EDPB har kommet med sin “Opinion” om “Consent or pay”. Den er trigget av at Meta innførte en betalingsløsning for å unngå rettet reklame. Jeg har skrevet to artikler om dette som du finner her

https://iapp.org/news/a/thoughts-on-behavioral-advertising-meta-and-privacy

https://schjodt.com/news/thoughts-on-behavioural-advertising-meta-and-privacy –

og hvor jeg er noe kritisk til den rolle EDPB nå får i Europeisk rettsutvikling.

Beslutningene fra EDPB fungerer i realiteten på samme måte som lovgivning, men tilblivelsesprosessen er ganske annerledes og mindre gjennomsiktig. Dette er en konsekvens av GDPR som er vanskelig å gjøre noe med. Noen har begynt å kalle datatilsynene i EU “den fjerde statsmakt” og det er ikke helt feil.

Hva gjelder “Consent og pay” sier EDPB nå at en del aktører plikter å tilby sine tjenester vederlagsfritt. Virksomheter må tjene penger. Om en forbruker får 3 valg: 1) betal for tjenesten, 2) betal for tjenesten ved å motta rettet reklame eller 3) få en tilsvarende tjeneste gratis – så vil nok flertallet velge det siste. Det fremmer neppe nye tjenester, ingen kan levere tjenester gratis. Et av de sentrale spørsmålene er hvem som pålegges å tilby vederlagsfrie tjenester – er det bare Meta? Nei. Men hvem som rammes er ganske uklart formulert fra EDPB og det er rom for å gi retningslinjene anvendelse på tjenester som er sentrale på sitt område selv om tjenesten ikke er veldig stor. Mange er dypt uenige i dette. Vi vil få se fremover hvordan dette spiller ut.

I øvrig er det full fart på personvernområdet. NOYB har klaget på OpenAI om at den gir resultater som ikke er riktige når den “hallusinerer” – og kritisert at det ikke er i tråd med GDPR at det ikke finnes måter å avhjelpe dette på. Her ser vi en kollisjon mellom reglene i GDPR og hvordan KI fungerer. For meg er det uklart hvordan man skal få denne teknologien til å følge alle reglene i GDPR, men jeg tror heller ikke at reglene kommer til å endres. EDPB arbeider med dette også i en dedikert task force – det blir spennende å se hva de kommer til etter hvert.

Denne gangen går jeg ikke inn på behandlingsgrunnlag for rettet reklame og IAB-sakene som vi har snakket om flere ganger i nettverket, men for spesielt interesserte er det kommet en ny avgjørelse fra ECJ den 5. mars i år (C-604/22). Avgjørelsen bekrefter at informasjonen i samtykke-strengene er personopplysninger og at IAB er felles behandlingsansvarlige med de som bruker systemet til IAB (kanskje mest overraskende).

For oss i Norge er det nok viktigere at det er kommet et nytt forslag til Ekomlov, som stiller klare krav til at bruk av cookies baserer seg på samtykke og ikke berettiget interesse. Det er interessant å se at det foreslås at NKOM skal ta stilling til hva som er nødvendige cookies, mens Datatilsynet skal ta stilling til hva som er et godt nok samtykke. Her kan det bli mye action fremover. Det er pt uklart når loven går gjennom Stortinget, det kan skje allerede før sommeren, men mest sannsynlig til høsten.

Under er noen av de andre viktige sakene den siste måneden og jeg er redd det ble et langt nyhetsbrev, men jeg vet at mange av dere likevel setter pris på det.

God lesning og husk å nyte vårsolen også!

Hilsen Eva,

denne gang med assistanse av Sigurd Fjærtoft-Andersen fra Schjødt

---

KUNSTIG INTELLIGENS

Dominos i trøbbel for bruk av AI-system for telefonbestillinger

Den stadig økende bruken av AI-systemer byr på sedvanlig vis på nye utfordringer for store, verdensomspennende selskaper som benytter seg av den teknologiske utviklingen. I et foreslått gruppesøksmål i den amerikanske delstaten Illinois har tre kunder anklaget pizzakjeden Dominos og utvikleren av selskapets stemmegjenkjenningssystem for å samle inn og lagre kunders stemmeavtrykk, navn, adresse, telefonnummer og kredittkortnummer, uten å informere kundene. Et stemmeavtrykk er å regne som et individuelt og særegent mønster av egenskapene til en persons stemme som er spektrografisk produsert, og utgjør vanligvis biometriske data som er særskilt vernet som særlige kategorier av personopplysninger.

Stemmegjenkjenningssystemet ble utviklet av ConverseNow Technologies, og brukes angivelig på 57 ulike Dominos-lokasjoner i Illinois for å forbedre kundeservicen og å forbedre salget. Ifølge det foreslåtte søksmålet har stemmegjenkjenningssystemet blitt brukt siden 2020, uten at kundene har blitt informert om slik bruk og lagring. Det er et betydelig misbrukspotensiale for slik stemmeinformasjon.

Gruppesøksmålet reiser spørsmål om Dominos tilnærming til kundenes personvern, og bygger på at innsamlingen av stemmeavtrykk er i strid med Illinois Biometric Information Privacy Act (BIPA). Søksmålet kan som vanlig resultere i økonomiske sanksjoner og tapt omdømme, og illustrerer på sedvanlig vis viktigheten ved etterlevelsen av personvernregelverket i situasjoner der selskaper tar i bruk ny teknologi i takt med den teknologiske utviklingen. Til deg som implementerer nye AI-baserte verktøy i bedriften – følg med på personvernregelverkets krav til informasjon og samtykke!

Världen: Pizzeria stäms för att ha samlat in röstavtryck med AI-system för telefonbeställningar

---

Statsminister i falsk pornovideo

Italias Statsminister Giorgia Meloni krever 100 000 euro i erstatning for opplastning av videoer med falskt pornografisk innhold.

Den teknologiske utviklingen byr også på utfordringer som går utenfor de mer typiske regulatoriske problemstillingene innen personvern og AI. Ifølge den italienske statsministeren ble det i 2022 produsert og lastet opp flere falske pornografiske videoer på internett der den italienske statsministerens ansikt ble lagt over en annens kropp – såkalt deepfake. Videoene har blant annet skapt utbredt bekymring for bruken av slike deepfakes i italiensk politikk og andre steder, knyttet til produksjon av propaganda og desinformasjon. Bruk av videoene viser også hvor enkelt det er å lage og dele deepfakes på en måte som krenker enkeltpersoners privatliv, skader omdømme og forårsaker følelsesmessig skade.

Politiet har uttalt at de gjennom sporing av mobilenhetene som ble brukt til å legge ut videoene har identifisert en 40 år gammel mann og hans 73 år gamle far som gjerningsmenn, og Meloni skal vitne mot disse for en domstol på Sardinia 2. juli 2024. Dersom Melonis krav om erstatning på 100 000 Euro vinner frem, vil hun donere pengene til et fond som støtter kvinner som har vært utsatt for vold fra menn. Det er lov å mene at deepfakes er ganske skummelt og at det er fint at AI Act regulerer dette hardt.

Italien: Italiens premiärminister kräver 100 000 euro i skadestånd för AI-genererade porrvideor

---

Det danske datatilsynet tillater – overraskende nok – ansiktsgjenkjenning

For fire og et halvt år siden fikk den danske fotballklubben Brøndby IF, som den første private aktøren i Danmark, tillatelse fra det danske datatilsynet til å bruke automatisk ansiktsgjenkjenning for identifikasjon av utestengte tilskuere. De fire siste sesongene har tilskuere blitt filmet og sammenlignet ved hjelp av Brøndby Stadions ansiktsgjenkjenningsteknologi – alt for å identifisere og fange opp fans som har fått karantene og som ikke skal slippes inn på stadion. Et system for ansiktsgjenkjenning vurderes nå på nasjonalt nivå av den danske divisjonsforeningen, som er i ferd med å utarbeide regler og rammeverk for bruk av teknologien på nasjonalt nivå. Til tross for at bruk av teknologien har gitt gode resultater for Brøndby IF, ble lanseringen av systemet i 2019 – som i stadig økende grad også ellers i personvernverden – møtt med skepsis i Danmark. Lederen i IT-politisk forening, Jesper Lund, uttalte tilbake i tid at ansiktsgjenkjenning er “den mest inngripende overvåkningsteknologien som finnes”, og at han håpet at “det blir protester og at fotballfans som går på Brøndbys kamper, sender klager til Datatilsynet på denne behandlingen av personopplysninger”. Til tross for slik skepsis, informerer det danske datatilsynet at de ikke har mottatt noen klager på Brøndby Ifs bruk av ansiktsgjenkjenning. Det er på mange måter overraskende at det danske tilsynet har tillatt ansiktsgjenkjenning, men det illustrerer en interessant holdning: De potensielle fordelene ved å bruke slik teknologi kan være så store at også inngripende tiltak etter en totalvurdering kan være akseptabelt. https://www.digi.no/artikler/fotballklubb-bruker-ansiktsgjenkjenning-for-a-stoppe-utestengte-fans/545113

---

Studie viser (overraskende) skadelige fabrikasjoner i OpenAI’s tale-til-tekst algoritme

Tendensen til at chatboter drevet av kunstig intelligens av og til finner på ting, eller hallusinerer, er etter hvert godt dokumentert. Nå har en ny studie fra Cornell University funnet at også AI-modeller for transkribering kan hallusinere. Det er kanskje ikke overraskende, men konsekvensene kan bli store.  

OpenAI’s Whisper, en AI-modell som er trent til å transkribere lyd til tekst, fant ifølge en ny studie opp 1.4% av den lyddataen som ble testet. I tillegg inneholdt en stor del (rundt 40%) av de konstruerte setningene støtende eller potensielt skadelig innhold, bl.a. knyttet til vold, seksuelle forhold og demografiske stereotyper. Dette er spesielt uheldig der transkripsjonsverktøy brukes av f. eks. leger eller annet helsepersonell til å skrive pasientnotater eller journaler. Utfordringene ved bruk av AI-basert transkripsjonsverktøy blir enda større der brukeren av disse tar det for gitt at verktøyet transkriberer det som rent faktisk blir sagt.

Det faktum at transkripsjonsverktøy kan hallusinere, gir et sterkt insentiv til å behandle slike verktøy med forsiktighet, særlig i tilfeller der riktigheten av den teksten som genereres er av stor betydning for individet som teksten angår.

https://www.science.org/content/article/ai-transcription-tools-hallucinate-too

---

Man må ha lovlig treningsdata for utvikling av AI-modeller

I kjølvannet av et nytt søksmål mot Amazon i California, oppstår igjen problemstillinger knyttet til bruk av opphavsrettslig beskyttet materiale ved trening av AI-modeller. I søksmålet påstår en tidligere ansatt i Amazon at selskapet, i forbindelse med OpenAI’s lansering av GPT-4, var så desperate etter å holde tritt med konkurransen innen generativ kunstig intelligens at selskapet var villig til å bryte opphavsrettslige regler ved utvikling og trening av sine AI-modeller.

Påstanden fremsettes i en sak der en tidligere ansatt AI-forsker ble degradert og deretter avskjediget, etter at Amazon oppdaget av vedkommende var gravid. I tillegg til påstander knyttet til urettmessig og diskriminerende oppsigelse, påstår kvinnen at hun ble sagt opp fordi hun klaget da Amazon angivelig brøt sine egne regler for bruk av opphavsrettslig beskyttet materiale i forbindelse med AI-utvikling. I søksmålet påstås at representanter fra øverste juridiske hold i Amazon ba kvinnen om å ignorere Amazons brudd på egne, internt utarbeidede regler for opphavsrett, og at instruksen ble begrunnet i at alle andre store aktører gjorde det samme.

