De siste dagene har det vært mye oppmerksomhet rettet mot nye rettssaker om personvernvedtak i vårt lille land. Både Meta og Grindr har gått til sak mot staten for å få opphevet vedtak som dels handler om behandlingsgrunnlag, om kravene for samtykke og om størrelsen på bøter.

Datatilsynet har, naturlig nok, bemerket at disse aktørene besitter tilstrekkelige ressurser til å innhente juridisk bistand for å forsvare sine forretningsmodeller. Disse modellene er, ifølge direktøren, gjenstand for kritikk fra flere myndigheter.

Sakene er etter min oppfatning svært forskjellige, men det handler om usikkerhet i tolkningen av GDPR, noe som i seg selv ikke er overraskende. Hvor stor usikkerheten er, varierer også.

Jeg heier generelt sett på personvernmyndighetene som gjør en viktig jobb, men jeg tror også det er bra at vi får rettslige avklaringer på dette feltet. Det  vil være til nytte både for myndigheter og andre som skal praktisere lovverket. Dessuten: Datatilsynet kan knapt regne med at selskaper, uansett hvor store de er, får titalls millioner i bot uten at de vil ha prøvet lovtolkninger som ikke er gjort før. Jeg tror vi kommer til å flere rettssaker fremover – og en del personvernadvokater bør nok børste støv av den svarte kappen.

Men det har skjedd mye annet også, under er et knippe nyheter. Jeg bruker anledningen til å skryte litt av programmet for neste fysiske nettverksmøte i desember. Vi får besøk av Anders Holt som er personvernombud i NAV. Han skal fortelle om erfaringer fra stedlige tilsyn fra Datatilsynet tidligere i høst. Her er det mye praktisk informasjon å hente dersom man skulle få besøk av tilsynet. Dessuten kommer Microsoft og forklarer om personvern i Copilot, og jeg tror vi får noen gode diskusjoner om bruk av AI.

Jeg tror dette blir ordentlig spennende og gleder meg!

Hilsen Eva

---

SØKSMÅL MOT DPF

Foreløpig ikke medhold for Latombe

EU-domstolen har behandlet en sak om midlertidige tiltak for å stanse implementering av EU-U.S. Data Privacy Framework. Domstolens avgjørelse kom som et motsvar til en klage som utfordret gyldigheten av overføringsavtalen for personopplysninger mellom EU/EØS og USA, som trådte i kraft 10. juli i år.

Klagens innsender var Philippe Latombe, som er fransk representant i Europaparlamentet. EU-domstolen konkluderte med at Latombe ikke kan bevise den individuelle og kollektive skaden som han mener at det nye

overføringsregelverket medfører.

Selv om Latombes påstand om midlertidig stopp av implementeringen av regelverket ble avvist, er det grunn til å anta at han senere vil kunne få prøvet sin hovedpåstand om hvorvidt Data Privacy Framework i sin helhet er lovlig. EU-domstolens avgjørelse viser at spørsmål om lovligheten av Data Privacy Framework stadig er et dagsaktuelt tema, og det kan forventes at debatten om adekvatbeslutningens gyldighet vil vedvare i tiden som kommer.

---

ANSVAR FOR DATABEHANDLERAVTALE

Tilbakevirkende kraft er ingen unnskyldning

Hvem er ansvarlig for at databehandleravtale foreligger? En belgisk avgjørelse klargjør dette.

Det belgiske datatilsynet har avsagt en avgjørelse som berører spørsmålet om hvem som har ansvaret for at det foreligger en databehandleravtale mellom behandlingsansvarlig og databehandler.

Den 4. september 2020 klaget et belgisk datasubjekt både behandlingsansvarlig og databehandler inn for det belgiske datatilsynet for brudd på GDPR artikkel 28 (3), som pålegger behandlingsansvarlig å inngå databehandleravtale med eventuelle databehandlere. Klagen var foranlediget av at vedkommende den 20. mai 2020 hadde mottatt en parkeringsbot fra kommunen. I forbindelse med kommunens dokumentasjon av parkeringsovertredelsen, anmodet vedkommende bl.a. fremleggelse av databehandleravtalen mellom kommunen som behandlingsansvarlig og den tredjeparts databehandleren som ble brukt ved utdeling og innkreving av parkeringsboten.

I Datatilsynets behandling av den aktuelle klagen ble det avdekket at kommunen hadde etablert en databehandleravtale med en ekstern tredjepart først den 27. juli 2020. Denne databehandleravtalen inneholdt en klausul om tilbakevirkende kraft. De sentrale spørsmålene for datatilsynet var dermed for det første om klausulen om tilbakevirkende kraft er lovlig etter GDPR art. 28 (3). For det andre, hvem som bærer ansvaret – behandlingsansvarlig eller databehandleren – for at det ikke eksisterte en databehandleravtale på det tidspunktet opplysningene faktisk ble behandlet.

Det belgiske datatilsynet konkluderte med at den aktuelle databehandlingen var et brudd på GDPR artikkel 28, 14 og 12. I sin vurdering, tok tilsynet et standpunkt om at tilstedeværelsen av en tilbakevirkningsklausul ikke rettferdiggjør mangelen på en databehandleravtale ved behandlingens start. Datatilsynet begrunnet sitt synspunkt med at slike klausuler potensielt kunne tillate omgåelser av personvernbestemmelsene, i strid med intensjonene i GDPR artikkel 28 (3). Videre anså tilsynet at både kommunen og tredjepartsbehandleren var ansvarlig for brudd på personvernlovgivningen. Følgelig rettet Datatilsynet en irettesettelse både mot den behandlingsansvarlige og databehandleren. 

Jeg tror dette er en situasjon som være en vekker for ganske mange og være en motivasjon for å få på plass databehandleravtaler, selv om det ikke ble bot i dette tilfellet.

Les mer om avgjørelsen her:

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_137/2023&mtc=today

---

OPPTAK AV KUNDESAMTALER – BERETTIGET INTERESSE

I kundetjenestens navn…

Dette er også et tema som er relevant for mange. AustrianFederal Administrastive Court (“BVwG”) har avsagt avgjørelse i en sak om berettiget interesse som grunnlag for opptak av kundesamtaler. Et datasubjekt fremmet en klage mot en bank inn for det østerrikske datatilsynet, basert på at banken gjorde opptak av kundesamtaler uten at kundene hadde muligheten til å motsi seg slike opptak og den påfølgende behandlingen av deres personopplysninger. Det østerrikske datatilsynet opprettholdt datasubjektets klage, og banken anket derfor saken inn for domstolene.

Banken fremholdt at det hadde en berettiget interesse i å behandle personopplysninger gjennom opptak av kundesamtaler. I tillegg tok banken til ordet for at det var umulig å unngå opptak av alle innkommende samtaler, gitt at  nasjonale lover pålegger bankinstitusjoner en plikt til å ta opp samtaler som gjelder investeringstjenester.

