Nå går vi inn i juli og første halvdel av 2023 er bak oss. Med personvernbriller på, er det ganske klart at det er et ungt regelverk vi forholder oss til og at det er hyppige justeringer. Det har jo ofte kommet viktige saker fra domstoler i EU og fra EDPB like før sommerferien – og det kan skje i år også. Gjerne litt før de tar ferie i Europa – sånn omtrent midt i juli med tilhørende avbrutt sommerferie. Vi får se. 

Det er den femte sommeren vi har nå etter at GDPR trådte i kraft. Personvernet er langt fra blitt perfekt, men gjennomgående har personvernet blitt bedre enn hva det var. Selv om jeg også er enig i at en del av dokumentasjonskravene i EDPBs veiledere er (unødig) omfattende og vanskelig å forholde seg til. Jeg har ofte tenkt at menneskers opplysninger brukes på stadig nye områder og at noe av det viktigste er at vi får informasjon om hvordan de brukes. Så er det ikke så farlig om ikke alle bryr seg, det er helt OK at bare noen gjør det.

Hva har vært viktigst i første halvår? Jeg mener vi har sett fire temaer som er viktige. 

󠀡✔️Den aller største boten er nå gitt til Meta for brudd på reglene om overføring til tredjeland/USA – anslagsvis 14 milliarder norske kroner. Den vil bli bestridt, selvfølgelig, men fremover risikerer oppegående selskaper å rammes av at dette er ment å være en “signal-bot” som er et varsko for andre. Jeg tror ikke at “frisøren på hjørnet” vil kjenne på dette, men for mange store selskaper er dette viktig. Og om du ikke får bot, men beskjed om å stanse overføringene du har? I praksis er det like ille som en bot for mange.

✔️ En annen svært viktig sak er den nå såkalte SRB-saken om pseudonymiserte personopplysninger. Kan det være slik at det er pustet liv i Breyer-dommen fra 2016 og at opplysninger som besitteren selv ikke kan re-identifisere, kan anses som anonyme og “unnslippe” GDPR? Konsekvensene kan bli svært store. Klagefristen for SRB-dommen går ut etter at dette nyhetsbrevet er skrevet ferdig. Mange har heiet på dette og sagt at dette er en mer pragmatisk tolkning av GDPR. Jeg tror neppe det blir mindre arbeid hvis dette blir stående – for da må man dokumentere og vurdere konkret hvilke muligheter for re-identifisering mottakeren av pseudonymiserte personopplysninger har. Men det er klart – det er fristende å kunne anse pseudonymiserte opplysninger som anonymiserte. Sammen med flinke kolleger hadde jeg en kronikk om dette i Digi som kan være verdt å lese.
 

✔️ For lesere i Norge, er det videre verdt å merke seg at Personvernnemnda blir mindre viktig fremover. Dette vises gjennom saken om SATS, der klagemuligheten til nemnda ble erstattet av å måtte ta en klage inn for domstolene – fordi saken hadde relevans til flere land og da kan den nasjonale nemnda ikke brukes. Det er veldig mange norske og skandinaviske bedrifter som har en tilsvarende aktivitet i utlandet, slik SATS har. Og det er dyrere å klage i rettsapparatet enn til Personvernnemnda. Men dette har blitt en realitet og vi ser det i flere saker fra tilsynet nå. 

✔️ Trenden fra tilsynene og domstolspraksis er at innsynsretten tolkes ganske bokstavelig og tro til bakenforliggende prinsipper om transparens. Det blir bra personvern av det – men det kan komme som en overraskelse for noen behandlingsansvarlige. Tenk deg at du må fortelle om alle databehandlere du bruker og hvor personopplysningene befinner seg. En utfordring – ja, for de aller fleste.

Under finner du mine kommentarer til noen av de andre mest spennende sakene den siste måneden. Jeg er sikker på at det vil skje mye til høsten også, gleder meg til det.
Ha en riktig god sommer, ta en velfortjent pust i bakken – og så blir det fint med nye møter og diskusjoner i nettverket til høsten! 

Hilsen Eva

---

OVERFØRING TIL USA

Finsk datatilsyn beordrer stans av bruk av Google Analytics og reCAPTcha

Det finske datatilsynet har gitt det meteorologiske instituttet i Finland en irettesettelse på grunn av overføring av personopplysninger til USA ved hjelp av overvåkningsteknologier. Instituttet har brukt både reCAPTCHA” og Google Analytics (GA) på nettsiden sin.  

Datatilsynet konkluderte med at instituttet ikke hadde rettslig grunnlag for overføringen av personopplysninger som bruken av reCAPTCHA og GA medførte. Instituttet hadde heller ikke umiddelbart stoppet overføringen av opplysninger etter EU-domstolens Schrems II- avgjørelse.  De hadde heller ikke gjennomført en DPIA/personvernkonsekvensutredning. 

Det har vært mye snakk om GA det siste året, og i Norge venter vi fremdeles på hva Datatilsynet vil mene om saken mot Telenor. Det kan jo fremdeles tenkes at det kommer en avgjørelse før sommerferien begynner. Mulighetsrommet for at de velger å være fleksible og legge vekt på at det ikke har vært innsynsbegjæringer mot GA, kan virke som å bli innsnevret når disse avgjørelsene mot GA er ganske like.  Men jeg mener det burde kunne la seg gjøre. SRB-saken viser jo at “etablerte” sannheter innenfor GDPR kan utfordres. 

Les mer her.

---

INNSYNSBEGJÆRINGER

Svarfrist på innsynsbegjæring forlenges ikke på grunn av medarbeideres sykdom

Det har vært en del saker om innsynssaker i det siste. Jeg tror det kommer til å bli flere av dem. Folk flest er i ferd med å bli klar over hva de har rett til å få vite og det er saker som utvider dette også. Den svenske Spotify-saken er en av dem. Denne fra det belgiske datatilsynet viser at det ikke er så enkelt for den behandlingsansvarlige å vise til sykdom som unnskyldning for å utsette å svare, heller. 

En tidligere leietaker ba om innsyn i personopplysninger etter GDPR art. 15 hos utleieren (den behandlingsansvarlige). Innsynsbegjæringen ble sendt 2. desember 2019. Den behandlingsansvarlige svarte den 31. desember 2019 at svartiden måtte forlenges med to måneder. Klageren fikk imidlertid ikke svar før 2. september 2020, altså 10 måneder etter at anmodningen først ble sendt. I svaret ble  heller ikke alle spørsmål i anmodningen besvart, fordi de hevdet at de etterspurte opplysningene ikke var omfattet av GDPR art. 15. 

Da klagde den berørte personen den personopplysningsansvarlige inn for det belgiske datatilsynet (GBA). GBA understreket viktigheten av at GDPR art. 15 følges og konkluderte med at den behandlingsansvarlige ikke hadde svart på anmodningen innen den opprinnelige fristen og heller ikke etter den forlengede fristen på to måneder. Dette kunne ikke unnskyldes med at den ansvarlige for saken var langtidssykemeldt. 

Innsynsbegjæringer må besvares med informasjon om hvilke konkrete databehandlere man har delt opplysninger med – og i mange tilfeller også hvilke av ens egne ansatte som har fått opplysninger. Følgelig forelå det en overtredelse av GDPR art. 15.1, 12.3 og 12.4. 

Avgjørelsen finnes her hos GBA.

---

RETTET ANNONSERING

Flere store bøter om “targeted ads”?

Som kjent har retargeting og bruk av personopplysninger i reklameøyemed gitt opphav til mange store bøter. Nå skrives det at det irske datatilsynet (DPC) var varslet Microsoft om et overtredelsesgebyr til Linkedin. Saken startet med at DPC etterforsket klager mot LinkedIn om at de drev ulovlig målrettet reklame. Microsoft har nå fått et forhåndsvarsel fra DPC med en tentativ bot på i underkant av 5 milliarder norske kroner for uhjemlet retargeting. 