Søksmålet illustrerer at opphavsrettslige spørsmål knyttet til utvikling og trening av språkmodeller stadig er et høyst relevant tema.

https://www.theregister.com/2024/04/22/ghaderi_v_amazon

---

PERSONVERN

Nye klageskjema for overføringer til USA

Da EU-Kommisjonen i fjor besluttet at man kan trygt overføre personopplysninger til selskaper i USA som er registrert under DPF, var en forutsetning at privatpersoner skal kunne klage hvis man mener at vilkårene ikke er oppfylt. Det er mange steder en slik klage kan rettes, men nå har EDPB laget et skjema for klage til lokalt datatilsyn på at mottaker i USA ikke overholder de mange kravene i DPF. Det er et eget skjema man kan bruke hvis man mener at amerikansk etterretningstjeneste ikke behandler opplysninger korrekt. Det danske Datatilsynet har gjort skjemaene tilgjengelig her

https://www.datatilsynet.dk/internationalt/internationalt-nyt/2024/apr/nye-klageformularer-vedroerende-overfoersler-til-usa

---

CJEU med ny avgjørelse knyttet til bruk av fingeravtrykk på europeiske identitetskort

EU-domstolen avsa nylig en avgjørelse som aktualiserer skjæringspunktet mellom EU-forordningen om identitetskort og grunnleggende rettigheter til respekt for privatliv. Bakgrunnen for saken var at en tysk statsborger hadde klaget kommunens avslag om å utstede et identitetskort uten fingeravtrykk inn for EU-domstolen, under henvisning til at kommunens avslag var i strid med grunnleggende rettigheter til respekt for privatliv. EU-domstolen erkjente at EU-forordningen om identitetskort, som krever lagring av fingeravtrykk på kortet, bl.a. begrenser retten til beskyttelse av personopplysninger. EU-domstolen fant imidlertid at formålene som ligger til grunn for lagring av fingeravtrykk er forsvarlige og legitime, og at disse formålene måtte gis forrang i den konkrete saken.

Et av de legitime formålene som ble fremholdt av EU-domstolen, var bl.a. at bruk av et pålitelig identifikasjonssystem fremmer borgernes rett til fri bevegelse og opphold i EU og at bruk av fingeravtrykk bidrar til å bekjempe produksjonen av falske identitetskort.  Saken illustrerer at personvernhensynet stadig veies opp mot andre legitime hensyn, og at dataminimering (gjennom andre, mindre personverninngripende tiltak) ikke alltid er tilstrekkelig for å ivareta andre, legitime formål som griper inn i enkeltindividers personvern.

https://www.lexology.com/library/detail.aspx?g=92561619-bf99-45ed-89e0-8c29bd879572

(Krever innlogging)

---

Ny avgjørelse fra det portugisiske datatilsynet knyttet til Worldcoins lagring av biometriske data

Det portugisiske datatilsynet (CNDP) har nylig pålagt selskapet Worldcoin, som oppfordrer kunder til ansiktsskanning i bytte mot digital ID og gratis kryptovaluta, om å slutte med all lagring av biometriske data i 90 dager. CNDP er gjort kjent med at mer enn 300.000 personer i Portugal har gitt Worldcoin biometriske data bl.a. i form av iris-skanning og de har fått flere klager om uautorisert samling av personopplysninger fra mindreårige, mangelfull informasjon og mangel på individenes mulighet til å slette data og trekke samtykke. Worldcoin har på sin side uttalt at de sikter på å bygge en identitet og et finansielt nettverk, og at behandlingen av biometriske data er nødvendig for at folk skal kunne bevise at de er mennesker i en verden dominert av kunstig intelligens.

Worldcoin er foreløpig under etterforskning i flere land, og har mottatt kritikk fra personvernkjennere knyttet til samling og lagring av personopplysninger. Det spanske datatilsynet har gitt Worldcoin en tre-måneders suspensjon etter å ha mottatt tilsvarende klager. Saken illustrerer flere kjente personvernrettslige problemstillinger, og det blir spennende å se hvordan personvernmyndighetene behandler saken – særlig knyttet Worldcoins angivelig mangelfulle informasjon om behandlingen av biometriske data. Avgjørelsen kan potensielt gi store konsekvenser både for datasubjektet og Worldcoin.

https://www.reuters.com/markets/currencies/sam-altmans-worldcoin-ordered-stop-data-collection-portugal-2024-03-26

---

Det finske datatilsynet  ny avgjørelse knyttet til bruk av personnummer i SMS’er til pasienter

Det finske datatilsynet avsa nylig avgjørelse mot en behandlingsansvarlig for å ha sendt testresultater til sine pasienter på SMS, med pasientens personnummer inkludert i meldingen. I sin respons på datatilsynets forespørsel om forklaring på formålet med å inkludere personnummer i tekstmeldinger til pasienter, uttalte den behandlingsansvarlige at bruken av personnummer sikret at pasientens informasjon ikke ved uhell ble delt til andre personer med samme navn. Den behandlingsansvarlige fremholdte videre at i en tjeneste der pasientens personnummer ble sendt som tekstmelding til pasientens egen mobiltelefon, må risikoen knyttet til behandling av personnummer anses som lav.

Til tross for at datatilsynet var enige i at artikkel 87 i personvernforordningen sier at medlemslandene kan fastsette spesifikke vilkår for behandling av personnummer, la datatilsynet vekt på at personnummeret er en unik og permanent identifikasjonsfaktor, og at tredjepartstilgang til slike opplysninger kan påføre datasubjektet omfattende skade i form av bl.a. identitetstyveri.

På denne bakgrunn kom det finske datatilsynet til at nummeret ikke skulle brukes i SMS’er til pasienter. Med norske øyne må en slik behandling av personnummer anses som oppsiktsvekkende. Jeg tror ikke mange ville gjøre det samme her.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/29/2020&mtc=today

---

Rett til innsyn i alle dokumenter som inneholder personopplysninger

Den administrative domstolen i Berlin har behandlet en sak om den registrertes rett til å kreve tilgang til og kopi av alle personopplysninger som den behandlingsansvarlige behandler om den registrerte. Den registrerte krevet en kopi av alle dokumenter som inneholder personopplysninger. Den behandlingsansvarlige ga den registrerte tilgang til generell informasjon om hvilke typer personopplysninger selskapet hadde i sitt IT-system – såkalte “master data”. Behandlingsansvarlig hevdet at forespørselen ville innebære en uproporsjonal innsats og dermed var urimelig – som følge av at dette medførte en gjennomgang av over 5000 sider – og at forespørselen om kopi av alle dokumenter innebar misbruk av den registrertes rettigheter.

Domstolen fremholdt at formålet bak innsynsretten etter GDPR artikkel 15 bl.a. er at den registrerte skal kunne ettergå lovligheten ved behandlingen av personopplysninger. Basert på viktigheten av dette formålet, kom retten til at den behandlingsansvarlige bare kan motsette seg plikten til å gi slikt innsyn på grunnlag av uproporsjonalt stor innsats i strengt begrensede tilfeller. Som følge av at den registrertes krav om innsyn var begrunnet i ønsket om å forstå hvordan og med hvilke tredjeparter behandlingsansvarlige delte personopplysninger, kom retten til at behandlingsansvarlige måtte gi den registrerte kopi av alle personopplysninger, og at den registrertes forespørsel ikke innebar misbruk av rettigheter etter personvernforordningen.

Saken er en ytterligere påminnelse om hvor sterkt innsynsretten står og at denne bare helt unntaksvis kan begrenses.

https://gdprhub.eu/index.php?title=VG_Berlin_-_1_K_187/21&mtc=today

---

Rett til innsyn i møtereferat der en forening (behandlingsansvarlig) diskuterte den registrerte.

En forening (behandlingsansvarlig) på Island hadde holdt et møte der det bl.a. ble diskutert en klage fra den registrerte knyttet til mobbing og vold på arbeidsplassen. Den registrerte ba om innsyn i møtereferatet. Som følge av foreningens avslag om innsyn, klagde den registrerte foreningen inn til det islandske datatilsynet. Datatilsynet kom til at GDPR artikkel 15 oppstiller en rett for den registrerte til å få tilgang til informasjon fra møter der den registrerte blir diskutert, i tillegg informasjon om til navnene på de som deltok på møtet. Datatilsynet understrekte imidlertid at andre datasubjekters interesser også må beskyttes, og at den registrerte derfor ikke kunne få tilgang til møtereferatet i sin helhet.

Et interessant spørsmål her er hvorvidt resultatet av klagen ville blitt annerledes i Norge, som følge av unntaksbestemmelsen for interne dokumenter i personopplysningsloven § 16 bokstav e – og det er uansett interessant at det ser ut å være ulik praksis på dette innenfor EØS.

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2021122345&mtc=today

---

Omstendigheter teller ved vurderingen av hva som er akseptabel bruk av personopplysninger

Det spanske datatilsynet (AEPD) har tatt stilling til om et medisinsk senters (behandlingsansvarlig) bruk av et apparat for temperaturmåling av pasienter i resepsjons- og venteområde utgjorde akseptabel bruk av personopplysninger. Som følge av at bruk av apparatet for temperaturmåling i disse områdene innebar at temperaturdata kunne bli sett av tredjeparter som oppholdte seg i venterommene, kom det spanske datatilsynet til at behandlingsansvarlig manglet tilstrekkelige tiltak for å beskytte personopplysningene mot observasjon fra tredjeparter.

Behandlingsansvarlig ble idømt en bot på 30,000 euro som følge av brudd på prinsippene om sikkerhet og konfidensialitet i GDPR artikkel 5 og 32.

Det er nok noen mottaksrom og venterom innenfor helsesektoren som har en utfordring her. Selv om man ikke tar temperaturen på folk i offentlighet er det mange steder pasienter må forklare årsak til hvorfor de er møtt opp.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202309&mtc=today

---

EU-parlamentet stemmer for å styrke håndhevelsen av GDPR

Medlemmene av Europaparlamentet stemte onsdag 10. april om endringer for å styrke håndhevelsen av GDPR – og andre oppfordret til ytterligere forbedringer av personvernforordningen. Endringene i reglene om håndhevelse tar sikte på å styrke klagers rettigheter og å adressere prosedyremessige utfordringer i reglene. Endringene innebærer bl.a. en endring av tilsynsmyndighetenes rolle, og fjerner enkelte forpliktelser knyttet til deling av foreløpige funn (preliminary findings). En vesentlig endring åpner for at nasjonale tilsynsmyndigheter kan be om hastebindende avgjørelser fra EDPB i prosessuelle tvister, og dersom en ledende tilsynsmyndighet ikke kan overholde en frist på grunn av komplekse undersøkelser, kan det bes om en forlengelse på inntil ni måneder. I tillegg kan tilsynsmyndighetene nå be om ex officio-undersøkelser når de mistenker et potensielt GDPR-brudd som påvirker registrerte. Slike ex officio-undersøkelser gjør det mulig for tilsynsmyndighetene å selvstendig sette i gang undersøkelser av mistenkt ulovlig behandling av personopplysninger, uavhengig av klager fra datasubjekter. Endringene introduseres imidlertid ikke uten motbør, og relevante innsigelser kan leses i linken nedenfor. Uansett virker det klart at endringene vil medføre større fokus og tettere oppfølging av personvernregelverket.

https://www.euractiv.com/section/data-privacy/news/eu-parliament-votes-to-strengthen-gdpr-enforcement/

---

USA kan endelig få en føderal personvernlov som konkurrerer med Europas GDPR

Det er iverksatt arbeid med en ny, omfattende personvernlov i USA som skal gi langt videre beskyttelse en reglene for medisinske data og barnedata som gjelder i dag. Lovforslaget, som formelt sett skal introduseres i slutten av april, kalles American Privacy Rights Act eller APRA. Det foreløpige regelverket ser angivelig likt ut som det europeiske regelverket i GDPR, og vil bl.a. gi amerikanske datasubjekter mulighet til å velge bort målrettet annonsering og å minimere de personopplysningene selskaper behandler om dem. I tillegg legger forslaget opp til at datasubjektene skal kunne be behandlingsansvarlig om tilgang til de personopplysningene som behandles, kreve at personopplysninger korrigeres eller slettes, og kreve en nedlastbar versjon av data som selskapene besitter. Forslaget legger også opp til at selskaper ikke skal kunne dele sensitive personopplysninger uten datasubjektets uttrykkelige samtykke. Selv om mange av disse rettighetene allerede er tilgjengelige for mange amerikanere i enkelte delstater, vil det nye regelverket kunne bidra til en styrking og harmonisering av personvernregelverket over hele USA. Det blir imidlertid meget interessant å se hvordan regelverket vil se ut når det først blir implementert, etter det som sannsynligvis vil bli en omfattende politisk prosess. https://fortune.com/2024/04/08/apra-us-federal-privacy-law-rodgers-cantwell-gdpr-ai/

---

Prinsipielt viktig sak om datatilsynenes aktivitetsplikt

Datatilsynet i Hessen, Tyskland (HBDI) har avgjort en sak knyttet til datatilsynets aktivitetsplikt. Saken var foranlediget av at en behandlingsansvarlig gjorde HBDI oppmerksom på et databrudd: En av behandlingsansvarliges ansatte hadde ulovlig fått tilgang til personopplysninger om behandlingsansvarliges kunder.