Bankens påstand ble avvist av østerrikske domstoler. I relasjon til spørsmålet om berettiget interesse, uttalte domstolen at bankens interesse i å “sikre kvalitet” på sine tjenester ikke var tilstrekkelig spesifisert til å kunne utgjøre et gyldig rettslig grunnlag for behandlingen. Som svar på bankens argument om at nasjonale lover gjør det umulig å ikke gjøre opptak av alle innkommende samtaler, presiserte domstolen at det er den behandlingsansvarliges ansvar å etablere interne prosedyrer som sikrer at etterlevelse av nasjonale lovregler gjøres på en måte som ikke strider mot personvernreglene. Domstolen påpekte videre at banken kunne ha etablert prosedyrer for å fastslå temaet ved oppringingens begynnelse. Dette ville ha muliggjort en vurdering av om en telefonsamtale faktisk falt under forpliktelsen til å ta opp samtaler om investeringstjenester, og slik kunne banken ha unngått å registrere samtaler hvor opptak ikke var lovpålagt.

BVwG kom etter dette til at bankens opptak av kundesamtaler var i strid med personvernreglene, som følge av at behandlingen av personopplysninger verken hadde grunnlag i lov eller i bankens berettigede interesse etter GDPR artikkel 6(1)(f).

Selv må jeg innrømme at jeg blir bittelitt irritert hver gang jeg ringer et sted og jeg blir fortalt at samtalen “tas opp for å forbedre våre kundetjenester”, og jeg ikke kan avslå. Sist skjedde dette da jeg skulle etterlyse en pakke på vei til meg. Det kan da ikke være nødvendig å ta opp slike samtaler? Og hvor lagres de hen? Og ble samtalen noensinne lyttet på av noen for å forbedre pakketjenesten? Lurer nesten på om jeg skal be om et aldri så lite innsyn selv…

Les saken i sin helhet her:

https://gdprhub.eu/index.php?title=BVwG_-_W274_2251055-1/5E

---

TRE AVGJØRELSER OM MARKEDSFØRING

Groupe Canal+ i Frankrike har fått bøter for markedsføringsaktiviteter

Den 19. oktober 2023 ble selskapet Groupe CANAL+ ilagt en bot på 600 000 euro av det franske datatilsynet CNIL for brudd på flere av  personvernforordningens artikler i tidsrommet november 2019 til januar 2021.

CNIL hadde mottatt 31 klager relatert til såkalte “Cold Calls” fra Groupe CANAL+ til potensielle kunder som ikke tidligere har vært i kontakt med selskapet. I tillegg mottok datatilsynet andre klager relatert på manglende personvernrettigheter for registrerte, sikkerhetsspørsmål knyttet til passord for selskapets ansatte, og selskapets unnlatelse av å varsle CNIL om et personopplysningsbrudd i 2020.

CNIL bemerket at Groupe CANAL+ benyttet elektroniske salgskampanjer, som ble utført av tredjepartsleverandører, for å identifisere potensielle kunder for sine tjenester. Personopplysninger som ble samlet inn av  tredjepartsleverandørene, ble senere brukt av selskapet for å gjennomføre Cold Calls mot disse potensielle kundene.

Selskapet kunne ikke bevise at de potensielle kundene hadde avgitt gyldig samtykke til å motta henvendelser, som følge av at kundene ikke ble informert om identiteten til tredjepartsleverandøren som gjennomførte de elektroniske salgskampanjene. Selv om de potensielle kundene elektronisk hadde samtykket  til å motta elektroniske dørsalg, kom CNIL til at samtykkene ikke var gyldige fordi kundene ikke ble informert om hvem samtykket ble innhentet på vegne av. Dette er et sentralt element for mange og er i tråd med tidligere avgjørelser. Når selskapet ikke kunne dokumentere samtykke, konkluderte CNIL med at selskapet hadde brutt GDPR artikkel 7(1) og artikkel4(11). Det er viktig å kunne dokumentere samtykker!

CNIL oppdaget også at selskapet hadde forsømt å informere datasubjekter om at deres telefonnumre ble innhentet fra en tredjepart. Som følge av dette var datasubjektene ikke blitt gjort kjent med formålet bak, og deres rettigheter relatert til, selskapets behandling av deres personopplysninger. Dermed kom datatilsynet til at Groupe Canal+ også hadde brutt GDPR artikkel 14. Datatilsynet fant ytterligere at Groupe Canal+ hadde brutt sine forpliktelser etter GDPR artikkel 12, artikkel 28(3) 32 og 33.

Hva gjelder avviket som ikke ble meldt, gjaldt det navn og adresse til ca. 10.000 kunder som i en periode på 5 timer og 36 minutter hadde vært tilgjengelig for andre kunder. Det er tankevekkende i seg selv – er dette et type avvik du ville meldt selv?

Botens størrelse ble fastlagt på bakgrunn av at Groupe Canal+ har brutt GDPR i et betydelig omfang, og at enkelte av bruddene er av mer alvorlig karakter. CNIL la imidlertid også vekt på enkelte formildende omstendigheter, herunder at selskapet har iverksatt omfattende tiltak og på denne måten brakt seg i samsvar med flere av de punktene i GDPR.

Les oppsummering av saken her:

https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-015&mtc=today

Meta og adferdsbasert markedsføring

Det skjer mye rundt Meta. Datatilsynet skriver at det ikke er et generelt forbud mot å publisere annonser på Facebook. Bakgrunnen for denne kunngjøringen er at datatilsynet har mottatt flere henvendelser fra bedrifter som lurer på om de er rammet av Datatilsynets midlertidige forbud mot adferdsbasert markedsføring på Facebook og Instagram.

Selv om bedrifter ikke er direkte berørt av forbudet, oppfordrer Datatilsynet alle bedrifter til å være bevisste på problemstillingene knyttet til Datatilsynets forbud mot annonsering på Metas plattformer. Dette innebærer at selskapet er ansvarlig for å gjennomføre nødvendige vurderinger og må være klar over at Meta i dag driver med ulovlig adferdsreklame. Jeg tror at mange synes det er vanskelig og tungvint å lage slike vurderinger.

På den annen side er ovennevnte problemstilling snart ikke lenger relevant, da Datatilsynet helt nylig fikk medhold hos EDPB i at forbudet mot atferdsbasert reklame utvides til hele EU. Og dette skjer samtidig som at Meta går over til å bruke samtykke som hjemmel for den omstridte markedsføringen.

Så hva er sluttsituasjonen nå? Meta har endret sin praksis for å etterkomme kravene fra europeiske tilsynsorganer. Hoveddiskusjonen fremover vil bli om Metas nye samtykke til personalisert reklame anses som god nok. Er Metas “pay or Okay” i tråd med GDPR? Det har relevans for mange. Vi må komme tilbake til dette fremover.