Avgjørelsen er ikke offentlig enda, men Microsoft bestrider selvfølgelig kravet. Det er enda ikke klart når den endelige avgjørelsen fra det irske datatilsynet vil foreligge. Samtidig ser vi at både praksis hos noen store aktører (Google) og endringer i regelverk går i retning av eksplisitte samtykker for retargeting.  Personvern er fremdeles et ungt fagområde i rask endring og det at datatilsynene har brukt en del tid (les: år) på å koordinere seg om hvordan GDPR skal tolkes, har nok gjort at en del aktører har lagt seg på utvidende tolkninger. Det kan se ut som om det strammes inn nå, men det kommer til å både ta tid og å skape mange diskusjoner. Og bruker du retargeting overfor dine kunder – så er det all grunn til å følge med på utviklingen.

Les mer om Microsoft-saken her. 

---

PERSONOPPLYSNINGER OM BARN

Og mens vi snakker om Microsoft – de har utfordringer i USA også

Microsoft har inngått et forlik på 20 millioner dollar med den føderale handelskommisjonen (FTC) for å avslutte en anklage om å samle inn personopplysninger om barn uten foreldrenes samtykke og i noen tilfeller oppbevare de i flere år. 

Bruddet er en krenkelse av the children’s online privacy protection act (COPPA) som skal verne privatlivet til barn under 13 år. Loven krever at selskap som samler inn personopplysninger varsler foreldrene om opplysningene som samles inn og at disse gir tillatelse. I tillegg skal personopplysninger som ikke lenger er nødvendig å oppbevare, slettes. 

FTC påstår at barn som oppretter brukere i Microsoft Xbox må oppgi en rekke personopplysninger samt at de har en forhåndsutfylt “sjekkboks” som tillater Microsoft å dele personopplysningene med annonsører. Microsoft skal ha samlet opplysningene før de innhentet samtykke. I tillegg bevarte de opplysningene selv om foreldrene ikke fullførte opprettelsen av brukeren. 

X-box sjef Dave McCarthy mener at oppbevaringen av personopplysningene skyldes en teknisk glipp og at opplysningene aldri på noen som helst måte ble brukt eller delt. 

FTC krever nå at Microsoft må varsle foreldre og innhente samtykke for oppbevaring av opplysninger for alle brukere som er opprettet før mai 2021. I tillegg må Microsoft iverksette nye systemer for å slette barns personopplysninger dersom samtykke fra foreldre ikke er innhentet samt sikre at opplysninger er slettet når det ikke lenger er nødvendig å oppbevare de. 

Det har vært mye aktivitet for FTC i det siste. Denne saken var deres tredje COPPA-relaterte sak de siste ukene. Herunder en sak mot Amazon som oppbevarte opptak fra den velkjente Alexa plattformen til tross for forespørsler fra foreldre om å slette opptakene. 

Hele saken kan du lese om her.

---

VEILEDER FOR GEBYR

EDPB har offentliggjort sin endelige veiledning for utmåling av overtredelsesgebyr

Retningslinjene skal sørge for at bøter beregnes på (omtrent?) samme måte i de europeiske landene. Det er selvfølgelig artikkel 83 som er styrende, men de har laget en metode som skal anvendes i fastsettelsen av botens størrelse. 

Det er tre elementer som skal være styrende: overtredelsens art, alvorligheten av overtredelsen og omsetningen til overtrederen. Selv om dette kan virke sjablongmessig, er skjønn fremdeles sentralt. EDPB skriver selv at skjønn må med. Det er altså ingen automatisk standard beregning, men det skal foretas en konkret vurdering av alle omstendigheter i hver enkelt sak. I tillegg skal man ta hensyn til formildende omstendigheter. Dette er likevel et viktig bidrag til rammeverket for å få til et mer effektivt samarbeid mellom tilsyn i grensekryssende saker. 

Selv om de endelige retningslinjene stort sett er i overensstemmelse med tilbakemeldingene fra den offentlige høringen, så innebærer de endelige retningslinjene en endring i hvordan størrelsen på et foretak skal vektlegges for å fastlegge startsatsen. Det som defineres som mindre alvorlige brudd kan gis mellom 0-10% av maksimumsstraff, medium brudd gis mellom 10-20% av maksimumsstraff og alvorlige brudd skal ha mellom 20-100% av maksimumsstraffen. Det er klart det vil bli diskusjon om hvilken kategori et brudd havner i – hittil har tilsynene hatt en tendens til å anse brudd på grunnleggende rettigheter som alvorlige. Det skal også tas hensyn til et selskaps omsetning (og bæreevne) og de har innført “startnivåer” for bøter for ulike typer omsetning. 

Vi kommer til å få se mye diskusjon om dette fremover i sakene om ilagte bøter.

Veiledningen er tilgjengelig her.

---

HJELP TIL Å KLAGE

Det er de få som er opptatt av personvern, som sikrer de manges personvern

Dette er et utsagn som har vært sagt mange ganger og det er helt sant. Og da er det nyttig at folk klager på brudd på personvern.

Nå hjelper EDPB folk å klage. De har utviklet en mal for et klageskjema samt kvittering for mottak av klage. Målet er å gi klageren generell informasjon om neste steg etter en klage og å underrette om retten til effektiv håndhevelse av avgjørelsene fra tilsynene. Malene skal også gjøre det enklere for tilsynene å behandle klager i grenseoverskridende saker. 

Malene tar høyde for forskjeller i nasjonal lovgivning og tillater tilsynene å gjøre tilpasning til egne lover. EDPB har også kommet med oppdaterte versjoner for søknad om godkjennelse av “BCR”, Binding Corporate Rules, for behandlingsansvarlige. Anbefalingene oppdaterer det eksisterende BCR-C referansedokumentet. EDPB utvikler for tiden en tilsvarende anbefalingsmodell for databehandlere (BCR-P). 

Les mer om dette her.

---

INNSYN PÅ EGET SPRÅK

I Sverige har IMY gitt Spotify en stor bot

Når brukere av Spotify krever innsyn i sine personopplysninger, gir Spotify ut tre typer informasjon; profilinformasjon, historikk linket til brukerens personopplysninger og spesifikk informasjon som en bruker krever å få utlevert. Informasjonen gis i et såkalt teknisk JSON format. 

Det svenske datatilsynet, IMY, mener det er tilstrekkelig at informasjon gjøres tilgjengelig gjennom en nettbasert løsning. Imidlertid er det helt avgjørende at informasjonen blir formulert på en slik måte at den oppfyller formålet med innsynsbegjæringen. Brukeren skal kunne sette seg inn i hvordan personopplysningene blir behandlet og at behandlingen er i tråd med loven. 

Spotify hadde ikke tilpasset informasjonen til en bruker-spesifikk situasjon, noe som vanskeliggjorde prøvingen av om behandlingen av personopplysningen var i tråd med loven. I tillegg var informasjon ikke lett tilgjengelig og for uklar og generell når den først ble gitt som gjorde det vanskelig for vanlige brukere å forstå den. 

Tredelingen av opplysninger mente ikke IMY at var et brudd på artikkel 15 fordi brukeren har mulighet til å få alle opplysningene samtidig ved å henvende seg til kundeservice. Formateringen av opplysningene (JSON format) var også generelt sett tilstrekkelig. Imidlertid ble tekniske opplysninger om historikk bare gitt på engelsk. Det er et krav etter artikkel 12 at opplysninger etter artikkel 15 må gis i en konsis, tydelig og forståelig form og på et forståelig og klart språk. Datatilsynet konkluderte derfor med at å bare gi informasjon på engelsk var et brudd på artikkel 12. 

Datatilsynet tilføyde at dersom det er uklart hvilke opplysninger en innsynsbegjæring gjelder, så skal den behandlingsansvarlige legge til grunn at brukeren ønsker innsyn i alle personopplysninger. 

Etterforskningen endte med en bot på 50 millioner svenske kroner.

Saken er omtalt hos NOYB her.

---

TREDJELAND OG BESKATNING

Kan skatteopplysninger om amerikanske borgere overføres til USA ihht FATCA?

EDPB ba i april 2021 medlemslandene i EU/EØS om å vurdere, og eventuelt revidere bilaterale avtaler som pålegger overføring av personopplysninger til tredjeland i forbindelse med beskatning. Organisasjonen Association of Accidental Americans (AAA) har i et brev til EDPB påpekt at det har gått svært lang tid uten at det har skjedd noe hos medlemslandene. Frem til nylig.  

