Året 2022 nærmer seg slutten. Gjennom hele året har det vært høy aktivitet innen personvern. Aller mest fokus har det vært rundt tredjelandsoverføringer. Her er det et ganske stort gap mellom hva tilsynene i Europa sier utad og hva de håndhever. Unntakene har vært en del saker om Google Analytics samt det danske tilsynets aktivitet rundt Google-tjenester i skolen. Dette skaper naturlig nok mye frustrasjon. Samtidig er det en smule ironisk at da vårt eget Datatilsyn hadde webinar om fødererte løsninger i sandkassen, så gjorde de det på Zoom. Skulle nesten tro de hadde gjort en risikobasert tilnærming …
Om dere velger en risikobasert tilnærming, og det tror jeg mange gjør for virksomhetskritiske systemer, så sørg i alle fall for at vurderingene er dokumentert og at grunnleggende personvernhensyn er ivaretatt. Under er en oppdatering av noen av de viktigste hendelsene i november 2022.
Hilsen Eva
TESTER, AVVIK OG COOKIES
Testdatabaser er lov, dersom …
Aller først litt mer om bruk av personopplysninger i databaser med testformål. EU-domstolen (ECJ, European Court of Justice) har kommet med en avgjørelse, C-77/21, hvor de for første gang sier noe om bruk av personopplysninger i test-situasjoner. Saken viser at prinsippet om formålsbegrensning ikke hindrer en behandlingsansvarlig fra å bruke personopplysninger i en database med testformål, selv om personopplysningene tidligere var innsamlet og behandlet i en annen database. Forutsetningen er at testingen er «kompatibel» med de opprinnelige formålene. ECJ skrev også at gjennomføringen av test og retting av feil hadde en konkret sammenheng med den opprinnelige kontrakten med de registrerte – som var om et abonnement.
Les mer om avgjørelsen her.
Avvik må notifiseres i alle land
Man skulle tro at Datatilsynet ikke ønsker seg flere avviksmeldinger. Dette er kanskje ikke riktig. Den 18. oktober kom European Data Protection Board (EDPB) med utkast til ny veileder om avviksmeldinger. Der foreslås blant annet at selskaper utenfor EU må notifisere avvik i alle land der berørte befinner seg, ikke bare gjennom one-stop-shop mekanismen.
Forslaget er tilgjengelig her.
Cookies: Når du ikke kan si nei
Det er fremdeles mye oppmerksomhet på cookies i Europa, selv om det foreløpig ikke håndheves nøye i Norge. NOYB har rettet en klage mot et østerriksk selskap som på hjemmesiden sin først lar brukere avvise cookies, men deretter gjør det obligatorisk å samtykke til Googles cookies og til ÖWA (Austrian Web Analysis). Nettstedet mener samtykket er nødvendig for at nettstedet skal fungere ordentlig. Et obligatorisk samtykke er ikke gyldig, skriver NOYB. Og så tilføyer NOYB at heller ikke berettiget interesse kan fungere som behandlingsgrunnlag. Det kan nok tenkes at Schrems får medhold i også dette.
TREDJELANDSOVERFØRING
Tredjelandsvurderinger i fleng
Overføring av personopplysninger til tredjeland er et hett tema for mange i disse dager når fristen for å ta i bruk de nye SCC’ene nærmer seg. Det gjøres mange tredjelandsvurderinger for tiden. Til tross for at det er i «oransje» sone og ikke 100% compliant, er det mange som velger en helhetlig risikobasert tilnærming for virksomhetskritiske systemer. Alternativet kan være å nærmest legge ned virksomheten ved at man må slutte å bruke visse tjenester. Denne gangen linker jeg til en artikkel som har et nesten humoristisk skråblikk på situasjonen: på hva amerikansk etterretning gjør og ikke gjør – på mengden arbeid Schrems II har frembrakt og på mulige løsninger.
Samtidig skal det bli interessant å lese Nasjonal sikkerhetsmyndighets (NSM) utredning om konseptuelle tilnærminger til nasjonal skyløsning. Den er ventet i desember og er omtalt her.