Les mer her:

Kan virksomheter annonsere på Facebook?

Bot til H&M for deres markedsføringspraksis

Den 17. oktober 2023 utstedte det svenske datatilsynet, Integritetsskyddsmyndigheten (IMY), en administrativ bot på 350.000 SEK mot H&M for selskapets markedsføringspraksis. Seks personer bosatt i ulike europeiske land, inkludert Polen og Italia, sendte inn klager i forbindelse med mottak av direkte markedsføring fra H&M. Ettersom H&M har hovedkontor i Sverige, behandlet IMY klagene.

IMY sin undersøkelse konkluderte med at H&M brøt personvernloven, idet H&M ikke stanset behandling av klagerens personopplysninger for markedsføringsformål uten unødig opphold, til tross for mottatte klager knyttet til slik behandling. Videre hadde ikke H&M, ifølge IMY, tilstrekkelige systemer og rutiner på plass for å gjøre det lettere for personene å benytte sin rett til å motsette seg direkte markedsføring. Det er egentlig litt overraskende at H&M satte seg i en slik posisjon.

Det skal være enkelt å slippe å motta annonser og tilbud man ikke er interessert i, uttalte Albin Brunskog, enhetsleder i IMY. Og med tanke på den siste tids strenge praksis rundt markedsføring, er det ikke en overraskende uttalelse.

Les mer her:

https://www.imy.se/nyheter/hm-har-gjort-det-onodigt-svart-att-slippa-reklam/

---

KRAV OM RETTING AV OPPLYSNINGER

Personvernnemnda om retting av opplysninger

Den 15. september 2023 avsa Personvernnemnda avgjørelse i sak PVN-2023-04 om Retting av personopplysninger hos NAV. En privatperson påklaget Datatilsynets vedtak datert 20. desember 2021. Dette skjedde etter at personen hadde inngitt en klage til Datatilsynet mot NAV, med et krav om retting av opplysninger i et NAV-vedtak angående rett til dagpenger.

Saken var foranlediget av at privatpersonen høsten 2015 mottok dagpenger under arbeidsløshet fra NAV. Etter å ha søkt om støtte til etablering av egen virksomhet, fattet NAV 2. oktober 2015 vedtak om stans i dagpengene som følge av NAVs forståelse om at vilkårene for rett til dagpenger ikke var oppfylt. Etter ytterligere korrespondanse vurderte NAV saken på nytt, og innvilget privatpersonen dagpenger i et nytt vedtak 1. desember 2015.

17.mars 2016 fattet NAV enda et nytt vedtak som innebar omgjøring av vedtaket fra 2. oktober 2015 om stans i dagpengene. Her konkluderte NAV med at dagpengene aldri skulle ha vært stanset, og innvilget privatpersonen dagpenger for hele den perioden der utbetalingen hadde vært stoppet.

Privatpersonen krevde at vedtaket om stans i dagpenger fra 2. oktober ble rettet opp av NAV i medhold av personvernforordningen artikkel16.  NAV gjorde på sin side gjeldende at vedtaket var rettet opp som følge av de etterfølgende vedtakene 1. desember 2015 og 17. mars 2016, og at det ble lagt til en merknad om “Se endringsvedtak 17. mars 2016” i vedtaket av 2. oktober 2015. 

I klagesaken for Datatilsynet konkluderte tilsynet med at vilkårene for retting etter personvernforordningen artikkel 16 første punktum ikke var oppfylt, fordi opplysningene som ble krevd rettet ikke er “uriktige” gjengivelser av NAVs vurderinger på vedtakstidspunktet. Personvernnemnda opprettholdt Datatilsynets vedtak. Nemnda la vekt på at opplysningene kan endres ved at vedtaket påklages, omgjøres eller endres gjennom nye vedtak. I tillegg påpekte Personvernnemnda at NAVs vedtak av 2. oktober 2015 gir korrekt uttrykk for det faktum som NAV la til grunn da vedtaket ble fattet, og at de tre vedtakene i sammenheng gir uttrykk for at privatpersonen på søknadstidspunktet hadde krav på dagpenger og at stansingen av dagpenger derfor var urettmessig. På denne bakgrunn ble det konkludert med at sammenhengen mellom vedtakene medfører at NAV ikke har registret uriktige opplysninger om privatpersonen, og at vilkåret for retting etter personvernforordningen artikkel 16 derfor ikke er oppfylt.

Personvernnemndas avgjørelse finnes her:  

https://pvn.no/pvn-2023-04

For omtale av saken på engelsk:

https://gdprhub.eu/index.php?title=PVN_-_PVN-2023-04&mtc=today

---

COOKIES

Det danske datatilsynet på hugget om cookies

Det danske datatilsynet anmeldte Texas Andreas Petersen A/S til politiet 6. oktober 2023 etter det de mente var innsamling og behandling av personopplysninger uten rettslig grunnlag etter nettstedsbesøk på www.texas.dk. Ved gjennomgang av nettsiden oppdaget det danske datatilsynet at en rekke informasjonskapsler ble brukt for å samle inn og avsløre informasjon om besøkende til Google og Meta.

Ettersom Texas Andreas Petersen A/S behandlet personopplysninger uten rettslig grunnlag, hvor slik behandling potensielt involverte et stort antall besøkende på nettstedet, utstedte det danske datatilsynet en bot på til sammen DKK 200.000. Botens størrelse begrunnes med at det danske datatilsynet har gitt veiledning om hvordan personopplysninger som gjelder besøk på nettstedet skal behandles siden februar 2020. Boten er ikke særlig høy i europeisk sammenheng, men den er høy i en dansk sammenheng da de sjelden utsteder bøter.

Som de fleste lesere vil vite, har Norge foreløpig en annen tilnærming til problemstillingen. Foreløpig kan samtykke til informasjonskapsler gis gjennom nettleserens innstillinger, og enkelte unntak fra samtykkekravet og informasjonsplikten gjelder etter norsk lov. Dette forventes imidlertid å endre seg når den nye e-komloven trer i kraft. Det er klokt å allerede nå forberede seg på at denne endringen vil inntreffe, ettersom jeg antar at eventuelle nye regler i Norge vil bli håndhevet like effektivt og strengt som de nåværende EU-reglene.

Les mer her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/okt/texas-andreas-petersen-indstilles-til-boede

---

DATABEHANDLERE

Er tilbyder av samlokasjon i datahaller databehandlere?

Det danske datatilsynet har, etter henvendelse fra Region Midtjylland, tatt stilling til hvorvidt leverandører av samlokasjon av servere (Co-location) som benyttes til behandling av personopplysninger, skal anses som databehandlere.