Etter at HBDI hadde informert den registrerte om at ingen tiltak ble iverksatt mot behandlingsansvarlig, klagde den registrerte avgjørelsen inn for den administrative domstolen i Wiesbaden og ba om at HBDI skulle iverksette tiltak mot behandlingsansvarlig. Deretter refererte domstolen spørsmål til EU-domstolen om hvorvidt en tilsynsmyndighet som finner ut at personopplysninger har blitt behandlet i strid med den registrertes rettigheter, alltid må foreta handlinger i tråd med GDPR artikkel 58(2).

På prinsipielt grunnlag besvarte EU-domstolen spørsmålet bekreftende. Det ble konkludert med at når en tilsynsmyndighet blir oppmerksom på en behandling av personopplysninger som har krenket den registrertes rettigheter – må tilsynsmyndigheten iverksette tiltak under GDPR artikkel 58 (2) i den utstrekning dette er nødvendig for å sikre full etterlevelse av GDPR. Avgjørelsen er prinsipiell og høyst interessant, særlig sett i lys av at en så omfattende aktivitetsplikt for datatilsynene kan være vanskelig å etterleve i en stadig økende oppdragsmengde.

https://gdprhub.eu/index.php?title=CJEU_-_C-768/21_-_TR_v_Land_Hessen&mtc=today#English_Summary

---

Praktisk viktig sak om lagring av personopplysninger i rekrutteringssaker

Det finske datatilsynet har tatt stilling til et datasubjekts forespørsel om sletting av personopplysninger i forbindelse med en rekrutteringsprosess. Datatilsynet hadde blitt gjort oppmerksom på at et selskap (behandlingsansvarlig) hadde nektet å slette datasubjektets personopplysninger. Ved spørsmål fra datatilsynet om hvorfor behandlingsansvarlig nektet å slette personopplysningene, svarte selskapet at lagring av opplysningene var nødvendig for at selskapet skulle kunne forsvare seg selv mot potensielle klager om diskriminering i ansettelsesprosessen. Selskapets forklaring ble akseptert av datatilsynet.

Dermed kom det finske datatilsynet til at selskapet ikke behøvde å etterleve datasubjektets forespørsel om sletting, som følge av at lagring var nødvendig for at selskapet skulle kunne forsvare seg mot slike potensielle klager om diskriminering – som ifølge den finske straffeloven må fremsettes innen to år etter ansettelsesprosessen.

Det er ikke opplagt for meg at dette skulle bli resultatet, da det f eks tidligere har vært uttalt at et selskap ikke kan lagre kundeopplysninger for å håndtere senere reklamasjoner – men her tror jeg det er ulik praksis i ulike land.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_6652/154/19&mtc=today

---

Beslutning fra det irske datatilsynet i sak mot Airbnb

Vi har tidligere omtalt en sak mellom det irske datatilsynet og Airbnb. Saken handlet om behandlingsgrunnlag for Airbnbs krav om datasubjektets ID ved datasubjektets krav om sletting av personopplysninger.

Det irske datatilsynet har nå konkludert og kom til at Airbnb manglet behandlingsgrunnlag – og brøt plikten til dataminimering – da de fremsatte krav om datasubjektets ID i forbindelse med forespørselen om sletting. På denne bakgrunn ga det irske datatilsynet en irettesettelse mot Airbnb, uten at Airbnb ble ilagt bot.

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_January_2024&mtc=today

---

KOMMENDE MØTER

23. mai 14.00 – 17.00 Nettverksmøte i Oslo

22. august 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Siden sist har jeg vært i retten med en svært prinsipiell sak – Grindr-saken. Saken handler dels om hvordan man innhenter samtykker, men også om det er en særlig kategori personopplysning at noen har en bruker på Grindr-appen. Det siste er nok det mest interessante.

Grindr-appen har ca 20 ulike kategorier av seksuelle orienteringer og dersom en bruker velger en av dem, deles ikke dette med andre. Det er svært uklart begrunnet i vedtaket fra Personvernnemnda om hvorfor og hvordan det at man har en bruker på Grindr, er sensitivt slik det er definert i GDPR. Jeg skal ikke ta argumentene her, men dersom dommen fastholder at dette er en særlig kategori opplysning, vil det ha stor betydning. Ikke bare for Grindr, men for mange andre virksomheter som retter seg mot minoriteter. Det vil bli vanskeligere å drive virksomhet rettet mot minoriteter – både for at all aktivitet må baseres på samtykke og for at kravene til sikkerhet gjør alt dyrere.

Saken viser noe som blir stadig tydeligere – nemlig at personvern påvirker forretningsmodeller og det griper inn i hvordan virksomheter kan konkurrere. Jeg tror vi får flere rettssaker fremover. Sakene er blitt for viktige til at man kan la et forvaltningsvedtak stå uprøvd. Noe av det som vil bli prøvd fremover, er hvor mye vekt man kan legge på retningslinjer fra EDPB når tilblivelsen av disse ikke har samme omfattende forberedelse som vanlige lover.

I øvrig er det selvsagt mye som skjer. Fokuset på etterlevelse (compliance) hos de store dataleverandørene er økende, se eksempelvis saken om Microsoft nedenfor. Cookies og markedsføring må vi ha stadig mer oppmerksomhet på. Felles behandlingsansvar er i vinden – og merk dere at det også gjelder for avvik.

Hilsen Eva

---

COMPLIANCE

En prinsipielt viktig sak – er Microsoft compliant?

Flere vil huske at det nederlandske datatilsynet har gjort undersøkelser har undersøkt hvorvidt Microsofts tjenester er i overensstemmelse med GDPR. Flere vil også huske at EDPS har gjort tilsvarende undersøkelser for de MS-tjenester som brukes i kommisjonen. Større deler av disse undersøkelsene er gjort offentlig tilgjengelige. Noen av hovedfunnene er at europeiske myndigheter mener Microsoft tar på seg en for stor rolle i behandlingen av en del av de brukeropplysningene som genereres under bruk, ofte referert til som metadata.

EDPS skriver følgende i sin nye pressemelding:

The EDPS has found that the Commission has infringed several provisions of Regulation (EU) 2018/1725, the EU’s data protection law for EU institutions, bodies, offices and agencies (EUIs), including those on transfers of personal data outside the EU/European Economic Area (EEA). In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA. Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.

Dette er store ord. Men vi har jo hørt lignende fra myndigheter i mange år uten at det egentlig har skjedd store endringer. Det kan se ut som om dette endres nå. EDPS pålegger kommisjonen å rette disse forholdene innen 9. desember 2024, hvis ikke må kommisjonen “suspend all data flows resulting from its use of Microsoft 365 to Microsoft [..]”.

Det er vel grunn til å tro at Microsoft ønsker å beholde kommisjonen som kunde – og det er mulig å tro at dersom kommisjonen får til endringer, så kanskje de vil gjelde for flere. Det er i alle fall all grunn til å følge med på dette fremover.

Pressemeldingen fra EDPS kom en stund før påske og er tilgjengelig her:

https://www.edps.europa.eu/system/files/2024-03/EDPS-2024-05-European-Commission_s-use-of-M365-infringes-data-protection-rules-for-EU-institutions-and-bodies_EN.pdf

Her må man også se til hva det danske Datatilsynet gjør. I kjølvannet av den såkalte Chromebook-saken (overføring av personopplysninger til USA via Google), har de fått spørsmål fra Region Syddanmark om deres planlagte migrering til Microsoft 365. Det er neppe overraskende at tilsynet ser store fellestrekk mellom sakene. På et overordnet nivå må det være lov å si at det ofte brukes store ord fra tilsynsmyndighetene i disse sakene, men at det så langt er relativt sjelden at de strenge lovtolkningene håndheves.

Se uttalelse fra det danske tilsynet her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/chromebook-sagens-relevans-for-andre-organisationer-og-cloudservices

---

BØTER

Pass på hvilke data kundene dine kan se

CaixaBank fikk 5 millioner euro i bot som følge av et brudd på personvernregler i forbindelse med at en bankkunde kunne se overføringer gjort av en annen kunde. Boten er bestridt og CaixaBank har signalisert at de vil utfordre sanksjonen. Banken mener boten er uproporsjonal fordi det var en eksepsjonell omstendighet.

Etter hva jeg har funnet, omhandlet bruddet kun ett enkelt tilfelle der en kunde kunne se en annen kundes data knyttet til en overføring av penger. Vedkommende kunne se avsender og mottaker samt noe mer data knyttet til overføringen. Da er det mulig å forstå at banken mener sanksjonen er stor.

Saken er pt ikke offentliggjort på engelsk, men er omtalt her:

https://www.dataguidance.com/news/spain-aepd-fines-caixabank-5m-inadequate-security

Meld avvik i tide – og samarbeid med tilsynet

Den 24. april 2023 meldte et selskap avvik til det østerrikske datatilsynet. Den 6. mars var de utsatt for et ransomware-angrep og data ble kryptert. Det var uklart om data var stjålet, men lønnsinformasjon om 55 ansatte ble berørt. Det ble iverksatt tiltak for å avhjelpe datainnbruddet, inkludert å koble hele nettverket fra internett, reinstallere og sikre systemer, samt sikkert slette krypterte harddisker.

Tilsynet startet undersøkelser, men fikk mangelfull respons fra virksomheten. Dels svarte de ikke, dels gjentok de bare den første avviksmeldingen. Dette endte med at de fikk 5 900 euro i bot. Jeg tror egentlig ikke at mange norske virksomheter ville oppført seg slik, men det er et økt fokus på å melde avvik i tide og på å samarbeide med tilsynet.

Les om saken her:

https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.603.142&mtc=today

Nettbutikker og kundedata

Det finske datatilsynet har kommet med sin hittil største bot. Verkkokaupa, som er en stor nettbutikk, fikk 856 000 euro i bot i mars, tett på ti millioner kroner. Årsaken var blant annet at de ikke hadde fastsatt lagringstid for kundedataene. De mente at det var nødvendig å beholde dataene lenge fordi en del av varene hadde lang bruksverdi og at det var nyttig å beholde opplysningene dersom kunden ville klage. Delvis argumenterte de med at det var parallellitet mellom kundeforholdets varighet og lagringstiden. Dels hevdet de at de slettet data knyttet til kunder som var inaktive – og definerte dette som kunder som ikke hadde vært innlogget på 6 år.

