GDPR fylte fire år 25. mai 2022. Enormt mye har skjedd synes mange. Andre synes ting går for tregt. NOYB mener at non-compliance-kulturen fremdeles finnes. Les deres uttalelse i forbindelse med fireårsmarkeringen her. Det er åpenbart riktig at det gjenstår mye hos mange, men det har faktisk kommet store forbedringer. At datatilsynene har utfordringer i sitt interne samarbeid er kanskje å forvente, men one-stop-shop-ordningen er en utfordring i håndhevelse mot de store selskapene. Uansett – det er stadig en jevn flom av nye saker. Her er noen av de jeg tenker at man må ha med seg.
Hilsen Eva
LOVGIVNING OG RETNINGSLINJER
Nye retningslinjer fra EU
A) Det europeiske personvernrådet (EDPB) har kommet med en guideline for «calculation of fines». Den er selvfølgelig relevant for de som står i fare for å få et overtredelsesgebyr, men innholdet er langt på vei i tråd med hva som er kjent fra tidligere.
B) EDPB sendte også ut retningslinjer for politimyndigheters bruk av ansiktgjenkjenningsteknologi på offentlig høring i midten av mai. Det kan virke litt på siden av det de fleste av nettverksmedlemmene våre er opptatt av, men det er et tegn i tiden at bruk av AI og gjenkjenningsteknologi nå reguleres.
Det er mye bra i det. Flere politimyndigheter i Europa benytter, eller har til hensikt å ta i bruk, ansiktsgjenkjenningsteknologi. Teknologien kan selvfølgelig brukes til svært mange formål, for eksempel å identifisere personer i overvåkingslister eller overvåke en persons bevegelser i det offentlige rom. Det er sunt med et kritisk blikk på dette.
C) Det har kommet en «Q&A» fra EU om bruk av SCC’ene. Som det meste som kommer fra EU så er det en lang tekst. For et år siden var det en diskusjon i personvernkretser om SCC’ene egentlig må brukes på overføring av personopplysninger til aktører/importører av personopplysningene som allerede er underlagt GDPR? Dette er nå besvart, og svaret er «nei». Samtidig sier EU at de jobber med en ny SCC for akkurat denne typen overføringer.
Her er en link til en tidligere artikkel jeg har skrevet om emnet:
Kanskje du ikke trenger scc-en?
Vi bør nok innom dette temaet i et av de kommende nettverksmøtene.
D) I siste halvdel av mai ble Rådet for Den Europeiske Union og EU-parlamentet enige om tiltak for å sikre et høyt datasikkerhetsnivå for alle medlemsstater. Tiltakene vil bli kodifisert i et nytt direktiv med det kryptiske navnet «NIS2». Det skal erstatte det nåværende «NIS»-direktivet (Network and Information Systems).
Det nye direktivet vil stille en rekke nye og/eller forsterkede krav til særlig viktige virksomheter – såsom banker, energiselskaper, telekom og transport – til å investere tungt i datasikkerhetssystemer for å avverge hacking og datakriminalitet. Offentlige virksomheter vil også bli pålagt å gjøre tilsvarende investeringer og tiltak.
Schrems ligger heller ikke på latsiden – varsler Schrems III
Allerede før avtaleteksten som skal sikre lovlig dataflyt mellom Europa og USA er utformet, utfordrer personvernforkjempere innholdet i det nye «Transatlantiske personvern-rammeverket». I et åpent brev til de mest sentrale politikerne rundt forhandlingsbordet for en ny datautvekslingsavtale mellom EU og USA, varsler NOYB og personvernaktivist Max Schrems at de er forberedt på å utfordre avtalen i retten.
FORMÅLSBEGRENSNING
Ikke bruk opplysninger til noe annet enn det de er samlet inn for
Federal Trade Commission (FTC) i USA har gitt Twitter en bot på USD 150 millioner for noe som nok fort kan skje mange. Twitter samlet inn brukeres mobiltelefonnummer for sikkerhetsformål. Så har en eller annen internt tenkt at denne enkle informasjonen om mobilnummer kan man bruke til å identifisere og koble identiteter – og så å sende reklame til dem. Og det gjorde de. Det er nok mange forretningsutviklere som har tenkt tilsvarende. FTC mente derimot at mobilnummeret ikke kunne brukes på den måten, så lenge brukerne kun hadde fått informasjon om at det skulle brukes til sikkerhetsformål.