I sin henvendelse opplyste Region Midtjylland at samlokasjon er en oppbevaringstjeneste som leveres av it-virksomheter. Regionen plasserer egne servere i et serverskap hos en virksomhet som leverer denne tjenesten.

Datatilsynet konkluderte overordnet sett med at en virksomhet, myndighet eller en annen organisasjon som leverer samlokasjon av servere ikke skal anses som databehandlere for de organisasjonene eller virksomhetene samlokasjonsytelsen leveres til. Som forutsetning for sin konklusjon, fremhevet datatilsynet at virksomheten som leverer samlokasjon ikke har adgang til personopplysninger på serverne. Som eksempel nevner tilsynet situasjoner der kunden har plassert egne servere med strøm- og internettilknytning i et låst serverskap, som bare kunden har tilgang til.

For å begrunne sitt synspunkt, understrekte Datatilsynet videre at levering av samlokasjon for servere først og fremst dreier seg om levering av fysiske fasiliteter, internett og strømforsyning, ikke behandling av personopplysninger.  Datatilsynets understreker imidlertid at uttalelsen bare konstituerer et utgangspunkt, og at andre omstendigheter kan føre til at leverandøren av samlokasjon likevel må anses som en databehandler.

Som eksempler på omstendigheter som kan føre til at leverandøren likevel må anses som en databehandler nevnes situasjoner der leverandøren har adgang til serverskapet, slik at man kan få tilgang til personopplysningene. Som andre eksempler fremheves også situasjoner der leverandøren kan skifte ut eller på annen måte behandle de harddiskene som lagres, eller der serverne kan flyttes, skrus av og på eller på annen måte håndteres. I tillegg fremheves situasjoner der leverandøren tilbyr ytterligere ytelser enn kun fysiske fasiliteter, strøm og internett. Dette kan dreie seg om ytelser som brannmurer, back-up eller andre sikkerhetstiltak som omfatter behandling av personopplysninger.

Virksomheten som driver samlokasjon kan også bli dataansvarlige som følge av de fysiske sikkerhetstiltakene som leverandøren har etablert. Det kan handle om registrering av besøkende, loggføring av nøkkelbrikker og/eller kameraovervåkning. Det er virksomhetene som benytter seg av samlokasjon som er forpliktet til å etablere og føre kontroll med tilfredsstillende behandlingssikkerhet i tråd med personvernforordningens artikkel 32. Dette innebærer at kunden må ha kjennskap til leverandørens sikkerhetstiltak, og vurdere om disse er tilstrekkelige i relasjon til de behandlingsaktivitetene som gjennomføres på serverne.

Overordnet sett er det likevel grunn til å fremheve at datatilsynets uttalelser antyder at leverandører av samlokasjon for servere i utgangspunktet ikke skal anses som databehandlere. Unntakene er konkrete serviceavtaler som tilsier at leverandøren har befatning med personopplysningene som behandles på serverne.

Avgjørelsen kan leses i sin helhet her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/skal-leverandoeren-af-colocation-anses-som-databehandler

---

KONTROLL PÅ ARBEIDSPLASSEN

Kameraovervåking av ansatte og GPS-sporing

Datatilsynet har igjen rettet blikket mot hvordan virksomheter overvåker sine ansatte, med søkelys på bruk av kamera på arbeidsplasser med unge arbeidstakere. Som annonsert tidligere vil Datatilsynet gjennomføre flere kamerainspeksjoner i fremtiden. Tilsynet vil skje uanmeldt, og uten forvarsel. Dette er høyst uvanlig, og understreker hvor seriøst Datatilsynet tar denne problemstillingen.

Datatilsynet har hatt et uanmeldt tilsyn hos Fast Candy AS, en godteributikk i Oslo. Datatilsynet oppdaget at store deler av godteributikken var kameraovervåket, inkludert området bak kassen og lager/kontorområdet. Kameraløsningen hadde også kontinuerlig fjerntilgang og lydopptak. På bakgrunn av disse funnene fattet Datatilsynet vedtak om flere pålegg. Datatilsynet mener at ansatte ikke skal overvåkes bak kassen, med mindre særskilte grunner taler for at det er nødvendig. Fast Candy må stoppe kameraovervåkingen bak kassen i butikken. Butikken må videre justere eller fjerne kameraovervåking av lager og kontorareal, samt stoppe all bruk og mulighet for fjerntilgang og lydopptak gjennom kameraovervåkingen. Utover dette må Fast Candy gi sine ansatte ytterligere informasjon om kameraovervåking og etablere internkontroll for slik overvåking.

Jeg tror Fast Candy var ganske heldige som ikke fikk en bot for dette. Det kan være verd å minne om at man ikke kan ha lydopptak samtidig med kameraopptak. Dette sitter i “ryggmargen” på mange av oss som har jobbet med personvern en stund, men i den siste tiden hører jeg oftere om at virksomheter tror de kan gjøre begge deler. Kameraene har ofte den muligheten – men det er altså i all hovedsak ikke lov.

Datatilsynet erkjenner at det er lett å ta i bruk rimelige kameraløsninger. Mange av systemene kan være forhåndsinnstilte på en måte som ikke er i tråd med regelverket. Selskaper er ansvarlige for å bruke kameraet på en lovlig måte, og påse at innstillingene er lovlige.

Overvåking av ansatte er også på dagsorden i utlandet. Information Commissioner’s Office (‘ICO’) har nylig gitt ut ny veiledning om overvåking av ansatte. De har en bred beskrivelse av hva overvåkning kan være:  Sporing av telefonsamtaler, meldinger og tastetrykk, opptak fra webkamera, lydopptak, skjermbilder eller bruk av overvåkingsprogramvare for å spore ansattes aktivitet og annet.

Dersom organisasjoner ønsker å over våkeansatte, må de iverksette visse grep, herunder gi ansatte informasjon om art, omfang og årsaker til overvåking. Videre må bedriften sørge for at overvåking har et klart definert formål, samt påse at minst mulig inngripende tiltak benyttes. Det må tilbys alternativer for ansatte som ikke ønsker å bruke biometriske tilgangskontroller til arbeidsområdet, for eksempel sveipekort eller PIN-numre. Selv om vi ofte opplever at Storbritannia tillater mer overvåking av ansatte enn de skandinaviske landene, er veiledningen her ganske lik med det skandinaviske regelverket.

Den østerrikske datatilsynsmyndigheten avgjorde nylig at en behandlingsansvarlig som hadde installert GPS-sporingsenheter på firmakjøretøy brukt av sine ansatte, verken kunne bruke en juridisk forpliktelse eller legitime interesser som det lovlige grunnlaget for behandlingen. Myndigheten anerkjente visse legitime interesser til behandlingsansvarlig, inkludert bruk av GPS-data for å beregne arbeidstimer, utgifter som påløper for å kompensere ansatte tilstrekkelig og lokalisering av ansatte slik at de kunne sendes til klienter. Men de kom frem til at den at behandlingsansvarlig kunne få tilgang til slik informasjon, og utføre disse oppgavene, uten GPS-sporingsenheten. Dette betyr at de nødvendige betingelsene for å bruke legitim interesse som rettslig grunnlag ikke var oppfylt.