Flere amerikansk/belgiske statsborgere bosatt i Belgia ble varslet av banken deres om at den måtte opplyse om bankkontoene, herunder innestående og annet, relatert til formue på grunn av FATCA avtalen. Denne avtalen pålegger blant annet banker å opplyse lokale skattemyndigheter om bankkontoer som amerikanske borgere har opprettet i utlandet. Deretter rapporterer de lokale myndighetene videre til USA. Det belgiske datatilsynet mener avtalen er i strid med GDPR. 

Etter GDPR art. 96 så påvirkes ikke internasjonale avtaler som er inngått før ikrafttredelsen av GDPR, av GDPR. Men datatilsynet mente at unntaksvis må reglene i GDPR likevel slå gjennom dersom bruken av art. 96 får uforholdsmessige konsekvenser for rettighetene til klagerne. 

Datatilsynet mente videre at FATCA-avtalen ikke inneholder et tilstrekkelig klart angitt formål og derfor er det ikke mulig å undersøke i hvilken grad behandlingen av personopplysninger er nødvendig for å ivareta formålet. FATCA-avtalen var heller ikke i tråd med prinsippene om nødvendighet og forholdsmessighet, den inneholder ingen beskyttende tiltak og nevner ikke personvernet til de som får sine personopplysninger behandlet gjennom avtalen. 

Som behandlingsansvarlig, hadde de belgiske skattemyndighetene heller ikke gitt tilstrekkelig informasjon om behandlingen av personopplysninger slik GDPR artikkel 13 og 14 foreskriver og de hadde ikke foretatt en DPIA/konsekvensutredning av det å dele personopplysninger med USA. Belgiske skattemyndighetene hadde ikke iverksatt tiltak for å sørge for at delingen av personopplysninger var i overensstemmelse med GDPR. Følgelig vedtok det belgiske datatilsynet et forbud mot å behandle klagernes personopplysninger etter FACTA-avtalen. 

Norge har også signert FATCA-avtalen med USA, og det var en del diskusjoner om personvern da den ble undertegnet. Så langt kan jeg ikke se at det har kommet diskusjoner tilsvarende den i Belgia. 

Les mer her

og her

---

HJELP HR-SJEFEN!

Og atter en påminnelse om at HR-opplysninger skal behandles klokt

Hovedstadens beredskapstjeneste i Danmark oppdaget at det nye arkiveringssystemet deres (ESDH), ga alle ansatte tilgang til nåværende og tidligere ansattes personopplysninger. Herunder navn, personnummer og adresser (også skjulte). Dette gjaldt totalt 2000 ansatte. Etter en nærmere undersøkelse avdekket den behandlingsansvarlige at seks forskjellige brukere hadde brukt tilgangen uten at det hadde relevans for utførelsen av jobben deres. 

Det danske datatilsynet valgte å kritisere beredskapstjenesten, men ga ikke bøter (det er sjelden det gis bøter i Danmark fordi det må gjennom politiet). 

I andre europeiske land ser vi mye oppmerksomhet på hvem som har tilgang til HR-data. Reglene vil jo være de samme i Norge, men foreløpig er det ikke mange saker om dette her. Men det kan endre seg. 

Det kan være lurt å sjekke tilganger til HR-data, hvor lenge de oppbevares og om de ligger i skytjenester som kan medføre overføring til USA – da trengs en TIA (transfer impact asessment). Også når leverandøren er skandinavisk, men bruker en underleverandør som er amerikansk. Jeg hadde nylig møte med en HR-sjef som “plutselig forsto” at vedkommendes norske avtalepart hadde amerikanske underleverandører og at det utløste en tredjelands-situasjon. Fint for vedkommende at det dukket opp i samtale med meg, og ikke med Datatilsynet. Hjelp din egen HR-sjef!

Les mer om den danske saken her.

---

AI Act

Status på AI Act – snart ferdig og med nesten dobbelt så store bøter som i GDPR?

Etter at Europaparlamentet den 14. juni foreslo endringer i den opprinnelige lovteksten utarbeidet av kommisjonen, foregår det nå trilogforhandlinger om et endelig resultat. De som sitter tett på Brussel angir litt ulike tidsscenarioer for når vi får en endelig forordning, men gitt den oppmerksomheten AI har for tiden, kan dette gå fort. Det er samtidig verdt å merke seg at GDPR ikke “forsvinner” med AI Act. En databehandler må fremdeles ha hjemmel i GDPR, men det er en rekke formkrav i tillegg i AI Act. 

Bøtenivået i AI Act er lagt vesentlig over nivået i GDR, det foreslås følgende: 

• Brudd på regelverket om forbudte AI metoder kan gi grunnlag for bøter opp til 40 millioner euro eller 7 % av den årlige omsetningen til foretaket. 
• Brudd på art. 10 og 13 om transparens og personvern kan gi bøter opp til 20 millioner euro eller 4 % av årlig omsetning. 
• Andre brudd på AI Act kan gi bøter opp til 10 millioner euro eller 2 % av årlig omsetning. 

Parlamentet har gjort en rekke endringer, hvorav noen av de viktigste er: 

• De tar hensyn til “generativ” AI.
• Ved bruk av generativ AI pålegges også en informasjonsplikt om at generativ AI er brukt.
• Flere AI-systemer defineres som “høy risiko” – særlig de som anbefaler innhold til brukere av sosiale medier. 
• Individene har fått klagemulighet til et tilsynsorgan, mye på samme måte som for GDPR.
• Det innføres særlige begrensninger i kontraktsvilkår om ansvarsbegrensning i avtaler om høy-risiko AI.

Det er mye å ta tak i her og det er relevant for svært mange. Vi skal se nærmere på dette i løpet av høsten. 

---

FORKLARE ALGORITMER

Det begynner å komme bøter for AI som ikke lar seg forklare

Som leser av dette nyhetsbrevet og dermed godt kjent med GDPR og teknologi-juss, vil du være godt kjent med utfordringene knyttet til det å forklare algoritmer og AI. Jeg har jo ikke fasiten på hvordan dette skal løses. Men det er interessant at det nå kommer saker der tilsynene ikke finner det akseptabelt at årsakene til en beslutning ikke kan forklares. 

En ny sak kommer fra Tyskland der en person hadde søkt om å få kredittkort og oppgitt en rekke personopplysninger. Vedkommende fikk automatisk avslag til tross for god kredittscore og høy inntekt. Personen ba da banken informere om hvorfor vedkommende fikk avslag, og banken nektet å utlevere disse opplysningene. Det tyske datatilsynet slo fast at når behandlingsansvarlige gir automatiske svar ved hjelp av algoritmer er de pålagt å gi konkret informasjon om databaser og faktorer som påvirker avgjørelsen. Saken endte med en bot på 300 000 Euro. 

Saken om Uber som jeg skrev om i forrige nyhetsbrev er også relevant, der det litt upresist ble skrevet og kritisert at AI’en kom med løsningsforslag som den ansatte mest aksepterte uten å ta stilling til resultatet. Det er også tydelig at AI-act eller ikke, så brukes ikke AI i dag i et rettstomt rom- det er mange regler rundt dette. 

Les om saken fra Tyskland her.

---

KOMMENDE MØTER

KOMMENDE MØTER

24. august 14.00 – 17.00   Nettverksmøte

14. sept 12.00 – 13.00   Digital drop-in

19. okt 14.00 – 16.00   Digitalt nettverksmøte

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Det nytter jo ikke å skrive at «nå har det skjedd mye» – fordi det er jo slik det er hele tiden med personvern. Det er stadig nye avgjørelser og tolkninger som må tas hensyn til og det er utfordrende.
Men GDPR er bare en 5-åring. Det er naturlig at det tar tid å få et så stort regelverk på plass når man skal ensrette praksis på et stort rettsområde i alle Europas land. Jeg tror nok at man trenger 5 nye år på at ting blir mer forutsigbart.

Personvernet har uansett blitt mye bedre i løpet av disse årene. Nå ser vi en trend til at personvern også blir viktigere i oppkjøpssituasjoner og det vil også bli en sterk driver for bedre personvern fremover. Den historisk høye boten til Meta er også viktig.
Mer om dette ogandre sentrale saker under.

Gratulerer med 5-års jubileum og god lesning!

