helhetlig tilnærming som involverer ulike tiltak og samarbeid mellom flere aktører. Formålet er å sikre at alle har en mulighet til å delta i arbeidslivet og bidra til samfunnet.

For virksomheter som tar arbeidsinkludering på alvor vil effekter som for eksempel ulike perspektiver, bredere rekrutteringsgrunnlag, økt trivsel i siste instans vise seg på bunnlinjen. 

Begynn allerede i dag med å evaluere hvordan bedriften jobber med arbeidsinkludering, og vurder hvilke tiltak som kan skape en mer mangfoldig og effektiv arbeidsplass.

IT-jus nr. 6/24

IT-jus nr. 6/24

Det er alltid interessant å skrive nyhetsbrev. Denne gangen er jeg overrasket over at det er så mange saker som handler om biometri. Det ser ut som om det er en trend at biometri tillates i ulike kontrolltiltak og autentiseringsfunksjoner. Vi har lenge sagt at det er vanskelig å bruke biometri til kontroll, men jeg tror at handlingsrommet er i ferd med å åpne seg. Det er flere saker om dette under.

Ellers er det mye diskusjon i Norge om hjemmel for opplæring av KI. Mye av dette henger sammen med at Meta ønsker å bruke berettiget interesse for å trene Llama, som er navnet på deres KI. Llama brukes av mange andre enn Meta, blant annet av norske offentlige virksomheter. Det vil komme mer rådgivning fra datatilsynene og EDPB på hvilket hjemmelsgrunnlag som er riktig, men EDPBs task force om ChatGPT åpner for at berettiget interesse kan brukes. Selv tror jeg ikke det er lurt å sette samtykke som eneste mulige kriterium, men dersom man bruker berettiget interesse må det være en enkel opt-ut mulighet. Jeg kommer tilbake til temaet senere.

I øvrig kan dere glede dere til neste nettverksmøte i august – vi skal blant annet ha en særskilt bolk om ting man må tenke på ved innkjøp av KI-tjenester.

Men før august-møtet – ha en riktig god sommer! Og få med deg det siste innlegget i nyhetsbrevet – arbeidsgiver må sørge for at personvernombudet ikke er overarbeidet. 😊 Ha en riktig avslappende og velfortjent ferie!

Hilsen Eva


BIOMETRI

Ansiktsgjenkjenning på gaten i Tyskland (!)

I Tyskland er det satt i gang testing av et biometrisk overvåkningssystem (ansiktsgjenkjenning) som skal gjøre det enklere å identifisere og pågripe mistenkte. Dette har skapt store protester. Protestene er ikke overraskende, det overraskende er at initiativet tas i Tyskland som tradisjonelt har et sterkt personvernfokus. Dette har ledet til en offentlig debatt rundt den delikate grensen mellom borgernes sikkerhet og deres individuelle frihet.

Tysk politi ønsker å benytte høyoppløselige kameraer og ansiktsgjenkjenning i sanntid. Det er nylig kommet frem at det tyske føderale kriminalpolitiet (BKA) brukte bilder av omtrent tre millioner personer til testing av ansiktsgjenkjenningssystemer. BKA skal angivelig ha hentet ut nesten fem millioner ansiktsbilder fra politiets sentrale informasjonssystem i 2019 for å evaluere nøyaktigheten til løsningene fra flere produsenter.

Intern kommunikasjon mellom BKA og den føderale datatilsynet viser at man har søkt å basere seg på hjemler knyttet til vitenskapelig forskning, men det reises tvil om dette er lovlig og det er kommet krav om tydeligere lovreguleringer for hvordan sikkerhetsmyndigheter skal teste programvare.

Saken er omtalt her :


EDPB har kommet med en veileder om ansiktsgjenkjenning på flyplasser

EDPB har uttrykt bekymring rundt bruken av ansiktsgjenkjenningsteknologi på flyplasser. Helt konkret gjelder det bruk av biometri i noen typesituasjoner som sikkerhetskontroll, bagasjedrop, boarding og tilgang til passasjerområder. De anerkjenner at implementering av slike metoder vil være til god hjelp for sikkerheten på flyplasser. Imidlertid setter slik teknologi igjen forholdet mellom personvern og individuelle friheter på spissen.

Som EDPB så ofte gjør, setter de opp ulike scenarioer og uttaler seg om dem. De kommer med ganske praktiske vurderinger av hvilke typer behandlinger som kan anses lovlige og legger mye vekt på om individet selv har kontroll over opplysningene eller ikke. Det anses mindre inngripende om flyplassen ikke lagrer de biometriske opplysningene om individet. De har også noen mellomløsninger der opplysningene lagres sentralt, men individet selv kontrollerer en nøkkel til informasjonen. Der opplysningene lagres sentralt, vektlegger de kort lagringstid, eksempelvis 48 timer. Dette er som forventet. Det er interessant at det eksempelet de er mest kritiske til dreier seg om skybasert sentral lagring.

Selv om det finnes gode argumenter for slik teknologi, må den stadig balanseres mot behovet for individuelles rett til personvern og frihet. Det ser likevel ut som om man nå ser en stadig større åpning for denne type systemer.

Du finner selve veilederen her:

https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-112024-use-facial-recognition-streamline_en


Mer biometrisk overvåking i Sverige

I Sverige har et utvalg utredet politiets muligheter til å bruke teknologi for automatisk ansiktsgjenkjenning, samt om den eksisterende bruken av teknologi for gjenkjenning av kjøretøyregistreringsnummer kan utvides og effektiviseres. Utredningen har også sett på politiets muligheter til å få tilgang til materiale fra andres kameraovervåkning.

Forslagene i utredningen inkluderer:

  • Politiet skal kunne drive overvåkning med kamera på veier, gater, torg og andre offentlige steder som brukes til motorisert trafikk uten å måtte gjøre en dokumentert interesseavveining før overvåkningen starter. Materiale kan bare behandles for å forebygge, forhindre, oppdage, etterforske eller straffeforfølge forbrytelser som har en strafferamme på tre år eller mer, og kan behandles i seks måneder etter at det er samlet inn.
  • Teknologi for biometrisk fjernidentifisering i sanntid skal kunne brukes på offentlige steder for formål knyttet til kriminalitetsbekjempelse i den grad EU’s AI-forordning tillater det. Teknologien kan dog bare brukes i enkeltstående  tilfeller og kun etter tillatelse fra en myndighet.
  • En tydeliggjørende regel skal innføres for hva som gjelder når politiet ber om tilgang til andres overvåkningsmateriale. Materialet kan utleveres når det er nødvendig for å etterforske en begått forbrytelse som har en strafferamme på fengsel, eller for å forebygge, forhindre eller oppdage kriminell virksomhet som involverer forbrytelser med en strafferamme på fengsel.
  • Transportstyrelsen (Sveriges svar på det norske Vegvesenet) skal utlevere materiale fra bompenger- og infrastrukturavgiftskameraer til politiet hvis opplysningene er nødvendige i en nødsituasjon for å forhindre eller etterforske en forbrytelse som har en strafferamme på tre år eller mer, eller et straffbart forsøk eller forberedelse, eller for å avsløre eller forhindre slik kriminalitet.
  • Personopplysninger som er samlet inn gjennom kameraovervåkning skal kunne gjøres tilgjengelig internt i politiet for spesifiserte tjenestemenn som har behov for opplysningene for å opprettholde offentlig ro, orden og sikkerhet, eller for å forebygge, forhindre, oppdage, etterforske eller straffeforfølge forbrytelser som har en strafferamme på tre år eller mer. Opplysningene kan ikke behandles lenger enn seks måneder etter at de er samlet inn.

Utredningen foreslår at reglene skal tre i kraft 1. januar 2025 og  – etter hva jeg hører – er frustrasjonen over gjengkriminalitet i Sverige så stor at man regner med at dette faktisk kan bli en realitet.


Ryanair får klager for å kreve biometrisk identifikasjon

Reiseorganisasjonen EU Travel Tech har klaget på Ryanair til de franske og belgiske datatilsynene. EU Travel Techs medlemmer omfatter kjente online reisebyråer som Airbnb, Booking.com og Expedia Group samt Amadeus. Klagen utfordrer at Ryanairs i desember 2023 innførte nye regler for biometrisk kundeidentifisering. Kunder uten medlemsskap hos Ryanair må sende inn bilder av seg selv, av sin underskrift eller av pass for å bestille og sjekke in online. Dette gjelder selv om bestillingen skjer gjennom andre Online Travel Agencies (OTA).

EU Travel Tech mener at fremgangsmåten er i strid med personvernforordningen. De ber om en hasteundersøkelse av Ryanairs praksis etter forordningens artikkel 66 og krever midlertidige tiltak for å suspendere den biometriske verifiseringsprosessen.

På mange måter ser man her at personvernregler brukes i en rent kommersiell sammenheng. Det er rimelig å anta at Ryanair gjør det vanskeligere for andre enn sine egne kunder med denne mer tyngende registreringsprosessen.


Stadig flere saker om hva som kan kreves av identifikasjon

I Spania har datatilsynet bøtelagt en behandlingsansvarlig 20.000 euro som følge av for strenge krav til identifikasjon.

Selskapet Mouro Producciones arrangerer konserter og arrangementer. De krevde at foreldre eller foresatte måtte framlegge kopi av både sine egne og barnas ID-kort for at barna skulle få adgang til arrangementene. Det ble vurdert som ulovlig at man krevde kopi av legitimasjon og at man ikke informerte om hvor lenge kopien ble lagret.

Selskapet erkjente ansvaret, og fikk dermed en redusert bot i henhold til spanske regler. Boten ble på 12 000 euro.

Mer om saken finner du her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202310910&mtc=today


SKYTJENESTER  OG TREDJELANDSOVERFØRINGER  

Skytjenester under lupen (igjen) i Frankrike

Den offentlige interessegruppen “Plateforme des données de santé” i Frankrike ønsket å opprette et database over helseopplysninger på servere hos Microsoft. De søkte tillatelse fra CNIL (det franske Datatilsynet), og fikk innvilget denne den 21. desember 2023.

Flere selskaper og organisasjoner påklaget denne tillatelsen, og anket saken helt opp til den høyeste franske administrative domstolen (Conseil d’Etat) i mars 2024. De hevdet at denne tillatelsen innebar en for stor risiko for at amerikanske myndigheter kunne misbruke personopplysningene i basen som Microsoft kontrollert. De ønsket å stanse prosjektet ved å bruke en særlig fransk bestemmelse om hasteavgjørelser i situasjoner med stor umiddelbar fare.

Domstolen var ikke enige i at det forlå en stor fare. De synes å legge vekt på at det ikke var funnet alternativer til løsningen uten en tilsvarende overføringsrisiko. Videre la de vekt på at det var pseudonymiserte helseopplysninger der personnummer og fødselsdato ikke var med. Opplysningene skulle lagres på servere i Frankrike. Domstolen la vekt på at klagerne ikke hadde ført bevis for at amerikanske myndigheter kunne bruke CLOUD Act til å skaffe seg tilgang til opplysningene. De mente likevel at man ikke kunne utelukke at slik tilgang ville kunne skje, men at det fremsto som hypotetisk på tidspunktet for vurderingene. Basert på dette konkluderte de med at det ikke var noen stor og overhengende fare for personvernet samtidig som formålet med prosjektet – å fremme forskning innenfor helsefeltet – veide tungt.

Dette er en avgjørelse som nok kommer til å få mye oppmerksomhet for tredjelandsoverførsler og kommer antakelig til å bli viktig fremover.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=CE_-_492369&mtc=today


PERSONOPPLYSNINGER

Dansk Datatilsyn er (som vanlig) på hugget

Denne saken inneholder en smørbrødliste over ting som ofte gjøres feil. Samtidig illustrerer den at nyere rettspraksis om behandlingsansvar og behandlingsgrunnlag for digital reklame faktisk blir håndhevet.

Datatilsynet mottok en klage fra en borger som klaget over at Telmore A/S videreformidlet hans personopplysninger til Meta Irland. Klagen inneholdt fire punkter:

  1. Telmores videreformidling av klagers personopplysninger til Meta Irland.
  2. Telmores overføring av klagers personopplysninger til USA.
  3. Telmores manglende overholdelse av sin opplysningsplikt.
  4. Telmores manglende svar på klagers forespørsel om innsyn.

Man brukte vedkommendes epostadresse som nøkkel inn i Facebooks “Custom Audience”. Ved å dele epostadressen, ville Telmore unngå at vedkommende fikk rettet reklame på Facebook. Det var altså ikke for å sende reklame – men for å unnta vedkommende fra å få reklame.

Selskapet hevdet at de gjorde dette basert på sin berettigede interesse.  Epostadressen var hashet. Telmore anså at Meta Irland handlet som databehandler for selskapet. Telmore anførte også at det ikke var skjedd noen overføring til USA fordi avtaleparten var Meta Irland.

Læringspunkt 1: Datatilsynet la ikke vekt på at opplysningene var hashet. Hashede personopplysninger anses som personopplysninger og må følge reglene i GDPR.

Læringspunkt 2: Berettiget interesse er vanskelig å bruke som behandlingsgrunnlag for reklame og deling av personopplysninger med tredjepart. Skal man kunne gjøre det, må man blant annet passe på at det gis informasjon. Behandlingen var ikke beskrevet i selskapets personvernerklæring.

Datatilsynet anerkjente likevel at Telmore kunne ha en berettiget interesse i å drive markedsføring og har noen interessante vurderinger. De skriver:

Det er Datatilsynets opfattelse, at den registrerede generelt har en rimelig forventning om, at personoplysninger, der afgives som led i et kundeforhold, ikke videregives til andre dataansvarlige til brug for direkte markedsføring, herunder til udbydere af sociale medier.

Det betyder ikke, at en virksomhed er forpligtet til at indhente den registreredes samtykke. Behandlingen af de omhandlede oplysninger kan ske på baggrund af en interesseafvejning. Det forudsætter imidlertid, at virksomheden træffer yderligere foranstaltninger for at sikre, at den registrerede bliver særskilt opmærksom på, at oplysningerne vil blive brugt til direkte markedsføring, at oplysningerne til brug for direkte markedsføring videregives til udbydere af sociale medier, hvilke oplysninger der er tale om, og at den registrerede altid har mulighed for at gøre indsigelse mod den pågældende behandling.

Efter en samlet vurdering finder Datatilsynet, at videregivelse og behandling af klagers e-mailadresse ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Det er Datatilsynets vurdering, at Telmore har forfulgt en legitim og nødvendig interesse i at foretage direkte markedsføring og en legitim interesse i, at virksomhedens kunder ikke udsættes for unødige reklamebudskaber.

Heroverfor står hensynet til klager, idet behandling af personoplysninger har en indvirkning på den registrerede. Denne indvirkning, der kan være både positiv og negativ, kan også omfatte rene følelsesmæssige indvirkninger, som f.eks. irritation, frygt og angst, der kan opstå, hvis den registrerede mister kontrollen over sine personoplysninger.

Datatilsynet har foretaget en konkret afvejning af de angivne (modsatrettede) interesser og finder på den baggrund, at klagers interesse i, at vedkommendes e-mailadresse ikke blev videregivet og behandlet, vejer tungere end Telmores legitime interesse i gennemføre de ovennævnte markedsføringsaktiviteter. Datatilsynet har i den forbindelse navnlig lagt vægt på, at klager i en situation som den omhandlede må antages at have en berettiget forventning om, at oplysninger, der er afgivet som led i etablering af et kundeforhold, som udgangspunkt ikke videregives til tredjeparter i markedsføringsøjemed. Endvidere har Datatilsynet lagt vægt på, at Telmore ikke ses at have implementeret yderligere foranstaltninger for at sikre bl.a. øget transparens som kunne føre til, at interesseafvejningen faldt ud til fordel for virksomheden.

Datatilsynet konkluderte så med at Telmores behandling av klagers personopplysninger ikke kunne baseres på berettiget interesse i denne situasjonen.

Læringspunkt 3: Domspraksis fra EUCJ om felles behandlingsansvar gjelder. Datatilsynet fastslo at det forelå et felles ansvar for databehandlingen. Dermed manglet en avtale om felles behandlingsansvar. Dessuten spiller dette inn på vurderingen av berettiget interesse. Kontrollen over opplysningene blir mindre – og det blir vanskeligere å konkludere med berettiget interesse.

Datatilsynet kom til at det ikke var hensiktsmessig å fortsette undersøkelsen av de øvrige klagepunktene i saken fordi det er en avgjørende forutsetning for å overholde personvernreglene at man identifiserer sin egen ansvarsrolle korrekt. Datatilsynet la også vekt på at Telmore ikke lenger delte klagers e-postadresse med Meta Irland.

Les gjerne hele avgjørelsen her – den er lesverdig:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-telmore-as%E2%80%99-behandling-af-personoplysninger

Det danske Datatilsynet har også kritisert en videregående skole for bruk av programvare til å forhindre juks ved eksamener.

Skolen ble kritisert for manglende risikovurdering ved bruk av en eksamensovervåknings-programvare “ExamCookie”. Programvaren ble brukt til å overvåke studenter under eksamen for å forhindre juks. Skolen mente at behandling av skjermbilder, kopiert tekst, aktive programmer og URL-adresser var nødvendig for å oppdage juks. De valgte bort funksjoner som ikke var ansett som nødvendige, f eks overvåkning av aktive prosesser og nettverksaktivitet. Skolen ble imidlertid kritisert for å ikke ha iverksatt tilstrekkelige tekniske tiltak for å beskytte studentenes personopplysninger, spesielt risikoen for utilsiktet innsamling av sensitive data. Blant annet var risikoen for personvernbrudd ikke tilstrekkelig kommunisert til studentene.

Datatilsynet kom til at skolen generelt sett overholdt personopplysningsreglene, men oppfordret skolen til en ny risikovurdering.

Dette betyr at man nok ofte kan benytte denne type programvare, men man må passe på at de nødvendige vurderingene er foretatt og at informasjon gis.

Saken er omtalt her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-gymnasiums-brug-af-eksamensovervaagningssoftware


Hjelp til konskvensanalyser fra det danske datatilsynet

I mai i år offentliggjorde det danske datatilsynet to maler for konsekvensanalyser. Den ene er ganske generell, mens den andre er spesifikt innrettet mot utvikling og ikke minst drift og bruk av KI-løsninger. Malen for KI-løsninger er ganske omfattende, men det er egentlig en god ting fordi den tvinger brukeren gjennom en rekke spørsmål man kanskje ellers ville glemt å stille.

Jeg vil virkelig anbefale dere å se nærmere på disse malene dersom dere trenger konsekvensanalyser og særlig dersom dere nå er i ferd med å gjøre deres første reelle vurderinger av å ta i bruk KI i egen virksomhet. En av de praktiske delene er at de setter opp eksempler på scenarioer der ting går galt. For eksempel er en meget alvorlig hendelse beskrevet slik:

Registrerede kan opleve betydelige konsekvenser, som kun kan overkommes med betydelig indsats og konsekvenser for den enkelte (økonomiske konsekvenser, fejlkontering af midler, sortlistning eller nedgradering i kreditmuligheder, fysisk skade på aktiver, påvirkning af arbejdssituation, stævning, dårligere helbred og lignende).

Det er nyttig å få hjelp med slikt.

Du finner malene her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/maj/nye-skabeloner-til-gennemfoerelse-af-konsekvensanalyser


AI Act er viktig – men Europarådet vil også være med

Lenge før vi fikk omfattende forordninger om personvern fra EU, hadde Europarådet konvensjoner om grunnleggende personvernprinsipper. Disse var gjeldende for Norge og noen av oss jobbet med dem, men nå er de mest for spesielt interesserte. Europarådet er likevel et viktig organ og nå har de besluttet en konvensjon om KI også. Konvensjonen heter Council of Europe Framework Convention on artificial intelligence and human rights, democracy, and the rule of law.

Konvensjonens navn viser at den skal sikre respekt for menneskerettigheter, rettsstatsprinsipper og demokratiske standarder i bruk av KI-systemer. Den dekker hele livssyklusen til KI-systemer og skal balansere mulige risikoer opp mot ansvarlig innovasjon. Avtalen kan ratifiseres av både europeiske og ikke-europeiske land. Slik sett oppfyller den behovet for en internasjonal juridisk standard for flere kontinenter og kan bli vel så viktig som AI Act.

Konvensjonen er resultatet av to års arbeid av en gruppe bestående av 46 medlemsland og 11 ikke-medlemsland. Den dekker bruk av AI-systemer både i offentlig sektor og privat sektor. Den inneholder blant annet krav til åpenhet og tilsyn og identifisering av innhold generert av AI-systemer. Det er krav til tiltak for å identifisere, vurdere, forebygge og begrense mulige risikoer, samt vurdere behovet for midlertidig stans, forbud eller andre egnede tiltak når bruken av AI-systemer kan være uforenlig med menneskerettighetsstandarder. De må også sikre ansvarlighet og ansvar for negative virkninger, samt at AI-systemer respekterer likhet, inkludert ikke-diskriminering av kjønn og personvernrettigheter. Det skal også sikres at AI-systemer ikke brukes til å undergrave demokratiske institusjoner og prosesser, inkludert prinsippet om maktfordeling, respekt for rettslig uavhengighet og tilgang til rettferdighet/domstol.

Konvensjonen gjelder ikke aktiviteter knyttet til beskyttelse av nasjonale sikkerhetsinteresser, men medlemmene er forpliktet til å sikre at slike aktiviteter respekterer folkeretten og demokratiske institusjoner og prosesser. Medlemmene skal etablere en uavhengig tilsynsmekanisme for å overvåke etterlevelse av avtalen. Konvensjonen vil bli åpnet for signering i Vilnius den 5. september under en konferanse for justisministre.


Lagring av kundeopplysninger i Finland

Mange av sakene jeg skriver om er kompliserte. Denne er heldigvis litt enklere, men relevant likevel:

Det finske datatilsynet ble varslet om at en teleoperatør (behandlingsansvarlig) hadde nektet å slette personopplysningene til en registrert person som hadde vært kunde hos dem. Datatilsynet ba den behandlingsansvarlige forklare hvorfor de hadde avslått sletteforespørselen og hvor lenge de lagret personopplysningene til kundene sine.