Den behandlingsansvarlige kunne heller ikke bruke påberope seg en juridisk forpliktelse som rettslig behandlingsgrunnlag, siden den allerede oppfylte kravene i den østerrikske arbeidstidsloven før bruken av GPS-sporingsenheten og gjorde det med mindre inngripende midler. Som en konsekvens, ble det pålagt å stoppe all behandling av personopplysninger gjennom GPS-sporingssystemet.

For mer informasjon, se:

• Kameratilsyn hos virksomheter med unge arbeidstakere
• Flere pålegg etter tilsynssak mot Fast Candy AS
• Employment practices and data protection − Monitoring workers
• DSB (Austria) – 2022-0.021.739

---

KUNSTIG INTELLIGENS

Praktisk veileder for utvikling av AI i Frankrike

Det franske datatilsynet, CNIL, har delt en praktisk veiledning for utvikling av kunstig intelligens (AI)-systemer. Fire ting er spesielt verdt å nevne:

For det første skal det defineres et formål. I denne forbindelse uttaler CNIL at behandlingsoperasjonene som utføres i distribusjonsfasen og utviklingsfasen, i prinsippet har et enkelt overordnet formål når den operative bruken under distribusjonsfasen er nøyaktig identifisert fra utviklingsfasen. Saken er mindre klar for generelle AI-systemer. I dette tilfellet kan den operative bruken ikke være eksplisitt identifisert fra utviklingsfasen, hvilket betyr at formålet med behandlingen i denne fasen må inkludere forståelig informasjon om type system, samt dets funksjoner og muligheter.

For det andre: Samtykke, legitime interesser, allmenne interesser og oppfyllelse av en kontrakt kan brukes som et rettslig grunnlag, avhengig av konteksten. Den behandlingsansvarlige må finne et passende juridisk grunnlag for deres AI-system. Dette er både praktisk og nyttig – og viser at det er flere alternativer hjemler som kan fungere når man skal utvikle en AI – men det gjelder å velge riktig.

For det tredje: en vurdering av personvernkonsekvenser (DataProtection Impact Assessment – DPIA) for utvikling av AI-systemer må ta for seg spesifikke AI-risikoer.  For eksempel risikoen for å dele falskt innhold om ektemennesker. Dette kommer ikke som noen overraskelse, siden  utvikling av AI-systemer krever betydelige data, inkludert personopplysninger.

For det fjerde må behandlingsansvarlig kontinuerlig overvåke og oppdatere dataminimering og databeskyttelsestiltak for å sikre at de som er vedtatt i datainnsamlingsfasen ikke blir utdatert.

Prinsippene er i tråd med hva som antas å bli vedtatt i AI Act.

Veiledningen er tilgjengelig her:

https://cnil.fr/en/ai-how-sheets

---

OFFENTLIGHETSLOV KONTRA PERSONVERN

Politisk reklame til foreldre under valgkampen

Under valgkampen tidligere i høst, sendte flertallspartiene i Stavanger, inkludert Arbeiderpartiet og Senterpartiet, en e-post med politisk reklame til flere foreldre med barn i barnehager og skoler. Foreldrenes kontaktinformasjon var ikke offentlig kjent. Partiene hadde fått tilgang til informasjonen fra Stavanger kommune via offentlighetsloven. Selv om personopplysninger kan kreves utlevert med hjemmel i offentlighetsloven, må all videre behandling være i samsvar med personvernloven. Mange reagerte negativt.

Uvitende om at deres personopplysninger ble behandlet på denne måten, sendte flere foreldre inn klager til Datatilsynet. Foreldrene stiller spørsmål ved lovligheten av de politiske partienes, og Stavanger kommunes, behandling av personopplysninger.

På bakgrunn av disse klagene ba Datatilsynet om en redegjørelse fra Stavanger Arbeiderparti på vegne av flertallspartiene. Datatilsynet ba om ytterligere informasjon om hvem som var behandlingsansvarlig, hvilke personopplysninger som ble behandlet, formålet med behandlingen, dets rettslige grunnlag, hvilken informasjon registrerte mottok, samt lagringsperioder.

Datatilsynet har mottatt redegjørelsen og denne vurderes nå. Mer informasjon om denne saken vil komme utover høsten, og vi venter spent på datatilsynets vurderinger. Offentlighetsloven står meget sterkt og det er ikke alltid at den trekker i samme retning som personvernet. Saken er interessant, da den vil ha betydning for hvordan andre politiske partier kan dele politisk reklame.

Les mer her:

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/ber-om-redegjorelse/

---

BRUDD PÅ PERSONVERN

Dyrt med avvik i USA

Etter påstander knyttet til et datainnbrudd som avslørte sensitive data fra 13.000 non profit organisasjoner i 2020, gikk Blackbaud, et programvareselskap for pengeinnsamling, med på å betale 49,5 millioner dollar i en forliksavtale. Brudd på personvernet kan med andre ord koste dyrt i USA.

En uautorisert tredjepart fikk tilgang til Blackbauds data, noe Blackbaud offentlig erkjente 16. juli 2020. Det Blackbaud angivelig ikke informerte om, var bruddets omfang og sensitiviteten i dataene som var blitt stjålet. Over én million filer var omfattet av datainnbruddet. Statsadvokater i 49 stater og Washington D.C. opprettet sak med personvernkrav mot selskapet. Selv om Blackbaud ikke innrømmer skyld i henhold til forliksavtalen, må de både betale dyrt og styrke sin datasikkerhet og varsling av kunder ved databrudd. En tredjepart skal inn og vurdere Blackbauds overholdelse av forliksavtalen i syv år fremover.

Les mer her:

https://apnews.com/article/blackbaud-data-breach-settlement-dba8fac12af30f74691c7af4fec69a14\

---

CSAM-FORSLAGET

Omdiskutert forslag i kampen mot nettovergrep

Nylig stemte EU om det såkalte CSAM-forslaget, som er en del av EUs tiltak for å bekjempe overgrepsmateriale av barn på internett. Forslaget kan i praksis forby krypterte, sikre meldingstjenester som vi i dag kjenner som f.eks. WhatsApp, iMessage og Signal.