Hilsen Eva

---

REKORDBOT

Meta bøtelagt med 1,2 milliarder euro

Meta er ilagt det største overtredelsesgebyret i GDPRs historie. Ulovlighetene bestod i at selskapet hadde overført opplysninger fra europeiske brukere til USA i strid med personvernordningen kapittel 5. Feilen ble ansett som svært alvorlig fordi Meta hadde overført opplysninger på en systematisk og repetitiv måte, i tillegg til at volumet av de overførte opplysningene var massivt. Boten er på ca 14 milliarder norske kroner.

Det europeiske personvernrådet (EDPB) har uttalt at boten må anses som et sterkt signal til selskaper om at alvorlige brudd på forordningens bestemmelser vil få vidtrekkende konsekvenser. Det er et viktig budskap, og jeg merker at flere nå er mer varsomme med å inngå avtaler som medfører overføring av personopplysninger til USA.

Meta har fått frist til oktober for å rette opp situasjonen eller stanse overføringene. Det er uklart om den nye avtalen om overføring av personopplysninger fra EU til USA vil være klar i tide for at Meta kan fortsette overføringene. Det ville jo være en fordel for Meta, men de påpeker selv i sine rapporter at det er usikkert om overføringssystemet vil være ferdig til den gitte fristen og at det kan skape problemer for selskapet. Mange av dem jeg har snakket med, tror ikke at den nye overføringsavtalen vil være på plass i tide.

Samtidig er det mange som spør seg om boten egentlig er streng nok. En alternativ fremgangsmåte kunne ha vært å pålegge selskapet krav om umiddelbar stopp av overføringer mellom EU og USA, samt umiddelbar sletting av personvernopplysninger fra amerikanske servere. I tillegg kunne Meta ha blitt pålagt en dagbot for hver dag som gikk uten at kravene ble etterkommet. En høy dagsmulkt ville også oppmuntre andre selskaper, i tillegg til Meta, til å sikre at deres egne handlinger er i samsvar med personvernforordningen.
Det er ikke utenkelig at en slik tilnærming med pålegg om stans, blir vanligere fremover.

---

SCHREEMS II

Hva betyr Schrems II-dommen for de store teknologiselskapene?

Schrems II-saken kom i 2020. Som dere vet, ble det vanskeligere å overføre personopplysninger til USA – og et spørsmål er jo hva dette betyr for amerikanske selskaper. Lenge har mange sagt at dommen i realiteten ikke medfører store endringer. Det spørs om det er riktig. Det er interessant å se hvordan dette nå omtales i en rekke av selskapenes års- og kvartalsrapporter.

I sin årsrapport for 2022 opplyser selskapet Alphabet at det eksisterer stor usikkerhet rundt bruken av kommisjonens standardkontrakter som grunnlag for overføring av personvernsinformasjon mellom USA og EU frem til EU vedtar personvernregelverket. Videre skriver de at myndighetenes sanksjonering av slik type overføring av personvernsopplysninger kan skade selskapets evne til å tilby visse funksjoner og begrense kundenes mulighet til å dra nytte av disse funksjonene.

I likhet med Alphabet uttaler Telefonica Deutschland i sin årsrapport fra 2022 at ugyldiggjøringen av Privacy Shield-rammeverket er egnet til å skape usikkerhet i ulike kontraktsforhold. Videre skrives det at det ikke virker å være enighet blant europeiske tilsynsmyndigheter om hvordan rettstilstanden for utveksling av personvernopplysninger skal forstås og at dette øker risikoen for at selskapene skal bli funnet skyldig i regelbrudd. Salesforce skriver at deres kostnad øker og det samme gjør kompleksiteten ved å tilby tjenester i «visse markeder». Vi får tro “visse markeder” er Europa. Microsofts kvartalsrapport angir at Schrems II-dommen fortsetter å skape usikkerhet rundt de rettslige kravene for informasjonsoverføring fra EU til USA. Det uttales videre at dommen har medført at enkelte tilsynsmyndigheter i EU har blokkert bruk av USA-baserte tjenester. De skriver også at strengere regler for overføring til USA vil kunne øke kostnadene og kompleksiteten ved leveringen av selskapets tjenester og produkter.

Oppsummert skriver selskapene at Schrems II-saken faktisk har innvirkning. Det er jo ikke overraskende, men for så vidt forfriskende at det skrives i klar tekst.

Jeg fant dette omtalt på LinkedIn i denne posten.

---

UENIGHET OM SANKSJONER

Det irske datatilsynet er i utakt med datatilsynene i øvrige EU-land

Selv om det irske datatilsynet DPC nå har kommet med den største boten i GDPRs historie, har det ofte vært uenighet mellom DPC og andre lands datatilsyn om nivået på sanksjoner. En rapport fra The Irish Council for Civil Liberties (ICCL) viser at tre fjerdedeler av det irske datatilsynets avgjørelser over en periode på fem år, har blitt tilsidesatt av det europeiske personvernrådet (EDPB).

EDPB har i disse sakene krevd strengere håndheving av regelbruddene enn hva det irske datatilsynet har konkludert med i sine avgjørelser. En tilsidesettelsesprosent på 75 prosent er åpenbart svært høy. Rapporten bemerker at det irske datatilsynet har en tendens til å bruke skjønnsfriheten under irsk lov til å lande på en «minnelig løsning», i stedet for å utøve håndhevelsestiltak mot den innklagede virksomheten. Rapporten hevder derfor at Irland er «flaskehalsen ved håndhevelsestiltak» for grenseoverskridende saker i Europa.

Når en stor del av de innklagede sakene mot tek-gigantene bare har blitt møtt med irettesettelser, har håndhevelsesmekanismen i stor grad vært paralysert. I fjor sommer kunngjorde den irske regjeringen at de ville ansette to ekstra kommisjonærer og forfremme Helen Dixon til styreleder for å bedre håndtere den økende arbeidsmengden til datatilsynet. Det er vel likevel usikkert om DPC kommer til å endre sin praksis. Jeg tipper at de vil fortsette å være mildere stemt enn andre tilsyn, og at andre tilsyn så vil protestere til EDPB, med den konsekvens at DPC må oppjustere sine gebyrer og ting vil egentlig bare ta litt lenger tid enn om DPC hadde endret praksis selv.

Rapporten er omtalt her.

---

INNSYN I AIs BESLUTNINGER

Sak mot Uber og Ola Cabs og bruk av AI

I en sak for Amsterdam Court of Appeal opprettholdt en gruppe sjåfører påstanden om at Uber og Ola Cabs hadde brutt personvernforordningen ved å bruke ugjennomsiktige algoritmer som beslutningsgrunnlag for bøteleggelse og avskjedigelse av sjåførene.

Uber forsvarte seg blant annet med at algoritmenes avgjørelser var blitt gjennomgått og evaluert av mennesker – en argumentasjonslinje som jo ofte brukes som en metode for å bruke algoritmer i saksbehandling. Det er derfor spesielt interessant at ankedomstolen avviste dette og sa at de menneskelige vurderingene ikke kunne anses for å være mer enn bare en symbolsk handling. Algoritmeavgjørelsene måtte dermed anses for å være foretatt automatisk.

Sjåførene hadde etter GDPR artikkel 22 rett til ikke å være gjenstand for automatiske beslutningsprosesser når det gjaldt avgjørelser som i betydelig grad påvirket dem – og det forelå dermed brudd på artikkel 22 i saken. I tillegg måtte også sjåførenes rett til informasjon etter GDPR artikkel 13-15 anses krenket.

Hva gjaldt sjåførenes rett til en forklaring på algoritmebeslutningene, anførte selskapene imidlertid at de måtte være berettiget til å holde tilbake informasjon som gjaldt funksjonaliteten til algoritmene som ble brukt til å oppdage svindel fordi slik informasjon måtte betraktes som forretningshemmeligheter og at deling av informasjon kunne muliggjøre en omgåelse av disse prosessene. Ankedomstolen imøtegikk dette med å si at tilbakeholdelsen av informasjon om algoritmenes funksjonalitet ikke var proporsjonalt holdt opp mot de negative effektene som sjåførene opplevde.