Microsoft 365 «ulovlig å bruke»
Jeg merker meg også at Digi omtaler en rapport om Microsoft 365. Rapporten ble offentliggjort av datatilsynene i Europa 25. november. Den korte versjonen er (igjen) at MS 365 ikke er mulig å bruke uten at personopplysninger overføres til USA og det tabloide poenget er «MS 365 nå blir ulovlig å bruke i Europa». Dette handler dels om hvem som er behandlingsansvarlig for hvilke opplysninger, slik vi har snakket om tidligere, og dels om overføringsaspektet. Jeg tenker at rapportens innhold neppe egentlig er noe nytt og at få vil endre tilnærmingen til tredjelandsoverføringer på bakgrunn av dette.
Hey teacher, leave those apps alone
Overskriften i artikkelen her er morsom: «Hey teacher, leave those apps alone». Innholdet er ganske alvorlig. Den franske regjering vil forby bruk av gratis-versjoner av Office 365 og Google Workspace i franske skoler. Grunnen er klar og prinsipiell: Som kunde har de ingen innflytelse på vilkårene for slike tjenester så lenge tjenesten er gratis. Tar man i bruk gratisversjoner, mister man forhandlingsrommet. I det øyeblikk det derimot er snakk om en betalt tjeneste, kan man også forhandle om, og ha innflytelse på, vilkårene.
KUNSTIG INTELLIGENS
Kunstig intelligens og hjemmel til å lære
Kunstig intelligens/Artificial intelligence (AI) er viktig for mange og viktigere vil det bli. Noen har fått erfare at det kan være en utfordring å finne hjemmel for å bruke personopplysninger til å utvikle en AI.
I Datatilsynets sandkasse for AI var det i forrige runde en sak der man brukte såkalt føderert læring. Forenklet sagt kan en AI lære av et sett data, og så lære av et annet sett data – uten at data mellom de to settene blandes. Da blir det lettere å finne hjemmel for behandlingene fordi man slipper å finne en hjemmel for å blande dataene sammen. En forutsetning vil naturligvis være at det ikke tas data med ut fra det første settet. Datatilsynet hadde et seminar om dette, og hvis dere skal bruke AI fremover er det vel verdt å se på dette. Du kan se seminaret her.
Jeg tenker at dette skal bli et tema i nettverket også om ikke for lenge.
SOSIALE MEDIER: TWITTER, FACEBOOK, META
Massesøksmål mot Twitter
I Nederland forberedes et massesøksmål mot Twitter på vegne av opptil 11 millioner mennesker. Bakgrunnen er at Twitter innhentet og solgte opplysninger om brukere gjennom sitt selskap MoPub. Opplysningene ble brukt til rettet reklame.
Rettet reklame kan isolert sett fremstå ufarlig, men samtidig kan det ha svært uheldige følger at noen bygger profiler over mennesker. Et eksempel er at noen arbeidsgivere ikke ønsker å vise jobbannonser til gravide kvinner.
Organisasjonen i Nederland har nå en kampanje for å få folk til å bli med på søksmålet og de forespeiler mellom 250 og 2500 euro i erstatning til hver enkelt. Det kan bli dyrt, selv for Twitter. Alle som hadde en mobiltelefon mellom 2013 til 2021 kan være med – så lenge telefonen hadde apper som innhentet opplysningene installert. Både Apple og Android har oversikt over hvilke apper en telefon har installert, også bakover i tid.
Personopplysnings-anarki hos Meta?
Det irske datatilsynet (ICCL) har sendt et brev til EU-kommisjonen og bedt den gripe inn overfor Meta. Bakgrunnen er at Meta ikke er i stand til å beskrive hvordan brukeres personopplysninger behandles av deres 149 ulike datasystemer. Leder av ICCL, Johnny Ryan, skriver i brevet at Meta ikke klarer å redegjøre for hvor, hvordan eller hvorfor brukernes personopplysninger anvendes av de ulike systemene. Det beskrives som det reneste persondata-anarki og utgjør vedvarende og klare brudd med så vel GDPR som Digital Markets Act (DMA).
Brevet kan du laste ned her.