Forslaget har blitt heftig debattert, blant annet fordi at dette vil åpne for en masseovervåkning av meldingstjenester som kan på virkekildevern, overføring av helsedata og generelt personvern. Kritikerne mot forslaget hevder at regelverket vil være enkelt å omgå for de kriminelle det er ment å stanse, og at forslaget derfor kan få større konsekvenser for vanlige mennesker enn for de kriminelle. Blant kritikerne blir det også tatt til orde for at tjenestene kan bli nødt til å overvåke alt innhold som sendes, for å være sikre på at de forholder seg til EUs reguleringer.

EU har blant annet foreslått å gjøre skanning etter overgrepsmateriale av barn obligatorisk, gjennom at tjenestetilbyderne pålegges å bruke teknologi for å oppspore, rapportere og fjerne overgrepsmateriale fra sine tjenester. Datatilsynet har på sin side uttalt at EUs foreslåtte reguleringer vil være enkle å omgå for kriminelle, blant annet gjennom at overgrepsmateriale krypteres før det sendes eller lastes opp. Datatilsynet har også uttalt at de støtter innsatser for å sikre effektive tiltak mot seksuelle overgrep mot barn på nett, men at den foreslåtte CSAM-forordninger reiser alvorlige utfordringer for personvernet.

Datatilsynet har mange gode poenger her og det å slå “hull i” krypteringsløsninger har en rekke store personvernkonsekvenser.

Dersom EU beslutter å vedta CSAM-forordningen, vil denne tidligst bli vedtatt i 2024.

Les mer om saken her:

https://www.tek.no/nyheter/nyhet/i/bgxvzl/eu-kan-forby-ende-til-ende-kryptering?utm_source=vgfront&utm_content=hovedlopet_row4_pos1&utm_medium=dre-652eb39873f1b609128ac6c1

---

KOMMENDE MØTER

16. nov 12.00 – 13.00 Digital drop-in

7. des 14.00 – 17.00   Nettverksmøte, Oslo

25. jan 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Høsten er godt i gang og datatilsynene i Europa kommer med en strøm av nye avgjørelser. Det er kommet nok en stor bot fra Irland, denne gangen mot TikTok. Det er så mange avgjørelser nå at det utgjør en utfordring for mange å følge med på hva som er viktig. Under har jeg valgt ut en rekke nye avgjørelser som jeg synes har verdi å vite om. Grensen mellom avtale og samtykke er stadig i fokus. I øvrig er det viktig at det har kommet et søksmål mot DPF, overføringsgrunnlaget til USA. Det har også skjedd en del på mer overordnet personvern-plan: Selskaper som rammes av DMA er identifisert, det er kommet ny kritikk mot personvern i bilbransjen og mye mer. Avgjørelsen fra Personvernnemnda om Grindr og hva som er sensitive personopplysninger, kommer vi tilbake til i neste møte.

Happy reading!

Hilsen Eva

---

KLAGE MOT DPF

Det finnes flere aktivister enn Schrems

Den nye EU-US Data Privacy Framework, DPF,  strider mot både GDPR og EUs pakt om grunnleggende rettigheter, mener

, medlem av Frankrikes lovgivende forsamling. Tidlig i juli vedtok EU-kommisjonen et nytt juridisk rammeverk for trygg overføring av personopplysninger mellom EU og USA. Latombe mener at den nye dataoverføringsavtalen ikke gir tilstrekkelige garantier for respekten for privatlivet, og han ber EU-domstolen om å sette den på hold. Mange trodde det ville bli Schrems som skulle angripe DPF, men slik ble det altså ikke.

Et interessant poeng er at han også er ansatt i det franske datatilsynet – CNIL. Klagen har han likevel levert inn som enkeltperson – noe annet ville jo vært helt oppsiktsvekkende når tilsynene faktisk er bundet av EUs beslutning om å godta DPF. Han skal ha valgt en juridisk fremgangsmåte som vil gå raskere enn hva Schrems har gjort, samtidig som det visstnok skal være noe større risiko for at saken blir avvist.

Klagen er pt ikke offentliggjort, så jeg har så langt ikke funnet noen kommentarer på hvor sannsynlig det er at han vil nå frem. Vi kommer helt sikkert til å få vite så snart mer blir kjent, for denne saken er jo viktig for mange.

Les mer her:

https://www.politico.eu/article/french-lawmaker-challenges-transatlantic-data-deal-before-eu-court/

https://www.linkedin.com/pulse/french-mp-disrupts-schrems-monopoly-challenging-data-tiulkanov/?trk=news-guest_share-article

---

PERSONVERN – TAKE IT OR LEAVE IT

chrems og NOYB er aktive også

Max Schrems og NOYB (None of Your Business) har pekt ut sitt neste mål i personvernkampen: treningsklokka Fitbit. NOYB har klaget inn produsenten av Fitbit for brudd på personvernregler i Østerrike, Nederland og Italia.

NOYB hevder at klokken blir så å si ubrukelig hvis brukeren ikke gir sitt samtykke til deling av personopplysninger. Det kritiseres blant annet at Fitbit ikke gir brukeren informasjon om hvordan personopplysninger brukes, og at den eneste måten å trekke tilbake sitt samtykke er ved sletting av brukerkonto. Maartje de Graaf, advokat i NOYB skriver: “Først kjøper du en Fitbit-klokke for minst 100 euro. Deretter registrerer du deg for et betalt abonnement, bare for å oppdage at du er tvunget til å “fritt” godta deling av dataene dine med mottakere over hele verden. Fem år inn i GDPR prøver Fitbit fortsatt å håndheve en «take it or leave it»-tilnærming“. NOYB mener at et slikt samtykke er verken frivillig, informert eller spesifikt – noe som betyr at samtykket ikke oppfyller GDPRs krav.

Kritikken er på linje med mye annet som skjer nå, der hva som er nødvendig for å levere en tjeneste er i fokus og det blir økt oppmerksomhet på forskjellen mellom avtale og samtykke.

Les mer her:

https://noyb.eu/en/your-fitbit-useless-unless-you-consent-unlawful-data-sharing

---

NY MILLIONBOT

TikTok i hardt vær

en irske databeskyttelsesmyndigheten (DPC) har bøtelagt TikTok med 345 millioner euro for brudd på behandling av barns personopplysninger.

Ifølge DPC skal TikTok-bruddene blant annet ha dreid seg om følgende:

• Profilinnstillingene for barnekontoer var som standard satt til offentlig, som betød at alle kunne se innholdet, selv uten en TikTok-konto.
• Family Pairing-innstillingen gjorde det mulig for kontoer å pare kontoen sin med en barnekonto uten å bekrefte at de var forelder eller foresatt, og på den måten aktivere direktemeldinger for brukere mellom 16 og 17 år.
• For lite transparens i informasjonen til barnebrukere
• TikTok brukte såkalte «dark patterns», på norsk gjerne kalt manipulativ design, for å få brukerne til å velge alternativer med mindre personvern i registreringsprosessen, i tillegg til når de postet videoer.