Dommen er viktig fordi den viser behovet for transparente algoritmeløsninger. Når sjåførene ikke gis informasjon om beslutningsprosessen, er det i praksis umulig for disse å vurdere rettferdigheten av algoritmene. Samtidig kan man lure på hvordan og om transparens overhodet kan gis – det vil jo avhenge av hvilke typer algoritmer som er i bruk. Men det er i alle fall klart at dette er en viktig avgjørelse for alle som planlegger bruk av AI.

Dommen er blant annet omtalt her.

---

TREJELANDSOVERFØRINGER

Kan Google Analytics være lovlig likevel?

I sin oppdaterte veileder om tredjelandsoverføringer skrev Datatilsynet nylig at det er nødvendig å iverksette ytterligere tiltak for overføring til land der lovgivningen er problematisk, med mindre det ikke er grunn til å tro at den problematiske lovgivningen vil ramme den konkrete overføringen. I vurderingen av om den problematiske lovgivningen vil bli anvendt på overføringen, presiserte tilsynet at det kan legges vekt på dataimportørens praktiske erfaringer samt erfaringer til lignende aktører i samme bransje.

I en bloggpost fra januar 2022 skrev Google at de ikke har hatt noen innsynsbegjæringer fra amerikanske myndigheter over en periode på femten år tilbake i tid fra januar 2022. Uttalelsene i bloggposten utgjør erfaringer som Google har opparbeidet seg over lang tid. Selskapet var ikke forpliktet til å avgi uttalelsen, og informasjon fra høytstående ansatte i selskapet må kunne klassifiseres som troverdig informasjon.

Datatilsynet har varslet nye retningslinjer for bruk av Google Analytics i Norge om kort tid. Det blir interessant å se om tilsynet tar Googles egne erfaringsuttalelser fra bloggposten i betraktning – noe som vil være i tråd med informasjonen de presenterer i deres egen veileder.

Jeg hadde en kronikk om dette i Digi sammen med noen kolleger, den finner du her.

---

EN REKKE NYE RETTSAVGJØRELSER

Samtykker til markedsføring

Dersom personopplysninger behandles med sikte på direkte markedsføring, har den registrerte rett til å protestere mot behandlingen av personopplysninger som angår vedkommende. Dersom den registrerte protesterer mot slik behandling, skal personopplysningene ikke lenger behandles for slike formål, se GDPR artikkel 21 (2) og (3). I årsrapporten for 2022 behandlet datatilsynet i den tyske delstaten Hessen en særsituasjon om dette. Situasjonen kan være praktisk for mange.

Sett at en kunde har handlet i en nettbutikk og reservert seg mot reklame der. Så handler kunden via selskapets app – kan man da sende reklame basert på dette kjøpet? I dette konkrete tilfellet, gjorde selskapet det. De forklarte det med at kundedataene fra app’en og nettbutikken var lagret ulike steder.

Datatilsynet i Hessen kom til at dette var ulovlig fordi reservasjonen mot reklame ikke avhenger av distribusjon eller underliggende tekniske løsninger.Kundens motsettelse av behandlingen måtte anses for gyldig frem til den ble trukket tilbake av vedkommende.

Av rapporten fremgår det videre at dersom det ikke er mulig for selskapet å ha en enhetlig kundeinformasjonsdatabase for nettbutikk- og app-kunder, må virksomheten utvikle andre tekniske og organisatoriske løsninger for å sikre at kundenes personvernrettigheter faktisk overholdes. Det er en påminnelse om at man bør tenke privacy by design fra dag 1 ved utvikling av nye tjenester.

Rapporten er tilgjengelig her.


Den behandlingsansvarlige kan pålegges bøter for databehandlers brudd på GDPR

I en ny sak fra EU-domstolen uttalte generaladvokat Emiliou seg om hvorvidt den behandlingsansvarlige kan pålegges ansvar – og dermed også en bot – som følge av databehandlers ulovlige behandling av personopplysninger. Generaladvokaten kom til at GDPR artikkel 83 ga grunnlag for at den behandlingsansvarlige er ansvarlig for databehandlerens brudd på personvernforordningen – selv om den behandlingsansvarlige selv ikke har begått noe lovbrudd. Dette vil naturlig nok gjelde mange som bruker databehandlere.

Den behandlingsansvarlige, altså oppdragsgiver, kan imidlertid ikke pålegges ansvar i ethvert tilfelle – bare når databehandleren handler innenfor rammene av de instrukser som den behandlingsansvarlige har gitt. Dersom databehandleren går utenfor dette mandatet og bruker opplysninger til egne formål, kan ikke den behandlingsansvarlige bli bøtelagt for databehandlers ulovlige behandling.

Dette betyr at de instrukser den behandlingsansvarlige gir, blir viktige. Spørsmål som må avklares er eksempelvis hvem som skal utstede instruksene og i hvilken form instruksene skal utstedes. I tillegg er det essensielt å klarere hva instruksene konkret omfatter: Desto vagere og mer skjønnsmessig instruksene er, desto større er risikoen for at den behandlingsansvarlige risikerer å bli bøtelagt for databehandlerens potensielle lovbrudd. Jeg tror mange databehandleravtaler kan bli bedre på dette.


Stor bot fra datatilsynet i Kroatia til inkassobyrå

I desember 2022 mottok det kroatiske datatilsynet en anonym klage hvor det ble hevdet at et inkassobyrå, Debt Collection Agency B2 Kapital, behandlet et stort antall av debitorenes personvernopplysninger ulovlig. Datatilsynet kom til at inkassobyrået ikke hadde informert debitorene om personvernbehandlingen på en tydelig og klar måte i tråd med GDPR artikkel 13. De hadde heller ikke databehandleravtale med databehandleren som hadde ansvaret for å overvåke personvernopplysningene ved forbrukerkonkurser. Datatilsynet konkluderte med at inkassobyrået ikke hadde tilstrekkelige sikkerhetstiltak og ga en bot på 2,265 millioner euro. Beslutningen er omtalt her.

Det finnes mange typer personvernrisiko som man må prioritere blant når man arbeider med personvern. Det er en betydelig risiko å behandle personopplysninger på måter som ikke er i samsvar med den informasjonen som er gitt til de registrerte. Dette er en viktig problemstilling som man bør ha spesielt fokus på under egenkontrollen i eget selskap – spesielt fordi jeg er redd for at det ikke er helt uvanlig med behandlinger som ikke er beskrevet i personvernerklæringene.
 Erstatning for enhver tort og svie ved GDPR-brudd?

I mai uttalte EU-domstolen i sak C-300/21 at ikke ethvert brudd på personvernforordningen utløser rett til erstatning etter forordningens artikkel 82. Saken omhandlet en østerrisk statsborger som saksøkte den nasjonale posttjenesten fordi posttjenesten hadde forutsagt innbyggeres politiske syn ut fra sosiodemografiske kriterier uten innbyggernes kunnskap eller samtykke.

EU-domstolen skrev at tre vilkår må være oppfylt for å kreve erstatning etter forordningen:

1. Behandlingen av personopplysninger må utgjøre et brudd på bestemmelsene i GDPR,
2. Individet som påberoper seg erstatning må ha lidt en skade,
3. Det må eksistere årsakssammenheng mellom den ulovlige behandlingen av informasjon og skaden som er oppstått.

GDPR inneholder ingen bestemmelser som gir retningslinjer for vurderingen av omfanget av erstatningen som det skadelidte individet har krav på. I mangel på slike bestemmelser er det medlemslandene selv som må utforme regler vedrørende dette. EU-domstolen påpeker at medlemslandenes bestemmelser må hensynta forordningens prinsipper om likebehandling og effektivitet.
En slik løsning vil imidlertid kunne lede til forskjellige tolkninger av kompensasjonsbegrepet i EU-landene, hvilket igjen vil kunne ha som konsekvens at summen på erstatningsutbetalingen vil være ulik avhengig av hvilket EU-land man bor i. Dette vil være uheldig i et overordnet perspektiv. Vi kommer nok til å se mange flere slike saker fremover.

Techcrunch har en god artikkel om saken her.

---

NY GUIDE

Personvernguide for små selskaper

EDPB har lansert en personvernguide for å hjelpe mindre bedrifter å tilpasse seg personvernreglene. Formålet er å øke bevisstheten rundt forordningen og å gjøre praktisk informasjon lettere tilgjengelig og mer forståelig. Dette er forsøkt gjort ved blant annet videoer og grafiske fremstillinger samt annet praktisk materiale.

