Siste nyhetsbrev ble en gjennomgang av noen sentrale og viktige saker. I ettertid har jeg fått mange kommentarer på artikkelen om hvor detaljert man må fortelle om hvem man har delt personopplysninger med. For de som ikke rakk å lese forrige brev: Det er kommet en viktig avgjørelse fra ECJ om at innsynsbegjæringer må besvares med informasjon om hvilke konkrete databehandlere man har delt opplysninger med – og i mange tilfeller også hvilke av ens egne ansatte som har aksessert opplysninger. Vi kommer helt sikkert tilbake til dette temaet senere.
Denne gangen tar jeg et litt bredere sveip over saker som har kommet den siste tiden. Det er mer enn nok å ta av! Hvis noen av dere har spesiell interesse for personvernpraksis i andre nordiske land – send meg en e-post så skal jeg se om vi har en ledig plass til et eget Nordic Privacy Round Table i april. Vi får besøk av de fremste personvernekspertene fra alle nordiske land.
Hilsen Eva
TREDJELANDSOVERFØRINGER
Kritisk til EU-US Data Privacy Framework
Vi skal ikke skrive mye om tredjelandsoverføringer i dette nyhetsbrevet, men litt må det bli.
Som kjent har EU-parlamentet kommet med kommentarer på det foreslåtte avtaleverket om overføringer mellom EU og USA. Uttalelsen er sterkt kritisk til avtaleverket og mener at det ikke sikrer ekvivalent personvern når europeiske borgeres personopplysninger overføres til USA. Det er mye som kritiseres. Særlig fremheves at forståelsen for hva som er «proporsjonalt» og «nødvendig» ikke er den samme i USA og i Europa. Det er spesielt problematisk når regelverket i praksis skal håndheves i USA. En annen sentral kritikk er at avtalen baseres på en såkalt «Executive Order» i USA. Enhver president kan endre Executive Orders etter eget forgodtbefinnende.
Det er interessant at kommentarene fra EU-parlamentet i stor grad faller sammen med kritikken som NOYB (None Of Your Business) har fremmet mot avtalen.
Den 28. februar kom EDPB med sine merknader til avtaleforslaget også. De er muligens ørlite grann mer positive enn mange trodde etter å ha lest Parlamentets uttalelse. EDPB skriver at utkastet er langt bedre enn det tidligere Privacy Shield, men er opptatt av at det jobbes videre med å styrke rettigheter for de registrerte, ha bedre rammer rundt videre overføringer og en rekke andre forhold som at regelverket må revurderes ofte.
Saken behandles nå videre i EU-kommisjonen, som enten kan vedta avtalen slik den er selv om parlamentet har protestert og EDPB ønsker seg endringer, eller de kan prøve å forbedre den ved ytterligere forhandlinger med USA.Saken behandles nå videre i EU-kommisjonen, som enten kan vedta avtalen slik den er selv om parlamentet har protestert og EDPB ønsker seg endringer, eller de kan prøve å forbedre den ved ytterligere forhandlinger med USA. Men – det kan virke vanskelig for USA å kunne imøtegå den kritikken som reises fordi det vil kreve ganske store endringer i landets rettssystem. Det er god grunn til å tro at vi må gjøre «Transfer Impact Asessments» for bruk av amerikanske tjenester i lang tid fremover.
Les uttalelsen fra EU-parlamentet her
Portugisisk folketelling brukte amerikanske CloudFlare – ble stanset
I 2021 fikk den portugisiske tilsynsmyndigheten (CNPD) flere klager på en nasjonal folketellingsundersøkelse som ble gjennomført av et offentlig organ, National Statistics Institute (INE). Respondentene i undersøkelsen kunne besvare undersøkelsen online. INE brukte den amerikanske tjenesten CloudFlare som leverandør av online-tjenesten. CloudFlare har visstnok over 200 datasentre i 100 land.
Klagene gjaldt flere ting, både lovligheten av behandlingen av personopplysninger for statistikkformål, men i denne sammenhengen er det mest relevante at det også ble klaget på overføringer av personopplysninger til et tredjeland uten et tilstrekkelig beskyttelsesnivå.
CNPD gjorde undersøkelser og det viste seg at det på det tidspunktet var sendt rundt 2,5 millioner skjemaer med personopplysningene til over seks millioner mennesker bosatt i Portugal til CloudFlare.
CNDP var sterkt kritisk til at den behandlingsansvarlige hadde inngått en kontrakt med databehandleren som tillot overføring til USA (på basis av en SCC) uten at noen tilleggstiltak for å sikre overføringene var fattet. Dessuten tillot avtalen databehandleren å samarbeide med andre (under)behandlere etablert i tredjeland uten et tilsvarende beskyttelsesnivå. CNPD fremhevet også INEs mangel på kontroll og kunnskap om krypteringsverktøy.
CNPD påla INE å stanse alle datastrømmer til USA og andre tredjeland som ikke tilbyr et tilstrekkelig beskyttelsesnivå, enten via Cloudflare, Inc. eller via et hvilket som helst annet selskap. INE fikk 4,3 millioner euro i bot. Saken kan påklages.
Jeg kjenner ikke bakgrunnen for saken inngående. Men jeg vet om mange selskaper som bruker gode amerikanske tjenester og som ikke forhandler på avtalevilkårene som tilbys av dem. Det er ikke helt sikkert at dette er lurt fremover, uansett om man er i offentlig eller privat sektor. Selv om vårt norske Datatilsyn har vært tilbakeholdne med tilsyn på overføringer, vil de måtte forholde seg til gjeldende regelverk dersom de får en klage.
COOKIES
Cookie Banner Taskforce – ny analyse fra EDPB
Den 18. januar publiserte EDPB sin rapport om arbeidet utført av Cookie Banner Taskforce. Cookie Banner Taskforce ble opprettet i september 2021 for å koordinere svarene på de mange klagene på feil bruk av cookies. Det var NOYB som over en kort periode leverte inn 101 klager (de såkalte «101 Dalmatinere»). Målet med EDPBs innsatsgruppe var å fremme samarbeid, informasjonsdeling og beste praksis mellom tilsynsmyndighetene.
EDPB påpeker at rapporten ikke er noen avgjørelse på de konkrete klager som er blitt fremmet, fordi disse må også løses i sammenheng med nasjonale lover som implementerer ePersonverndirektivet.
Rapporten går gjennom ni typesituasjoner EDPB har funnet. Kort oppsummert er anbefalingene som følger:
- ePrivacydirektivet gjelder for plassering av cookies, slik det er inkorporert i nasjonal lovgivning. I motsetning til dette gjelder GDPR for behandling av personopplysninger som samles inn gjennom informasjonskapsler
- GDPRs one-stop-shop-mekanisme gjelder ikke for brudd på ePersonverndirektivet
- Cookie-bannerets første lag skal ha en knapp som lar brukere avvise alle informasjonskapsler.
- Bannere for informasjonskapsler skal ikke ha forhåndsavkryssede valg og skal ikke påvirke eller tvinge brukere til å godta cookies. Det skal ikke være vanskeligere for brukere å avvise cookies enn å godta dem ved å vise villedende «avvis»-knapper. Man skal ikke bruke såkalte dark patterns og farge og form på knappene skal være nøytrale.
- Brukere skal få klar og lett forståelig informasjon om hva formålet er med cookies-ene som brukes.
- Brukere som samtykker til plassering av informasjonskapsler skal når som helst kunne trekke tilbake samtykket. Det skal være like enkelt å trekke tilbake samtykke som det er å gi det.
Du kan lese hele rapporten her.
Dansk nei til å bundle statistikk og samtykke til markedsføring
Det danske Datatilsynet har kommet med to viktige avgjørelse om cookies og samtykker. Det er samtykkekravene i GDPR artikkel 4 som er tema.
I den ene saken besluttet tilsynet at man kan stille som vilkår for tilgang til en nettside at det enten samtykkes til cookies for markedsføring og statistikk eller ved at det faktisk betales for tjenesten. Prisen for tilgang var så lav at tilsynet mente den registrerte hadde et reelt valg. Samtidig sa tilsynet at bruk av opplysninger til statistikk ikke var en nødvendig del av alternativet til betaling og virksomheten ble pålagt å enten underbygge slik nødvendighet eller åpne for separat samtykke til dette.
Datatilsynets oppfatning er at besøkende på et nettsted under visse forutsetninger kan anses å ha et reelt og frivillig valg når nettstedet tilbyr besøkende innhold mot å innhente samtykke til behandling av personopplysninger, så lenge selskapet også tilbyr en alternativ måte å få tilgang til innholdet på som ikke innebærer behandling av personopplysninger. Dette krever imidlertid at innholdet som tilbys av selskapet i stor grad må være likt, uavhengig av om de besøkende gir samtykke eller for eksempel betaler for å få tilgang til innholdet eller tjenesten.