Av takeaways fra denne saken, tror jeg nesten at det som er mest praktisk for mange, er at det blir satt fokus på manipulativ design. Det er ikke så mange avgjørelser som handler om dette enda, selv om det snakkes en god del om det. Det kan altså være grunn til å legge noe mer vekt på å ha en “fair” design fremover når tjenester og grensesnitt utvikles.

Du finner DPCs avgjørelse her:

https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf

---

PRIVATLIVETS FRED

NYPD vil bruke droner for å overvåke bakgårdsfester

New York-politiet (NYPD) planlegger å ta i bruk droner for overvåkning av ulike arrangementer, inkludert bakgårdsfester. Planen har vakt protester fra flere aktivister som mener at slik droneovervåking er en krenkelse av privatlivets fred.

Rundt 1400 politistasjoner i USA bruker droner i en eller annen form, ifølge en fersk rapport fra American Civil Liberty Union. Hittil har bruk av droner imidlertid bare vært begrenset til operatørens synsfelt eller i forbindelse med nødssituasjoner. Ifølge rapporten er bruken av droner “klar til å eksplodere” blant politiet i USA.

Les hele artikkelen her:

https://apnews.com/article/drones-labor-day-eric-adams-nypd-jouvert-c2787e87bcad8fa87aa8d34b454ee6cf

---

STORBRITANNIA

Personvern i UK er ikke helt som i Europa

Storbritannias Innenriksdepartementet (Home Office) er anklaget for å drive hemmelig lobbyvirksomhet til fordel for Facewatch, et selskap som tilbyr teknologi for ansiktsgjenkjennelse drevet av kunstig intelligens. Kritikere av teknologien hevder at den bryter menneskerettighetene og er unøyaktig og partisk, spesielt mot mennesker med mørk hud. Til tross for utbredt bekymring over teknologien, har den allerede blitt introdusert i hundrevis av butikker i Storbritannia for å identifisere butikktyver.

Information Commissioner’s Office (ICO, datatilsynet i Storbritannia) konkluderte 31. mars at det ikke var påkrevd med tiltak mot Facewatch, da “selskapet har et legitimt formål med å bruke personopplysninger for å oppdage og forebygge kriminalitet”. Nylig ble det imidlertid avslørt at Storbritannias innenriksdepartement skrev til ICO, og gjorde det klart at ansiktsgjenkjenning for å bekjempe detaljhandelskriminalitet var en viktig politisk agenda for Chris Philp, Storbritannias politiminister. Innenriksdepartementet skrev også at Chris Philp ville ta kontakt med ICO dersom ICOs konklusjon ikke var positiv.  Den tilsynelatende trusselen kom to dager etter et lukket møte 8. mars mellom Philp, seniorembetsmenn i innenriksdepartementet og Facewatch.

Flere aktivister har nå krevd en uavhengig gransking av innenriksdepartementets innflytelse på ICO. Både ICO, innenriksdepartementet og Philp avviser å ha påvirket ICO.

Les mer:

https://www.theguardian.com/technology/2023/sep/02/home-office-accused-of-secret-lobbying-for-facial-recognition-spy-company

Litt mer fra Storbritannia  

Den britiske regjering har gjort endringer i sitt kontroversielle lovforslag om nettsikkerhet (Online Safety Bill), og viser tegn til å mykne sin stilling til ende-til-ende-kryptering (E2EE). Lovforslaget, som tar sikte på å bekjempe skadelig innhold på internett, vakte opprinnelig bekymring for å kompromittere sikkerheten til private meldinger på kommunikasjonsplattformer.

E2EE er en krypteringsmetode som sikrer at kommunikasjonen forblir trygg ved å holde dekrypteringsnøklene skjult, selv for plattformtilbydere. Det foreslåtte lovforslaget truet med å svekke denne sikkerheten ved å gi Ofcom (Storbritannias regulerings- og konkurransemyndighet for kommunikasjonsindustrien) makten til å kreve bruk av “akkreditert teknologi” for moderering av innhold, noe som ville kreve identifisering og fjerning av ulovlig innhold.

Store teknologiselskaper som WhatsApp, Apple og Signal kom med innvendinger og advarte om at de heller ville forlate Storbritannia enn å la dette gå på bekostning av brukernes personvern.

Nå kan det imidlertid virke som at den britiske regjeringen har tatt til seg kritikken, og den har kommet ut med beskjed om at teknologiselskaper ikke vil bli pålagt automatisk skanning av digital kommunikasjon.  I realiteten er det imidlertid lite som tyder på at regjeringens syn har endret seg. Den kontroversielle delen av lovforslaget vil ikke bli fjernet, noe som betyr at det fortsatt vil innføres en bakdør som undergraver ende-til-ende kryptering. Den eneste endringen er at den britiske regjeringen nå har sagt at den ikke vil tvinge teknologiselskaper til å faktisk håndheve dem.

Det gjenstår å se om Storbritannias lovforslag om nettsikkerhet vil bli implementert eller om den vil bli droppet helt. I mellomtiden kan regjeringens beslutning ha stor innvirkning på lignende lovgivning som forhandles i EU.

---

PERSONOPPLYSNINGER

Personvern i biler kommer til å bli et tema

En undersøkelse gjennomført av Mozilla viser at ingen av de store bilmerker klarer å oppfylle de mest grunnleggende personvern- og sikkerhetsstandardene i sine nye internett-tilkoblede modeller. Jeg er ikke spesielt overrasket og tror nok at dette er et felt som vil få mer oppmerksomhet fremover. Ingen av de 25 bilmerker som ble undersøkt bestod Mozillas test. Noen bilprodusenter, som Nissan og KIA, har også blitt kritisert for å samle inn og behandle svært sensitive personopplysninger, inkludert genetisk informasjon og helseopplysninger, for markedsføringsformål. Noen biler samler inn informasjon “race, facial expressions, weight, health information, and where you drive”. Det er en ganske kraftig opplysningsmiks.

“Alle nye biler i dag er personvernmareritt på hjul som samler enorme mengder personlig informasjon”, uttalte Jen Caltrider, programdirektør for Privacy Not Included-prosjektet, i en pressemelding.

Mozilla oppdaget også at mange bilmerker praktiserer “privacy washing”, det vil si at de gir forbrukere informasjon som tyder på at de ikke trenger å bekymre seg for personvernspørsmål når virkeligheten er en helt annen. Rapporten kritiserer også hva selskapene regner som samtykke. Subaru sier for eksempel at ved å være passasjer i bilen regnes du som en “bruker” som har gitt selskapet samtykke til å innhente informasjon om deg. Det er jo en interessant vinkling på hva samtykke skal være. Mozilla viser videre til at en rekke bilmerker sier at det er sjåførenes ansvar å informere passasjerene om bilens personvernregler. Jeg tror ikke så mange sjåfører er klar over hvordan opplysningene brukes overhodet. Det er nok helt fint at det blir mere søkelys på dette.