Jeg har en begrunnet mistanke om at noen og enhver kan nok mangle oversikt over hvor personopplysninger faktisk er. Samtidig er det vanskelig å komme utenom at dette er et grunnleggende krav i forordningen og at det kan være utfordrende å ikke kunne redegjøre for dette ved et eventuelt tilsyn.
Av lignende årsaker vurderer nå regjeringen i Nederland å slutte å bruke Facebook. Håndteringen av sensitive persondata er uoversiktlig og dermed da heller ikke under kontroll. Data kan lett komme på avveie uten at dette oppdages eller rapporteres. Dette kommer i tillegg til faren for at sensitive persondata overleveres til myndighetene i USA.
Enda mer trøbbel for Meta og Facebook
Det irske datatilsynet ICCL har også nylig ilagt Meta en bot på over 2,7 milliarder kroner etter at opplysninger om mer enn 500 millioner brukere lekket ut på et hackernettsted.
Meta er også saksøkt i Wales for overvåking til hensikt for å skape tilrettelagt reklame for den enkelte bruker. Saksøker er menneskeretts-forkjemperen Tanya O’Carrol, som i saksanlegget hevder at Facebook ikke gir henne mulighet til å velge bort overvåking og profilering for markedsføringsformål. Retten til å velge bort slik profilering har eksistert siden GDPR ble innført, uten at Facebook har fått på plass systemer som gir brukerne muligheten til å velge bort dette uten samtidig å velge bort hele tjenesten.
Det har nylig blitt avdekket at tjenester som tilbyr utfylling av selvmeldinger i USA (Tax Returns) i det stille har oversendt personinformasjon til Facebook. Det dreier seg ikke bare om navn og e-postadresser, men også informasjon om inntekt, sivilstatus, studielån, familiemedlemmer osv. Dette har skjedd gjennom bruk av Meta Pixel. Det er uklart hva som har vært formålet med videreforsendelsen av informasjon til Facebook. Jeg tror vi kommer til å høre mer om dette. Kanskje bør vi også ta en runde til på bruk av pixler i nettverket.
OM DPO-ENES ROLLE
DPO-ers stillingsvern og rolleforståelse
Arbeidsretten i Heilbronn i Tyskland har besluttet at oppsigelsen av en DPO var ulovlig fordi DPO-er har et særlig arbeidsrettslig vern. Oppsigelsen var begrunnet i at en ekstern audit viste at selskapet ikke hadde implementert GDPR på riktig måte og ledelsen mente dette var DPO’ens feil. DPO’en mente det var strukturelle årsaker til at implementeringen ikke var gjennomført. Dette er en diskusjon flere kanskje kan kjenne seg igjen i. Det vil ofte være et spørsmål om hvordan man skal håndtere «legacy» problemer på teknologi og f.eks. kvaliteten på innhentede samtykker. Samtidig er det et spørsmål om ressurser, og DPO-en har sjelden ressurser til å ordne alle svakheter.
Mitt aller beste råd er at en DPO gjør det klart for ledelsen hva som finnes av svakheter slik at ledelsen kan prioritere hva som skal ordnes.
INNSYNSBEGJÆRINGER
Avgjørelser om innsyn
I Italia har en domstol nylig avsagt en avgjørelse om hva retten til innsyn omfatter. En forbruker hadde bedt et firma om å utlevere informasjonen de hadde om henne. Firmaet hadde ikke lenger selve persondataene, men kun opplysninger om hvordan hennes data hadde blitt behandlet. Disse dataene anså de ikke at hun hadde rett til innsyn i. Dette mente retten var feil. Artikkel 15 i GDPR omhandler ikke bare persondataene, men også hvordan disse dataene blir behandlet og evt. videreformidlet, eksempelvis undertegnet dokumentasjon og samtykker. Det ble i den sammenheng særlig vektlagt at personvern ikke bare dreier seg om retten til privatliv, men vel så mye retten til, og eierskapet til, informasjonen om seg selv og hvordan denne informasjonen blir håndtert.