Ingen av disse argumentene ble hørt. Tilsynet er klare på at det må fastsettes oppbevaringstider. Dessuten hadde selskapet gjort det obligatorisk å opprette en kundekonto for å handle hos dem. Tilsynet mente, ikke overraskende, at det ikke er nødvendig å opprette en konto for å gjennomføre et kjøp.

I likhet med de fleste store personvernsaker, er den påklaget og er ikke endelig. Det er uansett grunn til å merke seg hva tilsynet har ment og justere egen praksis dersom den ikke er i tråd med dette. Jeg tror nok det er sannsynlig at tilsynets oppfatning her blir stående.

Saken er omtalt her:

https://tietosuoja.fi/en/-/administrative-fine-imposed-on-verkkokauppa.com-for-failing-to-define-storage-period-of-customer-data-requiring-customers-to-register-was-also-illegal

Italias største bot så langt

Det italienske datatilsynet (Garante) har ilagt energiselskapet Enel Energia SpA en bot på 79 000 000 euro for ulovlig reklame.

Enel samlet inn lister med potensielle kunder fra fire andre selskaper og dette gjaldt adresser, telefonnumre, kundens bostedskommune, og kundens energileverandør.

Garante understreket blant annet at Enel Energia brøt GDPR ved å unnlate å utføre en tilstrekkelig risikovurdering av sitt kundesystem (CRM). I tillegg sikret de ikke at andre selskaper, som skaffet dem nye kontrakter, overholdt regelverket. Dette omfattet også at de nødvendige databehandleravtaler ikke hadde tilstrekkelig innhold.

På samme måte som Federal Trade Commission i USA (FTC) ofte pålegger selskaper å informere (se sak lenger nede i nyhetsbrevet), er Enel Energia pålagt å informere berørte individer om utfallet av saken og en rekke andre tiltak som skal bedre personvernet.

Hørte jeg noen si at de jobber med leverandørrevisjon?

Saken er omtalt mange steder, blant annet her:

https://www.dataguidance.com/news/italy-garante-fines-enel-energia-7910m-gdpr-violations

---

COOKIES

Cookies og samtykke

Saken er ikke helt ny, men fra slutten av fjoråret. Det franske datatilsynet bøtela Yahoo med ikke mindre enn 10 000 000 euro for ikke å ha samtykker til cookies på plass. CNIL vektla også at dersom en bruker ville trekke tilbake samtykket til cookies, ville vedkommende miste tilgangen til eposten. Det er igjen interessant å merke seg at one-stop-shop-mekanismen i GDPR her ikke får anvendelse fordi tilsynsmyndighetene viser til nasjonale ekom-regler.

Enn så lenge har disse tingene ikke vært i fokus i Norge, men vi får antakelig nye cookieregler om kort tid og da er det all grunn til å være varsom med hvordan cookies og trackere brukes.

Se saken omtalt på disse stedene:

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros

https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-024&mtc=today

Mer om cookies fra det danske datatilsynet

I 2023 behandlet det danske Datatilsynet to saker om GulogGratis og JFM’s bruk av cookies for utarbeidelse av statistikk. Datatilsynet mente at utarbeidelse av statistikk ikke var en nødvendig del av tjenestetilbudet til virksomhetene. Virksomhetene har senere bedt om gjenopptakelse av sakene, og slik jeg forstår det er det argumentert med at de trenger statistikk for å kunne fortelle annonsører om det er relevant å kjøpe bannerannonser på hjemmesidene. Datatilsynet synes å mene at dette er et markedsføringsformål, som er noe annet enn ren statistikk. Hva som er statistikk og for hvilke formål, er ikke alltid enkelt. Likevel er det å forvente mer fokus på dette fra mange tilsyn fremover.

Sakene er omtalt her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/mar/cookie-walls-statistik-var-ikke-en-noedvendig-del-af-alternativet-til-adgang-mod-betaling

---

TILSYN

Svar når (hvis) tilsynet spør!

I 2023 gjennomførte EDPB som kjent en koordinert undersøkelse av personvernombudenes stilling. Hellas deltok også og sendte ut spørreskjema til 31 ombud i offentlig sektor. Ett ombud svarte ikke. Det greske tilsynet sendte deretter spørreskjemaet på nytt, men ombudet svarte fremdeles ikke. Etter utløp av fristen forsøkte vedkommende å svare på undersøkelsen, men da var lenken deaktivert av tilsynet. Etter at ombudet kontaktet tilsynet, ble lenken reaktivert, men ombudet svarte igjen ikke i tide. Ombudet hevdet at årsaken til den forsinkede responsen var tekniske problemer med nettstedet der spørreskjemaet var plassert, som hindret innlevering selv etter flere forsøk. Tilsynet var ikke enig i dette og ila selskapet en bot på 5 000 euro.

Nytt koordinert tilsyn fra EU

Etter at EDPB i 2022-2023 har gjennomført tilsyn med personvernombudenes rolle, er det nå i 2024 fokus på hvordan virksomheter ivaretar de registrertes rett til innsyn.

Personlig tror jeg dette varierer ganske mye. Samtidig er det helt grunnleggende personvern at dette ivaretas på en god måte. Kan vi ikke  spørre og få svar på hvordan våre personopplysninger faktisk brukes, er det vanskelig å håndheve noen rettigheter overhodet. Arbeider du i en virksomhet som får spørsmål om dette – sørg for å svare i tide.

Du kan lese mer om dette her:

https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en

---

GDPR OG ANSATTE

BYOD og 2-faktor 

Fra Spania er det kommet en litt spesiell sak der en arbeidsgiver ikke kunne be om de ansattes private  mobiltelefonnummer for å sikre bruk av 2-faktor autentisering ved bruk av hjemmekontor.  Det synes som om saken har bakgrunn i at arbeidsgiver ikke har stillet mobiltelefon til rådighet for arbeidstakere, men basert seg på bruk av privat mobiltelefon.

I Norge vil de fleste arbeidsgivere stille mobiltelefon til rådighet og problemstillingen blir neppe aktuell. Men det er interessant at det settes så strenge grenser rundt hva en arbeidsgiver kan be om.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=AN_-_SAN_487/2024&mtc=today

---

FELLES BEHANDLINGSANSVAR

Mer om reklame, TCF og felles behandlingsansvar

Mange av dere har hørt meg (og andre) snakke om IABs Transparency Consent Framework de siste to årene. Det er et rammeverk som er meget relevant for digital markedsføring. Spesielt er det viktig for de som er publisister (aviser, mediehus) – og for de som bruker deres forbrukerflater som annonseplattform.  

Forrige måned kom ECJ med en ny avgjørelse om IAB og TCF. Avgjørelsen er sammensatt og komplisert, men den slår blant annet fast at informasjonsstrengen som viser at en forbruker har samtykket til et bestemt formål, er personopplysninger. Det er kanskje ikke så overraskende. Men dommen sier også at organisasjonen IAB Europe er felles behandlingsansvarlig med virksomheten som bruker rammeverket. Det betyr at det må inngås spesielle avtaler som angir hvilken aktør som har ansvar for hva.

Avgjørelsen finner du her:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240044en.pdf

Den er også omtalt mange steder, blant annet her (omfattende artikkel):

Case C-479/22 P, Case C-604/22 and the limitation of the relative approach of the definition of ‘personal data’ by the ECJ.

og her (kortere artikkel):

https://www.lexology.com/library/detail.aspx?g=d2c61d5c-daa2-446d-ba68-5626733af097

Enda mer felles behandlingsansvar – denne gangen for brudd

I en alvorlig sak fra Slovakia om drap på en journalist og hans forlovede, ble det gjort omfattende undersøkelser. Blant annet ble flere mobiltelefoner, som tilhørte en mistenkt, undersøkt. Undersøkelsene ble dels gjort av Europol, dels av slovakisk kriminaletterforskning. Meldingene på telefonene var sendt via krypterte tjenester, men Europol hadde klart å dekryptere (deler av) materialet. De sendte materialet til kriminaletterforskningen i Slovakia.

Senere publiserte media innhold fra mistenktes meldinger, blant annet intim kommunikasjon mellom vedkommende og hans kjæreste. Den mistenkte klaget til Europol på at informasjonen ble offentlig og krevde 100 000 euro som kompensasjon. Halvparten av beløpet krevde han fordi han mente at han urettmessig var blitt hevdet å ha tilhørt en “mafialiste”, den andre halvparten fordi intim samtale med kjæresten var blitt offentlig.  Europol bestred at de hadde noe ansvar og mente at de ikke var felles behandlingsansvarlig med Slovakia.

EU-domstolen fastslo at det ikke er nødvendig å bestemme hvilken av disse to enhetene – Europol eller medlemsstaten – som var årsak til avviket. For at solidaransvar skal kunne oppstå, må den enkelte som er berørt kun vise at det i forbindelse med samarbeidet mellom Europol og den aktuelle medlemsstaten, er blitt utført ulovlig databehandling som har forårsaket skade for vedkommende. Denne uttalelsen er, etter min oppfatning, viktig. Det betyr at flere parter risikerer ansvar for skade som skjer hos en annen.

Angående lekkasjen av den såkalte ‘mafialisten’, fant EU-domstolen at den registrerte ikke hadde klart å vise at ‘mafialistene’ der hans navn angivelig var inkludert, var blitt utarbeidet og oppbevart av Europol. Erstatningen for å ha blitt angitt å stå på ‘mafialisten’ ble derfor ikke vurdert nærmere.

Europol ble ikke hørt med at de hadde implementert passende tekniske og organisatoriske tiltak for å beskytte personopplysninger. Domstolen bemerket at data av en slik intim karakter viser behovet for at beskyttelsen må sikres strengt. Siden det fant sted en uautorisert tilgang, utgjorde dette et tilstrekkelig alvorlig brudd. Uten at jeg har lest originalteksten på dette, fremstår dette som en ganske streng tolkning.

Dertil fastslo domstolen at Den europeiske union kan pådra seg ansvar, som følge av offentliggjøringen av den registrertes intime samtaler.

Resultatet var at Europol og den slovakiske republikken er solidarisk ansvarlige for den ulovlige databehandlingen som forårsaket at den registrerte led ikke-materiell skade.

Hva gjelder utmålingen, la domstolen vekt på at det kun var offentliggjort transkripsjoner av samtalen og ingen fotografier. For dette fikk vedkommende 2 000 euro i erstatning. Beløpet er ikke høyt.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91755/21_P_-_Ko%C4%8Dner_v_Europol&mtc=today

---

BEHANDLING AV PERSONOPPLYSNINGER

Er muntlig informasjon behandling av personopplysninger?