Ved en nærmere gjennomgang av guiden kan det muligens innvendes at guiden i realiteten er nokså avansert for små bedrifter. Men sett i lys av at regelverket er komplekst, er det likevel begrenset hvor lett stoffet kan formidles.

Et eksempel på at guiden tross alt kan være nyttig for bedriftene, er beskrivelsen av hvordan en DPIA kan gjennomføres og skaleres. Guiden kan også være nyttig som innføring for nybegynnere i personvern og kan antakelig fungere bra som opplæringsmateriell i mange selskaper.  

Guiden er tilgjengelig her.

---

KOMMENDE MØTER

24. august 14.00 – 17.00   Nettverksmøte

14. sept 12.00 – 13.00   Digital drop-in

19. okt 14.00 – 16.00   Digitalt nettverksmøte

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Det er knapt et møte eller en konferanse uten at ChatGPT blir nevnt for tiden. Problemer med opphavsrett, problemer med juks for skoler ved eksamener, problemer med personvern, det at det italienske Datatilsynet stanset bruken er periode – you name it. Og det er viktig.

Sett fra vinklingen til dette nyhetsbrevet – hva er hjemmelen for behandling av personopplysninger: Når ChatGPT kan skrive artikler om både deg og meg – og dikte opp og distribuere litt falske fakta underveis om det passer – hvilken hjemmel kan man bruke? Neppe samtykke. Fungerer berettiget interesse? Jeg er i stor tvil.  

Og (minst) en person har avkrevd Open AI innsyn i hvilke personopplysninger AI’en har brukt da den skrev artikler om dem som inkluderte (feilaktig) at de var avgått ved døden. Det spørs om OpenAI kan svare og da kommer nok en klage til et datatilsyn raskt.

Det er bra at EDBP har satt ned en egen task force på dette. Jeg tipper det blir noen relativt prinsipielle synspunkt fra dem fremover.  

Og hva om en programmerer sender kode (med sensitive personopplysninger) til ChatGPT for å teste om den virker – og så blir opplysningene en del av ChatGPTs læringsmarteriale videre? Dette er omtalt som ett reelt inntruffet case i The Economist Korea: Les artikkelen her.
Dette bør ha betydning for hvordan man bruker ChatGPT internt i bedrifter.

Dette blir i alle fall nok et spennende felt å følge med på. I øvrig har det ikke vært noen store personvernskred den siste måneden. Litt deilig egentlig, så man kan få summet seg. I neste nettverksmøte planlegger jeg å komme med mer informasjon om Google Analytics 4 – det kan faktisk tenkes at det åpnes noen muligheter der, men jeg må forske litt mer først.

Under er et knippe andre saker jeg synes er verdt å vite om.

Hilsen Eva

---

RETNINGSLINJER

«EDPBs endelige retningslinjer om innsynsrett

Det ser ut som en trend at det kommer flere og mer inngående innsynsbegjæringer. For noen er det en ganske stor utfordring når man må redegjøre for f.eks. hvilke personopplysninger som overføres til hvilke land og hvilke sikkerhetsforanstaltninger som er truffet. Det er derfor relevant at EDPB har oppdatert sin guideline for hvordan slike innsynsbegjæringer skal forstås og håndteres. En endelig oppdatert guideline ble offentliggjort den 17. april.
Guidelinen tar opp og går gjennom flere poeng i denne sammenheng. Sentrale og relevante poeng er som følger:

• Brukeren trenger ikke å begrunne innsynsbegjæringen og det er ikke opp til kontrolløren å vurdere hvorvidt begjæringen faktisk vil bidra til å verifisere lovligheten av behandlingen eller utøvelsen av rettighetene
   
• Innsynsretten omfatter tre ulike komponenter;

1. Informasjon om hvorvidt data om personen behandles eller ikke
2. Tilgang til personopplysningene
3. Tilgang til informasjon om behandlingen av dataen, eksempelvis formålet, kategorier av data og dets mottakere, behandlingens varighet og brukerens rettigheter

• Måtene å gi tilgang på, kan variere avhengig av mengden data og kompleksiteten i behandlingen som utføres. Med mindre annet er uttrykkelig angitt, bør anmodningen forstås slik at den gjelder alle personopplysninger om brukeren. Behandlingsansvarlig kan be brukeren om å spesifisere begjæringen dersom de har en stor mengde opplysninger.
   
•  Behandlingsansvarlig skal søke etter den registrertes personopplysninger i alle IT- og arkiveringssystemer basert på søkekriterier som speiler måten informasjonen er strukturert på, eksempelvis navn og kundenummer. Formidlingen av opplysninger og annen informasjon skal være kortfattet, forståelig og lett tilgengelig.
   
• Når det gjelder hvordan forespørselen om innsyn fremsettes, er det ingen spesifikke krav til formatet den fremsettes. Behandlingsansvarlig skal sørge for at det foreligger hensiktsmessige kommunikasjonskanaler som er lett tilgjengelig for brukeren. Brukeren er likevel ikke pålagt å bruke kanalene, og kan derfor sende forespørselen direkte til andre hos den behandlingsansvarlige.

Guidelinen er tilgjengelig her.

I tillegg minner jeg om tidligere kommentarer om nye domsavgjørelser om at innsynsretten er vid – at den som regel omfatter hvilke databehandlere som har hatt tilgang til informasjon og i mange tilfeller antakelig også hvilke interne ansatte som har hatt tilgang til informasjon.

---

COOKIES

Datatilsynet oppfordrer til gjennomgang av cookies og sporingsmekanismer på nettsider

Datatilsynet har kommet med en oppfordring om at alle virksomheter gjennomgår nettsidene sine for cookies eller andre sporingsmekanismer. Oppfordringen skyldtes blant annet at Sveriges Radio nylig avdekket at over 100 apotek har delt kunders personopplysninger med Facebook.

Datatilsynet fremhever blant annet at de er bekymret for at flere norske nettsteder bruker cookies eller andre sporingsmekanismer uten å være oppmerksomme på hva slags informasjon sporingsteknologiene avdekker eller hvem informasjonen deles med. For brukerne av nettstedet kan det være en stor personvernrisiko, mens det for virksomheten både kan være en juridisk- og omdømmemessig risiko. Tilsynet understreker derfor at alle virksomheter bør ha et bevisst forhold til personvernregelverket når de iverksetter analyse- og markedsføringsløsninger på nettstedene sine.

Datatilsynet fremhever ellers at bekymringen gjelder både private og offentlige nettsteder. Jeg synes ikke anbefalingen er overraskende, og min antakelse er at håndhevelse av cookieregelverk vil bli svært mye viktigere i Norge fremover.

Du kan lese mer om saken på Datatilsynets nettside her.

---

OVER DAMMEN

EU-parlamentet fortsatt kritiske til overføringsavtalen USA-EU

EU-parlamentet er stadig vekk kritiske til den nye overføringsavtalen mellom EU og USA. De ber om at avtaleutkastet forbedres. Resolusjonen som kom i april er imidlertid ikke bindende, og kommisjonen blir derfor ikke forpliktet av den.
Les mer om dette her.

Det siste jeg hørte om denne saken er at det pt er usikkert hvordan Kommisjonen nå griper dette an. Det kan tenkes at det kommer en adekvansbeslutning om USA i løpet av noen måneder, men jeg har også hørt informerte kilder si at det kan gå ut året og vel så det. Som skrevet før – det kan være bra med en god mal for å skrive Transfer Impact Asessments, de forsvinner neppe med det første.

Personvernlovgivning i USA

I et seminar forrige uke hørte jeg IKT Norge hevde at «EU regulates while US operates». Det ble sagt som et hjertesukk over et komplisert GDPR som europeere må forholde seg til. Jeg tror likevel at dette er en foreldet oppfatning. GDPR er komplisert å forstå og er svært detaljert, men det er i ferd med å bli minst like komplisert i USA. Nå foreslår den syvende staten i USA å innføre et personvernregelverk.

En del amerikanske personvernadvokater jeg kjenner, synes at Europa er heldige som bare har ett regelverk å forholde seg til. I USA har de allerede mange regelverk – inntil de en dag (kanskje) klarer å samles om et helhetlig regelverk for alle stater. Men det synes å være en stund til.