Også i Norge er det kommet en relevant sak om innsynsbegjæringer. En avgjørelse fra Datatilsynet i Norge klargjør at svar på innsynsbegjæringer må være både rettidige og tilstrekkelig detaljerte. En person hadde bedt om innsyn i sine personopplysninger og håndteringen av disse i et HR-system som var i bruk i bedriften. Databehandleren i dette tilfellet var de som leverte HR-systemet. Leverandøren svarte ikke rettidig grunnet et «overaktivt» spam-filter på adressen for innsynsbegjæringer, og svaret besto av en henvisning til deres personverklæring og kopi av de data de hadde om vedkommende.
Dette var ikke tilstrekkelig, ifølge Datatilsynet. Det fremkom ikke fra svaret at selskapet faktisk behandlet opplysningene for andre formål enn de som var nevnt i erklæringen, de ga heller ikke informasjon om hvilke deler av persondataene som ble behandlet, ei heller ga informasjon om hvor lenge de beholdt dataene.
Antall innsynsbegjæringer er jo relativt begrenset for mange, men individer som insisterer på sine rettigheter har en ganske stor verktøykasse.
NIS 2-DIREKTIVET
EU-parlamentet har vedtatt NIS 2
EU-parlamentet har nå vedtatt NIS 2-direktivet. Dermed har tiden kommet til å implementere dette i nasjonal lovgivning. Direktivet innebærer større krav til datasikkerhet, risikohåndtering, rapportering og informasjonsutveksling. Les mer om direktivet her.
ATLANTIC CROSSING
Flere interessante saker fra USA
I USA har Federal Trade Commission (FTC) tatt rettslige skritt mot selskapet Drizly og deres CEO. Selskapet selger alkohol på nett, og hadde et databrudd der informasjon om to og en halv million kunder var kompromittert. Selskapet fikk naturligvis kraftig kritikk, men det interessante er at de holder selskapets CEO personlig ansvarlig for bruddet. Selskapet hadde ikke implementert adekvat informasjonssikkerhet, og det ble helt konkret vist til at de ikke hadde ansatt en «senior executive» med ansvar for informasjonssikkerhet. En enda mer spesiell sak i beslutningen, er at administrerende direktør pålegges å implementere god informasjonssikkerhet også i andre selskap han måtte ta arbeid i fremover. (Såfremt han ansettes som administrerende direktør eller i en ledende rolle med ansvar for informasjonssikkerhet.) FTC begrunner dette i at ledere ofte bytter selskap og de ønsket å sikre at han ivaretar informasjonssikkerheten hvis han skifter arbeidssted.
Det har også kommet et betydelig forlik i saken mellom Google og flere statsadvokater i USA. Google betaler 391 500 000 dollar for å ha villedet forbrukere og sporet deres geolokasjon. Det er så langt det største forliket i USA. Selv om mobiltelefonene hadde slått av geotracking i applikasjoner, så fortsatte Google spore brukerne. Fremover skal Google også vise tydelig informasjon om når sporing er på eller av og gi brukerne tydelig informasjon om slik sporing og hva den brukes til.
DARK WEB
Nekter å innfri krav om løsepenger
Medibank, en av Australias største helseforsikringsselskaper, ble hacket av en russisk hacker-gruppe med krav om løsepenger. Medibank nektet å betale, hvoretter hackerne begynte å publisere helsedataene på nettet. De valgte til og med å sortere informasjonen i henhold til særlige diagnoser som eksempelvis cannabis-avhengighet og andre rusproblemer for å få ekstra oppmerksomhet. Dataene inneholder opplysninger om fødselsdato, passnumre og helseopplysninger. Medibank har ikke gitt etter, med begrunnelse at de uansett neppe vil få kontroll over dataene igjen hvis de betaler. To advokatselskaper er engasjert for å se om Medibank har brutt personvernerklæringene sine og på om de kan stilles til ansvar økonomisk.
Når en virksomhet hackes, er utleggelse av informasjon på dark web et lite mareritt. Det beste man kan si om dette er at også informasjonssikkerhet må prioriteres. Jeg vet dere har hørt det før. Men dette er også et tema som må adresseres til ledelsen som må ta ansvar for prioriteringer.
KOMMENDE MØTE
| 8. des 15.00 – 18.00 Nettverksmøte |
| 26. jan 14.00 – 17.00 Nettverksmøte |
| 16. feb 12.00 – 13.00 Digital drop-in |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works IT-juridiske nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments