I nyhetsbrevet denne gang tar jeg opp flere avgjørelser fra det danske datatilsynet. Tilsynet er inne i en svært aktiv periode, og det er god grunn til å tro at flere av sakene vil danne presedens for det norske tilsynet.

Det har også vært interessante avgjørelser for banksektoren, bruk av bilder for gjenkjenning skaper stadig hodebry med ulike avgjørelser og til sist har jeg en oppfordring til alle som jobber med UX.

I neste møte i nettverket skal vi ta opp et teknologisk oppsett, confidential computing, som kan bidra til å løse noen av utfordringene med gjensge cloudavtaler og tredjelandsoverføringer.

Hilsen Eva

Evig aktuelle tema: Tredjeland og sletting av data

Etter at det danske datatilsynet hadde publisert sin veiledning om bruk av skytjenester, tok selskapet KOMBIT kontakt med dem med et konkret spørsmål knyttet til veiledningens omtale av utlevering av opplysninger til myndigheter i tredjeland. KOMBIT har en underleverandør som i sin tur har en avtale med AWS. KOMBIT leverer datasystemer til de danske kommuner og systemene behandler personopplysninger. I utgangspunktet behandles personopplysningene kun innenfor EU/EØS, men det fremgår samtidig av avtalen mellom deres underleverandør og AWS at dette kan fravikes hvis det strider mot gjeldende lov eller AWS blir pålagt å utlevere opplysningene til offentlig myndighet.

Det danske datatilsynet mener at denne underavtalen da medfører at slik eventuell overføring er tilsiktet. Dette betyr at en formulering som er gjengs i de fleste cloudavtaler, nemlig at leverandøren vil gi tilgang til opplysninger dersom slike krav fremsettes lovlig i et tredjeland, er problematiske.

Konsekvensene er store. Det gjenstår å se hvordan dette vil følges opp. Antakelig vil det være vanskelig for leverandørene å endre denne type klausuler. I neste møte i nettverket skal vi ta opp et teknologisk oppsett som kanskje kan bidra til en løsning på noe av dette – confidential computing.

For dårlige sletterutiner

I en annen sak har det danske datatilsynet varslet en bot på 10 millioner danske kroner til Danske Bank fordi banken ikke har hatt tilstrekkelige sletterutiner på plass. Banken hadde selv tatt kontakt med tilsynet og rapportert at de hadde problemer med å slette personopplysninger som de ikke lenger hadde noen rettmessig grunn til å beholde. Det ble etter hvert avdekket at det dreide seg om nærmere 400 ulike datasystemer hvor sletting ikke lot seg gjennomføre. Til sammen behandler disse systemene personopplysninger om flere millioner personer.

I forbindelse med varselet om boten, uttalte tilsynet følgende:

 «Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.»

Dette er ikke første gang det danske tilsynet er strenge på sletting av data. Vi har så langt ikke hatt tilsvarende saker i Norge, men det kommer nok: Regler for sletting av opplysninger er uten tvil grunnleggende i GDPR.

Personopplysninger i DevOps-miljøer

Det danske datatilsynet har også rettet kritikk mot Sundhedsdatastyrelsen etter at de rapporterte at personopplysninger hadde blitt liggende i utviklingsmiljøet Microsoft Azure DevOps i mer enn et år etter at pseudonymiserte data hadde blitt brukt for utviklingsformål. Sundhedsdatastyrelsen uttalte selv at det ikke var mulig å etablere tekniske sikkerhetsforanstaltninger for å sikre at lignende feil ikke kan skje igjen.

Det danske datatilsynet slo seg ikke til ro med denne forklaringen, men slo kontant fast at Sundhedsdatastyrelsen ikke hadde fulgt reglene om behandlingssikkerhet fordi de ikke hadde etablert passende kontrollmekanismer, automatiske eller manuelle. Det er i den forbindelse ikke tilstrekkelig å ha retningslinjer og/eller prosedyrer for slike kontroller hvis disse ikke blir fulgt opp i praksis.

Avgjørelsen viser med all tydelighet viktigheten av at dokumenterbare rutiner må på plass og at etablerte rutiner faktisk følges opp.

BANKVESENET OG INFORMASJONSPLIKT

Banker i trøbbel: Kredittverdigheten må rapporteres korrekt og brudd på informasjonsplikten

Det hender ting i bankverden også:

Bank of Irland risikerer en rekke sivilsøksmål etter at det irske datatilsynet (Data Protection Commission – DPC) avdekket at banken hadde sendt feilaktige, i mange tilfeller negative, kredittopplysninger om 47 000 kunder til det sentrale kredittregisteret (Central Credit Registry).

Til tross for at banken ble oppmerksom på feilene allerede i juni 2019, ventet de nærmere 6 måneder før de informerte sine kunder om feilen, noe DPC fant ekstra graverende.

Banken ble varslet om en bot på €463,000, men det er kanskje det minste av deres bekymringer. GDPR åpner for at enkeltindivider kan gå til erstatningssak for ikke-økonomisk skade, og det er fullt mulig at slike saker vil bli reist som følge av disse feilene – særlig av kunder som har blitt registrert med en feilaktig, redusert kredittverdighet.