Selv om dette skjedde i USA, ville resultatet fort blitt det samme her i Europa. Det er god grunn til å minne om prinsippet om formålsbegrensning og at det faktisk kan bli dyrt å bryte det.
SISTE NYTT FRA EUROPA
Google saksøkes i Storbritannia
I Storbritannia er Google igjen i hardt vær, denne gangen knyttet til AI-delen av selskapet, det såkalte DeepMind. De er utsatt for et gruppesøksmål i etterkant av at datatilsynet (ICO) fant at de hadde mottatt helsedata om 1,6 millioner pasienter på ulovlig og sviktende grunnlag.
Helsedataene ble i 2015 oversendt Google av lokale helsemyndigheter for bruk i testing og utvikling av en helseapp, men uten at pasientene var informert om dette. Som gjenytelse for overlevering av dataene, ville pasientene og helsemyndighetene kunne skaffe seg app-en til redusert pris.
Det er interessant å notere seg at ICO i dette tilfellet ikke har valgt å fatte noe vedtak mot helsemyndighetene som delte informasjonen. Årsaken er at de mener helsemyndighetene ikke hadde nok kompetanse til å skjønne at det de gjorde var feil. Likevel kan private aktører rette søksmål mot mottakeren av disse dataene.
Å slette data for tidlig kan også være feil …
Et vedtak fattet av datatilsynet i Spania vekker interesse. Det kan nemlig være slik at å slette data for tidlig kan også være feil!
En kunde skadet seg da vedkommende handlet i supermarkedkjeden Mercadona. Kunden ønsket å kreve erstatning for skaden, og kontaktet derfor kjedekontoret via et online-skjema og ba om å få utlevert kopi av videoovervåkingen som sannsynligvis hadde filmet hendelsesforløpet. Kunden mottok en automatisk bekreftelse på at henvendelsen var mottatt sammen med et saksnummer, men hørte deretter ikke noe fra dem.
En måned etterpå purret kundens advokat supermarkedkjeden. Da fremkom det at grunnet menneskelig svikt hadde henvendelsen aldri blitt videreformidlet til rette vedkommende i organisasjonen. Videoopptaket hadde i mellomtiden blitt slettet, slik lokal lovgivning krevde. Kunden klaget dette inn til datatilsynet i Spania, men før tilsynet begynte å behandle saken, hadde kunden og supermarked-kjeden kommet til en minnelig løsning med økonomisk kompensasjon til kunden.
Datatilsynet valgte likevel, på eget initiativ, å behandle saken da de mente at helt grunnleggende rettigheter hadde blitt brutt. De bøtela supermarked-kjeden til sammen EUR 170 000 for brudd på artikkel 12 og 15 i GDPR, fordi selskapet ikke hadde utlevert kopi av persondata (videoopptaket) når dette hadde blitt forespurt, samt for brudd på artikkel 6 for at de hadde slettet et videopptak uten lovlig grunn. Dette siste skjedde jo som konsekvens av den første delen i vedtaket.
Vær forsiktig med bruken av AI
Datatilsynet i Ungarn (NAIH) har bøtelagt en bank EUR 700 000 for blant annet ulovlig bruk av AI.
Banken benyttet AI til å analysere telefonsamtaler mellom kunder og bankfunksjonærer. Hensikten var å identifisere de kunder som var misfornøyde med banken. AI ble brukt til å analysere perioder med stillhet, stemmeleie, flere stemmer som snakker samtidig (krangling), talehastighet, volum osv. AI-teknologien fattet så en beslutning om den enkelte kunden burde følges opp eller ikke. I de tilfeller hvor oppfølging burde finne sted, ble informasjon om dette videresendt til en medarbeider i banken. Medarbeideren ringte da tilbake til kunden og forsøkte å finne ut hva den ikke likte og hvordan de kunne forbedre forholdet.