Senatet i Indiana godtok 13. april 2023 the Senate Bill 5 (SB 5). SB 5 er et nytt personvernregelverk om forbrukere. Forbrukere skal få en tilgjengelig, tydelig og informasjonsrik personvernerklæring som blant annet inneholder informasjon om hva slags personopplysninger virksomheten innehar, hensikten bak innhentingen av dataen, samt rettighetene forbrukeren har. Videre krever regelverket at virksomhetene gjennomfører og dokumenterer en vurdering av personvernkonsekvensene for de ulike behandlingsalternativene som involverer personopplysninger. En amerikansk personvernadvokat jeg kjenner sier med et skjevt smil at kravene til en «DPIA i USA er større enn i Europa». Og det kan godt tenkes det stemmer.  

For interesserte, er det mere om SB 5 i Indiana her.

Det er sannsynlig at flere stater vil følge etter og innføre personvernregelverk. Forskjellen mellom regelverkene er dog stor – og frustrerende. Mulig må vi komme tilbake til dette, det er relevant for virksomheter med aktivitet i USA. Et ulikt regelverk i statene er selvsagt vanskelig for virksomheter som arbeider på tvers av flere stater. Det er litt som det var i Europa før GDPR – bortsett fra at vi ikke hadde de store bøtene eller særlig slagkraftige datatilsyn på den tiden.

Les mer om utviklingen i USA her.

Og her er en oversikt over lovgivningen i USA.

---

RETTSLIGE AVGJØRELSER I SVERIGE OG ØSTERRIKE

Gebyr på 6 millioner til Klarna

Forvaltningsdomstolen i Sverige har nylig avsagt en dom hvor de konkluderer med at Klarna Bank AB har overtrådt den svenske personvernforordningen. Følgende av overtredelsen er et sanksjonsgebyr på SEK 6.000.000.

Klarna ble først pålagt å betale et gebyr på SEK 7.500.000 av det svenske datatilsynet, IMY. Selskapet anket avgjørelsen og hevdet at det eneste som var brutt var ikke-bindende retningslinjer fra EDPB. Akkurat det argumentet er det mange som mener er viktig i etterlevelsen av et GDPR-regelverk som er litt ullent, samtidig som retningslinjene fra EDPB ikke er gjennom like mange demokratiske diskusjoner som selve GDPR. Jeg kommer tilbake til i hvilken grad EDPBs retningslinjer ble avgjørende og vektlagt her, men det er klart at domstolen mente at informasjonsplikten ikke var brutt i like stor grad som det IMY mente.

Forvaltningsdomstolen kom imidlertid til det samme resultatet som IMY, men justerte ned gebyret med halvannen million SEK. Ved vurderingen la domstolen vekt på at Klarna ikke hadde gitt nettbrukerne sine tilstrekkelig informasjon om hvordan og til hvilke formål personopplysningene ble behandlet. Det var heller ikke gitt tilstrekkelig informasjon om hvilke rettigheter brukerne hadde.

Det er foreløpig ikke mye informasjon tilgjengelig om saken, men det er omtalt her.


Østerrike – sak mot avis

Det østerrikske datatilsynet, DSB, har kommet med uttalelser i «Pay or Okay»-saken. Innledningen på denne saken er omtalt i nyhetsbrevet for mars.

Saken gjaldt samtykkekravene i GDPR artikkel 4. Den østerrikske avisen Der Standard hadde i sin nettavis tilbudt brukeren å enten samtykke til cookies eller å kjøpe et abonnement for 6 euro i måneden. NOYB argumenterte for at dette ikke var personvernvennlig da de mente at brukeren i praksis ikke hadde mulighet til å gi et fritt samtykke ettersom det eneste alternativet ville ha vært å abonnere på avisen.

DSB konkluderte med at et slikt «pay or okay» ikke var lovlig i henhold til samtykkeprinsippet i GDPR artikkel 4 (11). Domstolen begrunnet dette blant annet i at et samtykke skal være fritt, spesifikt, informert og utvetydig. Videre ble det fremhevet at «the granularity of consent» er et sentralt moment i vurderingen. Samtykket skal være spesifikt for alle eventuelle behandlinger, hvilket innebærer at når det foreligger flere behandlingsalternativer så skal det gis samtykke for hver av dem. Dette var ikke tilfellet i foreliggende sak.  De hadde bundlet samtykke for markedsføring, analyse og «social media plug-ins».

Prinsippet om «Pay or OK» ble ikke direkte kommentert, domstolen valgte å adressere granularitet i samtykket. Akkurat dette ser vi at mange Datatilsyn har fokus på for tiden.
Les mer om saken her.

---

PERSONVERNOMBUD

Rapport etter tilsyn av ulike personvernombud

Det litauiske datatilsynet har offentliggjort en rapport basert på tilsyn av ulike personvernombud. De har blant annet følgende funn:

• Interessekonflikt: noen selskaper utpekte administrerende direktør som ombud, mens i andre tilfeller hadde ombudet oppgaver som førte til at de bestemte midler og formål med behandlingen.
• Noen selskaper hadde flere ombud – uten at det var fastsatt hva ansvaret var. Tilsynet understreker at hvis det er behov for å ha flere ressurser som jobber med personvern, anbefales å sette opp en gruppe bestående av ett ombud og et team – ikke flere ombud.
• Der ombudsrollen var kjøpt inn som en DPO-as-a-service, var tjenesten ofte begrenset til f eks 60 timer per år og uten at man hadde klarlagt hvordan kontinuitet i tjenesten skulle sikres.
• Manglende klarhet i hvordan ombudet skal rapportere til toppledelsen.
• Lite informasjon til ansatte om ombudets rolle for ansatteopplysninger. Mens kontaktinformasjon til ombudet ofte står på et selskaps hjemmeside, var det ikke alltid tilsvarende informasjon til ansatte.
• Når råd fra ombudet ikke ble fulgt, var det manglende dokumentasjon på hvorfor, på hvem som tar en slik beslutning og hvordan.
• Få ombud gjennomførte internkontroller i selskapet.

Rapporten er tilgjengelig her, dog på litauisk.

Det er grunn til å tro at noen tilsvarende funn kan gjøres andre steder. EDPBs koordinerte undersøkelse om ombudsrollen vil antakelig sette fokus på de samme forholdene. I Norge venter man fremdeles på resultatet av det norske Datatilsynets undersøkelser for en god stund siden. Jeg tror at det vil være vanskelig for andre enn ganske store selskaper og etater å ha full uavhengighet for ombudsrollen, fordi det krever så store ressurser. Og mange vil undres hva man skal med et ombud som man egentlig ikke kan spørre om råd om hvordan man skal gå frem. Noen pragmatiske løsninger må nok tas, men det er samtidig klart at det vil bli et mye sterkere oppmerksomhet på ombudets uavhengighet fremover. Og – som noen av oss sa da GDPR kom – hvis du ikke er pålagt å ha et personvernombud, så er du antakelig bedre hjulpet av en «Privacy officer», som har frihet til å gi råd og anbefalinger inn i organisasjonen uten samtidig å være pålagt å revidere dem.

---

NYTTIGE VEILEDERE

Praktiske råd for privacy by design fra England?

England har som mål å ha et effektivt og praktisk personvern. Som dere vet, har de foreslått en lang rekke endringer i sin versjon av GDPR og mange av disse er kritisert for å svekke personvernet. Men uansett er det fint med et tilsyn som er opptatt av å lage praktisk rådgivning. Nå har de kommet med både råd og illustrative videoer for produktutvikling.

ICO har blant annet laget en ny veiledning for å hjelpe UX-designere, produktledere og programvareingeniører med å legge inn databeskyttelse i sine produkter og tjenester fra starten. Veiledningen inneholder både eksempler på god praksis, samt praktiske skritt som organisasjoner kan ta for å overholde databeskyttelsesloven når de designer nettsteder, apper eller andre teknologiprodukter og tjenester.
Se oppsummering av veiledning og link til videoene her

ICO deler prosessen med å starte en virksomhet opp i seks forskjellige faser; Kick-off-, forskning-, design-, utvikling-, lanserings- og etter-lanseringsfasen. Veiledningen gir konkrete råd til hver av de seks fasene om hvordan virksomheten bør behandle personlig informasjon og data. Dette kan faktisk være nyttig for flere.