ECJ avsa i mars dom i saken Endemol Shine (Sak C-740/22), som handlet om en muntlig utlevering av informasjon kunne anses som behandling av personopplysninger. Saken oppsto etter en muntlig forespørsel fra Endemol Shine til en finsk domstol om muntlig informasjon om strafferettslige prosesser mot en person involvert i en konkurranse Endemol Shine hadde. Domstolen nektet å utlevere informasjonen, og mente den ikke hadde grunnlag for å gjennomføre et søk etter den informasjonen i sine systemer. Endemol Shine klaget på saken. Ankedomstolen spurte ECJ om (1) om en muntlige overføring av personopplysninger skal betraktes som databehandling; og (2) om data relatert til strafferettslig domfellelse av en fysisk person kan utleveres muntlig til hvilken som helst person med formål om å sikre offentlig tilgang til offisielle dokumenter.ECJ mente at begrepet “behandling” under GDPR skal tolkes bredt og inkluderer muntlig utlevering. De skrev at “muligheten for å omgå anvendelsen av [GDPR] ved å utlevere personopplysninger muntlig i stedet for skriftlig være åpenbart uforenlig med [dens mål].”Samtidig sier de at en muntlig utleveringen av personopplysninger fortsatt kan falle utenfor GDPR’s omfang når behandlingen er manuell og dataene som behandles ikke utgjør en del av et arkivsystem. Imidlertid mener CJEU at dette ikke gjelder for Endemol Shine-saken, ettersom personopplysningene som ble etterspurt av selskapet  står i et domstolsregister som er et arkivsystem.Hva gjelder forholdet mellom GDPR og retten til offentlig tilgang til offisielle dokumenter om strafferettslige domfellelser, anså CJEU at det ikke er forenlig med GDPR å utlevere dette til hvem som helst som ber om det, uten å kreve at vedkommende etablerer en spesifikk interesse.Saken er omtalt her: https://gdprhub.eu/index.php?title=CJEU_-_C-740/22_-_Endemol_Shine_Finland_Oy USA fatter vedtak med betydning for Europa

FTC, the Federal Trade Commission, fatter hovedsaklig vedtak mot amerikanske selskaper. Men nå har de inngått forlik med et selskap med forbindelser til Tsjekkia.

Den 22. februar 2024 kunngjorde FTC at Avast Limited betaler 16,5 millioner dollar og FTC forbyr Avast å selge eller lisensiere personopplysninger til reklameformål. Dette er et resultat av anklager om at Avast og dets datterselskaper solgte slik informasjon til tredjeparter etter å ha lovet at produktene deres skulle beskytte forbrukerne mot sporingsaktiviteter på nettet.

Gjennom sitt tsjekkiske datterselskap, samlet de inn forbrukernes browserhistorikk, lagret dette på ubestemt tid og solgte det uten tilstrekkelig varsel og uten samtykke. FTC hevdet også at selskapet villedet brukere ved å hevde at programvaren ville beskytte forbrukernes personvern ved å blokkere tredjeparts sporing, og at all deling ville være i “anonym og aggregert form”. FTC hevdet at selskapet solgte dataene til over 100 tredjeparter.

Fremover skal Avast basere eventuelt salg av slike opplysninger på samtykke, de skal informere forbrukere hvis informasjon har blitt solgt og innføre et omfattende personvernprogram.

Saken er omtalt her:

https://www.huntonprivacyblog.com/2024/02/29/ftc-announces-16-5-million-settlement-against-uk-service-provider-and-ban-from-selling-browsing-data-for-advertising-purposes

---

KUNSTIG INTELLIGENS

Kunstig intelligens og stemmegjenkjenning

Bruk av lydopptak og KI kan generere mange ubehagelige situasjoner. Det er allerede kommet reportasjer om “fake calls” der man feilaktig blir lurt til å tro at et familiemedlem eller en sjef ber om en pengeoverføring. Det kommer til å gjøre noe med hvordan vi behandler lydopptak fremover. Et lite fransk selskap har som forretningside at stemmeopptak kan anonymiseres, eventuelt vannmerkes.

Vi kommer til å se mye ny teknologi fremover.

Les mere om KI og stemmebruk her:

https://techcrunch.com/2024/03/11/nijta-voice-privacy-ai/?guccounter=2&guce_referrer=aHR0cHM6Ly82ZTJ3eC5yLnNwMS1icmV2by5uZXQv&guce_referrer_sig=AQAAAECzoc0dNXQ0yhvhdBYrDkPJO9zY2u7JHYxZUfCJuPjljYqNgA-NdCatZk88oxQWLcWEZF9Spw6aLhO4z2lL59CSy32v8xRwu6UtnmM9WUdyzyfay3uqjX3ocT44m-TeeFMlYJqQKk-JRROe-_-wJ5V0rY0Pe2MxZ9kUqECeSK4q

---

PRIVATLIVETS FRED 😉

Til slutt – vil du at huset og nummerskiltet på bilen utenfor huset ditt skal være lett gjenkjennelig på Google maps?

Det er alltid morsomt å ta et streif for å skrive disse nyhetsbrevene. Jeg finner ofte mye spennende juss, men innimellom dukker det opp noe litt annet også.

Google maps er praktisk, men det er jo ikke sikkert at du vil at alle skal kunne se akkurat det som var utenfor ditt hus når google kjørte forbi. Eller hvem som sto i inngangspartiet. Her var det en artig liten artikkel om hvordan man kan få Google til å “blurre” bildet som er åpent for alle. Kanskje greit å sjekke hva Google maps har lagt ut av omgivelsene rundt ditt hus?

Les om hvordan du går frem her

https://www.cnet.com/tech/services-and-software/why-you-want-to-blur-your-home-on-google-maps-and-how-to-do-it

---

KOMMENDE MØTER

25. april12.00 – 13.00 Digital Drop in

23. mai14.00 – 17.00 Nettverksmøte i Oslo

22. august14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Ønsker dere alle en flott måned i mars – våren er endelig her!

Et stort og aktuelt tema på personvernscenen nå er EDPBs mening om Metas nye “pay or OK”-modell. Etter en avgjørelse fra ECJ i fjor, endret Meta hjemmelsgrunnlaget sitt for målrettet annonsering. Brukeren må nå samtykke til slik annonsering eller betale for å slippe.

Spørsmålet som da oppstår er: Kan Meta gjøre dette? Kan de kreve betaling? Alternativet ser ut å være at Meta tvinges til å tilby tjenester gratis og uten å kunne tjene penger på målrettet annonsering.

Eller kan man si at beløpet Meta krever er for høyt? Skal eventuelt store selskaper pålegges andre krav til gratis tjenester enn SMB-bedrifter? Eller skal man regulere hvilken pris de kan ta? Og – hva er i tilfelle et “stort selskap”? Det er en lang rekke spørsmål som oppstår her og de gjelder ikke bare Meta, men også for mange andre selskaper. 

Jeg tror disse spørsmålene er svært viktige og min primære bekymring er at EDPB bare har åtte uker, med en mulig forlengelse på seks uker, til å skrive sin mening. Denne tidslinjen er fastsatt av bestemte artikler i GDPR, men disse gir en skremmende kort tidsfrist for å håndtere grunnleggende spørsmål om hvordan bedrifter kan sikre at de finansierer sine tjenester.

Se saken kommentert her 

https://www.reuters.com/technology/eu-privacy-watchdogs-urged-oppose-metas-paid-ad-free-service-2024-02-16/

og her

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2024/datatilsynet-ber-edpb-om-formell-uttalelse-om-pay-or-okay/

På andre områder sirkulerer mye av fokuset i personvern- og teknologiområdet fortsatt rundt AI. Siste status for AI Act er beskrevet nedenfor. Det er også en interessant sak fra Danmark knyttet til mangel på tilsyn av databehandlere – sannsynligvis viktig for mange. Et annet interessant tilfelle er fortsettelsen av Google ChromeBook i Danmark – men med en ny vri. Det er ikke lenger den internasjonale overføringen og dokumentasjon som er i fokus, men kontrollering av data.

Som alltid – god lesning!

Hilsen Eva

---

KUNSTIG INTELLIGENS

Status for AI-ACT

Endelig har EUs medlemsland oppnådd enstemmig enighet om en lov om kunstig intelligens, og med det overvunnet siste øyeblikks frykt for at regelboken ville kvele europeisk innovasjon.

Etter å ha blitt enige om grunnleggende prinsipper før jul, men uten å ha en presis lovtekst å vise til, har vi nå endelig fått en samordnet lovtekst for den kommende AI Act. Teksten er fortsatt et utkast som stadig gjennomgår språklige tilpasninger. Lovteksten vil mest sannsynlig passere Rådet og Parlamentet i ukene eller månedene som kommer, og forventes å bli publisert i Official Journal i mai / juni. Etter å ha blitt publisert der vil noen av artiklene tre i kraft etter kun seks måneder – dette gjelder for forbudt AI. For generativ AI trer artiklene i kraft etter 12 måneder. For høyrisiko AI som definert i vedlegg III, trer artiklene i kraft etter 24 måneder. For høyrisiko AI som definert i vedlegg II, trer de i kraft etter 36 måneder. 

Noe som fanget min interesse, er at flere av artiklene i det nye utkastet er vesentlig forskjellig fra utkastene før jul. Blant de mer interessante endringene er at bøtene senkes. Ikke vesentlig, men betydelig. Jeg vil komme tilbake med en mer grundig analyse av den nye ordlyden. Fra det jeg hører, er det ikke forventet ytterligere endringer fremover, det er en språklig opprydding de gjør nå. Det nye utkastet er tilgjengelig på nett.

Se andres kommentarer på utkastet her 

https://iapp.org/news/a/a-view-from-brussels-all-eyes-on-eu-ai-act/

og her

https://www.politico.eu/article/eu-countries-strike-deal-ai-law-act-technology/

Italiensk datatilsyn sier at ChatGPT bryter personvernreglene

Det i talienske datatilsynet har gitt OpenAI beskjed om at chatbot-applikasjonen ChatGPT bryter personvernreglene. Tjenesten ble reaktivert etter at OpenAI adresserte og rettet opp tidligere bekymringer fra det italienske datatilsynet, blant annet knyttet til brukerens rett til å nekte samtykke til bruk av personopplysninger for trening av algoritmer. Uten å gi ytterligere detaljer, har det italienske datatilsynet nå konkludert med at visse elementer ved tjenesten indikerer ett eller flere mulige personvernbrudd. Vi vet per nå ikke hva disse elementene er.

Open AI har på sin side uttalt at de mener at praksisen er i tråd med EUs personvernregelverk, og har 30 dager på seg til å fremsette sine motargumenter. 

Italia var det første vesteuropeiske landet som bremset ChatGPT, hvis raske utvikling har tiltrukket seg oppmerksomhet fra lovgivere og regulatorer. Det er synd at ikke mer informasjon om denne saken er kjent, da lovligheten av AI-systemer er et spesielt hett tema. Men jeg er sikker på at vi vil vite mer om dette tilfellet om ikke så lenge.

Les mer her

https://www.reuters.com/technology/cybersecurity/italy-regulator-notifies-openai-privacy-breaches-chatgpt-2024-01-29/

Bruk av AI – er våre “søk” lagret?

Ikke skriv noe inn i Gemini, Googles familie av GenAI-apper, som er inkriminerende – eller som du ikke vil at noen andre skal se. I et støttedokument skisserer Google hvordan de samler inn data fra brukere av sine Gemini chatbot-apper for internett, Android og iOS. Google bemerker at brukere rutinemessig behandler samtaler med Gemini for å forbedre tjenesten. Disse samtalene lagres i opptil tre år sammen med “relaterte data”, som språkene og enhetene brukeren brukte og deres plassering. Brukeren kan imidlertid slå av Gemini Apps-aktivitet i Googles My Activity-dashbord, dette forhindrer fremtidige samtaler med Gemini fra å bli lagret i en Google-konto for gjennomgang. 

Men selv når Gemini Apps-aktivitet er slått av, vil Gemini-samtaler bli lagret på en Google-konto i opptil 72 timer for å “opprettholde sikkerheten til Gemini-apper og forbedre Gemini-apper.”

Googles GenAI-retningslinjer for datainnsamling og oppbevaring skiller seg ikke så mye fra konkurrentenes. OpenAI lagrer for eksempel alle chatter med ChatGPT i 30 dager uavhengig av om ChatGPTs samtalehistorikkfunksjon er slått av, bortsett fra i tilfeller der brukeren abonnerer på en “enterprise-level plan” med en tilpasset dataoppbevaringspolicy. Etter hvert som GenAI-verktøy sprer seg, blir virksomhetene stadig mer oppmerksomme på personvernrisikoen.