Alle som ringte banken ble fortalt at telefonsamtalene kunne bli tatt opp og at opptakene ville bli brukt for kvalitetskontroll, forebygge klager eller tap for kunden samt øke effektiviteten. Men de ble ikke fortalt at AI-teknologi ville bli benyttet.
Da banken ble konfrontert med at dette kunne være ulovlig aktivitet, påberopte banken seg berettiget interesse. Datatilsynet svarte at de ikke kunne se at det var gjort en tilstrekkelig interesseavveining for å kunne påberope seg noe slikt, samt at den bruk av AI som her var gjort var å anse som en form for profilering, slik denne er omtalt i artikkel 4.4 i GDPR.
Vel så interessant med NAIH’s vedtak er at den også til en viss grad hviler på EDPBs og EDPS’ felles uttalelse om kunstig intelligens hvor de gir uttrykk for at kunstig intelligens som benyttes for å utlede følelser og sinnstilstand hos fysiske personer er uønsket og bør forbys.
Det finnes grenser …
Vi må innom det danske datatilsynet denne gangen også. Denne gangen har de rett og slett besluttet at det finnes en grense for hvor mye informasjon en person kan begjære utlevert om seg selv.
En tidligere ansatt i en dansk kommune hadde bedt kommunen om å utlevere alle e-poster, notater og brev som vedkommende hadde sendt eller signert i løpet av sitt mangeårige ansettelsesforhold. Kommunen ba vedkommende å klargjøre nærmere hvilken type informasjon vedkommende egentlig var ute etter, men dette ble ikke besvart. Kommunen nektet å utlevere all informasjonen, og ble klaget inn til Datatilsynet.
Datatilsynet ga kommunen medhold. Det er forskjell på informasjon som skapes av en person i en rolle, og informasjon om personen som har bekledd rollen/funksjonen.
SISTE NYTT FRA NORGE
Hjemme på berget er NAV i trøbbel
Her hjemme har Datatilsynet varslet at de vil gi NAV en bot på 5 000 000 kroner for brudd på personvernreglene. Det dreier seg om saken hvor alle arbeidssøkeres CV-er lå fritt tilgjengelige for arbeidsgivere som søkte nye ansatte gjennom arbeidsplassen.no
Samtlige arbeidssøkeres CV-er var i en periode på 20 år tilgjengelige for arbeidsgivere som var pålogget tjenesten. Det var NAV selv som oppdaget bruddet og som meldte fra om dette til Datatilsynet i februar 2021.
Nordmenns persondata deles 340 ganger i døgnet av annonsemarkedet
En fersk rapport fra Forbrukerombudet viser omfanget av datadelingen bak kulissene når nettannonser målrettes basert på profilering av brukere. Det norske forbrukermyndighetene er en sterk pådriver for Datatilsynets arbeid med adtech og undersøkelsene får også stor internasjonal oppmerksomhet. Vi må regne med flere veiledere på dette området fremover.
BIOMETRI
Til slutt: Biometri og betalingstjenester
Biometri knyttet til betalingstjenester er et kjempemarked. Man anslår at det å kunne tilby kontaktløs betalingsformidling ved hjelp av biometriske kjennetegn vil ha en verdi på over 18 milliarder dollar innen utgangen av 2026.
Amazon tilbyr allerede biometrisk betaling, ved bruk av håndavtrykkslesere, i sine butikker. Dette er kritisert av amerikanske politikere for ikke å ivareta personvernet på en tilfredsstillende måte, men er ikke ulovlig.
Mastercard har nå entret denne arenaen. De har under utvikling en teknologi som skal gjøre det mulig å betale ved kun å smile eller vinke med hånden.
Biometri som identifikasjons- og autentiseringsverktøy er unektelig på vei inn. Utfordringen blir å påse at slike data om oss beskyttes på en tilstrekkelig måte. Kanskje NIS2-direktivet jeg nevnte innledningsvis kommer på plass i siste liten?
KOMMENDE MØTER
16. juni 14.00 – 17.00 Nettverksmøte |
25. aug 14.00 – 17.00 Nettverksmøte |
22. sept 12.00 – 13.00 Digital drop-in |
Se hele oversikten over kommende aktiviteter i nettverket her. |
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.