Den behandlingsansvarlige svarte at de ikke kunne imøtekomme ønsket om sletting fordi lagringen var nødvendig i henhold til artikkel 17(3)(e) og at lagringen var nødvendig på grunn av den generelle foreldelsesfristen på tre år. De opplyste videre at kundedata eldre enn tre år skulle ha blitt slettet fra systemene deres gjennom en automatisert sletteprosess, som ikke hadde blitt utført på grunn av en teknisk feil.

Det finske datatilsynet anså at den behandlingsansvarlige hadde rett til å lagre den registrerte personens personopplysninger i tre år etter avslutningen av kundeforholdet. Datatilsynet aksepterte at hvis den behandlingsansvarlige slettet den registrerte personens personopplysninger, ville de ikke kunne forsvare seg mot mulige fakturakrav fra kunder eller andre kreditorer.

Imidlertid fant datatilsynet at den behandlingsansvarlige hadde brutt artikkel 17(3)(e) fordi de ikke hadde slettet personopplysninger som skulle ha blitt fjernet fra systemene deres før vedkommende fremsatte forespørselen. Datatilsynet ga dem en irettesettelse.


COOKIES

Dark patterns og design på cookiesamtykke?

Det er mye snakk om dark patterns for tiden. En ganske ny tysk sak handlet om mange ulike forhold rundt Meta, men dommen hadde også en pragmatisk uttalelse om brukergrensesnitt og manipulativ design. Det er to setninger i avgjørelsen som omtaler hvordan designet på Metas cookiebanner var utformet. Knappen for “Godta cookies” var farget blå. Det er ikke klart hvilken form eller farge avslå-knappen var, fordi det er ingen beskrivelse eller bilde av det i dommen. Men jeg antar at den muligens var hvit med blå skrift. Samtykke-knappen virker å ha vært blå med hvit skrift.

De relevante to setningene lyder som følger (maskinoversettelse av avsnitt 62):

At knappen “Tillat alle informasjonskapsler” er farget blå, utgjør ikke en overtredelse av Artikkel 25(2) i personvernforordningen (GDPR) (personvernvennlig standardinnstilling). Dette er ikke en “standardinnstilling”, men en vanlig og tillatt visuell fremheving som ikke påvirker brukerens aktive beslutningsevne.

Dette må bety at man kan ha ulik farge på samtykke og avslå-knapper. Etter hva jeg forstår, mener Meta at den blå fargen er gjengs å bruke for dem – fordi det er den fargen de bruker i Facebook.

Men at det er OK med ulike farger, betyr nok ikke at man kan bruke rødt og grønt eller svart sammen med lysegrått. Man må være på vakt mot farger som åpenbart dytter brukeren i en bestemt retning.

Dette viser likevel at det kan være mange måter å designe lovlige samtykkeknapper på. Det er ikke sikkert at knappene må være helt identiske.

For de som leser tysk, er dommen tilgjengelig her:

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2024-N-8093?hl=true


“Pay or OK” – ny avgjørelse fra Spania

I mai 2023 ble det levert inn en klage til AEPD (spansk datatilsyn) fra en bruker av nettsiden Motorsport Network España (behandlingsansvarlig). Klagen hevdet at nettsiden brukte en ulovlig consent or pay-løsning i cookiebanneret. AEDP etterforsket og fant at nettsiden brukte ikke-tekniske informasjonskapsler, som krever samtykke – uten forhåndssamtykke fra brukeren ved første gangs besøk på nettsiden.

Etter at informasjonskapslene var satt, ba nettsiden om samtykke gjennom et cookiebanner som ga to alternativer i første lag. Brukeren kunne godta informasjonskapslene og bruke nettsiden gratis. Da fortsatte nettsiden å bruke de samme informasjonskapslene som den hadde brukt før samtykket ble forespurt eller gitt.

Alternativet var mer komplisert. Brukeren kunne trykke på en boks merket “Vis alternativene”, som førte til et annet banner. Der var all bruk av informasjonskapsler stilt inn på “av” unntatt analyseinformasjonskapsler, som var merket som “på”. Hvis man ville avvise alle informasjonskapsler ved å klikke på “Bekreft mine preferanser” – knappen, ville nettsiden fortsette å bruke informasjonskapslene som den hadde brukt før samtykke ble forespurt. En ny popup ville deretter vises og be registrerte personer om enten å bli abonnenter mot en månedlig avgift og få tilgang til nettsiden uten reklame, eller å godta alle informasjonskapsler.

AEPD vurderte også oppsettet for brukere som ønsket å trekke tilbake samtykke. Det lå en lenke til “Administrer preferanser” nederst på nettsiden. Der fikk brukeren tilgang til informasjonskapselkontrollpanelet og kunne manuelt slå av hver informasjonskapsel. Likevel, når de bekreftet preferansene, ble de konfrontert med samme valg om enten å godta alle informasjonskapsler eller å starte et betalt abonnement.

AEPD konkluderte med at oppsettet var ulovlig. Det var lovstridig å bruke ikke-tekniske informasjonskapsler uten samtykke, mangelen på mulighet til å enkelt avvise samtykke var ulovlig og det var for vanskelig å trekke tilbake samtykke.

AEPD betraktet dette dog som en mindre overtredelse og påla en bot på €5.000.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202309359&mtc=today


Interessant sak om klagerett fra Personvernnemnda

Personvernnemnda avslo i april i år en klage fra en privatperson som hevdet at Statistisk Sentralbyrå (SSB) behandlet hans personopplysninger ulovlig.

En mann klagde inn en sak til Personvernnemnda etter at Datatilsynet besluttet å ikke følge opp hans klage om at SSB hadde brutt Personvernforordningen. Utgangspunktet er at Datatilsynet må ta stilling til klager for de brudd på Personvernforordningen som anføres, men bare dersom klager konkretiserer og redegjør for de anførte bruddene i tilstrekkelig grad – noe mannen ikke hadde gjort i saken her. Slik manglende konkretisering og redegjørelse ville etter nemndas syn resultere i at Datatilsynet ikke pliktet å ta stilling til klagen.

Etter Personvernnemndas syn stilles det med andre ord kvalitative krav til klagen for at Datatilsynet plikter å ta stilling til de bruddene som er anført å foreligge i den konkrete sak.

Du finner saken her:

https://gdprhub.eu/index.php?title=Personvernnemnda_(Norway)_-_PVN-2023-24&mtc=today


OVERARBEIDET?

Overarbeidet personvernombud?

Vi avslutter denne runden med å tenke på ferie. Mange personvernombud har mye å gjøre og trenger sårt den forestående sommerferien.

I en ny sak fra det belgiske datatilsynet den 3. juni, arbeidet personvernombudet bare tre dager i uken. Vedkommende var den eneste som hadde tilgang til e-postadressen der tilsynet hadde sendt en henvendelse. Henvendelsen ble ikke besvart, delvis fordi vedkommende var overarbeidet. Årsaken til henvendelsen til epostkassen virker å ha vært at de ikke reagerte på en protest mot direkte markedsføring.

Den behandlingsansvarlige hevdet de ikke var klar over hvor mye arbeid ombudet hadde, men dette ble de ikke hørt på.  Ansvaret pålå dem. De fikk en bot på 170.000 euro.

Så – kjære personvernkollega – si ifra om du har mye å gjøre. Og husk å ta ferie også.

Beslutningen (på fransk) finner du her:

https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-87-2024.pdf


KOMMENDE MØTER

22. august 14.00 – 17.00 Nettverksmøte i Oslo
19. sept 12.00 – 13.00 Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

IT-jus nr. 5/24

IT-jus nr. 5/24

Kunstig intelligens – det er det alle snakker om fremdeles. Hvordan kan vi innføre Copilot? Hvilken dokumentasjon trenger vi? Er avtalen med OpenAI balansert? Er virkelig ikke OpenAI DPF-sertifisert? Kan vi la AI/KI trene på våre kundedata – hva skal til? Og NOYB har saksøkt OpenAI for at den angir “feilaktige” påstander om individer og at feilene ikke kan rettes, slik GDPR krever.  

EDPB har sin pågående task force om lovligheten av OpenAI ,og de har uvanlig nok akkurat kommet med en midlertidig rapport der døren settes på gløtt for at berettiget interesse kan brukes for å skrape tredjepartsopplysninger gitt at en rekke forhold ivaretas. Samtidig skriver de at de ikke har konkludert på hvilket rettsgrunnlag som er riktig. De anerkjenner dessuten at LLM-er hallusinerer og skriver at brukere må informeres om dette. Kanskje avgjorde selveste EDPB søksmålet til NOYB med den uttalelsen. Skjønt jeg tror kanskje ikke det. It’s complicated.

Og moro – god lesning!

Hilsen Eva


KUNSTIG INTELLIGENS

Er personvern viktig?

Det er i alle fall blitt et område der det leveres tjenester i stort omfang. En ny rapport gjennomført av Coherent Market Insights viser at det globale GDPR tjenestemarkedet var verdsatt til over en milliard dollar i 2023, og det regnes med en årlig vekst på over 22% frem til 2030. Det er en stor industri!

Tjenestemarkedet for GDPR er hovedsakelig drevet av det økte fokuset på reguleringer av personvern på tvers av ulike sektorer i EU. Formålet med GDPR er å styrke og sikre beskyttelsen av personopplysninger i Europa. At brudd på GDPR sanksjoneres med store bøter, har tvunget organisasjoner på tvers av sektorer til å iverksette tiltak og investere i GDPR-konsulent og – vurderingstjenester. Økt bruk av skybaserte tjenester forsterker etterspørselen etter slike tjenester, fordi offentlig skydeling øker behovet for tredjeparts tilgangsadministrasjon og kontroll.

Bruk av AI og analyseverktøy er klare trender. Det er høy etterspørsel etter produkter som kan automatisere samtykkebehandling, administrasjon av registrertes rettigheter, innsyn og klassifisering av opplysninger. Utviklingen av, og etterspørselen etter, GDPR-tjenester er en naturlig konsekvens av den teknologiske utviklingen, og etterlevelse av regelverket for GDPR.

Alle som leser dette nyhetsbrevet, arbeider med personvern. Det er jobb for oss fremover.

Du kan lese mer om personvern som tjenesteområde her:

https://www.globenewswire.com/news-release/2024/05/07/2876405/0/en/GDPR-Services-Market-to-Hit-5-997-1-million-by-2030-at-a-CAGR-of-22-45-says-Coherent-Market-Insights.html


Kongressen i USA forbyr bruk av Copilot – hva gjør du?

Den amerikanske kongressen forbyr bruk av AI-språkmodeller som Copilot og ChatGPT, grunnet for dårlig sikkerhet. Microsoft lanserte Copilot i 2024, og vi ser at mange virksomheter tar i bruk AI-språkmodellen i sitt daglige arbeid. Det er uklart hvilke avtalevilkår kongressen ble presentert for, men det ser ut å handle om fare for at opplysninger deles med ikke-godkjente skyleverandører.

Det er liten offentlighet om akkurat hva kongressen har reagert på. Det er uansett slik at implementering av Copilot og annen AI krever årvåkenhet. Det vil etter min oppfatning ofte være behov for å gjøre en Data Protection Impact Assessment (DPIA). Man må også være svært nøye på hvilken informasjon som stilles til rådighet for tjenesten. Mange fraråder å installere slike AI-modeller på hele det eksisterende Office 365-filbiblioteket. Man må også ha gode retningslinjer for bruk av tjenesten internt. Typiske elementer i slike er når tjenesten kan benyttes, men også hva den ikke skal benyttes til. For eksempel skal den ikke benyttes til å ta opp og skrive referat fra medarbeidersamtaler. En annen detalj som kan være nyttig å vite, er at OpenAI i skrivende stund ikke er DPF-godkjent. Det betyr at det kan være nødvendig å gjøre en Transfer Impact Assessment (TIA). Nok av dokumentasjonsbehov der, altså.

Samtidig er kvalitet viktigere enn noen gang. Selv om teknologien effektiviserer arbeid, muliggjør den også snarveier og halvveisløsninger. At produktet man leverer er av god kvalitet har alltid vært viktig, men i en tid som denne er det kanskje blitt enda viktigere? Det kan kanskje være greit med dokumentasjonsplikten som krever litt tankekraft på hvordan dette skal gjøres.

Og apropos AI. Du finner rapporten fra EDPB om OpenAI her – den er lesverdig om du utvikler AI. Den lister opp spørsmålene de har stilt til OpenAI – det er spørsmål man har godt av å se på for egen bruk av AI.

https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf

Les mer her:

https://www.axios.com/2024/03/29/congress-house-strict-ban-microsoft-copilot-staffers


PERSONVERN

Beriking av data i fokus hos datatilsynet i Bayeren

Kredittopplysningsbyrået CRIF Bürgel kjøpte personopplysninger som navn, adresser og fødselsdatoer for millioner av tyskere, inkludert klageren, fra megleren Acxiom, som samlet disse dataene for direkte markedsføringsformål. CRIF Bürgel brukte personopplysningene for å vurdere kredittverdigheten til enkeltpersoner.

Klageren ba om tilgang til en kopi av sine data og informasjon om behandlingen av sine personopplysninger. CRIF Bürgel svarte med informasjon om hvilke personopplysninger som var tilgjengelige, men ga ikke klageren informasjon om den nøyaktige datoen for mottak av data fra Acxiom, lagringsperioden, utlevering av data til bestemte mottakere og formålene med overføringen.

Klageren ba også CRIF Bürgel om å begrense behandlingen av sine personopplysninger i henhold til artikkel 18. CRIF Bürgel hevdet at retten til å begrense behandlingen kun eksisterte hvis de aktuelle dataene var feilaktige, og avviste derfor klagerens forespørsel om begrensning. CRIF Bürgel hevdet videre at de ikke utførte en “ny behandling” ettersom de allerede hadde de samme personopplysningene om klageren da de mottok personopplysningene fra Acxiom.

Klageren hadde hjelp av NOYB. De klaget begge selskap til det bayerske datatilsynet. De avviste CRIF Bürgels argument om at det ikke var “ny behandling”. Datatilsynet forklarte at CRIF Bürgel kunne konkludere med at klageren fortsatt var bosatt på den adressen som CRIF Bürgel hadde lagret i systemet sitt basert på Acxioms data. Derfor fastslo datatilsynet at klageren skulle ha blitt informert senest en måned etter å ha fått inn data fra Acxiom, i samsvar med artikkel 14. Dette var et brudd på informasjonsplikten. Klageren skulle også ha fått informasjon om denne datoen.

Datatilsynet fastslo videre at Acxioms behandling for formål om direkte markedsføring og CRIF Bürgels behandling for formål om å vurdere kredittverdigheten til enkeltpersoner ikke var forenlige.

Saken mot Axciom er forsinket da Axciom gikk til retten for å hindre klageren i å få tilgang til saksdokumenter. Denne saken har de tapt, og datatilsynet kommer antakelig med et vedtak i den saken også.

Det er mange selskaper som beriker data. Det må nok regnes med at dette er en type aktivitet som får mer oppmerksomhet fremover.

Les mer om saken her:

https://gdprhub.eu/index.php?title=BayLDA_(Bavaria)_-_LDA-1085.1-10821/21-F&mtc=today


Samtykke eller avtale?

Man skal være tydelig på om man bruker samtykke eller avtale. Det er det ikke alle som er gode på.

Den svenske datatilsynsmyndigheten (“IMY”) startet en undersøkelse mot Expressen Lifestyle AB (Expressen) i 2019 for å sjekke om samtykke ble innhentet på riktig måte. Expressen er en stor avisutgiver i Sverige. Etter innføringen av GDPR i 2018, baserte Expressen seg hovedsakelig på kontraktsmessig nødvendighet og berettiget interesse i stedet for samtykke for abonnement. Imidlertid glemte de ved en feiltakelse å oppdatere registreringsskjemaet til en av selskapets nettbutikker, Magasinshoppen. Nettbutikken hadde en avkrysningsboks på nettsiden sammen med teksten “Jeg godtar abonnementsvilkårene. Ved å gjøre det, samtykker jeg i behandlingen av personopplysninger innenfor Bonnier Group.”

Expressen oppdaterte heller ikke abonnementsvilkårene som anga følgende: “Ved bestilling samtykker du i at dine personopplysninger, inkludert e-postadresse, mobilnummer for samtaler og tekstmeldinger og andre digitale adresser, kan lagres og brukes innenfor Bonnier for digitale tjenester, markedsføring og for statistiske og analytiske formål.” Videre ble det gitt informasjon om retten til å trekke tilbake samtykke.

Etter at tilsynsmyndigheten startet inspeksjonen, iverksatte Expressen umiddelbare tiltak for å korrigere informasjonen som ble gitt i registreringsprosessen på nettbutikken deres. Nå ber de om at abonnenten godta abonnementsvilkårene (dvs. kjøpsvilkårene) og bekrefte at de har lest kontrollerens personvernpolicy, i stedet for en forespørsel om samtykke.

IMY konkluderte med at den opprinnelige teksten ved siden av avkrysningsboksen på kontrollerens nettside ga inntrykk av at kontrollerens rettslige grunnlag for behandling av personopplysninger var samtykke. Dette ble forsterket av teksten i abonnementsvilkårene og den gitte informasjonen om retten til å trekke tilbake samtykke. Siden Expressen ikke baserte sin behandling på samtykke, men på avtale og berettiget interesse, fant IMY at Expressen brøt artikkel 13(1)(c) ved å angi et feilaktig rettslig grunnlag.

Tilsynsmyndigheten fant at bruddene var en mindre overtredelse i henhold til betraktning 148, ettersom nettsiden ikke var hovedsiden som ble brukt av de registrerte for å abonnere. Antallet berørte personer var begrenset, og bruddet resulterte ikke i alvorlige konsekvenser for de registrerte. IMY utstedte derfor en irettesettelse og ingen bot. Det er en pragmatisk vinkling fra IMY på valg av sanksjoner her, det er ikke alle lands tilsyn som gjør det slik.

Det er mange som har blandet avtale med samtykke og grensen kan være hårfin. Om du bruker noe av dette som behandlingsgrunnlag – ta en runde på den informasjonen dere gir kundene og se om ordlyden trenger en oppfrisker.

Se mer her:

https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2019-6523&mtc=today


En av sakene mot Klarna er blitt endelig

Det svenske datatilsynet (“IMY”) ila Klarna AB en bot på SEK 7 300 000 for ikke å gi tilstrekkelig informasjon til de registrerte. Klarna anket beslutningen til Forvaltningsretten i Stockholm, som delvis opphevet beslutningen og reduserte boten til SEK 6 000 000 fordi overtredelsene ikke var forsettlig og fordi Klarna hadde forbedret informasjonen til de registrerte.

IMY anket avgjørelsen videre til Kammarrätten i Stockholm, som vurderte sentrale aspekter knyttet til GDPR i saken:

  • Kammarrätten var uenig med Forvaltningsretten om det forelå en overtredelse av artikkel 13(1)(f) ved ikke å angi spesifikke tredjeland. Kammerrätten konkluderte med at GDPR ikke krever spesifikasjon av tredjeland. Derfor fant Kammarrätten at Klarna ikke overtrådte GDPR i denne sammenhengen.
  • Kammarrätten var uenig med Forvaltningsretten om informasjonen om registrertes rettigheter under artikkel 13(2)(b). De mente at GDPR ikke krever en detaljert beskrivelse av disse rettighetene.
  • Klarna ble imidlertid funnet å ha brutt artikkel 13(1)(f) og artikkel 14(2)(g) ved ikke å gi informasjon om sikkerhetsforanstaltninger for overføringer til tredjeland og om bruken av en scoringsmodell i automatiserte beslutninger.
  • Kammarrätten fant også at informasjonen om automatiserte beslutninger ikke var lett tilgjengelig som krevd av artikkel 12(1) GDPR, og at informasjonen om retten til dataportabilitet og retten til begrensning var uklart formulert.

Til tross for at Klarna hadde forbedret sin personvernerklæring, mente Kammarrätten at alvorlighetsgraden av overtredelsene, som berørte et stort antall registrerte, rettferdiggjorde en bot på det beløp IMY hadde ilagt opprinnelig. Dermed ble Datatilsynets anke tatt til følge og boten opprettholdt på det opprinnelige beløpet.

Les mer om saken her:

https://gdprhub.eu/index.php?title=KamR_Stockholm_-_2829-23&mtc=today

Og selve saken (må bestilles):

https://www.domstol.se/nyheter/2024/03/kammarratten-faststaller-sanktionsavgift-for-klarna


Prinsipiell sak om balansen mellom personvern og andre rettigheter

Fire franske organisasjoner, deriblant La Quadrature du Net, ønsket å annullere en bestemmelse i den franske åndsverkloven som fastslår at en opphavsrettsmyndighet for spredning av verk og beskyttelse av rettigheter på Internett (Hadopi) kan be om identiteten, postadressen, e-postadressen og telefonnummeret til en person som har gjort beskyttede verk tilgjengelige for nedlasting på internett. Formålet er å gjøre det mulig for Hadopi å iverksette tiltak mot den identifiserte personen. Saken havnet i ECJ. Det ble hevdet at bestemmelsen var i strid med artikkel 15 i ePrivacy-direktivet og artiklene 7, 8 og 11 i Charteret. Behandlingen ble ansett å falle utenfor GDPR fordi den handler om straffeforfølgelse, ref GDPR art 2(2)(d).

Domstolen konkluderte i sak C-470/21 med at en slik tilgang er tillatt i nasjonal rett, under visse forhold:

  1. Formål og begrensning: Hadopis tilgang til data må utelukkende tjene til å identifisere personer som er mistenkt for brudd på opphavsrett, og kan ikke brukes til å overvåke personens online-aktivitet.
  1. Lagring og tilgang: Internettleverandører må lagre dataene på en måte som sikrer at det ikke er mulig å trekke konklusjoner om personens privatliv ved å kombinere IP-adresser med andre personopplysninger. Hadopi skal ikke få tilgang til trafikkdata eller lokasjonsdata. Personopplysningene må bare lagres i en periode som er strengt nødvendig.
  1. Personvern og sikkerhet: Lovgivningen må inneholde klare og presise regler for lagring og tilgang, og gi effektive garantier mot misbruk og ulovlig tilgang til personopplysningene.
  1. Forhåndsgodkjenning: Før Hadopi kan koble en persons sivile identitet til en IP-adresse og sende en advarsel, må det godkjennes av en domstol eller et uavhengig administrativt organ. Slik gjennomgang må være en konkret vurdering og kan derfor ikke være en automatisert prosess.

Dommen understreker at Hadopis tilgang til personopplysninger ikke utgjør et alvorlig inngrep i personvernet, forutsatt at de nevnte betingelsene er oppfylt. Det er kompliserte vurderinger i dommen om bruk av IP-adresser og hvordan man skal sikre at det ikke trekkes konklusjoner om annet enn ren identifisering av en person.

Foreløpig er den ikke mye omtalt, noe som egentlig er ganske overraskende. Jeg tror saken også har overføringsverdi til andre diskusjoner om lagring av IP-adresser og overvåkning. Jeg er sikker på at dette blir en sak vi må komme tilbake til flere ganger.

Foreløpig er det gdprhub som har den beste omtalen av saken:

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91470/21_-_La_Quadrature_du_Net_and_Others_(Personal_data_and_action_to_combat_counterfeiting)


Generaladvokaten uttaler seg om minimumsprinsippet og generell anvendelse av GDPR i nok en Meta-sak

En Facebook-bruker i EU mottok målrettet reklame basert på sine interesser, inkludert reklame rettet mot hans seksuelle orientering. Dette var Max Schrems selv, i dette tilfellet. Han hevdet at Facebook hadde ulovlig behandlet hans personopplysninger og saken endte i domstolen. Østerrikske rettsinstanser ba om en forhåndsuttalelse fra ECJ om fire spørsmål. Imidlertid ble to av dem trukket tilbake etter dommen av 4. juli 2023, Meta Platforms and Others. De to gjenværende spørsmålene var:

  1. Betyr prinsippet om dataminimering (Artikkel 5(1)(c) GDPR) at alle personopplysninger som en plattform innehar kan aggregere, analyseres og behandles for formålet med målrettet reklame uten begrensninger?
  1. Betyr Artikkel 5(1)(b) lest i sammenheng med Artikkel 9(2)(e) GDPR at en uttalelse i en paneldebatt fra en person om sin seksuelle orientering gir en behandlingsansvarlig rett til å behandle andre data angående vedkommendes seksuelle orientering for å tilby dem personlig tilpasset reklame?

Generaladvokat Rantos publiserte sin mening om saken den 25. april 2024. Som svar på spørsmål første spørsmål fastslo Generaladvokaten at dataminimeringsprinsippet ikke tillater ubegrenset behandling av personopplysninger for målrettet reklame. Behandlingen må være proporsjonal og nødvendig i forhold til formålet med innsamlingen av dataene. Domstolene må vurdere om oppbevaringsperioden og omfanget av dataene er berettiget med tanke på formålet.

Om det andre spørsmålet fastslo Generaladvokaten at en uttalelse om en persons seksuelle orientering under en offentlig paneldebatt, kan gjøre opplysningene offentlig tilgjengeliggjort. Dette oppfyller det juridiske kravet for at personopplysningene er “åpenbart offentliggjort” i henhold til GDPR. Likevel tillater ikke dette i seg selv behandling av disse personopplysningene for personlig tilpasset reklame ettersom øvrige prinsipper i GDPR må følges.

Den endelige dommen foreligger ikke, men Generaladvokatens uttalelser får ofte stor vekt.

For mer informasjon om saken, se:

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91446/21_-_Maximilian_Schrems_v_Meta_Platforms_Ireland_Limited&mtc=today


Mer om lagringstid for markedsføringsinformasjon

I Italia skjer det mye på markedsføringsfronten om dagen. En offentlig transportbedrift kalt Trasporto Passeggeri Emilia-Romagna S.p.A. (TPER) samlet inn ugyldige samtykker for abonnement på sesongbilletter. Skjemaet har vært i bruk siden 2016.

Samtykket gjaldt spesifikke formål knyttet til markedsundersøkelser, tilfredshetsundersøkelser, promotering og informasjonsformidling via telefonanrop, samt aktivering av SMS-varslingstjeneste angående streiker og planlagte endringer i tjenesten. Skjemaet inneholdt informasjon om at manglende samtykke ville gjøre det umulig for TPER å behandle dataene og dermed umulig for den registrerte å få tilgang til tjenestene. Dataeierne kunne ikke uttrykke spesifikt samtykke for hvert formål, da skjemaet bare krevde en signatur fra brukerne nederst på skjemaet. Skjemaet hevdet også at det var obligatorisk å oppgi disse dataene for å få utstedt TPERs personlige identifikasjonskort.

Enkelt sagt: TPER ble ikke ble hørt med dette, noe som ikke er overraskende. Det var en lang rekke svakheter med dette oppsettet. I dag tror jeg at få vil velge en tilnærming som TPER gjorde. Men det var også en interessant vurdering om lagringstid. TPER anga at lagringsperioden for dataene er 10 år etter utløpet av den siste sesongbillett og mente at de er underlagt ulike inspeksjoner fra regionale myndigheter som krever dokumentasjon. De viste også til mulige rettstvister med brukerne. Datatilsynet var klare på at markedsføringsformål ikke kan tilsi lagring i 10 år og påla dem å følge nasjonale retningslinjer på lagring av slik informasjon. I Italia gjelder visstnok 24 måneder for markedsføringsformål og 12 måneder for personopplysninger som brukes for profilering.  

Saken er omtalt her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9995808&mtc=today

En annen italiensk sak gjelder Coop Italia Società Cooperativa (Coop Italia), en av de største supermarkedskjedene i Italia. Den registrerte hadde kjøpt et e-SIM fra dem. Han mottok stadig salgsfremmende meldinger fra Coop Italia og motsatte seg dette, ref artikkel 21(2) og han klaget etterhvert til Garante, det italienske datatilsynet.

Coop Italia innrømmet å ha sendt to ytterligere salgsfremmende tekstmeldinger etter å ha mottatt innsigelsen, men sa at dette skyldtes en uvanlig intern misforståelse. Garante gjennomførte tilsyn hos Coop Italia med fokus på markedsførings- og profileringsaktiviteter.

De avdekket at det ble samlet inn en mengde personopplysninger som en del av deres telefontjeneste, inkludert telefon- og trafikkdata, internettlesedata, posisjonsdata og/eller geolokasjonsdata relatert til bruken av e-SIM-kortet. Coop Italia hevdet at disse dataene var nødvendige for å oppfylle kontraktsforpliktelsene for å levere sine tjenester. For direkte markedsføring behandlet de kun navn og kontaktopplysninger gitt av den registrerte i henhold til samtykket. Etter deres syn inkluderte dette også markedsundersøkelser, økonomisk og statistisk analyse. Coop Italia samlet også inn bilder, videoer og lydopptak for å promotere sine arrangementer og messer. De oppbevarte disse i maksimalt 5 år, noe Garante anså som for lenge.

Inspeksjonen avdekket også at Coop Italia behandlet identifikasjons- og kontaktdata, bilder og annen personlig informasjon fra sine sosiale plattformer, basert på samtykke for markedsføringsformål og for å svare på brukernes forespørsler. Lagringsperioden på 5 år for slikt materiale ble også ansett som for lang.

Garante vurderte saken slik:

Rett til innsigelse og tilgang: Coop Italia brøt artikkel 12(3), 15 og 21(2) GDPR ved å ikke hjelpe den registrerte med å utøve sin rett til å protestere mot behandlingen og ved å ikke svare på innsynsforespørsler innen 30 dager.

Behandling av diverse data: Selv om Coop Italia samlet inn diverse data for å oppfylle kontraktsforpliktelser, ble det påpekt at statistisk og økonomisk analyse krever separat samtykke, og å kombinere dette med markedsføringssamtykke var ulovlig.

Lagring av bilder og videoopptak: Garante avviste innsigelsen om overdreven lagringstid for bilder og videoopptak da samtykket var spesifikt og fritt gitt.

Data fra sosiale plattformer: Lagringsperioden for data fra sosiale plattformer manglet klare kriterier og ble ansett som overdreven for markedsføringsformål og invaderende for brukernes personvern.

Garante ga en bot på €90,000. Som sagt så mange ganger før – se over samtykkene dere bruker og sørg for at brukeren har valg.

Les mer her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_0007060&mtc=today


Retten til å få informasjon slettet

Sverige har IMY fokus på hvor enkelt det er å få slettet informasjon

Denne saken kan ha betydning for mange, da det ikke helt sjelden hender at virksomheter har lagt inn spesielle krav for å få slettet informasjon. I slike situasjoner er det spesielt viktig å vite om hvilke rettigheter man har som forbruker, også på tvers av landegrenser.

Sju registrerte personer kontaktet CDON AB og ba om sletting av sine data. CDON svarte at for å kunne behandle forespørselen trengte de informasjon om fødselsdato, adresse, kundenummer, informasjon om nylige kjøp som ordrenummer og betalingsmetode inkludert de siste fire sifrene av kredittkortnummeret ved kortbetaling. Flere registrerte personer hevdet at de ikke kunne hente all den forespurte informasjonen fordi kjøpene deres var så langt tilbake i tid.

De registrerte personene sendte klager mot behandlingsansvarlig. CDON hevdet at navn og e-postadresser til de registrerte personene ikke var tilstrekkelig for å sikre identiteten til den registrerte. De uttalte at de tok klagene svært alvorlig og har siden gjennomgått og klargjort identifikasjonsprosessen slik at de registrerte nå bare trenger å svare på ett av to sikkerhetsspørsmål, for å bekrefte sin identitet.

Videre uttalte de at de slettet kundeprofiler automatisk avhengig av forbrukerlovgivningen i forskjellige land, for eksempel etter tre år i Sverige. Behandlingsansvarlig bekreftet dermed at alle personopplysningene til de registrerte var slettet.

IMY undersøkte ikke to av de sju klagene, blant annet på grunn av manglende verifikasjonsmuligheter av mottak- eller behandlingsdatoen. For de resterende fem klagene vurderte IMY først om behandlingsansvarlig hadde rimelig grunn til å tvile på identiteten til de registrerte. Datatilsynet påpekte at behandlingsansvarlig kan kreve ytterligere informasjon kreves hvis behandlingsansvarlig har rimelig grunn til å tvile på identiteten til den registrerte, men man må først utføre en forholdsmessighetsvurdering. De mente at et generelt krav om ekstra identifikasjon bryter GDPR.

IMY fant at CDON ikke hadde tilstrekkelig vurdert om ytterligere informasjonen var nødvendig og konkluderte med at CDON brøt artikkel 5(1)(c) og artikkel 12(6).

Videre uttalte de at behandlingsansvarlig brukte en byrdefull verifiseringsmetode når de ba de registrerte om å oppgi ordrenummer og pris på siste bestilling når den siste bestillingen var for lenge siden. Datatilsynet mente at behandlingsansvarlig ikke tilrettela for utøvelsen av de registrertes rettigheter, og brøt dermed artikkel 12(2) GDPR.

IMY konkluderte med at overtredelsene var mindre alvorlige fordi CDON hadde fattet tiltak for å legge til rette for de registrertes rettigheter og endret sin praksis samt at overtredelsene skjedde for relativt lenge siden, og at CDON ikke mottatt noen korrigerende tiltak for GDPR-overtredelser tidligere. Derfor ga IMY en reprimande og ingen bot.

Jeg vet om noen virksomheter som kunne ønske seg at en tilsvarende vurdering av formildende omstendigheter gjøres oftere!

Les mer om saken her:

https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2020-10549&mtc=today


Anonymisering er ikke alltid så enkelt

Overføring av personopplysninger fra et selskap til et søsterselskap kan skape problemer. Dette var tilfelle i en sak der et selskap i Tsjekkia delte personopplysninger samlet inn fra brukerne av selskapets antivirusprogram.

Etter en runde i tsjekkiske datatilsynsmyndigheter, kom man til at den behandlingsansvarlige overførte personopplysninger fra brukerne av sitt antivirusprogram og nettleserutvidelser til sitt søsterselskap uten tilstrekkelig rettslig grunnlag. De overførte personopplysningene omfattet omtrent 100 millioner brukere og bestod av brukernes pseudonymiserte internettlesingshistorikk. Det ble brukt en unik identifikator på brukerne.

Videre fant man at behandlingsansvarlig ga feil informasjon til sine brukere om disse dataoverføringene, da man skrev de overførte dataene var anonymiserte og kun ble brukt til statistisk trendanalyse. Myndighetene konkluderte med at internettlesingshistorikk, selv om den ikke er fullstendig, kan utgjøre personopplysninger, ettersom re-identifisering av minst noen av de registrerte kunne skje. Avgjørelsen er endelig etter at anker er avvist og kan fullbyrdes.

Den behandlingsansvarliges brudd er enda alvorligere med tanke på at selskapet er en av de fremste ekspertene på cybersikkerhet som tilbyr verktøy for datasikkerhet og personvern til allmennheten.

Hva kan vi lære av dette? At pseudonymisering ikke er anonymisering. Mange vet det godt, men det er fremdeles mange misforståelser om dette rundtom!

Lyst å lese mer? Se her:

https://www.edpb.europa.eu/news/news/2024/czech-sa-imposed-fine-139-million-eur-infringement-art-6-and-art-13-gdpr_en


Moderatorer må ikke ha mer informasjon enn nødvendig

Den 2. november 2022 opplevde Shanghai Moonton Technology Co. Ltd., et kinesisk videospillselskap (behandlingsansvarlig), et sikkerhetsbrudd. Bruddet påvirket 442 spanske datapersoner og involverte eksponering av brukernavn på forumet, bruker-ID, besøksfrekvens, rapportert kjønn, IP-adresser, e-postadresser og forumaktiviteter. De stjålne dataene ble publisert på en tredjeparts nettside.

Den spanske datatilsynsmyndigheten (AEPD) ble varslet om bruddet den 21. november 2022. Under etterforskningen fant AEPD at selskapet hadde brutt flere artikler i GDPR. AEPD konkluderte med at selskapet hadde delt mer personlig informasjon med forummoderatorer enn nødvendig, og dermed brutt prinsippet om dataminimering. Det ble også fastslått at selskapet ikke hadde oppfylt sikkerhetsforpliktelsene, noe som ble tydeliggjort gjennom publiseringen av personlig informasjon på en tredjeparts nettside og utilstrekkelige sikkerhetstiltak for moderatorer. Her hadde det vært interessant å se om tilsynet har foretatt noen mer inngående vurdering, men avgjørelsen er svært lang og mine spanskkunnskaper og oversettelsesevner har ikke rukket gjennom alt.

Videre hadde ikke selskapet utpekt en representant i Den europeiske unionen, slik GDPR krever. Selskapet varslet ikke AEPD om bruddet innen den fastsatte tidsrammen.

Som følge av disse bruddene startet AEPD sanksjonsprosedyrer mot selskapet og anbefalte en bot på €90 000.

Noe å lære her? Moderatorer er i denne sammenhengen å ligne med ansatte. Sørg for at ingen har tilgang til mer informasjon enn nødvendig!

Se mer om saken her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213323&mtc=today


Den finske Vaastamo-saken går mot en avslutning

En finsk statsborger har blitt dømt til seks år og tre måneders fengsel i Vest-Uusimaa tingrett i Finland for å ha hacket seg inn i pasientfilene til psykoterapisenteret Vastaamo og krevd 400 000 kroner i løsepenger. Vedkommende var gjerningsmannen bak den såkalte Vaastamo-saken som er en av de verste hacking-sakene i Norden. Det er en av få saker hvor det er ilagt fengselsstraff for brudd på GDPR. Psykoterapisenterets direktør fikk en tre måneders betinget fengselsstraff i fjor for ikke å ha beskyttet sensitive data tilstrekkelig. Ankesaken hans starter neste år.

Vi har hatt saken presentert i personvernnettverket tidligere: Et psykoterapisenter ble hacket, og opplysninger om mange pasienter ble lagt på “dark web”. Omtrent 33 000 pasientfiler ble stjålet. Psykoterapisenteret fikk en bot på 608 000 euro for brudd på GDPR. De hadde ikke sikret personopplysningene på en tilstrekkelig måte, hadde ikke tatt hensyn til interne varsler om at sikkerheten var for dårlig og de rapporterte datainnbruddet for sent. Selskapet som drev psykoterapisenteret gikk etter hvert konkurs, og det er lite sannsynlig at ofrene får erstatning og at boten blir betalt.

Les saken her:

DPA decision from January 2022


BIOMETRI

Fingeravtrykk for å se fotballkamp

At det gjelder strenge krav for behandling av biometriske personopplysninger, hadde gått Burgos Club de Fútbol hus forbi. I 2022 implementerte Burgos Club de Fútbol, S.A.D. (behandlingsansvarlig) et system for innsamling av biometriske data som krevde at rundt 700 medlemmer av “heiafeltene” måtte avgi obligatorisk fingeravtrykk for å få adgang til arenaen. Fingeravtrykksystemet samlet inn navn, nasjonale ID-numre, system-ID-numre og fingeravtrykkmønstre, og erstattet det tidligere systemet som brukte ID-kort.

Bakgrunnen var et vedtak fra en statlig kommisjon mot vold, rasisme, fremmedfrykt og intoleranse i sport.

Det ble samme år levert klager til det spanske datatilsynet (AEPD). Det ble hevdet at kontrollen var overdreven og at de registrerte ikke fikk tilstrekkelig informasjon. Den 15. februar 2023 sluttet behandlingsansvarlig den obligatoriske innsamlingen av biometriske personopplysninger og ga medlemmene mulighet til å bruke ID-kort eller fingeravtrykk for adgang. Den 19. februar 2023 fastslo AEPD at kommisjons krav om biometrisk behandling ikke var i samsvar med GDPR.

AEPD fant flere sannsynlige brudd på GDPR. Blant annet var det ikke utført en risikovurdering før implementering av systemer og det manglet behandlingsgrunnlag (noe risikovurderingen antakelig ville avdekket). Behandlingen brøt også prinsippet om dataminimering, da sikkerhetsformålene kunne oppnås med det tidligere ID-kortsystemet. Videre ble det funnet brudd på artikkel 8 fordi biometriske personopplysninger fra mindreårige ble samlet inn uten aldersbegrensning. Heller ikke informasjonsplikten var ikke overholdt.

AEPD anbefalte en sanksjon på €200,000, men behandlingsansvarlig fikk boten til €120,000 ved å erkjenne ansvar og betale den foreslåtte boten.

Jeg synes å se at det er ulik praksis om biometriske opplysninger i ulike land. I Danmark tillates som kjent ansiktsgjenkjenning for å ekskludere hooligans fra fotballkamper, og i Tyskland brukes fingeravtrykk i ID-kort. Det som i alle fall er sikkert er at dersom man skal bruke biometri, så er det en rekke vurderinger som må gjøres for å sikre at man gjør ting lovlig.

Les mer her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213792&mtc=today


Ikke ansiktsgjenkjenning i supermarkeder i Nederland

Mange setter pris på ansiktsgjenkjenning for åpning av mobiltelefonen, men ansiktsgjenkjenning kan brukes til veldig mye mer.

Nederlands datatilsyn (DPA) har utgitt en veiledning som klarlegger bruken av ansiktsgjenkjenningsteknologi og behandling av biometriske data. Det nederlandske datatilsynet understreker at å innføre ansiktsgjenkjenning i supermarkeder ville bryte nederlandske personvernlover, da det anses som et betydelig inngrep i besøkendes personvern. I veiledningen bekreftes det også at bruk av spesielle personopplysninger, som biometriske data, fortsatt er underlagt forbud ved bruk av ansiktsgjenkjenning for identifikasjonsformål.

Nederland tillater likevel ansiktsgjenkjenning for sikkerhetsformål, som å beskytte atomkraftverk.

Les mer om dette i denne artikkelen:


ULIKE ROLLER

Ikke alltid lett å si om man er databehandler eller behandlingsansvarlig

Det er en trend at mange ønsker å være behandlingsansvarlige fordi det gir større kontroll over opplysningene. Selv om det kan være et visst handlingsrom i å fastlegge roller, vil realiteten være avgjørende for hva som er et riktig resultat.

Den registrerte utøvet sin rett til innsyn overfor administratoren av programvareplattformen for en app og nettsted. Administratoren hevdet å bare fungere som en databehandler som behandlet personopplysninger på vegne av helsepersonell. Appen og nettsiden tillot pasienter å se gjennom ulike medisinske praksiser, identifisere seg selv, velge legen de ønsket avtale med, velge ønsket tidspunkt og bekrefte avtalen. Den registrerte mente at administratoren faktisk var behandlingsansvarlig og klaget derfor til det belgiske datatilsynet (GBA).

GBA konkluderte med at formålet med appen og nettsiden var å ha et nettbasert avtalesystem, utveksle data med andre apper og gjøre fullstendig automatiserte avtaler. Derfor ble formålet autonomt fastsatt av helsepersonellet. Administrator leverte bare et nettbasert kalendersystem for å oppnå dette formålet. Helsepersonellet ble ansett som behandlingsansvarlige.

GBA mente at databehandleravtalene viste at behandlingsaktiviteten ble utført utelukkende i samsvar med skriftlige instruksjoner fra helsepersonellet. Det ble også uttrykkelig angitt at administratoren ikke ville behandle personopplysninger til andre formål enn de som ble spesifisert av helsepersonellet. Personvernerklæringen spesifiserte også at administratoren bare var ansvarlig for den tekniske funksjonen til plattformen, mens helsepersonellet var ansvarlig for å fastsette formålet og innholdet i behandlingsoperasjonene.

GBA konkluderte også med at den dataregistrerte må utøve retten til innsyn mot den behandlingsansvarlige, ikke databehandleren.

Les mer om saken her:

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_63/2024&mtc=today


KOMMENDE MØTER

22. august 14.00 – 17.00 Nettverksmøte i Oslo
19. sept 12.00 – 13.00 Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Kan du skape tillit? Da er du en selger!

Kan du skape tillit? Da er du en selger!

Motsatt: Vil du ikke kalle deg selger? Vel, da sier du minst tre ting om deg selv og virksomheten din:

  1. Jeg evner ikke å skape tillit
  2. Jeg har ikke tro på produktet mitt (også når produktet er deg selv)
  3. Prisen min er for høy – det jeg tilbyr er ikke verd pengene

Atle Øis hovedbudskap er at vi skal si til oss selv «Jeg er en selger» med stolthet. Altfor mange knytter selger-rollen til skam, til en slesk fyr som prakker på deg ting du ikke trenger til en altfor høy pris. Men hadde det vært slik, så hadde vi ikke hatt noe å leve av noen av oss.

les mer…
De ubevisste holdningene til eldre arbeidstakere

De ubevisste holdningene til eldre arbeidstakere

Er du bevisst dine holdninger til eldre arbeidstakere?

I Norge er vi fornøyde med vår norske arbeidslivsmodell. Den bringer med seg mye positivt, men har også betydelige svakheter som ikke blir omtalt i den grad de fortjener.

Spørsmål:
Hva er årsaken til at høy alder er synonymt med (bevisst- eller ubevisst) lav «verdi» i arbeidslivet, og samfunnet generelt?

I en tidligere artikkel skrev jeg om holdninger (bevisste/ubevisste), og i hvilken grad de påvirker vår hverdag. Svaret på spørsmålet mitt over handler ubestridelig om holdninger ovenfor eldre. Men hva er holdninger, og hvor kommer de fra? Hva skaper holdninger?

Adferdslæring: Tanker skaper følelser - følelser skaper adferd - adferd skaper tanker

For å svare på spørsmålet må vi innom adferdspsykologien. I figuren over ser vi en enkel atferdslærende sirkel. Hvor er det naturlig å plassere holdninger her?

Nå er ikke jeg psykolog, men for meg er det naturlig å se på «pilene» i sirkelen som der holdninger skapes i atferds-læringsprosessen. Noen av disse holdningene er bevisste, andre er ubevisste. En rasjonell forståelse av holdninger blir da at de er «lærte». Holdninger er ikke noe vi er født med.

Bevisste holdninger er holdninger vi er klar over at vi har. Disse kan være et produkt av både egne tanker og refleksjoner, og av ekstern påvirkning. De ubevisste er vi i utgangspunktet ikke klar over. Det er da logisk at ubevisste holdninger skaper ubevisste handlinger.

Fra adferdspsykologien vet vi at følelser skaper adferd. Den adferden vi er oss bevisst, kan vi endre. Men for å endre den ubevisste atferden, må vi først bli bevisst den.

Eldre gjør en glimrende jobb, men …

Jeg velger å tro at det ikke finnes noen med bevisste, reflekterte holdninger som tilsier at eldre arbeidstakere har mindre verdi enn yngre. Men underliggende ubevisste holdninger kan påvirke bevisste holdninger.

«Jeg har ingenting imot eldre arbeidstakere, de gjør en glimrende jobb. Men …»

«Men»-et her hintet om at ubevisste holdninger ligger der som en etisk/moralsk utfordring. Våre bevisste holdninger er både sosialt akseptert, og er det ansiktet vi presenterer utad i samfunnet. Her bringer vi konseptet «verdi» inn blant holdningsbegrepene, og da bør vi vite hva «verdi i arbeidslivet» egentlig handler om. Verdi i arbeidslivet handler ikke kun om monetære verdier. Verdier handler også om, og definitivt i denne artikkelen, menneskeverd og våre personlige verdier.

I 1948 vedtok FN Menneskerettighetserklæringen. Erklæringen utgjør et solid rammeverk for å definere et menneskets verdi, uttrykt gjennom våre universelle rettigheter. Våre bevisste holdninger er preget av denne allmenne rasjonelle forståelsen av menneskeverd. Holdninger som «bevisst» rasisme og lignende «ismer» er ikke rasjonelle, og opererer derfor på et annet plan.

Derimot er våre personlige ubevisste holdninger et resultat av «ikke-bevisste påvirkninger», som i atferdspsykologien kan tilskrives bl.a.:

  1. Ubehagelige opplevelser.
    • Vi har alle opplevelser som ubevisst påvirker oss i hverdagen. Et eksempel er irrasjonell frykt for det å få en sprøyte, eller å gå til tannlegen. En gang opplevde vi noe i slike sammenhenger som gav oss et sterkt ubehag/smerter. Det å grue seg til dette er da et resultat av noe som er ubevisst, for vi vet jo, på et rasjonelt nivå, at dette egentlig ikke er noe å frykte.
  2. Preget tenkning fra miljøet en vokser opp i.
    • Hvis vi vokser opp i et miljø der det stadig blir brukt degraderende begreper om f.eks. politikere, politiet, eldre, funksjonshemmede, de med annen hudfarge, legninger m.m., så vil dette prege våre ubevisste holdninger. Det er her vi sannsynligvis oftest finner årsaken til det tidligere omtalte «Men…!!»
  3. Ikke-reflekterte «sannheter» (usannheter).
    • Vi har et selvstendig ansvar for å reflektere over såkalte miljørelaterte «sannheter». Det er en forklaring at en har vokst opp med slike «sannheter» i miljøet, men det er absolutt ingen unnskyldning for at en fortsetter å ha de hvis en har evnen til kritisk tenkning.
  4. Manglende evne til kritisk tenkning.
    • Er evnen til kritisk tenkning svak har dette en negativ påvirkning både i den private sfære, og definitivt også i en mer offentlig setting, f.eks. i jobbsammenheng.

Det finnes et nærmest ubegrenset antall personlige faktorer som kan tilskrives årsaken til ubevisste holdninger, men jeg vil påstå at disse er i denne sammenhengen de mest sentrale.

Det å i det hele tatt vurdere, bevisst eller ubevisst, et menneskes verdi er en atferd, og vår atferd blir preget av våre holdninger. Både de bevisste, og faktisk i større grad – de ubevisste.

«De unge talentene»

I den norske arbeidslivsmodellen finnes det en uskreven idealstandard. Det foreligger en «allmenn sannhet» om de unge «talentene»: De er fremoverlente, innovative og proaktive arbeidstakere. Det er hos de unge arbeidstakerne at de nye ideene finnes, det er her den nødvendige kompetansen som må til for å møte vår digitaliserte hverdag ligger. Dette blir vi fortalt gjennom artikler, retorikk og ikke minst stillingsannonser.

Idealstandarden er en person i midten av 20-årene (+5->10 år) med store digitale ferdigheter. Dette er en «sannhet»:
• vi har jo alle opplevd en som er over 50 år som sliter med bruk av digitale redskaper
• eldre er jo ikke spesielt innovative, fremoverlent, eller proaktive!
• en over 50 år kan jo ikke være et «talent»?
• det er jo slik i alle bedrifter/organisasjoner …
• de som lykkes, har flest unge talenter!

I stillingsutlysningene blir arbeidslivets holdninger uttrykt. Virksomhetene vil være «unge og proaktive», men med et «inkluderende miljø»! Så kan vi jo alltids spørre: Inkluderende? Virkelig? Her er uten tvil HR-sektoren, ledere, og ikke minst rekrutteringsbransjen de store synderne med sine bevisste/ubevisste- og delvis selvpålagte «filter».

Våre handlinger preges av våre holdninger, som igjen preges av vår tenkning – som deretter preger våre holdninger- og slik går det. Vi har herved effektivt definert «eldre arbeidstakere» som mindre verdifulle for arbeidslivet, men stemmer dette? Tvert imot så viser all forskning at NEI!, dette er beviselig galt. Det finnes mengder med forskning på dette, og all forskning viser at 50+ er like energisk, like innovative, like proaktive, like talentfulle og faktisk yter like mye, om ikke mer, enn yngre arbeidstakere.

Det er all grunn til å hevde at bevisste/ubevisste holdninger er årsaken til den «blinde» aksepten av degraderingen av eldre arbeidstakere. De grunnene som blir lagt til grunn for denne devalueringen, er jo beviselig feil. Kritisk tenkning er et grunnleggende viktig redskap når en skal ta fatt i sine ubevisste holdninger og fordommer, og vi må akseptere et ubehagelig fakta om oss selv i denne prosessen:

«De velger å gi uttrykk for mer positive eller såkalt politisk korrekte holdninger for å slippe å bli fordømt som for eksempel rasist. Folk kan også selv ha et ideal om ikke å være fordomsfull, noe som kan få dem til å undertrykke sine holdninger i den grad at de ikke er seg bevisst sine fordommer. De kan ærlig og oppriktig tro seg fordomsfrie, selv om de ikke er det.» (Kilde)

Mitt spørsmål, helt til slutt, er som følger: Etter å ha lest denne artikkelen, tror du fremdeles at «eldre» (50+) arbeidstakere har «mindre verdi» enn yngre? I så fall, hvorfor?

IT-jus nr. 4/24

IT-jus nr. 4/24

EDPB har kommet med sin “Opinion” om “Consent or pay”. Den er trigget av at Meta innførte en betalingsløsning for å unngå rettet reklame. Jeg har skrevet to artikler om dette som du finner her

https://iapp.org/news/a/thoughts-on-behavioral-advertising-meta-and-privacy

https://schjodt.com/news/thoughts-on-behavioural-advertising-meta-and-privacy

og hvor jeg er noe kritisk til den rolle EDPB nå får i Europeisk rettsutvikling.

Beslutningene fra EDPB fungerer i realiteten på samme måte som lovgivning, men tilblivelsesprosessen er ganske annerledes og mindre gjennomsiktig. Dette er en konsekvens av GDPR som er vanskelig å gjøre noe med. Noen har begynt å kalle datatilsynene i EU “den fjerde statsmakt” og det er ikke helt feil.

Hva gjelder “Consent og pay” sier EDPB nå at en del aktører plikter å tilby sine tjenester vederlagsfritt. Virksomheter må tjene penger. Om en forbruker får 3 valg: 1) betal for tjenesten, 2) betal for tjenesten ved å motta rettet reklame eller 3) få en tilsvarende tjeneste gratis – så vil nok flertallet velge det siste. Det fremmer neppe nye tjenester, ingen kan levere tjenester gratis. Et av de sentrale spørsmålene er hvem som pålegges å tilby vederlagsfrie tjenester – er det bare Meta? Nei. Men hvem som rammes er ganske uklart formulert fra EDPB og det er rom for å gi retningslinjene anvendelse på tjenester som er sentrale på sitt område selv om tjenesten ikke er veldig stor. Mange er dypt uenige i dette. Vi vil få se fremover hvordan dette spiller ut.

I øvrig er det full fart på personvernområdet. NOYB har klaget på OpenAI om at den gir resultater som ikke er riktige når den “hallusinerer” – og kritisert at det ikke er i tråd med GDPR at det ikke finnes måter å avhjelpe dette på. Her ser vi en kollisjon mellom reglene i GDPR og hvordan KI fungerer. For meg er det uklart hvordan man skal få denne teknologien til å følge alle reglene i GDPR, men jeg tror heller ikke at reglene kommer til å endres. EDPB arbeider med dette også i en dedikert task force – det blir spennende å se hva de kommer til etter hvert.

Denne gangen går jeg ikke inn på behandlingsgrunnlag for rettet reklame og IAB-sakene som vi har snakket om flere ganger i nettverket, men for spesielt interesserte er det kommet en ny avgjørelse fra ECJ den 5. mars i år (C-604/22). Avgjørelsen bekrefter at informasjonen i samtykke-strengene er personopplysninger og at IAB er felles behandlingsansvarlige med de som bruker systemet til IAB (kanskje mest overraskende).

For oss i Norge er det nok viktigere at det er kommet et nytt forslag til Ekomlov, som stiller klare krav til at bruk av cookies baserer seg på samtykke og ikke berettiget interesse. Det er interessant å se at det foreslås at NKOM skal ta stilling til hva som er nødvendige cookies, mens Datatilsynet skal ta stilling til hva som er et godt nok samtykke. Her kan det bli mye action fremover. Det er pt uklart når loven går gjennom Stortinget, det kan skje allerede før sommeren, men mest sannsynlig til høsten.

Under er noen av de andre viktige sakene den siste måneden og jeg er redd det ble et langt nyhetsbrev, men jeg vet at mange av dere likevel setter pris på det.

God lesning og husk å nyte vårsolen også!

Hilsen Eva,

denne gang med assistanse av Sigurd Fjærtoft-Andersen fra Schjødt


KUNSTIG INTELLIGENS

Dominos i trøbbel for bruk av AI-system for telefonbestillinger

Den stadig økende bruken av AI-systemer byr på sedvanlig vis på nye utfordringer for store, verdensomspennende selskaper som benytter seg av den teknologiske utviklingen. I et foreslått gruppesøksmål i den amerikanske delstaten Illinois har tre kunder anklaget pizzakjeden Dominos og utvikleren av selskapets stemmegjenkjenningssystem for å samle inn og lagre kunders stemmeavtrykk, navn, adresse, telefonnummer og kredittkortnummer, uten å informere kundene. Et stemmeavtrykk er å regne som et individuelt og særegent mønster av egenskapene til en persons stemme som er spektrografisk produsert, og utgjør vanligvis biometriske data som er særskilt vernet som særlige kategorier av personopplysninger.

Stemmegjenkjenningssystemet ble utviklet av ConverseNow Technologies, og brukes angivelig på 57 ulike Dominos-lokasjoner i Illinois for å forbedre kundeservicen og å forbedre salget. Ifølge det foreslåtte søksmålet har stemmegjenkjenningssystemet blitt brukt siden 2020, uten at kundene har blitt informert om slik bruk og lagring. Det er et betydelig misbrukspotensiale for slik stemmeinformasjon.

Gruppesøksmålet reiser spørsmål om Dominos tilnærming til kundenes personvern, og bygger på at innsamlingen av stemmeavtrykk er i strid med Illinois Biometric Information Privacy Act (BIPA). Søksmålet kan som vanlig resultere i økonomiske sanksjoner og tapt omdømme, og illustrerer på sedvanlig vis viktigheten ved etterlevelsen av personvernregelverket i situasjoner der selskaper tar i bruk ny teknologi i takt med den teknologiske utviklingen. Til deg som implementerer nye AI-baserte verktøy i bedriften – følg med på personvernregelverkets krav til informasjon og samtykke!


Statsminister i falsk pornovideo

Italias Statsminister Giorgia Meloni krever 100 000 euro i erstatning for opplastning av videoer med falskt pornografisk innhold.

Den teknologiske utviklingen byr også på utfordringer som går utenfor de mer typiske regulatoriske problemstillingene innen personvern og AI. Ifølge den italienske statsministeren ble det i 2022 produsert og lastet opp flere falske pornografiske videoer på internett der den italienske statsministerens ansikt ble lagt over en annens kropp – såkalt deepfake. Videoene har blant annet skapt utbredt bekymring for bruken av slike deepfakes i italiensk politikk og andre steder, knyttet til produksjon av propaganda og desinformasjon. Bruk av videoene viser også hvor enkelt det er å lage og dele deepfakes på en måte som krenker enkeltpersoners privatliv, skader omdømme og forårsaker følelsesmessig skade.

Politiet har uttalt at de gjennom sporing av mobilenhetene som ble brukt til å legge ut videoene har identifisert en 40 år gammel mann og hans 73 år gamle far som gjerningsmenn, og Meloni skal vitne mot disse for en domstol på Sardinia 2. juli 2024. Dersom Melonis krav om erstatning på 100 000 Euro vinner frem, vil hun donere pengene til et fond som støtter kvinner som har vært utsatt for vold fra menn. Det er lov å mene at deepfakes er ganske skummelt og at det er fint at AI Act regulerer dette hardt.


Det danske datatilsynet tillater – overraskende nok – ansiktsgjenkjenning

For fire og et halvt år siden fikk den danske fotballklubben Brøndby IF, som den første private aktøren i Danmark, tillatelse fra det danske datatilsynet til å bruke automatisk ansiktsgjenkjenning for identifikasjon av utestengte tilskuere. De fire siste sesongene har tilskuere blitt filmet og sammenlignet ved hjelp av Brøndby Stadions ansiktsgjenkjenningsteknologi – alt for å identifisere og fange opp fans som har fått karantene og som ikke skal slippes inn på stadion. Et system for ansiktsgjenkjenning vurderes nå på nasjonalt nivå av den danske divisjonsforeningen, som er i ferd med å utarbeide regler og rammeverk for bruk av teknologien på nasjonalt nivå.

Til tross for at bruk av teknologien har gitt gode resultater for Brøndby IF, ble lanseringen av systemet i 2019 – som i stadig økende grad også ellers i personvernverden – møtt med skepsis i Danmark. Lederen i IT-politisk forening, Jesper Lund, uttalte tilbake i tid at ansiktsgjenkjenning er “den mest inngripende overvåkningsteknologien som finnes”, og at han håpet at “det blir protester og at fotballfans som går på Brøndbys kamper, sender klager til Datatilsynet på denne behandlingen av personopplysninger”. Til tross for slik skepsis, informerer det danske datatilsynet at de ikke har mottatt noen klager på Brøndby Ifs bruk av ansiktsgjenkjenning. Det er på mange måter overraskende at det danske tilsynet har tillatt ansiktsgjenkjenning, men det illustrerer en interessant holdning: De potensielle fordelene ved å bruke slik teknologi kan være så store at også inngripende tiltak etter en totalvurdering kan være akseptabelt. https://www.digi.no/artikler/fotballklubb-bruker-ansiktsgjenkjenning-for-a-stoppe-utestengte-fans/545113


Studie viser (overraskende) skadelige fabrikasjoner i OpenAI’s tale-til-tekst algoritme

Tendensen til at chatboter drevet av kunstig intelligens av og til finner på ting, eller hallusinerer, er etter hvert godt dokumentert. Nå har en ny studie fra Cornell University funnet at også AI-modeller for transkribering kan hallusinere. Det er kanskje ikke overraskende, men konsekvensene kan bli store.  

OpenAI’s Whisper, en AI-modell som er trent til å transkribere lyd til tekst, fant ifølge en ny studie opp 1.4% av den lyddataen som ble testet. I tillegg inneholdt en stor del (rundt 40%) av de konstruerte setningene støtende eller potensielt skadelig innhold, bl.a. knyttet til vold, seksuelle forhold og demografiske stereotyper. Dette er spesielt uheldig der transkripsjonsverktøy brukes av f. eks. leger eller annet helsepersonell til å skrive pasientnotater eller journaler. Utfordringene ved bruk av AI-basert transkripsjonsverktøy blir enda større der brukeren av disse tar det for gitt at verktøyet transkriberer det som rent faktisk blir sagt.

Det faktum at transkripsjonsverktøy kan hallusinere, gir et sterkt insentiv til å behandle slike verktøy med forsiktighet, særlig i tilfeller der riktigheten av den teksten som genereres er av stor betydning for individet som teksten angår.

https://www.science.org/content/article/ai-transcription-tools-hallucinate-too


Man må ha lovlig treningsdata for utvikling av AI-modeller

I kjølvannet av et nytt søksmål mot Amazon i California, oppstår igjen problemstillinger knyttet til bruk av opphavsrettslig beskyttet materiale ved trening av AI-modeller. I søksmålet påstår en tidligere ansatt i Amazon at selskapet, i forbindelse med OpenAI’s lansering av GPT-4, var så desperate etter å holde tritt med konkurransen innen generativ kunstig intelligens at selskapet var villig til å bryte opphavsrettslige regler ved utvikling og trening av sine AI-modeller.

Påstanden fremsettes i en sak der en tidligere ansatt AI-forsker ble degradert og deretter avskjediget, etter at Amazon oppdaget av vedkommende var gravid. I tillegg til påstander knyttet til urettmessig og diskriminerende oppsigelse, påstår kvinnen at hun ble sagt opp fordi hun klaget da Amazon angivelig brøt sine egne regler for bruk av opphavsrettslig beskyttet materiale i forbindelse med AI-utvikling. I søksmålet påstås at representanter fra øverste juridiske hold i Amazon ba kvinnen om å ignorere Amazons brudd på egne, internt utarbeidede regler for opphavsrett, og at instruksen ble begrunnet i at alle andre store aktører gjorde det samme.

Søksmålet illustrerer at opphavsrettslige spørsmål knyttet til utvikling og trening av språkmodeller stadig er et høyst relevant tema.

https://www.theregister.com/2024/04/22/ghaderi_v_amazon


PERSONVERN

Nye klageskjema for overføringer til USA

Da EU-Kommisjonen i fjor besluttet at man kan trygt overføre personopplysninger til selskaper i USA som er registrert under DPF, var en forutsetning at privatpersoner skal kunne klage hvis man mener at vilkårene ikke er oppfylt. Det er mange steder en slik klage kan rettes, men nå har EDPB laget et skjema for klage til lokalt datatilsyn på at mottaker i USA ikke overholder de mange kravene i DPF. Det er et eget skjema man kan bruke hvis man mener at amerikansk etterretningstjeneste ikke behandler opplysninger korrekt. Det danske Datatilsynet har gjort skjemaene tilgjengelig her

https://www.datatilsynet.dk/internationalt/internationalt-nyt/2024/apr/nye-klageformularer-vedroerende-overfoersler-til-usa


CJEU med ny avgjørelse knyttet til bruk av fingeravtrykk på europeiske identitetskort

EU-domstolen avsa nylig en avgjørelse som aktualiserer skjæringspunktet mellom EU-forordningen om identitetskort og grunnleggende rettigheter til respekt for privatliv. Bakgrunnen for saken var at en tysk statsborger hadde klaget kommunens avslag om å utstede et identitetskort uten fingeravtrykk inn for EU-domstolen, under henvisning til at kommunens avslag var i strid med grunnleggende rettigheter til respekt for privatliv. EU-domstolen erkjente at EU-forordningen om identitetskort, som krever lagring av fingeravtrykk på kortet, bl.a. begrenser retten til beskyttelse av personopplysninger. EU-domstolen fant imidlertid at formålene som ligger til grunn for lagring av fingeravtrykk er forsvarlige og legitime, og at disse formålene måtte gis forrang i den konkrete saken.

Et av de legitime formålene som ble fremholdt av EU-domstolen, var bl.a. at bruk av et pålitelig identifikasjonssystem fremmer borgernes rett til fri bevegelse og opphold i EU og at bruk av fingeravtrykk bidrar til å bekjempe produksjonen av falske identitetskort.  Saken illustrerer at personvernhensynet stadig veies opp mot andre legitime hensyn, og at dataminimering (gjennom andre, mindre personverninngripende tiltak) ikke alltid er tilstrekkelig for å ivareta andre, legitime formål som griper inn i enkeltindividers personvern.

https://www.lexology.com/library/detail.aspx?g=92561619-bf99-45ed-89e0-8c29bd879572

(Krever innlogging)


Ny avgjørelse fra det portugisiske datatilsynet knyttet til Worldcoins lagring av biometriske data

Det portugisiske datatilsynet (CNDP) har nylig pålagt selskapet Worldcoin, som oppfordrer kunder til ansiktsskanning i bytte mot digital ID og gratis kryptovaluta, om å slutte med all lagring av biometriske data i 90 dager. CNDP er gjort kjent med at mer enn 300.000 personer i Portugal har gitt Worldcoin biometriske data bl.a. i form av iris-skanning og de har fått flere klager om uautorisert samling av personopplysninger fra mindreårige, mangelfull informasjon og mangel på individenes mulighet til å slette data og trekke samtykke. Worldcoin har på sin side uttalt at de sikter på å bygge en identitet og et finansielt nettverk, og at behandlingen av biometriske data er nødvendig for at folk skal kunne bevise at de er mennesker i en verden dominert av kunstig intelligens.

Worldcoin er foreløpig under etterforskning i flere land, og har mottatt kritikk fra personvernkjennere knyttet til samling og lagring av personopplysninger. Det spanske datatilsynet har gitt Worldcoin en tre-måneders suspensjon etter å ha mottatt tilsvarende klager. Saken illustrerer flere kjente personvernrettslige problemstillinger, og det blir spennende å se hvordan personvernmyndighetene behandler saken – særlig knyttet Worldcoins angivelig mangelfulle informasjon om behandlingen av biometriske data. Avgjørelsen kan potensielt gi store konsekvenser både for datasubjektet og Worldcoin.

https://www.reuters.com/markets/currencies/sam-altmans-worldcoin-ordered-stop-data-collection-portugal-2024-03-26


Det finske datatilsynet  ny avgjørelse knyttet til bruk av personnummer i SMS’er til pasienter

Det finske datatilsynet avsa nylig avgjørelse mot en behandlingsansvarlig for å ha sendt testresultater til sine pasienter på SMS, med pasientens personnummer inkludert i meldingen. I sin respons på datatilsynets forespørsel om forklaring på formålet med å inkludere personnummer i tekstmeldinger til pasienter, uttalte den behandlingsansvarlige at bruken av personnummer sikret at pasientens informasjon ikke ved uhell ble delt til andre personer med samme navn. Den behandlingsansvarlige fremholdte videre at i en tjeneste der pasientens personnummer ble sendt som tekstmelding til pasientens egen mobiltelefon, må risikoen knyttet til behandling av personnummer anses som lav.

Til tross for at datatilsynet var enige i at artikkel 87 i personvernforordningen sier at medlemslandene kan fastsette spesifikke vilkår for behandling av personnummer, la datatilsynet vekt på at personnummeret er en unik og permanent identifikasjonsfaktor, og at tredjepartstilgang til slike opplysninger kan påføre datasubjektet omfattende skade i form av bl.a. identitetstyveri.

På denne bakgrunn kom det finske datatilsynet til at nummeret ikke skulle brukes i SMS’er til pasienter. Med norske øyne må en slik behandling av personnummer anses som oppsiktsvekkende. Jeg tror ikke mange ville gjøre det samme her.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/29/2020&mtc=today


Rett til innsyn i alle dokumenter som inneholder personopplysninger

Den administrative domstolen i Berlin har behandlet en sak om den registrertes rett til å kreve tilgang til og kopi av alle personopplysninger som den behandlingsansvarlige behandler om den registrerte. Den registrerte krevet en kopi av alle dokumenter som inneholder personopplysninger. Den behandlingsansvarlige ga den registrerte tilgang til generell informasjon om hvilke typer personopplysninger selskapet hadde i sitt IT-system – såkalte “master data”. Behandlingsansvarlig hevdet at forespørselen ville innebære en uproporsjonal innsats og dermed var urimelig – som følge av at dette medførte en gjennomgang av over 5000 sider – og at forespørselen om kopi av alle dokumenter innebar misbruk av den registrertes rettigheter.

Domstolen fremholdt at formålet bak innsynsretten etter GDPR artikkel 15 bl.a. er at den registrerte skal kunne ettergå lovligheten ved behandlingen av personopplysninger. Basert på viktigheten av dette formålet, kom retten til at den behandlingsansvarlige bare kan motsette seg plikten til å gi slikt innsyn på grunnlag av uproporsjonalt stor innsats i strengt begrensede tilfeller. Som følge av at den registrertes krav om innsyn var begrunnet i ønsket om å forstå hvordan og med hvilke tredjeparter behandlingsansvarlige delte personopplysninger, kom retten til at behandlingsansvarlige måtte gi den registrerte kopi av alle personopplysninger, og at den registrertes forespørsel ikke innebar misbruk av rettigheter etter personvernforordningen.

Saken er en ytterligere påminnelse om hvor sterkt innsynsretten står og at denne bare helt unntaksvis kan begrenses.

https://gdprhub.eu/index.php?title=VG_Berlin_-_1_K_187/21&mtc=today


Rett til innsyn i møtereferat der en forening (behandlingsansvarlig) diskuterte den registrerte.

En forening (behandlingsansvarlig) på Island hadde holdt et møte der det bl.a. ble diskutert en klage fra den registrerte knyttet til mobbing og vold på arbeidsplassen. Den registrerte ba om innsyn i møtereferatet. Som følge av foreningens avslag om innsyn, klagde den registrerte foreningen inn til det islandske datatilsynet. Datatilsynet kom til at GDPR artikkel 15 oppstiller en rett for den registrerte til å få tilgang til informasjon fra møter der den registrerte blir diskutert, i tillegg informasjon om til navnene på de som deltok på møtet. Datatilsynet understrekte imidlertid at andre datasubjekters interesser også må beskyttes, og at den registrerte derfor ikke kunne få tilgang til møtereferatet i sin helhet.

Et interessant spørsmål her er hvorvidt resultatet av klagen ville blitt annerledes i Norge, som følge av unntaksbestemmelsen for interne dokumenter i personopplysningsloven § 16 bokstav e – og det er uansett interessant at det ser ut å være ulik praksis på dette innenfor EØS.

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2021122345&mtc=today


Omstendigheter teller ved vurderingen av hva som er akseptabel bruk av personopplysninger

Det spanske datatilsynet (AEPD) har tatt stilling til om et medisinsk senters (behandlingsansvarlig) bruk av et apparat for temperaturmåling av pasienter i resepsjons- og venteområde utgjorde akseptabel bruk av personopplysninger. Som følge av at bruk av apparatet for temperaturmåling i disse områdene innebar at temperaturdata kunne bli sett av tredjeparter som oppholdte seg i venterommene, kom det spanske datatilsynet til at behandlingsansvarlig manglet tilstrekkelige tiltak for å beskytte personopplysningene mot observasjon fra tredjeparter.

Behandlingsansvarlig ble idømt en bot på 30,000 euro som følge av brudd på prinsippene om sikkerhet og konfidensialitet i GDPR artikkel 5 og 32.

Det er nok noen mottaksrom og venterom innenfor helsesektoren som har en utfordring her. Selv om man ikke tar temperaturen på folk i offentlighet er det mange steder pasienter må forklare årsak til hvorfor de er møtt opp.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202309&mtc=today


EU-parlamentet stemmer for å styrke håndhevelsen av GDPR

Medlemmene av Europaparlamentet stemte onsdag 10. april om endringer for å styrke håndhevelsen av GDPR – og andre oppfordret til ytterligere forbedringer av personvernforordningen. Endringene i reglene om håndhevelse tar sikte på å styrke klagers rettigheter og å adressere prosedyremessige utfordringer i reglene. Endringene innebærer bl.a. en endring av tilsynsmyndighetenes rolle, og fjerner enkelte forpliktelser knyttet til deling av foreløpige funn (preliminary findings).

En vesentlig endring åpner for at nasjonale tilsynsmyndigheter kan be om hastebindende avgjørelser fra EDPB i prosessuelle tvister, og dersom en ledende tilsynsmyndighet ikke kan overholde en frist på grunn av komplekse undersøkelser, kan det bes om en forlengelse på inntil ni måneder.

I tillegg kan tilsynsmyndighetene nå be om ex officio-undersøkelser når de mistenker et potensielt GDPR-brudd som påvirker registrerte. Slike ex officio-undersøkelser gjør det mulig for tilsynsmyndighetene å selvstendig sette i gang undersøkelser av mistenkt ulovlig behandling av personopplysninger, uavhengig av klager fra datasubjekter.

Endringene introduseres imidlertid ikke uten motbør, og relevante innsigelser kan leses i linken nedenfor. Uansett virker det klart at endringene vil medføre større fokus og tettere oppfølging av personvernregelverket.

https://www.euractiv.com/section/data-privacy/news/eu-parliament-votes-to-strengthen-gdpr-enforcement/


USA kan endelig få en føderal personvernlov som konkurrerer med Europas GDPR

Det er iverksatt arbeid med en ny, omfattende personvernlov i USA som skal gi langt videre beskyttelse en reglene for medisinske data og barnedata som gjelder i dag. Lovforslaget, som formelt sett skal introduseres i slutten av april, kalles American Privacy Rights Act eller APRA. Det foreløpige regelverket ser angivelig likt ut som det europeiske regelverket i GDPR, og vil bl.a. gi amerikanske datasubjekter mulighet til å velge bort målrettet annonsering og å minimere de personopplysningene selskaper behandler om dem.

I tillegg legger forslaget opp til at datasubjektene skal kunne be behandlingsansvarlig om tilgang til de personopplysningene som behandles, kreve at personopplysninger korrigeres eller slettes, og kreve en nedlastbar versjon av data som selskapene besitter. Forslaget legger også opp til at selskaper ikke skal kunne dele sensitive personopplysninger uten datasubjektets uttrykkelige samtykke.

Selv om mange av disse rettighetene allerede er tilgjengelige for mange amerikanere i enkelte delstater, vil det nye regelverket kunne bidra til en styrking og harmonisering av personvernregelverket over hele USA. Det blir imidlertid meget interessant å se hvordan regelverket vil se ut når det først blir implementert, etter det som sannsynligvis vil bli en omfattende politisk prosess. https://fortune.com/2024/04/08/apra-us-federal-privacy-law-rodgers-cantwell-gdpr-ai/


Prinsipielt viktig sak om datatilsynenes aktivitetsplikt

Datatilsynet i Hessen, Tyskland (HBDI) har avgjort en sak knyttet til datatilsynets aktivitetsplikt. Saken var foranlediget av at en behandlingsansvarlig gjorde HBDI oppmerksom på et databrudd: En av behandlingsansvarliges ansatte hadde ulovlig fått tilgang til personopplysninger om behandlingsansvarliges kunder.

Etter at HBDI hadde informert den registrerte om at ingen tiltak ble iverksatt mot behandlingsansvarlig, klagde den registrerte avgjørelsen inn for den administrative domstolen i Wiesbaden og ba om at HBDI skulle iverksette tiltak mot behandlingsansvarlig. Deretter refererte domstolen spørsmål til EU-domstolen om hvorvidt en tilsynsmyndighet som finner ut at personopplysninger har blitt behandlet i strid med den registrertes rettigheter, alltid må foreta handlinger i tråd med GDPR artikkel 58(2).

På prinsipielt grunnlag besvarte EU-domstolen spørsmålet bekreftende. Det ble konkludert med at når en tilsynsmyndighet blir oppmerksom på en behandling av personopplysninger som har krenket den registrertes rettigheter – må tilsynsmyndigheten iverksette tiltak under GDPR artikkel 58 (2) i den utstrekning dette er nødvendig for å sikre full etterlevelse av GDPR. Avgjørelsen er prinsipiell og høyst interessant, særlig sett i lys av at en så omfattende aktivitetsplikt for datatilsynene kan være vanskelig å etterleve i en stadig økende oppdragsmengde.

https://gdprhub.eu/index.php?title=CJEU_-_C-768/21_-_TR_v_Land_Hessen&mtc=today#English_Summary


Praktisk viktig sak om lagring av personopplysninger i rekrutteringssaker

Det finske datatilsynet har tatt stilling til et datasubjekts forespørsel om sletting av personopplysninger i forbindelse med en rekrutteringsprosess. Datatilsynet hadde blitt gjort oppmerksom på at et selskap (behandlingsansvarlig) hadde nektet å slette datasubjektets personopplysninger. Ved spørsmål fra datatilsynet om hvorfor behandlingsansvarlig nektet å slette personopplysningene, svarte selskapet at lagring av opplysningene var nødvendig for at selskapet skulle kunne forsvare seg selv mot potensielle klager om diskriminering i ansettelsesprosessen. Selskapets forklaring ble akseptert av datatilsynet.

Dermed kom det finske datatilsynet til at selskapet ikke behøvde å etterleve datasubjektets forespørsel om sletting, som følge av at lagring var nødvendig for at selskapet skulle kunne forsvare seg mot slike potensielle klager om diskriminering – som ifølge den finske straffeloven må fremsettes innen to år etter ansettelsesprosessen.

Det er ikke opplagt for meg at dette skulle bli resultatet, da det f eks tidligere har vært uttalt at et selskap ikke kan lagre kundeopplysninger for å håndtere senere reklamasjoner – men her tror jeg det er ulik praksis i ulike land.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_6652/154/19&mtc=today


Beslutning fra det irske datatilsynet i sak mot Airbnb

Vi har tidligere omtalt en sak mellom det irske datatilsynet og Airbnb. Saken handlet om behandlingsgrunnlag for Airbnbs krav om datasubjektets ID ved datasubjektets krav om sletting av personopplysninger.

Det irske datatilsynet har nå konkludert og kom til at Airbnb manglet behandlingsgrunnlag – og brøt plikten til dataminimering – da de fremsatte krav om datasubjektets ID i forbindelse med forespørselen om sletting. På denne bakgrunn ga det irske datatilsynet en irettesettelse mot Airbnb, uten at Airbnb ble ilagt bot.

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_January_2024&mtc=today


KOMMENDE MØTER

23. mai 14.00 – 17.00 Nettverksmøte i Oslo
22. august 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Soloprenørene: Hvordan skaffe nye kunder?

Soloprenørene: Hvordan skaffe nye kunder?

I tilt.work vet vi mye om soloprenørskap, og derfor har vi startet Soloprenørnettverket PiT, en møteplass for kunnskapsdeling, erfaringsutveksling, inspirasjon og læring. 

I nettverket tematiserer vi fem hovedutfordringer som vi vet alle soloprenører har felles: Salg, Markedsføring, Selvledelse, Forretningsutvikling og Lov/Rett.

I vårens første møte om Salg diskuterte vi “Hvordan skaffe kunder?” Det var en bredt sammensatt gjeng av soloprenører som delte sine erfaringer om vellykkede og ikke fullt så vellykkede innsalgs-strategier. 

Erfaringene har vi oppsummert i diagrammet under. Hver lapp representerer et mulig tiltak. Disse er satt inn i en matrise med to akser: Verdi og Innsats. Desto høyere opp i matrisen, desto høyere verdi har tiltaket. Desto lenger til høyre i matrisen lappen plasseres, desto høyere verdi har det.

De enkelte tiltakene er plassert inn i matrisen i henhold til hva det var enighet om blant deltakerne. 

Det er en del overraskelser i denne oppstillingen: Blogging er plassert nederst til venstre i matrisen og anses dermed som relativt verdiløst i forhold til å skaffe nye kunder. Det samme gjelder deltakelse i andres Podcast: Da bidrar du mer til den andres podcast enn til å markedsføre deg selv.

At deltakelse i nettverk og nettverksbygging anses som et tiltak av høy verdi for å skaffe kunder er kanskje ingen overraskelse, men det er en tidkrevende aktivitet og kanskje noe man ikke bør satse på ene og alene.

Jungeltelegrafeffekten og nyhetsbrev med faglig innhold har høy verdi og anses ikke som altfor mye av en tidstyv. Kanskje fordi det virker mer meningsfullt og relevant i forhold til sin inntektsgivende virksomhet?

Ren annonsering synes ikke å ha mye for seg. Da er det heller bedre å selv ta initiativ til frokostmøter e.l., evt. sikre seg presseomtale. Sistnevnte kan man oppnå ved å få gjennomført en mindre spørreundersøkelse om et tema man jobber med, for deretter å sende ut en pressemelding om funnene. Pressen elsker spørreundersøkelser!

Og om pressen ikke i utgangspunktet napper, kan man alltid publisere det på LinkedIn eller annet medium. Da bringer du en nyhet til offentligheten.

Som du skjønner, var det en interessant og lærerik time i Soloprenørnettverket. Neste gang vi møtes, den 3. mai kl. 15.00, er tema “Effektive salgs- og forhandlingsteknikker – bli en bedre selger”. Da får vi besøk av Atle Øi, med-tilter og forfatter av bøkene “Du er en selger” og “Salgssjefen”.

Møtet er gratis for medlemmer i nettverket, og koster kr. 199,- for ikke-medlemmer. Påmelding under.


Hvordan 84% av norske virksomheter skaffer nye kunder

Hvordan 84% av norske virksomheter skaffer nye kunder

I Norge er det i 2024 ca 660.000 virksomheter (SSB). 550.000 av disse – 84 prosent – har færre enn 5 ansatte. Av disse er en overveldende majoritet uten registrerte ansatte. De er det vi kan kalle “soloprenører”.

En soloprenør er en person som driver sin virksomhet alene, uten andre ansatte. Begrepet er satt sammen av “solo” og “entreprenør”, og peker på rollen som både eier og eneste operative i virksomheten.

En soloprenørs største daglige glede er friheten: ingen sjefer, fleksibilitet, store muligheter til å utforme sin egen arbeidsdag, et jevnt og stødig tilfang av nye, villige kunder. 

En soloprenørs største daglige frustrasjon er det samme: ingen sjefer – led deg selv! Så stor fleksibilitet at livet går ut av ledd. Skiturer i marka midt i arbeidsdagen – mens du grubler på hvordan du skal overleve neste måned. Kanskje noen nye kunder – bare du ikke så inderlig HATET å selge deg selv!

Soloprenøren er både vaktmester, visjonær og alt i mellom, inkludert salgs- og markedssjef.

Å selge seg selv

Og akkurat den rollen – som selger av seg selv – er det mange soloprenører som sliter med. 

Fra april til juni er salg og markedsføring for soloprenører eller småbedriftseiere et gjennomgående tema i våre digitale nettverksmøter i Soloprenørnettverket PiT. Nettverket tilbyr soloprenører en møteplass for kunnskapsdeling, erfaringsutveksling, inspirasjon og læring. 

Det første møtet har tema “Hvordan skaffe nye kunder?” 

Møtet er åpent for alle (fordi vi gjerne vil ha flere medlemmer), mens de øvrige er kun for medlemmer av nettverket.

Hvordan skaffe nye kunder da?

Men hvordan skaffer man seg nye kunder da? Etter mer enn 40 år i små virksomheter, de fleste av dem som soloprenør, har jeg fremdeles ikke ett entydig svar på det. Suksess som soloprenør handler om mye av det samme som suksess i større virksomheter handler om: produkter eller tjenester noen er ute etter, synlighet, spesialisering, kvalitet, leveringsdyktighet, 

Tidlig i min soloprenørkarriere brukte jeg ukebrevet du nå leser som et verktøy for å komme på radaren. (Les Å selge seg selv uten å selge). Det fungerte veldig, veldig bra – for fjorten år siden, men har ikke den samme effekten i dag. Det er vanskelig å få oppmerksomhet i det gedigne digitale universet der ute. 

Derfor må man ta i bruk hardere skyts. Mange – meg med – opplever det som krevende å hele tiden poste på Linkedin, Facebook, Insta, Tiktok, arrangere frokostmøter, delta på frokostmøter, søkemotoroptimalisere, mingle og dingle med alle slags folk. Men det er slik spillet fungerer i dag. Spillereglene er gitt, selv om de stadig endres, og vil du være med på leken må du følge spillereglene. 

I ukens nettmøte har jeg lyst til at vi skal gå gjennom noen av de mest effektive metodene i dag med fokus på hvordan det kan gjøres raskt, enkelt og effektivt – uten å sluke for mye mental kapasitet du gjerne vil ha til overs for kundene dine.

Det er som sagt åpent for alle denne gangen. Meld deg på, men kom i så fall med hele deg. Våre nettmøter handler om å dele kunnskap og erfaring, ikke bare sitte passivt og ta i mot. 

God tirsdag – og vel møtt på onsdag.

PS. Jeg har sjefreflektert mye over dette temaet tidligere. Foruten “Å selge seg selv uten å selge” anbefaler jeg ubeskjedent den for oss soloprenører selvtillitsbyggende “Plant et frø og la naturen gå sin gang“.

IT-jus nr. 3/24

IT-jus nr. 3/24

Siden sist har jeg vært i retten med en svært prinsipiell sak – Grindr-saken. Saken handler dels om hvordan man innhenter samtykker, men også om det er en særlig kategori personopplysning at noen har en bruker på Grindr-appen. Det siste er nok det mest interessante.

Grindr-appen har ca 20 ulike kategorier av seksuelle orienteringer og dersom en bruker velger en av dem, deles ikke dette med andre. Det er svært uklart begrunnet i vedtaket fra Personvernnemnda om hvorfor og hvordan det at man har en bruker på Grindr, er sensitivt slik det er definert i GDPR. Jeg skal ikke ta argumentene her, men dersom dommen fastholder at dette er en særlig kategori opplysning, vil det ha stor betydning. Ikke bare for Grindr, men for mange andre virksomheter som retter seg mot minoriteter. Det vil bli vanskeligere å drive virksomhet rettet mot minoriteter – både for at all aktivitet må baseres på samtykke og for at kravene til sikkerhet gjør alt dyrere.