OpenAI, Microsoft, Amazon, Google og andre tilbyr GenAI-produkter rettet mot bedrifter som eksplisitt ikke beholder data i lengre tid, verken for modellopplæring eller andre formål. Men forbrukerne får – slik som ofte er tilfelle – den dårligste dealen. 

Les mer her

---

DATABEHANDLERE

Straff for manglende gjennomføring av leverandørtilsyn

Det danske datatilsynet har anmeldt en part for ikke å ha ført tilsyn med sine databehandlere.

Datatilsynets etterforskning av parten viste at de ikke hadde overvåket sine databehandlere. Det første tilsynet ble utført da Datatilsynet begynte sine undersøkelser. Datatilsynet fant at parten ikke opptrådte i samsvar med kravene til ansvarlighet. De understreket at det ikke hadde blitt ført tilsyn med databehandlerne over flere år og at behandlingen innebar et stort antall registrerte personer. I tillegg ble sensitive personopplysninger behandlet.

Tilsyn knyttet bruken av databehandlere har blitt stadig vanligere de siste årene. Slik var det ikke i 2018, men det er en naturlig utvikling.

I tillegg til politianmeldelse, ble det anbefalt en bot på ikke mindre enn DKK 1 500 000. Så vidt jeg vet, er dette den første avgjørelsen hvor en part blir bøtelagt for ikke å ha gjennomført tilsyn med sine databehandlere.

Har du i det hele tatt sendt noen spørsmål til prosessorene dine? Hvis ikke er det på tide å begynne med det. Det finnes maler for hvilke spørsmål man bør stille.

Les mer her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/privathospitalet-capio-as-indstilles-til-boede

---

GOOGLE OG DE DANSKE SKOLENE

Historien om Chromebooks i danske skoler var ikke over

Den 30. januar kom det danske datatilsynet opp med en oppsiktsvekkende beslutning om bruk av Google Chromebooks og Workspace for utdanning i skoler. Beslutningen konkluderer med at behandlingen av personopplysninger i visse deler av tjenestene er ulovlig, da det ikke finnes noe rettslig grunnlag i personvernforordningen og nasjonal lovgivning for delingen av informasjon med Google. Her kan det være grunn til å minne om at hvert enkelt ledd i en behandlingsaktivitet, og deling av opplysninger, må ha en hjemmel. Både utlevering av informasjon – og mottak av informasjon.

Derfor utstedte Datatilsynet et pålegg til 53 danske kommuner om å bringe behandlingen i tråd med reglene og sikre at alle personopplysninger som behandles i Googles tjenester har et tilstrekkelig rettslig grunnlag.

Kommunene oppgir i det innsendte materialet at det er en overføring av personopplysninger til Google som Google bruker til egne formål. Ikke for skolenes formål. Formålet for Google sies å være forbedring av deres tjenester og utvikling av nye tjenester. Poenget til datatilsynet er imidlertid at skolene må ha et rettslig grunnlag for å gi studentenes personopplysninger til Google for slike formål – og at de ikke kan se at slikt rettslig grunnlag foreligger. 

Dette er en situasjon som er svært vanlig, ikke bare for skoler. Man kan forestille seg nøyaktig den samme problemstillingen i ansettelsessituasjoner. Hva er det juridiske grunnlaget for at våre arbeidsgivere skal gi våre personopplysninger til leverandører av IT-tjenester?

Jeg tror vi vil se den samme diskusjonen på dette området om ikke lenge. Det snakkes om det nedover i Europa. Dette er også ganske parallelt med tidligere undersøkelser fra EDPS om hvordan Microsoft behandler informasjon om brukerne av deres produkter, noe jeg har adressert i dette nyhetsbrevet tidligere.

Det danske datatilsynet har beordret kommunene til å bringe behandlingen i tråd med reglene ved å sikre at det foreligger autorisasjon for all behandling som finner sted. Kommunene må overholde pålegget fra 1. august 2024, men må angi hvordan de skal innrette seg allerede 1. mars.

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Se også hvordan det norske Datatilsynet kommenterer saken, i lenken under. Det ser ut til at de tror den samme situasjonen kan gjelde i Norge, men at de ikke har gjennomført en nærmere vurdering av dette. Noe å tenke på for flere, her. https://www.personvernbloggen.no/2024/02/15/hva-betyr-den-danske-chromebook-saken-for-norge/

---

FORBRUKERE, INNSYN OG RETT TIL ENDRING

Straff for ulovlig å be om for mye informasjon

Vi har snakket om det mange ganger – du må være sikker på at du gir informasjon til riktig person, men du kan ikke be om mer identifiserende informasjon enn nødvendig.

Dette vises av en sak som behandles av datatilsynet i Hellas. De irettesatte en behandlingsansvarlig for ulovlig å spørre om en registrerts ID når de svarte på en tilgangsforespørsel, og for å ikke i tilstrekkelig grad informere brukerne om et databrudd. 

I denne saken ba en registrert om en kopi av sine personopplysninger i henhold til artikkel 15(3) GDPR etter å ha blitt informert av media om at den behandlingsansvarlige hadde hatt et databrudd. Den behandlingsansvarlige drev et nettsted. Den registrerte nektet for noensinne å ha opprette en konto på nettstedet og hevdet at noen andre måtte ha gjort dette ved hjelp av vedkommendes e-postadresse. 

Den behandlingsansvarlige svarte at de eneste dataene de behandlet var den registrertes IP-adresse og brukernavn som ble innhentet ved registrering, og at den registrerte måtte oppgi en ID for at den behandlingsansvarlige skulle kunne identifisere ham og gjennomføre tilgangsforespørselen. Den registrerte svarte at ID-en ikke var nødvendig fordi han brukte e-postadressen sin – og klaget til tilsynet. Nettstedet uttalte at de krevde en ID i forbindelse med tilgangsforespørsler for å kunne beskytte brukere mot uautoriserte utleveringer, og at dette er i tråd med punkt fortalepunkt 64 i GDPR.

Datatilsynet mente derimot at den behandlingsansvarlige handlet i strid med artikkel 5(1)(c) GDPR ved å samle inn ID-er utelukkende for å overholde de registrertes tilgangsforespørsler, fordi dette var overdrevent.

Det er ikke alltid lett å vurdere hvilket nivå av sikkerhet som kreves for utlevering av informasjon, men som en generell regel bør det være tilstrekkelig å bruke e-posten som den behandlingsansvarlige har tilgjengelig.

https://gdprhub.eu/index.php?title=Commissioner_(Cyprus)_-_11.17.001.010.007&mtc=today

Tekniske rammeverk ignoreres – Klarna AB

Det svenske datatilsynet (IMY) startet tilsyn med Klarna Bank AB («Klarna») på grunn av en klage fra en tysk statsborger. Klageren har et Klarna-kort og har bedt om korrigering av e-postadressen knyttet til kortet. Klarna sier at det ikke er teknisk mulig å endre e-postadressen knyttet til klagerens kort og at klager derfor må bestille et nytt kort for å få endret e-postadressen sin. Et nytt Klarna-kort vil imidlertid påvirke klagerens kredittverdighet og vedkommende ønsker ikke det. 

IMY skriver at saken viser at Klarna har behandlet personopplysninger i strid med artikkel 12.2 i GDPR ved ikke å ha lagt til rette for klagerens rett til retting – ved å ikke gjøre det mulig for klageren å endre sin e-postadresse. Å ikke korrigere e-postadresse, anses som et brudd på artikkel 16.

Her ser vi at IMY motsetter seg hvordan Klarna har satt opp sin interne logistikk. Jeg tror dette er en trend – at det å håndheve GDPR faktisk også innebærer innvendinger om hvordan bedrifter (og noen ganger forretningsmodeller) er satt opp. Ikke alle er positive til at myndighetene blander seg inn i slikt, men det er i noen tilfeller en naturlig konsekvens av hvordan GDPR fungerer.

https://www.imy.se/globalassets/dokument/beslut/2024/beslut-klarna-bank-imy-2023-8336.pdf

Personvern i biler 

En forbrukergruppe har funnet ut at «Tilkoblede tjenester»-funksjonen som er innebygd i nye Toyota-biler kan sende personopplysninger og kjøretøydata til tredjeparter. Hvis sjåførene fjerner komponenter som sender dataene, risikerer de at bilens garanti blir annullert.

Toyota har insistert på at det tar kundenes personvern «ekstremt alvorlig», men har erkjent at «Tilkoblede tjenester»-funksjonen bare kan deaktiveres, men ikke fjernes, fra bilene. Ellers kan sjåfører ugyldiggjøre garantien og gjøre Bluetooth og høyttalere ikke-funksjonelle. 

Det har blitt avdekket at Toyotas “Tilkoblede tjenester”-funksjon samler inn informasjon som kjøretøyets plassering, kjøredata, drivstoffnivåer og til og med telefonnumre og e-postadresser. Hvis du ikke melder deg av tjenesten, vil den samle inn og bruke person- og kjøretøydata for forskning, produktutvikling og dataanalyseformål. Tjenestene kan også under noen omstendigheter dele dataene med tredjeparter, for eksempel forsikringsselskaper.

Jeg tror at personvern i biler ennå ikke har fanget lovgivernes oppmerksomhet på ordentlig. Men med tanke på at lokasjonsdata får stor oppmersomhet i andre personvernspørsmål, tror jeg at dette vil komme ganske snart. 

https://www.theguardian.com/australia-news/2024/feb/08/toyota-cars-collecting-and-potentially-sharing-location-data-and-personal-information-choice-says

Fortsatt hardt vær for Facebook

Den nederlandske regjeringen vurderer å trekke seg helt fra Facebook på grunn av alvorlige bekymringer om hvordan den sosiale medieplattformen håndterer datasikkerhet. Regjeringen har i flere år vært bekymret for hvordan Facebook håndterer personvernsensitive data, og den nederlandske regjeringen har ved gjennomføringen av en DPIA avslørt det de mener er alvorlige mangler. De har visstnok diskutert dette med Meta, men Meta har ikke gjennomført tilfredsstillende forpliktelser eller forbedringer. Meta er tilsynelatende ikke enig i funnene i DPIA. 

I november spurte den nederlandske regjeringen det nederlandske datatilsynet om det er trygt å fortsette å bruke Facebook. Tilbakemeldingen fra datatilsynet er forventet å være klar snart. Imidlertid synes den foreløpige indikasjonen å være at regjeringen forventer å slutte å bruke Facebook og at de allerede gjør forberedelser for dette. 

https://nltimes.nl/2024/02/05/dutch-government-considering-ditching-facebook

---

GDPR OG ANSATTE

Overvåkning av ansatte 

Den 27. desember 2023 bøtela det franske datatilsynet (CNIL) Amazon France Logistique 32 millioner euro for å ha satt opp et overdrevent påtrengende system for overvåking av ansattes aktivitet. Selskapet ble også bøtelagt for videoovervåkning uten informasjon eller tilstrekkelig sikkerhet.

Selskapet administrerer Amazon-konsernets lager i Frankrike, hvorfra de sender pakker til kunder. Hver lageransatt får en skanner for å dokumentere hvordan arbeidet utføres i sanntid. Hver skanning registreres og brukes til å beregne informasjon om kvaliteten, produktiviteten og perioder med inaktivitet for hver ansatt.

CNIL vurderte at systemet for overvåking av ansatte var overdrevent. CNIL fastslo bl.a. at det var ulovlig å sette opp et system som måler arbeidsavbrudd med slik nøyaktighet, noe som potensielt krever at ansatte må rettferdiggjøre hver pause eller avbrudd. Videre kom CNIL til at systemet for måling av hastigheten pakker ble skannet med var overdrevent. CNIL anså det også som overdrevent å beholde alle dataene som samles inn via systemet, samt de resulterende statistiske indikatorene, for alle ansatte og midlertidige arbeidere, i en periode på 31 dager.

Ved fastsettelsen av botens størrelse ble det spesielt tatt hensyn til det faktum at analysen/overvåkingen var forskjellig fra tradisjonelle aktivitetsovervåkingsmetoder – særlig hva gjelder innhold og varighet, og at overføringen førte til svært tett og detaljert overvåking av ansattes arbeid.

Nå tror jeg ikke at mange norske virksomheter vil innføre denne type overvåking av ansatte, men det er klart at i et globalt marked er det en viss “smitteeffekt” fra land der slike systemer tillates.

Saken er omtalt her:

https://www.cnil.fr/en/employee-monitoring-cnil-fined-amazon-france-logistique-eu32-million

Uber beskytter ikke sjåførenes personvern – får en stor bot i Nederland

Det nederlandske datatilsynet har bøtelagt Uber 10 millioner euro for brudd på personvernregelverket i relasjon til sjåførenes personopplysninger.

Tilsynet kom til at Uber ikke hadde spesifisert hvor lenge de beholdt sjåførenes personopplysninger, eller hvordan de sikret personopplysninger når disse ble sendt til enheter i land, som de ikke hadde navngitt, utenfor EØS.

Uber hindret også sjåførenes mulighet til å utøve sin rett til personvern ved å gjøre forespørsler om tilgang til personopplysninger unødvendig komplisert. 

Boten ble ilagt etter at over 170 franske sjåfører klaget Uber inn til en fransk menneskerettighetsorganisasjon, som sendte inn en klage til det franske datatilsynet. Siden Uber har sitt europeiske hovedkvarter i Nederland, ble klagen videresendt til det nederlandske datatilsynet.

https://www.reuters.com/technology/dutch-watchdog-fines-uber-10-mln-euros-over-privacy-regulations-infringement-2024-01-31/

---

HOVEDETABLEING + NOYB

EDPB klargjør begrepet om hovedetablering (“Main establishment”)

EDPB har gitt en uttalelse om begrepet hovedetablering og kriteriene for anvendelsen av One-Stop-Shop-mekanismen (OSS). De skriver følgende hovedpunkter: 

• For at OSS skal gjelde, må etablering av den behandlingsansvarlige innenfor EU ta beslutninger om formålene og metodene for behandling. 
• Hvis beslutninger om formålene og metodene – og makten til å få dem implementert – utøves utenfor EU, vil OSS ikke gjelde.
• Bevisbyrden faller på den behandlingsansvarlige – ting som plassering av regionale hovedkontorer og hvor retningslinjer for personvern fastsettes er «relevante elementer», men ikke avgjørende, og datatilsynet kan realiteten i dette.
•  Uttalelsen advarer spesielt om at GDPR ikke tillater «forumshopping» i identifiseringen av hovedetablering. 

Denne uttalelsen er den siste i en rekke konkrete tiltak tatt av EDPB etter Wien-erklæringen om grenseoverskridende håndhevelse, med sikte på å effektivisere håndhevelse og samarbeid mellom datatilsynene. 

https://edpb.europa.eu/news/news/2024/edpb-clarifies-notion-main-establishment-and-calls-eu-legislators-make-sure-csam_en

NOYB har undersøkt personverntilstanden i Europa

I november 2023 gjennomførte NOYB en nettbasert undersøkelse for å få innsikt i den praktiske implementeringen av GDPR. Noen vil kanskje si at funn fra NOYB sannsynligvis vil vippes til å være for personvernfokusert, men rapporten er faktisk en ganske god analyse av hva som er oppnådd med GDPR og hva som er nåværende status for etterlevelse av reglene.

Undersøkelsen inkluderte blant annet spørsmål om selskapers etterlevelse av GDPR, om vanskeligheten med å overbevise andre avdelinger eller ansatte i et selskap om etterlevelse av GDPR og spørsmål om de mest relevante faktorene som påvirker etterlevelsen av GDPR. Undersøkelsen fokuserte på personvernombud og andre som jobber med etterlevelse. 

Rapporten belyser et utbredt problem om manglende etterlevelse på tvers av ulike sektorer. Mange unnlater å beskytte enkeltpersoners personvernrettigheter og å sikre personopplysninger i samsvar med GDPR.

Videre fant de mangel på åpenhet og ansvarlighet i databehandlingspraksis, med organisasjoner som ofte ikke klarer å gi klar og tilgjengelig informasjon om deres retningslinjer for datainnsamling, lagring og bruk. De fant også at mange organisasjoner mangler robuste sikkerhetstiltak for å beskytte mot databrudd og uautorisert tilgang. Dette setter enkeltpersoners personopplysninger i fare for utnyttelse og misbruk. 

NOYB fant også at samtykkehåndteringsprosesser ofte er feil, med organisasjoner som er baserer seg på tvetydige eller uklare samtykkemekanismer som ikke oppfyller forordningens standarder for informert og fritt samtykke. Det er også en generell mangel på bevissthet blant enkeltpersoner om deres rettigheter og organisasjoner unnlater ofte å legge til rette for utøvelse av registrertes rettigheter på en betimelig og transparent måte. 

Rapporten inneholder også anbefalinger for forbedringer. For det første må tilsynsmyndighetene styrke håndhevingsarbeidet og avskrekke fremtidige brudd gjennom ileggelse av bøter og sanksjoner.  I tillegg bør organisasjoner prioritere investeringer i robuste sikkerhetstiltak, inkludert kryptering, tilgangskontroller og regelmessige sikkerhetsrevisjoner. Organisasjoner må prioritere åpenhet og klarhet i deres databehandlingspraksis, gi enkeltpersoner klar og tilgjengelig informasjon om hvordan deres personopplysninger samles inn, brukes og deles, og sikre bedre samtykkemekanismer. Rapporten understreker at det bør gjøres tiltak for å øke bevisstheten blant enkeltpersoner om deres rettigheter og gi dem mulighet til større kontroll over sine personopplysninger gjennom utøvelse av rettigheter.

Rapporten understreker et presserende behov for samordnet innsats fra både tilsynsmyndigheter, organisasjoner og enkeltpersoner for å fremme en kultur for etterlevelse og å opprettholde enkeltpersoners grunnleggende rett til personvern.

Rapporten finner du her

https://noyb.eu/sites/default/files/2024-01/GDPR_a%20culture%20of%20non-compliance_2.pdf

---

KOMMENDE MØTER

14. mars 14.00 – 16.00

Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Datatilsynet har kommet med en oversikt over nylig vedtatt regelverk fra EU. Der er AI Act, selvfølgelig. Men også

• Data Governance Act,
• Digital Markets Act,
• NIS 2 direktivet,
• General Product Safety Regulation,
• Digital Services Act,
• Critical Entities Resilience Directive
• Digital Operations Resilience Act (DORA).

Og ny lovgivning som ventes å komme om kort, er

• AI Liability Act,
• Consumer Credit Directive,
• European Health Data Space,
• European Media Freedom Act

og hele ni andre lover.

Fra ECJ fikk vi 32 avgjørelser om personvern i 2023. Et søk på EDPBs sider viser at de har publisert 117 dokumenter i 2023. Man kan bli svimmel av mindre! Heldigvis er ikke alt like viktig.

Uansett kan vi neppe bare forholde oss til GDPR fremover – personvernet sniker seg inn i mange andre lover også. For å finne relevant GDPR-materiale bruker jeg ofte GDPRhub som har en ganske fullstendig oversikt over europeiske avgjørelser, både fra domstoler og datatilsyn. Det er en fin og lett søkbar nettside som NOYB har tatt initiativ til.

Under er et knippe saker fra årsskiftet som har fanget min interesse. Jeg tar noen korte, enkle saker først, og så kommer noen litt mer juridiske ECJ-saker om erstatning for tort og svie til slutt.

I neste nettverksmøte skal vi ha en runde på hvordan det var å ha tilsyn for NAV samt en del om AIB TCF 2.2-rammeverket om cookies. Cookies er veldig i vinden og jeg vet at mange jobber hardt med å trimme tekst på hjemmesidene sine. Happy reading og riktig godt nytt personvernår!

Hilsen Eva

---

LOJALITETSPROGRAM

Slett kundeopplysninger i lojalitetsprogram

Det finske datatilsynet har kommet med en praktisk avgjørelse om lagringstid innen retail. Det dreier seg om Kesko, landets største retailkjede, og deres lojalitetsprogram.

De lagret kundeopplysninger og salgsopplysninger så lenge kundeforholdet varte. Tilsynet slo fast at koblingen til kundeforholdet kunne medføre lagring i hele kundens levetid og at dette var for lenge. Det ble også fremhevet at kjøpshistorikk kan brukes til å utlede særlige kategorier opplysninger. Kesko skulle også ha sørget for at kundene fikk velge hvor mye data om dem som ble samlet inn om dem.

Kesko slapp bot, men det er all grunn til å tro at lagringstid og sletting får oppmerksomhet fremover.

Saken er omtalt her https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_3831/161/21&mtc=today

---

SAKER FRA DET DANSKE DATATILSYNET

Hva er tilstrekkelige sikkerhetstiltak?

Når man lurer på hvilke sikkerhetstiltak man må implementere, kan det være nyttig å se til en ny veileder fra det danske datatilsynet. Datatilsynet mottar ukentlig flere anmeldelser om brudd på persondatasikkerheten og mange handler om utilsiktet tilgang eller videreformidling av personopplysninger.

Tilsynet mener at bruddene kunne vært unngått med passende sikkerhetstiltak. Datatilsynet har derfor identifisert 10 typiske brudd og gir råd om relevante sikkerhetstiltak for å redusere risikoen for disse hendelsene.

Veiledningen henvender seg spesielt til ansatte med innflytelse på organisasjonens regler, prosedyrer, opplæring og tekniske konfigurasjoner for å beskytte mot brudd på persondatasikkerheten. Det vil antakelig være ganske nyttig lesning for mange. Med tanke på den oppmerksomhet NAV nylig har fått for sviktende adgangskontroll i Norge, er det interessant å se at første avvik de tar opp er nettopp “adgangsrettigheter etter behov”.

Du finner oversikten her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/nyt-katalog-over-sikkerhedsforanstaltninger

Mer om hva som er god tilgangskontroll

Det danske Datatilsynet har også gitt ut en veileder for nettopp tilgangsstyring. Tilsynet skriver at styring av brukernes tilganger er en helt grunnleggende del av informasjonssikkerhet, men at mange finner dette vanskelig. Manglende tilgangsstyring øker risikoen for brudd på persondatasikkerheten – alt fra ansattes uautoriserte innsyn og misbruk utført av tidligere ansatte, til målrettede hacker- og ransomware-angrep.

Veiledningen er tilgjengelig her

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/dec/ny-vejledning-om-rettighedsstyring

Vanskelig med samtykke på sykehus

I slutten av november kom det en litt uvanlig sak fra det danske Datatilsynet. Aarhus universitetssykehus publiserte enkelte pasientbilder på Instagram – basert på samtykke. Det høres antakelig helt OK ut for mange.

Men en pasient henvendte seg til datatilsynet og lurte på om dette var lov.

Tilsynet åpnet sak og konkluderte med at samtykke ikke kunne brukes som behandlingsgrunnlag fordi det ikke er likevekt mellom pasienten og sykehuset. Sykehuset er i en maktposisjon, selv om de selvfølgelig ikke vil gi pasienter som ikke samtykker dårligere behandling.