Bot til Klarna

Klarna har mottatt varsel om bot for brudd på informasjonsplikten. Det svenske datatilsynet varsler en bot på 7,5 millioner SEK for at de ikke i tilstrekkelig grad har informert sine kunder om formålet med innsamlingen av personopplysninger og på hvilket rettslig grunnlag informasjonen ble innsamlet. De hadde heller ikke i tilstrekkelig grad informert sine kunder om hvem som var mottaker av hvilke personopplysninger når Klarna delte disse med andre svenske og utenlandske kredittopplysningsforetak, ei heller hvorvidt opplysningene ble sendt utenfor EU/EØS-området.

All slik informasjon bør man være krystallklar på. Her er det fremdeles også en del norske virksomheter som har en del igjen å ordne.

TRANSPARENCY

Bot på 3,7 mill. EUR til skattevesen

Datatilsynet i Nederland har ilagt skattevesenet der en klekkelig bot fordi de hadde opprettet en liste for å søke å identifisere bedrageri (Fraud Signaling Facilty – FSV). Listen inneholdt over 270.000 registreringer og var i bruk i mer enn seks år. Blant indikatorer som ble registrert som bedrageririsiko hos individer var nasjonalitet og fremtoning (appearance). En rekke personer ble «merket» som bedragere, selv om dette ikke var korrekt.

I tillegg til at listen i seg selv var å anse som ulovlig, påpekte datatilsynet at skattevesenet med denne listen hadde brutt prinsippet om åpenhet (transparency), prinsippet om formålsbegrensning, korrekthet og lagring av personopplysninger.

BILDER OG GJENKJENNING

Sprikende avgjørelser om bilder til identifikasjonsformål

Tre avgjørelser som gjelder bruk av bilder bør nevnes. Den første kommer fra Østerrike, hvor en skiheis-operatør ble gitt medhold i at de hadde rettmessig grunn til å ta bilde av publikum hver gang de passerte kontrollposten. Det østerrikske datatilsynet (DSB) mente dette var legitim bruk av personopplysninger, med støtte i forordningens artikkel 6(1)f.

Derimot konkluderte det danske datatilsynet annerledes i en lignende sak. Treningsstudiokjeden FysioDanmark ønsket å benytte ansiktsgjenkjenning som adgangskontroll til sine treningsstudioer. Bruken skulle være frivillig og basert på samtykke. De innsamlete dataene skulle også bli brukt for statistikk- og analyseformål.

Datatilsynet ga FysioDanmark medhold i at de kunne benytte seg av ansiktsgjenkjenning såfremt det var frivillig og basert på samtykke, men at det måtte være snakk om differensierte samtykker; kundene måtte også kunne velge å ikke gi samtykke til at deres persondata ble benyttet for andre formål, så som statistikk og analyse.

Den tredje nylige avgjørelsen om bruk av bilder for identifikasjon og gjenkjenning er kanskje en mer selvsagt en: Det italienske datatilsynet har varslet Clearview AI om en bot på €20 millioner for å ha ha samlet inn biometriske data om ansikter basert på fotografier den har funnet på internett. Datatilsynet krever også alle bilder av italienske borgere slettet fra deres databaser.

Tilsvarende avgjørelser har blitt fattet av de franske og britiske datatilsyn, uten at bøter har blitt utstedt.

Clearview er et amerikansk firma, uten representasjon eller datterselskaper i Europa. Det er derfor lite sannsynlig at det italienske datatilsynet vil lykkes med å inndrive boten. Men kundegrunnlaget i Europa vil forsvinne, fordi myndighetene vil kunne rettsforfølge enhver europeisk virksomhet som benytter seg av teknologien. Dette har allerede skjedd: Svensk politi har blitt bøtelagt for å bruke teknologien.

HELSEOPPLYSNINGER

Vær varsom med deling av ansattes helseopplysninger

Det danske datatilsynet (de er veldig aktive om dagen, og deres avgjørelser kan lett sette presedens for lignende saker i Norge) har irettesatt en kommune for å ha delt en ansatts helseopplysninger med hennes kolleger, i forbindelse med en fellesutsendelse av epost om midlertidig endring i arbeidsoppgaver. Kommunen viste til at det hele var en misforståelse og et hendelig uhell, men det faktum at det her var snakk om deling av særlig sensitive opplysninger var såpass graverende at en reaksjon fra datatilsynet var nødvendig.

Eposter med potensielt sensitivt innhold bør man være spesielt forsiktige med å spre bredt.

DARK PATTERNS

Nye retningslinjer skal forhindre «dark patterns»

Det europeiske personvernrådet (EDPB) har vedtatt retningslinjer om manipulativt design, såkalte «dark patterns», i sosiale medier. Retningslinjene gir praktiske råd og anbefalinger til utviklere og brukere av sosiale medier.

Tilbydere av sosiale medier og lignende tjenester er ansvarlige for å sikre samsvar med pliktene i personvernforordningen. Retningslinjene gir konkrete eksempler på de ulike typene «dark patterns» som finnes og inneholder spesifikke anbefalinger overfor utviklere av brukergrensesnitt om hvordan man best legger til rette for effektiv implementering av pliktene i forordningen i sine tjenester. Mange av eksemplene er også grafisk illustrert. I et eget vedlegg har de laget en egen sjekkliste om ulike former for «dark patterns».

Veiledningen bør være obligatorisk lesning for alle som arbeider med UX. Det er all grunn til å tro at datatilsynene om et år eller to vil følge opp innholdet i veiledningen med tilsyn.

KOMMENDE MØTER

Siste ord

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.