Les mer her:

https://gizmodo.com/mozilla-new-cars-data-privacy-report-1850805416

---

INNSYNSBEGJÆRINGER

Spiller motivet bak en innsynsbegjæring en rolle? Ikke denne gangen

En tysk domstol kom til at et krav om innsyn ikke er “overdreven”, selv om den forfølger andre formål enn personvern. I denne saken økte forsikringsselskapet en forsikringspremie, noe forsikrede mente var ulovlig. Forsikrede fremsatte dermed krav om innsyn i opplysninger knyttet til premieøkninger, men selskapet nektet innsyn.

Forsikrede utfordret lovligheten av premieøkningen i retten og ba dommeren om å pålegge selskapet å gi tilgang til opplysninger om premieøkninger. Den tyske domstolen kom til at forsikrede hadde rett til innsyn, og viste til at slik informasjon er å regne som personopplysninger i henhold til artikkel 4(1) GDPR. Videre mente den tyske domstolen at det var uten betydning hva som var motivasjonen bak innsynskravet. Domstolen kunne derfor ikke se at kravet var “overdreven” i henhold til artikkel 15 GDPR, og klager fikk medhold.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=OLG_Koblenz_-_10_U_1633/22&mtc=today

---

2 x SAMTYKKE

Tilsynene er opptatt av samtykker

Den 18. juli 2023 bøtela det italienske datatilsynet et italiensk selskap Compara Facile med 40 000 euro for å ha gjennomført markedsføringssamtaler pr. telefon, uten å ha innhentet informert samtykke fra de registrerte.

Det italienske datatilsynet avdekket at Compara Facile, etter å ha kjøpt personopplysningene fra et selskap i Moldova, kontaktet personer for å spørre om de var interessert i å motta kommersielle tilbud, og deretter sendte dem en tekstmelding med en lenke til en nettside der de kunne gi sitt samtykke. Det italienske datatilsynet fant at den første telefonkontakten fant sted uten samtykke fra den enkelte, og uten at den enkelte fikk tilstrekkelig informasjon om behandling av personopplysninger. Det italienske datatilsynet konstaterte dermed flere brudd på GDPR.  

Les hele avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9921112&mtc=today

I en lignende sak, som også gjaldt samtykke til digital markedsføring, konstaterte det italienske datatilsynet igjen brudd på GDPR. I denne saken fant det italienske datatilsynet at Tiscali Italia ga utilstrekkelig informasjon til sine brukere, da Tiscali Italia ikke opplyste om noen tidsbegrensning for lagring av personopplysninger for markedsføringsformål. Det italienske datatilsynet bemerket også at Tiscali Italia hadde utført såkalte “soft spam” aktiviteter, ved å sende tekstmeldinger til over 160 000 kunder som ikke hadde gitt samtykke til å motta reklame. Boten ble satt til 100 000 euro.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9920942&mtc=today

---

BOT TIL FORSIKRINGSSELSKAP

Informasjonssikkerhet er viktig 

Den svenske databeskyttelsesmyndigheten (IMY) ga Trygg-Hansa en bot på 35 millioner svenske kroner.

Om lag 650.000 kunder hos det svenske forsikringsselskapet Trygg-Hansa har hatt sine personopplysninger åpent tilgjengelig på nett. Ved å endre noen sifre i URL-en, kunne kunder få tillgang til andre kunders dokumenter. Problemet var så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mente IMY. Sikkerhetseksperter jeg har snakket med, bekrefter at dette var en helt elementær feil.

Problemet varte fra oktober 2018 til februar 2021, og eksponerte personnumre, økonomisk informasjon, kontaktinformasjon og helseopplysninger.

Saken finner du her:

https://www.imy.se/nyheter/sanktionsavgift-pa-35-miljoner-mot-trygg-hansa/

---

EUs DIGITALE MARKEDSLOV

EU har pekt ut hvem som skal være DMA-portvoktere   

EU har nå identifisert 22 digitale plattformer, som skal som skal fungere som portvoktere i henhold til EUs digitale markedslov (DMA). Disse teknologigigantene vil være underlagt spesifikk og strengere forpliktelser under DSA-regelverket fra mars 2024. Regelverket er ikke direkte relevant for den gjennomsnittlige virksomheten i Norge, da det primært retter seg mot de største plattformene. Så for den gjengse bruker, er dette mest relevant fra vårt ståsted som brukere av plattformene. DMA skal som kjent sikre rettferdig konkurranse og sluttbrukerens rettigheter. EU forventer at de nye reglene vil skape nye muligheter, innovasjon og begrense urettferdig praksis fra portvoktere. Av de vedtatte tiltakene kan det blant annet nevnes at portvoktere vil bli pålagt å gi tredjeparter mulighet til å interagere med portvokters egne tjenester i nærmere angitte situasjoner. Det vil også være forbudt for portvoktere å gi egne varer og tjenester bedre rangering enn tilsvarende varer og tjenester som tilbys av tredjeparter på portvokters plattform.

For å bli utpekt som portvokter må selskapet ha over 45 millioner aktive lokale brukere, en omsetning på over 7,5 milliarder euro de tre siste årene, eller en markedsverdi som overstiger 75 milliarder euro. På listen finner man derfor en rekke teknologiganter, blant annet Amazon, Apple, TikTok, Facebook, Instagram Google, Microsoft, mfl.

Hvis selskapene bryter det nye lovverket, kan de få en straff på opptil 10 prosent av den globale årlige omsetningen, eller opptil 20 prosent for alvorlige lovbrudd.

---

CYBERSIKKERHET

En liten personverngladnyhet på tampen  

Det trønderske teknologiselskapet Secure Practice har fått et EU-oppdrag verdt 29 millioner kroner for å forsterke cybersikkerheten i hele Europa. Det skjer mindre enn to år etter at selskapet fikk testet ideene sine i Datatilsynets regulatoriske sandkasse. Secure practise anslår at 85% av sikkerhetsbrudd skyldes menneskelig feil og tilstreber å redusere risikoen for dette gjennom personalisert trening gjennom en AI-basert skyløsning. Som den første norske virksomheten som mottar støtte gjennom Digital Europe, står Secure Practice i en sjelden posisjon for å bidra til vår digitale fremtid. Med EU som oppdragsgiver, kan selskapet bygge betydelige nettverk og samarbeid på tvers av hele Europa.

Les mer her:

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/eu-satser-pa-norsk-sandkassegaselle/

---

KOMMENDE MØTER

19. okt 14.00 – 16.00 Digitalt nettverksmøte

16. nov 12.00 – 13.00 Digital drop-in

7. des 14.00 – 17.00 Nettverksmøte, Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.