Saken viser noe som blir stadig tydeligere – nemlig at personvern påvirker forretningsmodeller og det griper inn i hvordan virksomheter kan konkurrere. Jeg tror vi får flere rettssaker fremover. Sakene er blitt for viktige til at man kan la et forvaltningsvedtak stå uprøvd. Noe av det som vil bli prøvd fremover, er hvor mye vekt man kan legge på retningslinjer fra EDPB når tilblivelsen av disse ikke har samme omfattende forberedelse som vanlige lover.

I øvrig er det selvsagt mye som skjer. Fokuset på etterlevelse (compliance) hos de store dataleverandørene er økende, se eksempelvis saken om Microsoft nedenfor. Cookies og markedsføring må vi ha stadig mer oppmerksomhet på. Felles behandlingsansvar er i vinden – og merk dere at det også gjelder for avvik.

Hilsen Eva


COMPLIANCE

En prinsipielt viktig sak – er Microsoft compliant?

Flere vil huske at det nederlandske datatilsynet har gjort undersøkelser har undersøkt hvorvidt Microsofts tjenester er i overensstemmelse med GDPR. Flere vil også huske at EDPS har gjort tilsvarende undersøkelser for de MS-tjenester som brukes i kommisjonen. Større deler av disse undersøkelsene er gjort offentlig tilgjengelige. Noen av hovedfunnene er at europeiske myndigheter mener Microsoft tar på seg en for stor rolle i behandlingen av en del av de brukeropplysningene som genereres under bruk, ofte referert til som metadata.

EDPS skriver følgende i sin nye pressemelding:

The EDPS has found that the Commission has infringed several provisions of Regulation (EU) 2018/1725, the EU’s data protection law for EU institutions, bodies, offices and agencies (EUIs), including those on transfers of personal data outside the EU/European Economic Area (EEA). In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA. Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.

Dette er store ord. Men vi har jo hørt lignende fra myndigheter i mange år uten at det egentlig har skjedd store endringer. Det kan se ut som om dette endres nå. EDPS pålegger kommisjonen å rette disse forholdene innen 9. desember 2024, hvis ikke må kommisjonen “suspend all data flows resulting from its use of Microsoft 365 to Microsoft [..]”.

Det er vel grunn til å tro at Microsoft ønsker å beholde kommisjonen som kunde – og det er mulig å tro at dersom kommisjonen får til endringer, så kanskje de vil gjelde for flere. Det er i alle fall all grunn til å følge med på dette fremover.

Pressemeldingen fra EDPS kom en stund før påske og er tilgjengelig her:

https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

Her må man også se til hva det danske Datatilsynet gjør. I kjølvannet av den såkalte Chromebook-saken (overføring av personopplysninger til USA via Google), har de fått spørsmål fra Region Syddanmark om deres planlagte migrering til Microsoft 365. Det er neppe overraskende at tilsynet ser store fellestrekk mellom sakene. På et overordnet nivå må det være lov å si at det ofte brukes store ord fra tilsynsmyndighetene i disse sakene, men at det så langt er relativt sjelden at de strenge lovtolkningene håndheves.

Se uttalelse fra det danske tilsynet her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/chromebook-sagens-relevans-for-andre-organisationer-og-cloudservices


BØTER

Pass på hvilke data kundene dine kan se

CaixaBank fikk 5 millioner euro i bot som følge av et brudd på personvernregler i forbindelse med at en bankkunde kunne se overføringer gjort av en annen kunde. Boten er bestridt og CaixaBank har signalisert at de vil utfordre sanksjonen. Banken mener boten er uproporsjonal fordi det var en eksepsjonell omstendighet.

Etter hva jeg har funnet, omhandlet bruddet kun ett enkelt tilfelle der en kunde kunne se en annen kundes data knyttet til en overføring av penger. Vedkommende kunne se avsender og mottaker samt noe mer data knyttet til overføringen. Da er det mulig å forstå at banken mener sanksjonen er stor.

Saken er pt ikke offentliggjort på engelsk, men er omtalt her:

https://www.dataguidance.com/news/spain-aepd-fines-caixabank-5m-inadequate-security

Meld avvik i tide – og samarbeid med tilsynet

Den 24. april 2023 meldte et selskap avvik til det østerrikske datatilsynet. Den 6. mars var de utsatt for et ransomware-angrep og data ble kryptert. Det var uklart om data var stjålet, men lønnsinformasjon om 55 ansatte ble berørt. Det ble iverksatt tiltak for å avhjelpe datainnbruddet, inkludert å koble hele nettverket fra internett, reinstallere og sikre systemer, samt sikkert slette krypterte harddisker.

Tilsynet startet undersøkelser, men fikk mangelfull respons fra virksomheten. Dels svarte de ikke, dels gjentok de bare den første avviksmeldingen. Dette endte med at de fikk 5 900 euro i bot. Jeg tror egentlig ikke at mange norske virksomheter ville oppført seg slik, men det er et økt fokus på å melde avvik i tide og på å samarbeide med tilsynet.

Les om saken her:

https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.603.142&mtc=today

Nettbutikker og kundedata

Det finske datatilsynet har kommet med sin hittil største bot. Verkkokaupa, som er en stor nettbutikk, fikk 856 000 euro i bot i mars, tett på ti millioner kroner. Årsaken var blant annet at de ikke hadde fastsatt lagringstid for kundedataene. De mente at det var nødvendig å beholde dataene lenge fordi en del av varene hadde lang bruksverdi og at det var nyttig å beholde opplysningene dersom kunden ville klage. Delvis argumenterte de med at det var parallellitet mellom kundeforholdets varighet og lagringstiden. Dels hevdet de at de slettet data knyttet til kunder som var inaktive – og definerte dette som kunder som ikke hadde vært innlogget på 6 år.

Ingen av disse argumentene ble hørt. Tilsynet er klare på at det må fastsettes oppbevaringstider. Dessuten hadde selskapet gjort det obligatorisk å opprette en kundekonto for å handle hos dem. Tilsynet mente, ikke overraskende, at det ikke er nødvendig å opprette en konto for å gjennomføre et kjøp.

I likhet med de fleste store personvernsaker, er den påklaget og er ikke endelig. Det er uansett grunn til å merke seg hva tilsynet har ment og justere egen praksis dersom den ikke er i tråd med dette. Jeg tror nok det er sannsynlig at tilsynets oppfatning her blir stående.

Saken er omtalt her:

https://tietosuoja.fi/en/-/administrative-fine-imposed-on-verkkokauppa.com-for-failing-to-define-storage-period-of-customer-data-requiring-customers-to-register-was-also-illegal

Italias største bot så langt

Det italienske datatilsynet (Garante) har ilagt energiselskapet Enel Energia SpA en bot på 79 000 000 euro for ulovlig reklame.

Enel samlet inn lister med potensielle kunder fra fire andre selskaper og dette gjaldt adresser, telefonnumre, kundens bostedskommune, og kundens energileverandør.

Garante understreket blant annet at Enel Energia brøt GDPR ved å unnlate å utføre en tilstrekkelig risikovurdering av sitt kundesystem (CRM). I tillegg sikret de ikke at andre selskaper, som skaffet dem nye kontrakter, overholdt regelverket. Dette omfattet også at de nødvendige databehandleravtaler ikke hadde tilstrekkelig innhold.

På samme måte som Federal Trade Commission i USA (FTC) ofte pålegger selskaper å informere (se sak lenger nede i nyhetsbrevet), er Enel Energia pålagt å informere berørte individer om utfallet av saken og en rekke andre tiltak som skal bedre personvernet.

Hørte jeg noen si at de jobber med leverandørrevisjon?

Saken er omtalt mange steder, blant annet her:

https://www.dataguidance.com/news/italy-garante-fines-enel-energia-7910m-gdpr-violations


COOKIES

Cookies og samtykke

Saken er ikke helt ny, men fra slutten av fjoråret. Det franske datatilsynet bøtela Yahoo med ikke mindre enn 10 000 000 euro for ikke å ha samtykker til cookies på plass. CNIL vektla også at dersom en bruker ville trekke tilbake samtykket til cookies, ville vedkommende miste tilgangen til eposten. Det er igjen interessant å merke seg at one-stop-shop-mekanismen i GDPR her ikke får anvendelse fordi tilsynsmyndighetene viser til nasjonale ekom-regler.

Enn så lenge har disse tingene ikke vært i fokus i Norge, men vi får antakelig nye cookieregler om kort tid og da er det all grunn til å være varsom med hvordan cookies og trackere brukes.

Se saken omtalt på disse stedene:

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros

https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-024&mtc=today

Mer om cookies fra det danske datatilsynet

I 2023 behandlet det danske Datatilsynet to saker om GulogGratis og JFM’s bruk av cookies for utarbeidelse av statistikk. Datatilsynet mente at utarbeidelse av statistikk ikke var en nødvendig del av tjenestetilbudet til virksomhetene. Virksomhetene har senere bedt om gjenopptakelse av sakene, og slik jeg forstår det er det argumentert med at de trenger statistikk for å kunne fortelle annonsører om det er relevant å kjøpe bannerannonser på hjemmesidene. Datatilsynet synes å mene at dette er et markedsføringsformål, som er noe annet enn ren statistikk. Hva som er statistikk og for hvilke formål, er ikke alltid enkelt. Likevel er det å forvente mer fokus på dette fra mange tilsyn fremover.

Sakene er omtalt her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/mar/cookie-walls-statistik-var-ikke-en-noedvendig-del-af-alternativet-til-adgang-mod-betaling


TILSYN

Svar når (hvis) tilsynet spør!

I 2023 gjennomførte EDPB som kjent en koordinert undersøkelse av personvernombudenes stilling. Hellas deltok også og sendte ut spørreskjema til 31 ombud i offentlig sektor. Ett ombud svarte ikke. Det greske tilsynet sendte deretter spørreskjemaet på nytt, men ombudet svarte fremdeles ikke. Etter utløp av fristen forsøkte vedkommende å svare på undersøkelsen, men da var lenken deaktivert av tilsynet. Etter at ombudet kontaktet tilsynet, ble lenken reaktivert, men ombudet svarte igjen ikke i tide. Ombudet hevdet at årsaken til den forsinkede responsen var tekniske problemer med nettstedet der spørreskjemaet var plassert, som hindret innlevering selv etter flere forsøk. Tilsynet var ikke enig i dette og ila selskapet en bot på 5 000 euro.

Nytt koordinert tilsyn fra EU

Etter at EDPB i 2022-2023 har gjennomført tilsyn med personvernombudenes rolle, er det nå i 2024 fokus på hvordan virksomheter ivaretar de registrertes rett til innsyn.

Personlig tror jeg dette varierer ganske mye. Samtidig er det helt grunnleggende personvern at dette ivaretas på en god måte. Kan vi ikke  spørre og få svar på hvordan våre personopplysninger faktisk brukes, er det vanskelig å håndheve noen rettigheter overhodet. Arbeider du i en virksomhet som får spørsmål om dette – sørg for å svare i tide.

Du kan lese mer om dette her:

https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en


GDPR OG ANSATTE

BYOD og 2-faktor 

Fra Spania er det kommet en litt spesiell sak der en arbeidsgiver ikke kunne be om de ansattes private  mobiltelefonnummer for å sikre bruk av 2-faktor autentisering ved bruk av hjemmekontor.  Det synes som om saken har bakgrunn i at arbeidsgiver ikke har stillet mobiltelefon til rådighet for arbeidstakere, men basert seg på bruk av privat mobiltelefon.

I Norge vil de fleste arbeidsgivere stille mobiltelefon til rådighet og problemstillingen blir neppe aktuell. Men det er interessant at det settes så strenge grenser rundt hva en arbeidsgiver kan be om.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=AN_-_SAN_487/2024&mtc=today


FELLES BEHANDLINGSANSVAR

Mer om reklame, TCF og felles behandlingsansvar

Mange av dere har hørt meg (og andre) snakke om IABs Transparency Consent Framework de siste to årene. Det er et rammeverk som er meget relevant for digital markedsføring. Spesielt er det viktig for de som er publisister (aviser, mediehus) – og for de som bruker deres forbrukerflater som annonseplattform.  

Forrige måned kom ECJ med en ny avgjørelse om IAB og TCF. Avgjørelsen er sammensatt og komplisert, men den slår blant annet fast at informasjonsstrengen som viser at en forbruker har samtykket til et bestemt formål, er personopplysninger. Det er kanskje ikke så overraskende. Men dommen sier også at organisasjonen IAB Europe er felles behandlingsansvarlig med virksomheten som bruker rammeverket. Det betyr at det må inngås spesielle avtaler som angir hvilken aktør som har ansvar for hva.

Avgjørelsen finner du her:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240044en.pdf

Den er også omtalt mange steder, blant annet her (omfattende artikkel):

https://europeanlawblog.eu/2024/03/25/case-c-479-22-p-case-c-604-22-and-the-limitation-of-the-relative-approach-of-the-definition-of-personal-data-by-the-ecj/

og her (kortere artikkel):

https://www.lexology.com/library/detail.aspx?g=d2c61d5c-daa2-446d-ba68-5626733af097

Enda mer felles behandlingsansvar – denne gangen for brudd

I en alvorlig sak fra Slovakia om drap på en journalist og hans forlovede, ble det gjort omfattende undersøkelser. Blant annet ble flere mobiltelefoner, som tilhørte en mistenkt, undersøkt. Undersøkelsene ble dels gjort av Europol, dels av slovakisk kriminaletterforskning. Meldingene på telefonene var sendt via krypterte tjenester, men Europol hadde klart å dekryptere (deler av) materialet. De sendte materialet til kriminaletterforskningen i Slovakia.

Senere publiserte media innhold fra mistenktes meldinger, blant annet intim kommunikasjon mellom vedkommende og hans kjæreste. Den mistenkte klaget til Europol på at informasjonen ble offentlig og krevde 100 000 euro som kompensasjon. Halvparten av beløpet krevde han fordi han mente at han urettmessig var blitt hevdet å ha tilhørt en “mafialiste”, den andre halvparten fordi intim samtale med kjæresten var blitt offentlig.  Europol bestred at de hadde noe ansvar og mente at de ikke var felles behandlingsansvarlig med Slovakia.

EU-domstolen fastslo at det ikke er nødvendig å bestemme hvilken av disse to enhetene – Europol eller medlemsstaten – som var årsak til avviket. For at solidaransvar skal kunne oppstå, må den enkelte som er berørt kun vise at det i forbindelse med samarbeidet mellom Europol og den aktuelle medlemsstaten, er blitt utført ulovlig databehandling som har forårsaket skade for vedkommende. Denne uttalelsen er, etter min oppfatning, viktig. Det betyr at flere parter risikerer ansvar for skade som skjer hos en annen.

Angående lekkasjen av den såkalte ‘mafialisten’, fant EU-domstolen at den registrerte ikke hadde klart å vise at ‘mafialistene’ der hans navn angivelig var inkludert, var blitt utarbeidet og oppbevart av Europol. Erstatningen for å ha blitt angitt å stå på ‘mafialisten’ ble derfor ikke vurdert nærmere.

Europol ble ikke hørt med at de hadde implementert passende tekniske og organisatoriske tiltak for å beskytte personopplysninger. Domstolen bemerket at data av en slik intim karakter viser behovet for at beskyttelsen må sikres strengt. Siden det fant sted en uautorisert tilgang, utgjorde dette et tilstrekkelig alvorlig brudd. Uten at jeg har lest originalteksten på dette, fremstår dette som en ganske streng tolkning.

Dertil fastslo domstolen at Den europeiske union kan pådra seg ansvar, som følge av offentliggjøringen av den registrertes intime samtaler.

Resultatet var at Europol og den slovakiske republikken er solidarisk ansvarlige for den ulovlige databehandlingen som forårsaket at den registrerte led ikke-materiell skade.

Hva gjelder utmålingen, la domstolen vekt på at det kun var offentliggjort transkripsjoner av samtalen og ingen fotografier. For dette fikk vedkommende 2 000 euro i erstatning. Beløpet er ikke høyt.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91755/21_P_-_Ko%C4%8Dner_v_Europol&mtc=today


BEHANDLING AV PERSONOPPLYSNINGER

Er muntlig informasjon behandling av personopplysninger?

ECJ avsa i mars dom i saken Endemol Shine (Sak C-740/22), som handlet om en muntlig utlevering av informasjon kunne anses som behandling av personopplysninger. Saken oppsto etter en muntlig forespørsel fra Endemol Shine til en finsk domstol om muntlig informasjon om strafferettslige prosesser mot en person involvert i en konkurranse Endemol Shine hadde. Domstolen nektet å utlevere informasjonen, og mente den ikke hadde grunnlag for å gjennomføre et søk etter den informasjonen i sine systemer. Endemol Shine klaget på saken. Ankedomstolen spurte ECJ om (1) om en muntlige overføring av personopplysninger skal betraktes som databehandling; og (2) om data relatert til strafferettslig domfellelse av en fysisk person kan utleveres muntlig til hvilken som helst person med formål om å sikre offentlig tilgang til offisielle dokumenter.ECJ mente at begrepet “behandling” under GDPR skal tolkes bredt og inkluderer muntlig utlevering. De skrev at “muligheten for å omgå anvendelsen av [GDPR] ved å utlevere personopplysninger muntlig i stedet for skriftlig være åpenbart uforenlig med [dens mål].”Samtidig sier de at en muntlig utleveringen av personopplysninger fortsatt kan falle utenfor GDPR’s omfang når behandlingen er manuell og dataene som behandles ikke utgjør en del av et arkivsystem. Imidlertid mener CJEU at dette ikke gjelder for Endemol Shine-saken, ettersom personopplysningene som ble etterspurt av selskapet  står i et domstolsregister som er et arkivsystem.Hva gjelder forholdet mellom GDPR og retten til offentlig tilgang til offisielle dokumenter om strafferettslige domfellelser, anså CJEU at det ikke er forenlig med GDPR å utlevere dette til hvem som helst som ber om det, uten å kreve at vedkommende etablerer en spesifikk interesse.Saken er omtalt her: https://gdprhub.eu/index.php?title=CJEU_-_C-740/22_-_Endemol_Shine_Finland_Oy

USA fatter vedtak med betydning for Europa

FTC, the Federal Trade Commission, fatter hovedsaklig vedtak mot amerikanske selskaper. Men nå har de inngått forlik med et selskap med forbindelser til Tsjekkia.

Den 22. februar 2024 kunngjorde FTC at Avast Limited betaler 16,5 millioner dollar og FTC forbyr Avast å selge eller lisensiere personopplysninger til reklameformål. Dette er et resultat av anklager om at Avast og dets datterselskaper solgte slik informasjon til tredjeparter etter å ha lovet at produktene deres skulle beskytte forbrukerne mot sporingsaktiviteter på nettet.

Gjennom sitt tsjekkiske datterselskap, samlet de inn forbrukernes browserhistorikk, lagret dette på ubestemt tid og solgte det uten tilstrekkelig varsel og uten samtykke. FTC hevdet også at selskapet villedet brukere ved å hevde at programvaren ville beskytte forbrukernes personvern ved å blokkere tredjeparts sporing, og at all deling ville være i “anonym og aggregert form”. FTC hevdet at selskapet solgte dataene til over 100 tredjeparter.

Fremover skal Avast basere eventuelt salg av slike opplysninger på samtykke, de skal informere forbrukere hvis informasjon har blitt solgt og innføre et omfattende personvernprogram.

Saken er omtalt her:

https://www.huntonprivacyblog.com/2024/02/29/ftc-announces-16-5-million-settlement-against-uk-service-provider-and-ban-from-selling-browsing-data-for-advertising-purposes


KUNSTIG INTELLIGENS

Kunstig intelligens og stemmegjenkjenning

Bruk av lydopptak og KI kan generere mange ubehagelige situasjoner. Det er allerede kommet reportasjer om “fake calls” der man feilaktig blir lurt til å tro at et familiemedlem eller en sjef ber om en pengeoverføring. Det kommer til å gjøre noe med hvordan vi behandler lydopptak fremover. Et lite fransk selskap har som forretningside at stemmeopptak kan anonymiseres, eventuelt vannmerkes.

Vi kommer til å se mye ny teknologi fremover.

Les mere om KI og stemmebruk her:

https://techcrunch.com/2024/03/11/nijta-voice-privacy-ai/?guccounter=2&guce_referrer=aHR0cHM6Ly82ZTJ3eC5yLnNwMS1icmV2by5uZXQv&guce_referrer_sig=AQAAAECzoc0dNXQ0yhvhdBYrDkPJO9zY2u7JHYxZUfCJuPjljYqNgA-NdCatZk88oxQWLcWEZF9Spw6aLhO4z2lL59CSy32v8xRwu6UtnmM9WUdyzyfay3uqjX3ocT44m-TeeFMlYJqQKk-JRROe-_-wJ5V0rY0Pe2MxZ9kUqECeSK4q


PRIVATLIVETS FRED 😉

Til slutt – vil du at huset og nummerskiltet på bilen utenfor huset ditt skal være lett gjenkjennelig på Google maps?

Det er alltid morsomt å ta et streif for å skrive disse nyhetsbrevene. Jeg finner ofte mye spennende juss, men innimellom dukker det opp noe litt annet også.

Google maps er praktisk, men det er jo ikke sikkert at du vil at alle skal kunne se akkurat det som var utenfor ditt hus når google kjørte forbi. Eller hvem som sto i inngangspartiet. Her var det en artig liten artikkel om hvordan man kan få Google til å “blurre” bildet som er åpent for alle. Kanskje greit å sjekke hva Google maps har lagt ut av omgivelsene rundt ditt hus?