Se veiledningen til de seks fasene her.

---

TESLA OG TIKTOK

Tesla og innebygget personvern

Mulig kunne Tesla hatt godt av å lese rådgivningen fra ICO litt mer nøye. Dette er jo garantert ingen nyhet for lesere av dette nyhetsbrevet, men det er uansett tankevekkende at også selskaper som bør være særdeles proffe, bommer så ettertrykkelig på personvern.

Det har vært en liten verdensnyhet at tidligere ansatte i Tesla hevder at det var flere tilfeller hvor ansatte hadde delt intime og inngripende videoer/bilder av tesla-eiere i bilene sine. Videoene omfattet blant annet en naken mann som nærmet seg en Tesla, bilulykker og utbrudd med raseri. Videoene har blitt tatt opp via innebygde kameraer i bilene, som har blitt satt inn med det formål å assistere Tesla sin selvkjøringsfunksjon/autopilot. Ikke med formål å være underholdning for ansatte.

Ikke overraskende er Tesla nå saksøkt som følge av dette. Saksøker påstår blant annet at Tesla-ansatte delte «highly invasive videos and images» fra brukernes biler for deres egne «tasteless and tortious entertainment» og «the humiliation of those surreptitiously recorded».

Les mer om søksmålet her.

The Guardian skriver om saken her.

Vi skal komme tilbake til hvor ofte søksmål innen personvern gir uttelling for individene.

To nye bøter til TikTok – fra England og Nederland
TikTok har nylig fått en bot av det ICO på EUR 12,700,000 for ulovlig behandling av dataene til 1.400.000 barn som var under 13 år og som brukte TikTok uten foreldrenes samtykke.

Aldersgrensen for bruk av TikTok er i henhold til dens egne vilkår og betingelser satt til 13 år. Boten er blant annet begrunnet i at TikTok ikke gjorde nok for å hindre at barn under 13 år fikk tilgang til plattformen, at de ikke gjorde nok for å fjerne barn under 13 år fra plattformen, samt at de ikke gjorde nok for å avdekke eller oppdage at barn under 13 år brukte plattformen deres.

Saken startet allerede i mai 2018, hvorpå boten først ble foreslått å ligge over EUR 25.000.000. TikTok har etter boten understreket at de har endret praksis siden ICO begynte å etterforske saken. Nå bruker nettstedet mer enn bare brukernes selvoppgitte alder når de prøver å finne ut hvor gamle de er. Dette inkluderer blant annet opplæring av moderatorene for å identifisere mindreårige kontoer og gi verktøy til foreldre slik at de kan be om sletting av deres mindreårige barns kontoer.

Les mer om saken her.

TikTok har også fått en bot av det nederlandske datatilsynet, AP, på EUR 750.000 for brudd på GDPR artikkel 12 (1). Bruddet på GDPR går ut på at TikTok kun har gitt og fremstilt sin privacy policy på engelsk og ikke som et alternativ på nederlandsk.

Når en bruker oppretter en TikTok-konto ble de informert på nederlandsk om at de godtok TikToks personvernregler. Datatilsynets undersøkelse avslørte imidlertid at TikTok, mellom 25. mai 2018 og 28. juli 2020, ga sin personvernpolicy til nederlandske brukere – inkludert barn – bare på engelsk. Dette gjaldt både under registreringsprosessen, så vel som når en bruker er logget inn og ønsket å konsultere personvernreglene i TikTok-appen.

Les mer om saken her.

Dette med hvilket språk en personvernerklæring må gis på, kommer opp som spørsmål med jevne mellomrom. Ulike land i Europa har litt ulik praksis på dette og det må sjekkes lokalt. Noen land har regler på at det må gis på landets eget språk. Andre mener at man «bare» må sørge for at det gis på et språk brukerne forstår. I praksis opplever jeg egentlig ikke at dette er et stort problem.

---

GEOLOKASJON

Fransk tilsyn om geolokasjon

I disse tider der leide biler, sparkesykler og andre mobile enheter er vanlig, er det naturlig at datatilsynene har fokus på om slike avtaler inngås lovlig.

Det franske datatilsynet, CNIL, har etterforsket bruk av geolokalisering for slike tjenester. I denne sammenheng har CNIL fokusert på selskapet CITYSCOOT, som leier ut scootere. De fokuserte særlig på selskapets innhenting av data, hvorvidt det var gitt informasjon om og hvorvidt samtykke var innhentet fra brukere før behandlingen av informasjon på mobiltelefoner. Det ble avdekket at under utleie av en scooter samlet selskapet inn data knyttet til geolokaliseringen av kjøretøyet hvert 30 sekund. I tillegg til dette holdt selskapet oversikt over brukernes reiser over lang tid.

Selskapet begrunnet innhentingen av geolokaliseringen med at den ble brukt til behandling av trafikkforseelser, kundeklager, brukerstøtte og håndtering av krav og tyverier. CNIL konkluderte imidlertid med at ingen av disse grunnene rettferdiggjorde innhentingen av så detaljert og omfattende data. Videre ble det fremhevet at selskapet kunne ha tilbudt en identisk tjeneste uten geolokalisering av kundene. CNIL bemerket også at tre kontrakter inngått med CITYSCOOTs databehandlere ikke inneholdt all informasjonen som kreves av GDPR.

Selskapet hadde også brukt en reCAPTCHA-mekanisme, levert av Google, som samlet inn maskinvare- og programvareinformasjon (for eksempel enhets- og applikasjonsdata). Mekanismen ble aktivert når man opprettet en konto på CITYSCOOTS mobilapplikasjon, når man logget på og når man gikk gjennom prosedyren for glemt passord på nettstedet. Det ble verken hentet inn forhåndssamtykke eller gitt informasjon til brukerne om at selskapet hadde tilgang til og lagret informasjonen deres. CITYSCOOT fikk EURO 125 000 i bot.

Les mer om saken her.

---

SVENSK POLITIKK OG STRENGT OM E-POST I SPANIA

Tilsyn mot Moderaterna etter videokampanje

Den svenske personvernmyndigheten, IMY, setter nå i gang en gransking av det politiske partiet Moderaterna. Granskningen knytter seg til at IMY har mottatt en rekke klager på at Moderaterna i forkant av valget i 2022 brukte personifiserte videohilsener. I klagene anføres det blant annet at Moderaterna ikke har tilstrekkelig informasjon på sine nettsider om hvordan personopplysninger ble brukt under valgkampen, at det gjennom tjenestene som brukes til videohilsenene er lagret data i USA og at det teknisk sett har vært mulig å få tilgang til andres personlige videohilsener. Det er ganske åpenbart at den type personifisering – hvis det har skjedd – vil kreve både klar informasjon og klar hjemmel. Det at IMY også tar opp spørsmålet om tredjelandsoverføringer i samme sak, høyner på en måte innsatsen.

Les mer om saken her.

En streng sak fra spansk datatilsyn til slutt

Det spanske datatilsynet, AEPD, har ilagt en behandlingsansvarlig en bot på EUR 5.000 for manglende hjemmel for å ha sendt en e-post til ca 190 mottakere. Mottakerne sto i CC og ikke i BCC. Tilsynet mente dette var brudd på GDPR artikkel 5(1)(f) og artikkel 32 (1).

Det har vært vanskelig å få tak i detaljene om saken, men det virker som om det dreiet seg om en invitasjon til en betalt middag/arrangement. Det må være lov å si at reaksjonen virker noe streng. Særlig når det er slik at man ofte kan tillate en overføring til et tredjeland, f eks USA, dersom den aktuelle informasjonen er offentlig kjent – hvor ett av eksemplene er epostadresser. Det vil naturligvis spille inn hva slags epostadresser som var involvert og dette har jeg ikke innsikt i. Men mulig skal jeg tenke meg om en ekstra gang fremover før jeg setter folk i BCC eller CC fremover og trykker send.

Les mer om saken her.

---

KOMMENDE MØTER

25. mai 14.00 – 17.00   Nettverksmøte (fysisk)

24. august 14.00 – 17.00   Nettverksmøte

14. september 12.00 – 13.00   Digital drop-in

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.