Balanse mellom partene i samtykkesituasjoner er jo viktig og er jo kjent for å være vanskelig i arbeidsforhold. Jeg er kanskje noe overrasket over avgjørelsen, men det vil naturligvis avhenge av i hvilke situasjoner sykehuset ba om tillatelse til publisering.

Du finner beslutningen her

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram

Bruker utviklerne dine JavaScript?

Den 20. januar 2022 mottok det danske Datatilsynet en henvendelse fra en borger angående Digitaliseringsstyrelsens bruk av JavaScript i MitID, den danske digitale ID-en. Vedkommende hevdet at JavaScript er utdatert og ikke sikkert, og at enheter enkelt kan hackes hvis JavaScript er aktivert. Dette har vært tema i sikkerhetsbransjen lenge.

Digitaliseringsstyrelsen forklarte at det var gjennomført risikovurderinger av MitID, herunder av kodekvalitet. De hadde likevel ikke vurdert mulige risikoer for de registrerte ved bruk av JavaScript.

Datatilsynet minnet om at GDPR krever at behandlingsansvarlig må håndtere risikoen for rettighetene og frihetene til datasubjektene før man starter behandlinger. I tillegg minnet Datatilsynet om at i henhold til artikkel 5(1)(f) i GDPR må personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for de berørte personopplysningene. Det påpekte videre at både artikkel 5(2) i GDPR og artikkel 24(1) i GDPR fastslår at en behandlingsansvarlig må kunne påvise overholdelse av GDPR. For at et tilsynsorgan skal kunne vurdere om tilstrekkelig sikkerhetsnivå er sikret, må behandlingsansvarlige dokumentere identifiserte risikoer og de tiltakene som er iverksatt.

Ikke overraskende, konkluderte Datatilsynet med at risikoen for de registrerte skulle ha vært vurdert og at man burde ha gjennomført en separat risikovurdering av JavaScript, siden det er offentlig kjent at programmeringsspråket har svakheter. At dette gjaldt en nasjonal infrastruktur gjorde det verre.

Da Digitaliseringsstyrelsen viste til en eldre vurdering av JavaScript, gjennomført flere år tidligere for “NemID”, var det utilstrekkelig.

Hva kan vi lære av dette? At dokumentasjon selvfølgelig er viktig, selv om det er tidkrevende.

---

BEHANDLINGSANSVAR

Kreves avtale for felles behandlingsansvar?

I ECJ C-683/21 var spørsmålet om et helseinstitutt som hadde outsourcet utviklingen av en Covid-19-smittesporingsapp til en privat aktør, var behandlingsansvarlig. Instituttet eide ikke appen og behandlet ikke personopplysninger selv. Men ECJ slo fast at når en virksomhet faktisk medvirker til å bestemme formålene og virkemidlene for behandlingen av personopplysninger, anses den som behandlingsansvarlig. I dette aktuelle tilfellet mente domstolen at det var et felles behandlingsansvar. Det var ikke avgjørende at partene ikke hadde inngått noen avtale om slikt felles behandlingsansvar – domstolen gjorde en vurdering basert på faktum.

Antakelig er det flere enn man tror som har felles behandlingsansvar. Jeg tror nok dette gjelder i en del konsern og også i en del utviklingssituasjoner. Det skal ikke mye til – og konsekvensene er jo faktisk ganske store. Det spiller en rolle for ens ansvar om man er behandlingsansvarlig eller om man er databehandler. En meget dyktig engelsk personvernekspert, Christopher Millard, skrev en artikkel om dette allerede i 2019. Tittelen var “At this rate, everyone will be a joint controller of personal data!”

Det er en meget lesverdig artikkel og du finner den her:

https://academic.oup.com/idpl/article/9/4/217/5771498

---

INNSYN NÅR ALGORITMEN AVGJØR

SCHUFA-sakene – viktig for mer enn bare kredittopplysningsvirksomhet!

SCHUFA er et tysk selskap som driver kredittvirksomhet, de setter score på hvor god økonomi mennesker har. En kunde av en bank fikk avslag på sin lånesøknad som følge av at hennes score fra SCHUFA var for lav. Da hun begjærte innsyn i hvilke opplysninger SCHUFA hadde lagt til grunn om henne, fikk hun innsyn i det, men ikke i algoritmen som regnet ut en score fordi SCHUFA mente det var en forretningshemmelighet.

Her oppstår mange juridiske spørsmål, men blant annet om GDPR om artikkel 22 får anvendelse. Ville SCHUFA anses å ha fattet en beslutning med stor innvirkning på individet slik at de veldig strenge rammene i artikkel 22 må anvendes? Da kan man som kjent bare bruke samtykke, avtale eller lov som hjemmel for behandlingen/scoringen.

ECJ konkluderte i sak C-634/21 med at selv om SCHUFA ikke selv traff beslutningen om å avslå lånesøknaden, spilte scoren en avgjørende rolle i at kunden ikke fikk lån. Dette mente de var tilstrekkelig til at artikkel 22 fikk virkning for SCHUFAs egen aktivitet. I tillegg kunne SCHUFA lettere oppfylle informasjonsforpliktelsene overfor den registrerte enn banken, ettersom banken ikke hadde kunnskap om hvordan de automatiserte prosessene i SCHUFA fungerte.

I Norge har vi en særlov for kredittopplysningsselskap, så for dem har saken antakelig ikke stor betydning. Mange andre europeiske land har ikke dette, og der får denne avgjørelsen større betydning. Men den kan likevel ha virkning for mange andre selskaper i Norge.

En bred tolkning av hva som er en automatisert beslutning i artikkel 22 utvider bestemmelsen. I praksis vil nå alle selskaper som utarbeider og selger analyser som andre virksomheter baserer seg på, måtte ta hensyn til denne dommen. Antakelig vil dette påvirke sektorer som arbeidsliv, helsevesen og forsikring – områder der det ikke er uvanlig at bedrifter bruker algoritmer som beslutningsgrunnlag.

Dommen understreker også viktigheten av at virksomheter gir klar og forståelig informasjon om metodene for databehandling. Her vil også AI Act komme inn med veldig like regler om ganske kort tid.

Det kom ganske samtidig to andre saker om SCHUFA, sakene C-26/22 og C-64/22. De gjaldt lagringstid for kredittopplysninger, men jeg tror ikke disse er så relevante i Norge da vi har særlovgivning på dette.

---

IKKE-ØKONOMISKE TAP

Erstatning for tort og svie? Det spørs!

Da GDPR kom, var mange usikre på hva omfanget ville bli for erstatninger knyttet til ikke-økonomiske tap. Det vet vi mye mer om nå fordi vi har fått mange saker om dette.

I en ganske ny sak fra en domstol i Köln, slås det fast at det ikke var nok å vise til ubehag, angst og frykt for å kreve erstatning etter GDPR art 82. Saken gjaldt opplysninger som kom på avveie etter et avvik hos Facebook i 2019. Selv om klageren faktisk mistet kontrollen over dataene etter at de ble publisert på darkweb, var ikke dette tilstrekkelig for å utgjøre en relevant skade. Det var ikke nok at klageren viste til en “negativ konsekvens” og abstrakt tap av kontroll, det skulle vært vist til en klar skade.  

Domstolen sa samtidig at dette ikke betyr at det er en minimumsterskel for erstatning, men at skaden i det minste må være objektivt fastsatt. På samme måte fastslo retten at klageren ikke klarte å vise hvordan han led skade av spam-e-postene og SMS-ene han mottok etter avviket, eller hvordan han brukte tid og innsats på å håndtere tapet av kontroll over dataene sine.

Her er det nyttig med et tilbakeblikk på CJEU C-300/21 om det østerrikske postvesenet (Österreichische Post), fra 4. mars 2023 som blir vist til i dommen over. Österreichische Post-saken var en av de første sakene om dette. Det østerrikske postvesenet laget antakelser om befolkningens politiske tilknytning basert på sosiodemografiske kriterier. En person klaget. Han hadde ikke samtykket til dette og følte seg krenket. Saksøkeren hevdet at dette forårsaket ham stor opprørthet, tap av tillit og en følelse av eksponering ved at postvesenet lagret informasjon om hans antatte politiske meninger.

Saken endte for flere østerrikske domstoler og gjennomgående avviste de erstatningskravet. I prosessen ba en østerriksk domstol ECJ om å uttale seg om flere forhold og følgende ble slått fast:

For at retten til erstatning skal oppstå, må tre kumulative betingelser være oppfylt:

• Det må ha skjedd et brudd på GDPR,
• det må finnes en materiell eller immateriell skade som følge av denne krenkelsen, og
• det må være årsakssammenheng mellom skaden og krenkelsen.

En ren krenkelse av en GDPR-bestemmelse er ikke nok for å gi rett til erstatning, med mindre klageren viser at han eller hun har lidd skade og at den aktuelle krenkelsen faktisk forårsaket den.

EU-domstolen fastslo likevel at medlemsstatene ikke kan betinge retten til erstatning for immateriell skade av at en terskel for “alvorlighet” først blir oppfylt. Domstolen fastslo at begrepet “skade” skal tolkes bredt og sa også at et annet resultat ville føre til at erstatningskrav kan få ulikt utfall i ulike land, noe som ikke ville være i tråd med GDPR.

Til slutt, påpekte EU-domstolen at GDPR ikke inneholder noen regler for å fastsette beløpet av erstatningen som skal i erstatning. Har kan altså nasjonale domstoler i EU anvende nasjonale regler når de avgjør beløpet for erstatning. Dette betyr at nivået på erstatninger vil variere.

Du finner dommen omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C-300/21_-_%C3%96sterreichische_Post_AG

Det som ble slått fast i Österreichische Post-saken er på mange måter blitt gullstandarden for hvordan vurderingene skal gjøres. Det skal altså en del til for at en virksomhet får slike erstatningskrav mot seg.

Her må jeg også nevne ECJs nye avgjørelse av 14. desember 2023 (C-340/21) som har flere andre prinsipielle avklaringer.

Etter et cyberangrep mot det bulgarske nasjonale skattevesenet der opplysninger ble lekket, klaget en bruker og krevde erstatning. Vedkommende hevdet å ha lidt ikke-materiell skade; frykt for at personopplysninger kunne bli misbrukt i fremtiden eller at de kunne bli presset, angrepet eller sågar kidnappet.

ECJ tok utgangspunkt i at selv om det var brudd på GDPR, så betød ikke det nødvendigvis at behandlingsansvarlig hadde forsømt å bruke hensiktsmessige tekniske og organisatoriske tiltak. De sa at EU-lovgiverens intensjon var å “redusere” risikoen for brudd på personvern, uten å kreve at risikoen skulle bli helt eliminert. Dette er godt nytt for mange. Tiltakene som er implementert må vurderes konkret.

CJEU fortsatte med at selv om et GDPR-brudd skyldes tredjeparter (hackere), så er ikke den behandlingsansvarlige fri for ansvar. Man må se på om de implementerte tekniske og organisatoriske tiltakene var hensiktsmessige. Og et OBS her – merk at det er den behandlingsansvarlige som må kunne dokumentere at tilstrekkelige tiltak er fattet.

Dernest viste de til ovenfornevnte C-300/21 (postvesenet), og skrev at opplevd frykt og mulig misbruk av personopplysninger hos en enkeltperson kan utgjøre relevant skade. De skrev at det er opp til den nasjonale domstolen å verifisere om frykten for den enkelte kan anses som velbegrunnet. Skal man kjøre en slik sak, bør man kanskje involvere psykologisk ekspertise som kan si noe om reell frykt.

Dommen finner du omtalt her

https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite

---

KOMMENDE MØTER

25. jan 14.00 – 17.00   Nettverksmøte, Oslo

22. feb 12.00 – 13.00 Drop in

14. mars 14.00 – 16.00 Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.