Les om hvordan du går frem her

https://www.cnet.com/tech/services-and-software/why-you-want-to-blur-your-home-on-google-maps-and-how-to-do-it


KOMMENDE MØTER

25. april12.00 – 13.00 Digital Drop in
23. mai14.00 – 17.00 Nettverksmøte i Oslo
22. august14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

I en TED-talk fra noen år tilbake snakker Emilie Wapnick om multitalenter – eller multipotentials. Multitalentene er – og dette er min versjon, ikke Wapnicks – de blant oss som er bedre enn de fleste på det meste, men ikke så gode som de fremste ekspertene på noe.

Jeg kjenner selv noen sånne: Kompisen som veksler mellom å skrive skarpe kronikker, mekke motorsykkel, holde foredrag, lage gourmet-mat til hjemløse, guide toppleder-grupper mot smarte strategier, programmere komplekse systemer, diskutere vin som en sommelier, gå alene over Grønland, ta fantastiske naturbilder, og innimellom slagene rive ned og bygge opp det gamle huset fra bunnen av.

Tapt mulighet

I Wapnicks TED-foredrag er noe av poenget at dagens arbeidsliv ikke forstår verdien av multitalenter. Rekrutterere spør etter ekspertkompetanse, ikke bredde. De vil ha den beste kontrolleren, ikke en som er litt bedre enn gjennomsnittet, men også god på inbound marketing og treskjæring.

På den måten blir multitalentisme mer av en diagnose enn en styrke. Og det er synd, for i en verden hvor kunstige intelligenser inntar stadig flere ekspertområder, er et av de områdene som gjenstår evnen til å se hvordan ting henger sammen og gjennom det oppdage nye kombinasjoner.

Arbeidsgivere som ikke ser dette taper også muligheter.

I spagaten

For multitalentet innebærer det brede spennet av ferdigheter, som antagelig alle er knyttet til dyp interesse og lidenskap for de ulike områdene, at de blir stående i spagat. Vi vil gjerne ha folk vi kan putte i en bås, ikke folk som smetter fra den ene båsen til den andre; du vet aldri helt hvor de er eller hva du kan bruke dem til.

For konsulenter er kanskje dette en enda større utfordring. Måten du synliggjør din kompetanse for kunder er viktig. Selv driver jeg med coaching- og lederutvikling, men er også kjent blant mange som en habil PR- og kommunikasjonsperson, samt en som er ganske god på markedsføring, forretningsutvikling og HR. Jeg kan dessuten lage fine og avanserte nettsider, og har større praktisk innsikt i teknologi enn mange IT-folk.

I all beskjedenhet.

Det blir liksom ikke helt troverdig med en á là carte-meny på landingssiden som lar deg velge mellom tilsynelatende vidt forskjellige ferdigheter, som et universalverktøy fra en dubiøs nettbutikk.

Det er nok dette som gjør at jeg identifiserer meg så sterkt med coaching-kundene som kommer til meg og lurer på hva de skal bli når de blir store, til tross for at mange av dem er store nok allerede.

Talentgalleri

Det er kanskje det som er drivkraften som har gjort selskapet jeg med-gründet for fire år siden – tilt.work – til et fargerikt galleri av talenter som fra kundens ståsted åpenbart kan løse alle problemer, men i altfor liten grad får oppdrag.

Kunden har nemlig ikke alle problemer. Bare ett akkurat nå. Så leter de videre etter noen som fokuserer på dette ene.

Det er nok det som gjorde at jeg meldte meg frivillig til å ta med tilt.work til “dr. Nordskar”s idécafé. For deg som ikke har fått med deg den briljante reklame- og kommunikasjonsguruen Nils Petter Nordskar sitt siste sprell, så er det en løsningsorientert gratis rådgivningssamtale med små, ofte lett forvirrede, oppstartselskap.

Som oss i tilt.work.

Jeg skal i ilden i dag, tirsdag 9. april kl 12.00 for en 45 minutter lang samtale live, med mer enn 80 påmeldte og formodentlig aktive idé-innspillere.

Du er også invitert. Meld deg på her.

God tirsdag.

Emilie Wapnicks foredrag

Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

Noen ganger opplever vi at mennesker vi er glade i, setter pris på eller av andre grunner er avhengig av å fungere sammen med, velger ord eller tar avgjørelser som bærer galt av sted.

Selv kan vi være en del av et utløsende samspill, eller vi har fått rollen som observatør. Uansett er det lov å kjenne på tanker som: «Var dette det lureste du kom på?» eller «Det ordvalget kunne du ha spart oss alle for.» Spørsmålet er om vi skal dele disse tankene, og i så fall hvordan?

les mer…
Født som leder?

Født som leder?

Setting: Venner og venners venners lag. Ved siden av meg en jeg ikke hadde møtt før. Vi snakket om løst og fast til tiden var moden for det obligatoriske «Hva jobber du med?».

Hun fortalte om et usedvanlig eventyrlig yrkesliv, og avdekket det jeg oppfattet som en imponerende, allsidig og reflektert personlighet. 

Jeg fortalte at jeg utvikler ledere, og følte meg litt betydningsløs og grå i forhold. 

Teknikk og håndverk

Derfor ble jeg overrasket da hun sa: «Ledelse kan ikke læres. Alle gode ledere jeg har hatt er folk som er født som ledere. De har det bare i seg, det er medfødt.»

Det var en påstand jeg ikke har hørt på ganske lenge, og jeg trodde kanskje vi var forbi dette stadiet. Jeg erklærte min uenighet:

«Ledelse er grunnleggende sett teknikk og håndverk. Teknikkene kan praktisk talt alle lære om de vil. Noen har helt sikkert et større talent for det enn andre, men uten trening blir du aldri en god leder, like lite som en Maradona blir fotballstjerne uten trening. Hvis det var slik at man enten er født med det eller ikke, kan jo en Maradona — født som fotballspiller — bare møte opp på banen?»

Hun var ikke overbevist.

«Det er ikke det samme», sa hun. «Ledelse er noe annet enn fotball.»

Jeg smilte stumt.

Mysteriet ledelse

Ledelse opphøyes ofte til noe mystisk, grensende til religiøst. Og store ledere kan virke som om de driver stor ledelse enkelt og naturlig og med den største selvfølgelighet. Men like lite som Maradona er guddommelig, er sjefen din det. 

«Tro meg, ingenting kommer av seg selv. De lederne du har hatt som bare er ledere, inkludert de du hevder aldri har gått på lederkurs, har uten unntak brukt tusenvis av timer til å prøve, feile, reflektere, prøve igjen», forsøkte jeg meg videre.

Jeg tror kanskje hun var på gli.

Fra håndverk til kunsthåndverk

Ledelse er først og fremst et håndverk. Det kan læres. Talent, men først og fremst øvelse, kan gjøre en forskjell. Millioner av mennesker snekrer, bare et fåtall bygger hus. Millioner av mennesker kan skrive, bare et fåtall skriver bestselgende bøker. Millioner av mennesker kan male, bare noen få kan male taket i det sixtinske kapell eller en Mona Lisa. 

Dedikasjon og talent kan opphøye nesten ethvert håndverk til et kunsthåndverk.

Ledelse inkludert.

De beste trener mer 

Men det betyr ikke at millionene som maler, snekrer eller skriver ikke skaper verdi gjennom det de gjør.

Heller ikke at millionene som forsiktig prøver å forbedre sine lederferdigheter bare kan glemme det, for enten er de født med det eller så har de det ikke i seg. 

Enten man snakker om ledertrening eller annen kompetanseheving er det gjerne de som allerede er i utvikling som forstår at de trenger mer. De andre befinner seg på nederste trinn på læringstrappen:

Læringstrappen

Praktisk hverdagsledelse

Og selv om jeg som ledertrener gjerne skulle nådd fram til mennesker med de samme enten-eller-holdninger til ledelse som mitt nye bekjentskap, innser jeg at de som skal lære selv må innse at de trenger det. De må ha kommet forbi første trinn i læringstrappen.

I dette tilfellet handler læringen om praktisk hverdagsledelse. To kurs jeg holder er siktet inn mot dette området:

  • Frivillig ledelse – rettet mot dyktige, dedikerte frivillige i de tusenvis av ideelle, frivillige eller nonprofit-organisasjoner Norge er så avhengig av – frivillige som kan mer enn de fleste om fagområdet de er ledere innenfor, men innser at ledelse er et eget fag som også krever trening. Les mer om Praktisk hverdagsledelse i ildsjeldrevne organisasjoner
  • Prosjektledelse – rettet mot prosjektledere. De som deltar der kommer til å være meg uendelig overlegen på alt som har med administrasjon og styring av prosjekter. Likevel kan jeg sannsynligvis bidra mye hva gjelder teknikker og innsikt knyttet til å forstå og påvirke dynamikken i teamene de skal lede. Les mer om Coachende prosjektledelse og meld deg gjerne på vårt gratis digitale frokostmøte hvor dette kurset presenteres.

Det var dagens reklame.

Beklager, jeg er bare født sånn.

God tirsdag. 

Les også: Liv og lære – et drama i fire akter

Olivias verden

Olivias verden

Vi ignorerte klimakrisen i mange tiår. Vi ignorerer fortsatt i all hovedsak den eksistensielle trusselen kunstig intelligens representerer. På tide å våkne?

Olivias verden

Jeg ble bestefar i sommer. Vesle Olivia nærmer seg åtte måneder.

I løpet av denne tiden har det vesle menneskebarnets hjerne og kropp utviklet seg i et vanvittig tempo.

Hvis man kunne se inni hodet hennes, ville de siste åtte månedene vært et sprakende fyrverkeri av nevroner som bygger et intrikat nettverk Internett fortsatt kan se med misunnelse på.

De første 25 år

Olivia kommer til å si sine første ord om noen måneder. I løpet av noen år vil hun lære å gå, løpe, sykle og gradvis utvikle sin evne til å fokusere, huske, koble, assosiere, tenke logisk, være empatisk, lære boklig kunnskap, forstå moralske, etiske og sosiale spørsmål.

Hun vil også utvikle sin egen selvbevissthet, opplevelsen av et «jeg».

Om 25 år eller så er hun kanskje ferdig med studiene.

Det pleide å være en grei utviklingsplan for et menneske.

​«Hvis Olivia var en kunstig intelligens ville hun kunnet svare korrekt på all verdens spørsmål, flytende, på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut. Før hun feiret sin første jul.»

Men det er er alt for sakte til å konkurrere med en annen relativt nyfødt skapning: Kunstig intelligens.

Olivias konkurrent

Hvis Olivia var en kunstig intelligens ville hun lest og sortert alt som er på internett, kunnet svare på all verdens spørsmål – flytende, og på hvilket som helst språk, og bestå enhver kunnskapstest vi er i stand til å tenke ut.

Før hun feiret sin første jul.

Dette får selv en teknologioptimist som meg til å grøsse.

Flater ikke ut

For ulikt Olivia og andre menneskebarns intellektuelle nivå, flater ikke den kunstige intelligensens rivende utvikling ut, i hvert fall ikke i noen fremtid vi kan overskue i dag.

Vi har det siste halvannet år, siden ChatGPT ble lansert, sett at kunstig intelligens har gått fra å være smarte papegøyer til å overgå mer enn 90 prosent av oss mennesker i kunnskapstester på de fleste utdanningsfelt.

Og teknologien skal utvikle seg i samme rivende fart i mer enn 24 år til før Olivia skal ut i arbeidsmarkedet.

Hva i alle dager skal Olivia gjøre som ikke allerede gjøres en million ganger bedre av KI?

Og – den unge jentas utfordringer i arbeidsmarkedet er antagelig en av de minste utfordringene vi vil møte.

Atomkrig, pandemi og KI

Debatten om kunstig intelligens har så langt vært preget av begeistring. Litt som når vi trener opp bikkjene våre og begeistret roper «se hva den kan!»

I bakgrunnen har vi hørt noen kritiske røster rope om at teknologien en dag vil bli superintelligent og overta jorden.

Vi har ikke greid å ta dem på alvor, like lite som vi har tatt klimakrisen på alvor.

Vi mennesker er skrudd sammen sånn: kriser er ferskvare. Globale katastrofer er stoff for science fiction-romaner og sære blogger.

Spørsmålet er nå om skiftet kunstig intelligens vil skape er kommet så nær i tid at det er på tide å få panikk.

Et voksende antall røster mer enn antyder det.

​«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

«Global prioritet»

I mai ifjor publiserte Center for AI Safety følgende uttalelse:

«Å redusere risikoen for utryddelse fra kunstig intelligens bør være en global prioritet sammenlignet med andre samfunnsmessige risikoer som pandemier og atomkrig.»

Uttalelsen ble signert av hundrevis av eksperter innen kunstig intelligens og andre fremtredende personer, inkludert: Sam Altman, administrerende direktør i OpenAI; Geoffrey Hinton, en av grunnleggerne av dyp læring; Stephen Hawking; Elon Musk; Nick Bostrom, forfatter av boken «Superintelligence»; og Bill Gates.

Tre eksistensielle trusler

Den svensk-amerikanske MIT-forskeren Max Tegmark er en av AI-dystopistene, og hans argumenter er ganske overbevisende.

En av de eksistensielle truslene han løfter frem er faren for at mennesker med onde hensikter bruker teknologien til å utvikle våpen, for eksempel i form av kjemiske eller biologiske stoffer som frembringer sykdom og død.

En annen er at KI utkonkurrerer oss i arbeidsmarkedet til de grader at det knapt er mennesker igjen.

En tredje, og den kanskje mest spektakulære (men troverdige) er at superintelligens vil være så mye smartere enn oss at den ser på mennesker som vi ser på amøber.

(Hint: Vi ser ikke på amøbene som våre herrer som skal adlydes, til tross for at vi skylder dem en viss takknemlighet som en tidlig versjon av oss i den evolusjonære linjen.)

Unngå irrelevans

KI er en fantastisk oppfinnelse. Som sci-fi-entusiast siden barndommen er mye av det som skjer i dag en drøm som er blitt virkelighet. Personlig bruker jeg KI-verktøy daglig. Jeg sparer masse tid på det, og opplever også at kvaliteten i verktøyene blir stadig bedre.

Det er jeg ikke den eneste som har oppdaget. Mange av jobbene våre er allerede i ferd med å bli helt eller delvis borte fordi bedriftseiere oppdager at det de betaler folk for å fylle tiden sin med kan gjøres på en brøkdel av tiden, med høyere kvalitet, og garantert uten sykemeldingsavbrudd.

For oss som ser nytten av dette i det daglige, blir det Max Tegmark og andre eksperter roper varsku om lett å avfeie som dystopiske dommedragsprofetier.

Hvis vi ønsker oss en meningsfull fremtid for våre barn og barnebarn, hvor det å være menneske fortsatt er relevant, tror jeg det er smart av oss å lytte til dem.

God tirsdag.


Foredrag

Denne artikkelen springer ut av refleksjoner knyttet til ulike foredrag jeg holder om kunstig intelligens. Skal jeg holde et slikt foredrag hos dere, eller skal vi bare ta en prat om KI? Ring, tekst eller send epost, så snakker vi om det.


Fordypning og kilder

Darwin, dating og dommedag

Darwin, dating og dommedag

Da jeg gikk ut av det forrige langvarige forholdet med en kvinne for noen år siden, etablerte jeg raskt en tilstedeværelse på et fenomen jeg hadde skulet litt misunnelig på i årene i et fast forhold: datingappene. 

De utskjelte datingappene.

Jeg elsket dem.

For en fantastisk oppfinnelse! 

Tusenvis av potensielle partnere, de fleste edru, samtlige per definisjon åpne for et forhold. 

«Gamlemåten» – ut på byen på et tilfeldig utested – blekner hva gjelder både kvantitet og kvalitet. 

Som et verktøy for å oppnå et definert mål er appene uovertrufne.

Velles perspektiv

Ikke alle er like begeistret. 

Simen Velle tok til orde for å løfte menns tilgang til kvinner opp på den politiske dagsorden, med utgangspunkt i en påstand om at nettopp datingappene favoriserer et fåtall menn og etterlater resten i dyp frustrasjon og ensomhet.

Velle ble tolket som at han klandrer kvinnefrigjøringen for dette, noe han – sikkert klokelig – benektet fra en svært flat posisjon i dagene som fulgte. 

Evolusjonens røst

Så kommer andre røster og sier at kanskje han ikke skulle lagt seg fullt så flat. Det er faktisk noe i dette, mener de. 

For evolusjonen har favorisert kvinner som finner menn med høy posisjon, status og inntekt.

Kvinnekampen har gitt kvinner høyere posisjon, status og inntekt. 

Men evolusjonen har ikke hengt med i svingene. 

Derfor ser kvinner fremdeles etter menn med høyere status. Når kvinnens utsiktspunkt er blitt hevet, mens menn står ganske stille, blir det langt færre igjen. 

Så det er ikke kvinnekampen som har skylda. 

Ikke datingappene heller.

Darwin har skylda.

Eller naturens iboende treghet.

Stress og instinkt

Evolusjonen har latt oss overleve som art gjennom tusenvis av år ved å favorisere egenskaper som gir størst sjanse for overlevelse. Egenskaper som ikke nødvendigvis er hensiktsmessige i vår tid. 

Stress for eksempel. Stress, frykt og de medfølgende biokjemiske prosesser er designet for å redde deg fra løver. Stress er ment å forbrukes i små porsjoner.

  1. Løve angriper,
  2. du flykter (eller blir spist),
  3. stress opphører.

I dag er løvene byttet ut med dårlige sjefer, ubrukelige kolleger, gretne kunder. Og de lusker ikke bort med halen mellom beina etter at angrepet er avverget. De er der hele tiden. Stresset blir en konstant faktor som spiser deg opp fra innsiden. 

Frykten for utstøtelse

En annen egenskap som kanskje har utspilt sin rolle levde Simen Velle selv ut da han stod frem på TikTok med sitt kontroversielle budskap: vår trang til å bli sett, hørt og høre til. 

Mennesket er isolert sett et relativt svakt lite dyr. Det sliter med å greie seg alene, men er fantastisk i flokk. 

Å bli utstøtt fra stammen på savannen i Afrika var derfor gjerne ensbetydende med en dødsdom. 

Å bli utstøtt fra venneflokken, avvist av en potensiell partner eller få bare to likerklikk på din sosiale post er ingen dødsdom. 

Men naturens iboende treghet gjør at vi fremdeles reagerer som om det var det. 

Nullstille instinkter?

Vi har i det hele tatt store utfordringer knyttet til naturens iboende treghet, og jeg synes vi må ta oss sammen og gjøre noe med det. 

Skulle noe løftes opp på den politiske dagsorden, må det være hvordan vi skal nullstille gamle instinkter som ikke lenger passer til hvordan vi lever våre liv, og erstatte dem med nye, mer hensiktsmessige instinkter. 

Spøkefullt? Ja, men med et snev av sannhet i.

De samme gamle instinktene som gjør at marginaliserte grupper angriper de som oppleves som bedre stilt er bakenforliggende i dagens urolige verden.

  • En ung mann opplever seg selv som så utenfor alt at han bestemmer seg for å dø og ta med seg så mange av sine medelever på skolen som mulig.
  • En politisk organisasjon er så forbitret at de vil drepe så mange som mulig av “de andre”, og er villige til å ofre sin egen befolkning i forsøket.
  • En atommakt truer verden med total utslettelse heller enn å gi opp sin kamp mot vestlige verdier.

Oppgradert forstand

I alle disse historiene ser vi sporene av gamle instinkter fra savannen.

Forskjellen er våpnene og verktøyene de marginaliserte og deres motparter har tilgang på.

Evolusjonen har gitt oss teknologi, fremskritt, en slags “sivilisasjon”.

Men den har ikke oppgradert vår forstand.

Det er ikke bærekraftig.

God tirsdag. 

PS. Etterskuddsvis gratulasjon med kvinnedagen!

IT-jus nr. 2/24

IT-jus nr. 2/24

Ønsker dere alle en flott måned i mars – våren er endelig her!

Et stort og aktuelt tema på personvernscenen nå er EDPBs mening om Metas nye “pay or OK”-modell. Etter en avgjørelse fra ECJ i fjor, endret Meta hjemmelsgrunnlaget sitt for målrettet annonsering. Brukeren må nå samtykke til slik annonsering eller betale for å slippe.

Spørsmålet som da oppstår er: Kan Meta gjøre dette? Kan de kreve betaling? Alternativet ser ut å være at Meta tvinges til å tilby tjenester gratis og uten å kunne tjene penger på målrettet annonsering.

Eller kan man si at beløpet Meta krever er for høyt? Skal eventuelt store selskaper pålegges andre krav til gratis tjenester enn SMB-bedrifter? Eller skal man regulere hvilken pris de kan ta? Og – hva er i tilfelle et “stort selskap”? Det er en lang rekke spørsmål som oppstår her og de gjelder ikke bare Meta, men også for mange andre selskaper. 

Jeg tror disse spørsmålene er svært viktige og min primære bekymring er at EDPB bare har åtte uker, med en mulig forlengelse på seks uker, til å skrive sin mening. Denne tidslinjen er fastsatt av bestemte artikler i GDPR, men disse gir en skremmende kort tidsfrist for å håndtere grunnleggende spørsmål om hvordan bedrifter kan sikre at de finansierer sine tjenester.

Se saken kommentert her 

https://www.reuters.com/technology/eu-privacy-watchdogs-urged-oppose-metas-paid-ad-free-service-2024-02-16/

og her

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/datatilsynet-ber-edpb-om-formell-uttalelse-om-pay-or-okay/

På andre områder sirkulerer mye av fokuset i personvern- og teknologiområdet fortsatt rundt AI. Siste status for AI Act er beskrevet nedenfor. Det er også en interessant sak fra Danmark knyttet til mangel på tilsyn av databehandlere – sannsynligvis viktig for mange. Et annet interessant tilfelle er fortsettelsen av Google ChromeBook i Danmark – men med en ny vri. Det er ikke lenger den internasjonale overføringen og dokumentasjon som er i fokus, men kontrollering av data.

Som alltid – god lesning!

Hilsen Eva


KUNSTIG INTELLIGENS

Status for AI-ACT

Endelig har EUs medlemsland oppnådd enstemmig enighet om en lov om kunstig intelligens, og med det overvunnet siste øyeblikks frykt for at regelboken ville kvele europeisk innovasjon.

Etter å ha blitt enige om grunnleggende prinsipper før jul, men uten å ha en presis lovtekst å vise til, har vi nå endelig fått en samordnet lovtekst for den kommende AI Act. Teksten er fortsatt et utkast som stadig gjennomgår språklige tilpasninger. Lovteksten vil mest sannsynlig passere Rådet og Parlamentet i ukene eller månedene som kommer, og forventes å bli publisert i Official Journal i mai / juni. Etter å ha blitt publisert der vil noen av artiklene tre i kraft etter kun seks måneder – dette gjelder for forbudt AI. For generativ AI trer artiklene i kraft etter 12 måneder. For høyrisiko AI som definert i vedlegg III, trer artiklene i kraft etter 24 måneder. For høyrisiko AI som definert i vedlegg II, trer de i kraft etter 36 måneder. 

Noe som fanget min interesse, er at flere av artiklene i det nye utkastet er vesentlig forskjellig fra utkastene før jul. Blant de mer interessante endringene er at bøtene senkes. Ikke vesentlig, men betydelig. Jeg vil komme tilbake med en mer grundig analyse av den nye ordlyden. Fra det jeg hører, er det ikke forventet ytterligere endringer fremover, det er en språklig opprydding de gjør nå. Det nye utkastet er tilgjengelig på nett.

Se andres kommentarer på utkastet her 

https://iapp.org/news/a/a-view-from-brussels-all-eyes-on-eu-ai-act/

og her

https://www.politico.eu/article/eu-countries-strike-deal-ai-law-act-technology/

Italiensk datatilsyn sier at ChatGPT bryter personvernreglene

Det i talienske datatilsynet har gitt OpenAI beskjed om at chatbot-applikasjonen ChatGPT bryter personvernreglene. Tjenesten ble reaktivert etter at OpenAI adresserte og rettet opp tidligere bekymringer fra det italienske datatilsynet, blant annet knyttet til brukerens rett til å nekte samtykke til bruk av personopplysninger for trening av algoritmer. Uten å gi ytterligere detaljer, har det italienske datatilsynet nå konkludert med at visse elementer ved tjenesten indikerer ett eller flere mulige personvernbrudd. Vi vet per nå ikke hva disse elementene er.

Open AI har på sin side uttalt at de mener at praksisen er i tråd med EUs personvernregelverk, og har 30 dager på seg til å fremsette sine motargumenter. 

Italia var det første vesteuropeiske landet som bremset ChatGPT, hvis raske utvikling har tiltrukket seg oppmerksomhet fra lovgivere og regulatorer. Det er synd at ikke mer informasjon om denne saken er kjent, da lovligheten av AI-systemer er et spesielt hett tema. Men jeg er sikker på at vi vil vite mer om dette tilfellet om ikke så lenge.

Les mer her

https://www.reuters.com/technology/cybersecurity/italy-regulator-notifies-openai-privacy-breaches-chatgpt-2024-01-29/

Bruk av AI – er våre “søk” lagret?

Ikke skriv noe inn i Gemini, Googles familie av GenAI-apper, som er inkriminerende – eller som du ikke vil at noen andre skal se. I et støttedokument skisserer Google hvordan de samler inn data fra brukere av sine Gemini chatbot-apper for internett, Android og iOS. Google bemerker at brukere rutinemessig behandler samtaler med Gemini for å forbedre tjenesten. Disse samtalene lagres i opptil tre år sammen med “relaterte data”, som språkene og enhetene brukeren brukte og deres plassering. Brukeren kan imidlertid slå av Gemini Apps-aktivitet i Googles My Activity-dashbord, dette forhindrer fremtidige samtaler med Gemini fra å bli lagret i en Google-konto for gjennomgang. 

Men selv når Gemini Apps-aktivitet er slått av, vil Gemini-samtaler bli lagret på en Google-konto i opptil 72 timer for å “opprettholde sikkerheten til Gemini-apper og forbedre Gemini-apper.”

Googles GenAI-retningslinjer for datainnsamling og oppbevaring skiller seg ikke så mye fra konkurrentenes. OpenAI lagrer for eksempel alle chatter med ChatGPT i 30 dager uavhengig av om ChatGPTs samtalehistorikkfunksjon er slått av, bortsett fra i tilfeller der brukeren abonnerer på en “enterprise-level plan” med en tilpasset dataoppbevaringspolicy. Etter hvert som GenAI-verktøy sprer seg, blir virksomhetene stadig mer oppmerksomme på personvernrisikoen.

OpenAI, Microsoft, Amazon, Google og andre tilbyr GenAI-produkter rettet mot bedrifter som eksplisitt ikke beholder data i lengre tid, verken for modellopplæring eller andre formål. Men forbrukerne får – slik som ofte er tilfelle – den dårligste dealen. 

Les mer her


DATABEHANDLERE

Straff for manglende gjennomføring av leverandørtilsyn

Det danske datatilsynet har anmeldt en part for ikke å ha ført tilsyn med sine databehandlere.

Datatilsynets etterforskning av parten viste at de ikke hadde overvåket sine databehandlere. Det første tilsynet ble utført da Datatilsynet begynte sine undersøkelser. Datatilsynet fant at parten ikke opptrådte i samsvar med kravene til ansvarlighet. De understreket at det ikke hadde blitt ført tilsyn med databehandlerne over flere år og at behandlingen innebar et stort antall registrerte personer. I tillegg ble sensitive personopplysninger behandlet.

Tilsyn knyttet bruken av databehandlere har blitt stadig vanligere de siste årene. Slik var det ikke i 2018, men det er en naturlig utvikling.

I tillegg til politianmeldelse, ble det anbefalt en bot på ikke mindre enn DKK 1 500 000. Så vidt jeg vet, er dette den første avgjørelsen hvor en part blir bøtelagt for ikke å ha gjennomført tilsyn med sine databehandlere.

Har du i det hele tatt sendt noen spørsmål til prosessorene dine? Hvis ikke er det på tide å begynne med det. Det finnes maler for hvilke spørsmål man bør stille.

Les mer her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/privathospitalet-capio-as-indstilles-til-boede


GOOGLE OG DE DANSKE SKOLENE

Historien om Chromebooks i danske skoler var ikke over

Den 30. januar kom det danske datatilsynet opp med en oppsiktsvekkende beslutning om bruk av Google Chromebooks og Workspace for utdanning i skoler. Beslutningen konkluderer med at behandlingen av personopplysninger i visse deler av tjenestene er ulovlig, da det ikke finnes noe rettslig grunnlag i personvernforordningen og nasjonal lovgivning for delingen av informasjon med Google. Her kan det være grunn til å minne om at hvert enkelt ledd i en behandlingsaktivitet, og deling av opplysninger, må ha en hjemmel. Både utlevering av informasjon – og mottak av informasjon.

Derfor utstedte Datatilsynet et pålegg til 53 danske kommuner om å bringe behandlingen i tråd med reglene og sikre at alle personopplysninger som behandles i Googles tjenester har et tilstrekkelig rettslig grunnlag.

Kommunene oppgir i det innsendte materialet at det er en overføring av personopplysninger til Google som Google bruker til egne formål. Ikke for skolenes formål. Formålet for Google sies å være forbedring av deres tjenester og utvikling av nye tjenester. Poenget til datatilsynet er imidlertid at skolene må ha et rettslig grunnlag for å gi studentenes personopplysninger til Google for slike formål – og at de ikke kan se at slikt rettslig grunnlag foreligger. 

Dette er en situasjon som er svært vanlig, ikke bare for skoler. Man kan forestille seg nøyaktig den samme problemstillingen i ansettelsessituasjoner. Hva er det juridiske grunnlaget for at våre arbeidsgivere skal gi våre personopplysninger til leverandører av IT-tjenester?

Jeg tror vi vil se den samme diskusjonen på dette området om ikke lenge. Det snakkes om det nedover i Europa. Dette er også ganske parallelt med tidligere undersøkelser fra EDPS om hvordan Microsoft behandler informasjon om brukerne av deres produkter, noe jeg har adressert i dette nyhetsbrevet tidligere.

Det danske datatilsynet har beordret kommunene til å bringe behandlingen i tråd med reglene ved å sikre at det foreligger autorisasjon for all behandling som finner sted. Kommunene må overholde pålegget fra 1. august 2024, men må angi hvordan de skal innrette seg allerede 1. mars.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Se også hvordan det norske Datatilsynet kommenterer saken, i lenken under. Det ser ut til at de tror den samme situasjonen kan gjelde i Norge, men at de ikke har gjennomført en nærmere vurdering av dette. Noe å tenke på for flere, her. https://www.personvernbloggen.no/2024/02/15/hva-betyr-den-danske-chromebook-saken-for-norge/


FORBRUKERE, INNSYN OG RETT TIL ENDRING

Straff for ulovlig å be om for mye informasjon

Vi har snakket om det mange ganger – du må være sikker på at du gir informasjon til riktig person, men du kan ikke be om mer identifiserende informasjon enn nødvendig.

Dette vises av en sak som behandles av datatilsynet i Hellas. De irettesatte en behandlingsansvarlig for ulovlig å spørre om en registrerts ID når de svarte på en tilgangsforespørsel, og for å ikke i tilstrekkelig grad informere brukerne om et databrudd. 

I denne saken ba en registrert om en kopi av sine personopplysninger i henhold til artikkel 15(3) GDPR etter å ha blitt informert av media om at den behandlingsansvarlige hadde hatt et databrudd. Den behandlingsansvarlige drev et nettsted. Den registrerte nektet for noensinne å ha opprette en konto på nettstedet og hevdet at noen andre måtte ha gjort dette ved hjelp av vedkommendes e-postadresse. 

Den behandlingsansvarlige svarte at de eneste dataene de behandlet var den registrertes IP-adresse og brukernavn som ble innhentet ved registrering, og at den registrerte måtte oppgi en ID for at den behandlingsansvarlige skulle kunne identifisere ham og gjennomføre tilgangsforespørselen. Den registrerte svarte at ID-en ikke var nødvendig fordi han brukte e-postadressen sin – og klaget til tilsynet. Nettstedet uttalte at de krevde en ID i forbindelse med tilgangsforespørsler for å kunne beskytte brukere mot uautoriserte utleveringer, og at dette er i tråd med punkt fortalepunkt 64 i GDPR.

Datatilsynet mente derimot at den behandlingsansvarlige handlet i strid med artikkel 5(1)(c) GDPR ved å samle inn ID-er utelukkende for å overholde de registrertes tilgangsforespørsler, fordi dette var overdrevent.

Det er ikke alltid lett å vurdere hvilket nivå av sikkerhet som kreves for utlevering av informasjon, men som en generell regel bør det være tilstrekkelig å bruke e-posten som den behandlingsansvarlige har tilgjengelig.

https://gdprhub.eu/index.php?title=Commissioner_(Cyprus)_-_11.17.001.010.007&mtc=today

Tekniske rammeverk ignoreres – Klarna AB

Det svenske datatilsynet (IMY) startet tilsyn med Klarna Bank AB («Klarna») på grunn av en klage fra en tysk statsborger. Klageren har et Klarna-kort og har bedt om korrigering av e-postadressen knyttet til kortet. Klarna sier at det ikke er teknisk mulig å endre e-postadressen knyttet til klagerens kort og at klager derfor må bestille et nytt kort for å få endret e-postadressen sin. Et nytt Klarna-kort vil imidlertid påvirke klagerens kredittverdighet og vedkommende ønsker ikke det. 

IMY skriver at saken viser at Klarna har behandlet personopplysninger i strid med artikkel 12.2 i GDPR ved ikke å ha lagt til rette for klagerens rett til retting – ved å ikke gjøre det mulig for klageren å endre sin e-postadresse. Å ikke korrigere e-postadresse, anses som et brudd på artikkel 16.

Her ser vi at IMY motsetter seg hvordan Klarna har satt opp sin interne logistikk. Jeg tror dette er en trend – at det å håndheve GDPR faktisk også innebærer innvendinger om hvordan bedrifter (og noen ganger forretningsmodeller) er satt opp. Ikke alle er positive til at myndighetene blander seg inn i slikt, men det er i noen tilfeller en naturlig konsekvens av hvordan GDPR fungerer.

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-klarna-bank-imy-2023-8336.pdf

Personvern i biler 

En forbrukergruppe har funnet ut at «Tilkoblede tjenester»-funksjonen som er innebygd i nye Toyota-biler kan sende personopplysninger og kjøretøydata til tredjeparter. Hvis sjåførene fjerner komponenter som sender dataene, risikerer de at bilens garanti blir annullert.

Toyota har insistert på at det tar kundenes personvern «ekstremt alvorlig», men har erkjent at «Tilkoblede tjenester»-funksjonen bare kan deaktiveres, men ikke fjernes, fra bilene. Ellers kan sjåfører ugyldiggjøre garantien og gjøre Bluetooth og høyttalere ikke-funksjonelle. 

Det har blitt avdekket at Toyotas “Tilkoblede tjenester”-funksjon samler inn informasjon som kjøretøyets plassering, kjøredata, drivstoffnivåer og til og med telefonnumre og e-postadresser. Hvis du ikke melder deg av tjenesten, vil den samle inn og bruke person- og kjøretøydata for forskning, produktutvikling og dataanalyseformål. Tjenestene kan også under noen omstendigheter dele dataene med tredjeparter, for eksempel forsikringsselskaper.

Jeg tror at personvern i biler ennå ikke har fanget lovgivernes oppmerksomhet på ordentlig. Men med tanke på at lokasjonsdata får stor oppmersomhet i andre personvernspørsmål, tror jeg at dette vil komme ganske snart. 

https://www.theguardian.com/australia-news/2024/feb/08/toyota-cars-collecting-and-potentially-sharing-location-data-and-personal-information-choice-says

Fortsatt hardt vær for Facebook

Den nederlandske regjeringen vurderer å trekke seg helt fra Facebook på grunn av alvorlige bekymringer om hvordan den sosiale medieplattformen håndterer datasikkerhet. Regjeringen har i flere år vært bekymret for hvordan Facebook håndterer personvernsensitive data, og den nederlandske regjeringen har ved gjennomføringen av en DPIA avslørt det de mener er alvorlige mangler. De har visstnok diskutert dette med Meta, men Meta har ikke gjennomført tilfredsstillende forpliktelser eller forbedringer. Meta er tilsynelatende ikke enig i funnene i DPIA. 

I november spurte den nederlandske regjeringen det nederlandske datatilsynet om det er trygt å fortsette å bruke Facebook. Tilbakemeldingen fra datatilsynet er forventet å være klar snart. Imidlertid synes den foreløpige indikasjonen å være at regjeringen forventer å slutte å bruke Facebook og at de allerede gjør forberedelser for dette. 

https://nltimes.nl/2024/02/05/dutch-government-considering-ditching-facebook


GDPR OG ANSATTE

Overvåkning av ansatte 

Den 27. desember 2023 bøtela det franske datatilsynet (CNIL) Amazon France Logistique 32 millioner euro for å ha satt opp et overdrevent påtrengende system for overvåking av ansattes aktivitet. Selskapet ble også bøtelagt for videoovervåkning uten informasjon eller tilstrekkelig sikkerhet.

Selskapet administrerer Amazon-konsernets lager i Frankrike, hvorfra de sender pakker til kunder. Hver lageransatt får en skanner for å dokumentere hvordan arbeidet utføres i sanntid. Hver skanning registreres og brukes til å beregne informasjon om kvaliteten, produktiviteten og perioder med inaktivitet for hver ansatt.

CNIL vurderte at systemet for overvåking av ansatte var overdrevent. CNIL fastslo bl.a. at det var ulovlig å sette opp et system som måler arbeidsavbrudd med slik nøyaktighet, noe som potensielt krever at ansatte må rettferdiggjøre hver pause eller avbrudd. Videre kom CNIL til at systemet for måling av hastigheten pakker ble skannet med var overdrevent. CNIL anså det også som overdrevent å beholde alle dataene som samles inn via systemet, samt de resulterende statistiske indikatorene, for alle ansatte og midlertidige arbeidere, i en periode på 31 dager.

Ved fastsettelsen av botens størrelse ble det spesielt tatt hensyn til det faktum at analysen/overvåkingen var forskjellig fra tradisjonelle aktivitetsovervåkingsmetoder – særlig hva gjelder innhold og varighet, og at overføringen førte til svært tett og detaljert overvåking av ansattes arbeid.

Nå tror jeg ikke at mange norske virksomheter vil innføre denne type overvåking av ansatte, men det er klart at i et globalt marked er det en viss “smitteeffekt” fra land der slike systemer tillates.

Saken er omtalt her:

https://www.cnil.fr/en/employee-monitoring-cnil-fined-amazon-france-logistique-eu32-million

Uber beskytter ikke sjåførenes personvern – får en stor bot i Nederland

Det nederlandske datatilsynet har bøtelagt Uber 10 millioner euro for brudd på personvernregelverket i relasjon til sjåførenes personopplysninger.

Tilsynet kom til at Uber ikke hadde spesifisert hvor lenge de beholdt sjåførenes personopplysninger, eller hvordan de sikret personopplysninger når disse ble sendt til enheter i land, som de ikke hadde navngitt, utenfor EØS.

Uber hindret også sjåførenes mulighet til å utøve sin rett til personvern ved å gjøre forespørsler om tilgang til personopplysninger unødvendig komplisert. 

Boten ble ilagt etter at over 170 franske sjåfører klaget Uber inn til en fransk menneskerettighetsorganisasjon, som sendte inn en klage til det franske datatilsynet. Siden Uber har sitt europeiske hovedkvarter i Nederland, ble klagen videresendt til det nederlandske datatilsynet.

https://www.reuters.com/technology/dutch-watchdog-fines-uber-10-mln-euros-over-privacy-regulations-infringement-2024-01-31/


HOVEDETABLEING + NOYB

EDPB klargjør begrepet om hovedetablering (“Main establishment”)

EDPB har gitt en uttalelse om begrepet hovedetablering og kriteriene for anvendelsen av One-Stop-Shop-mekanismen (OSS). De skriver følgende hovedpunkter: 

  • For at OSS skal gjelde, må etablering av den behandlingsansvarlige innenfor EU ta beslutninger om formålene og metodene for behandling. 
  • Hvis beslutninger om formålene og metodene – og makten til å få dem implementert – utøves utenfor EU, vil OSS ikke gjelde.
  • Bevisbyrden faller på den behandlingsansvarlige – ting som plassering av regionale hovedkontorer og hvor retningslinjer for personvern fastsettes er «relevante elementer», men ikke avgjørende, og datatilsynet kan realiteten i dette.
  •  Uttalelsen advarer spesielt om at GDPR ikke tillater «forumshopping» i identifiseringen av hovedetablering. 

Denne uttalelsen er den siste i en rekke konkrete tiltak tatt av EDPB etter Wien-erklæringen om grenseoverskridende håndhevelse, med sikte på å effektivisere håndhevelse og samarbeid mellom datatilsynene. 

https://edpb.europa.eu/news/news/2024/edpb-clarifies-notion-main-establishment-and-calls-eu-legislators-make-sure-csam_en

NOYB har undersøkt personverntilstanden i Europa

I november 2023 gjennomførte NOYB en nettbasert undersøkelse for å få innsikt i den praktiske implementeringen av GDPR. Noen vil kanskje si at funn fra NOYB sannsynligvis vil vippes til å være for personvernfokusert, men rapporten er faktisk en ganske god analyse av hva som er oppnådd med GDPR og hva som er nåværende status for etterlevelse av reglene.

Undersøkelsen inkluderte blant annet spørsmål om selskapers etterlevelse av GDPR, om vanskeligheten med å overbevise andre avdelinger eller ansatte i et selskap om etterlevelse av GDPR og spørsmål om de mest relevante faktorene som påvirker etterlevelsen av GDPR. Undersøkelsen fokuserte på personvernombud og andre som jobber med etterlevelse. 

Rapporten belyser et utbredt problem om manglende etterlevelse på tvers av ulike sektorer. Mange unnlater å beskytte enkeltpersoners personvernrettigheter og å sikre personopplysninger i samsvar med GDPR.

Videre fant de mangel på åpenhet og ansvarlighet i databehandlingspraksis, med organisasjoner som ofte ikke klarer å gi klar og tilgjengelig informasjon om deres retningslinjer for datainnsamling, lagring og bruk. De fant også at mange organisasjoner mangler robuste sikkerhetstiltak for å beskytte mot databrudd og uautorisert tilgang. Dette setter enkeltpersoners personopplysninger i fare for utnyttelse og misbruk. 

NOYB fant også at samtykkehåndteringsprosesser ofte er feil, med organisasjoner som er baserer seg på tvetydige eller uklare samtykkemekanismer som ikke oppfyller forordningens standarder for informert og fritt samtykke. Det er også en generell mangel på bevissthet blant enkeltpersoner om deres rettigheter og organisasjoner unnlater ofte å legge til rette for utøvelse av registrertes rettigheter på en betimelig og transparent måte. 

Rapporten inneholder også anbefalinger for forbedringer. For det første må tilsynsmyndighetene styrke håndhevingsarbeidet og avskrekke fremtidige brudd gjennom ileggelse av bøter og sanksjoner.  I tillegg bør organisasjoner prioritere investeringer i robuste sikkerhetstiltak, inkludert kryptering, tilgangskontroller og regelmessige sikkerhetsrevisjoner. Organisasjoner må prioritere åpenhet og klarhet i deres databehandlingspraksis, gi enkeltpersoner klar og tilgjengelig informasjon om hvordan deres personopplysninger samles inn, brukes og deles, og sikre bedre samtykkemekanismer. Rapporten understreker at det bør gjøres tiltak for å øke bevisstheten blant enkeltpersoner om deres rettigheter og gi dem mulighet til større kontroll over sine personopplysninger gjennom utøvelse av rettigheter.

Rapporten understreker et presserende behov for samordnet innsats fra både tilsynsmyndigheter, organisasjoner og enkeltpersoner for å fremme en kultur for etterlevelse og å opprettholde enkeltpersoners grunnleggende rett til personvern.

Rapporten finner du her

https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf


KOMMENDE MØTER

14. mars 14.00 – 16.00Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.