Dette er litt kronglete formulert i vedtaket, men jeg forstår det som at de ikke kan «bundle» statistikkproduksjon inn i samtykkeløsningen og at det kreves et separat samtykke for dette, eventuelt at de påviser den «nødvendighet» de har for bruk av opplysningene. Det er noe uklart om nødvendighetskravet da knyttes til samtykke eller for bruk av berettiget interesse – antakelig er det det siste.
Den andre saken gjaldt deling av artiklene i en avis med venner. Leseren kunne dele artikler enten mot samtykke til cookies for markedsføring og statistikk eller ved å tegne abonnement. Tilsynet har følgende viktige uttalelser i vedtaket:
«Et samtykke vil ikke være afgivet frivilligt, hvis den registrerede ikke har et reelt eller frit valg og kontrol over oplysninger om sig selv. Enhver form for upassende pres på eller påvirkning af den registreredes frie vilje medfører, at samtykket er ugyldigt.
En dataansvarlig kan i et vist omfang motivere de registrerede til at give samtykke ved, at der er en fordel forbundet med at samtykke. Indmeldelse i en forretnings fordelsprogram kan f.eks. indebære rabatter, som motiverer kunden til at give samtykke til at modtage reklamemateriale fra forretningen. Den rabat eller de fordele, som et samtykke til et fordelsprogram medfører, udelukker ikke, at samtykket kan anses for at være frivilligt.
Det er dog vigtigt at være opmærksom på, om manglende samtykke medfører negative konsekvenser for den registrerede, som ikke vil give samtykke, fx i form af meromkostninger.»
Her fant Datatilsynet at det ikke var et reelt samtykke da tjenestene ikke var like i omfang avhengig av om man betalte eller samtykket. Datatilsynet la vekt på at ved å samtykke fikk brukerne tilgang til å dele «ulåste» artikler, mens ved å betale fikk de tilgang til alle artiklene. Fordi det ikke var sammenlignbare tjenester, anså de ikke samtykket for å være et fritt valg.
Heller ikke i denne saken kunne tilsynet se at statistikk var en nødvendig del av alternativet til betaling.
Begge sakene er omtalt på det danske Datatilsynets sider.
NOYB står på mot cookies
I denne sammenhengen er en artikkel fra NOYB om «Pay or OK-prinsippet» spennende. NOYB kritiserer en nettavis som tilbyr enten samtykke til cookies – eller abonnement for 6 euro i måneden. NOYB anslår at avisen ville tjene mellom 30-90 cent per bruker per måned og slik sett ville få inn mellom 6 til 20 ganger mer på en reklamefri personvernvennlig versjon. De skriver, ikke overraskende, at det kreves en rettslig avklaring av om dette er lovlig.
Du kan lese om saken her.
Personvernvennlige Apple får også bot
Apple snakker ofte varmt om personvern og har bl.a. gjort det vanskelig for andre å spore brukere på Iphoner. Men på tampen av fjoråret fikk de en bot fra det franske datatilsynet (CNIL) på €8.000.000 for brudd på reglene om målrettet annonsering og bruk av cookies. Som begrunnelse for botens størrelse viste CNIL blant annet til Apples fortjeneste fra annonseinntekter. Etter hva jeg vet, er dette den første personvernboten som er gitt til Apple.
Saken begynte som en klage fra en registrert. CNIL gjorde undersøkelser og konkluderte med at Apple samlet inn identifikatorene til besøkende som brukte et gammelt operativsystem i App Store og de hadde ikke samtykke til dette. Opplysningene ble brukt til å tilpasse annonser i App Store.
CNIL anså ikke bruken som strengt nødvendig for levering av tjenesten. Her ser man at de stiller seg på samme strenge linje som en del andre datatilsyn når det gjelder hva som er «nødvendig» for å levere en tjeneste.
Apple hadde forhåndsavkrysset aksept for målrettet annonsering i «Innstillinger» på telefonene.
Noe av det mest interessante med saken er at CNIL hadde jurisdiksjon i saken selv om Apple Store styres fra et selskap i Irland. Dette er fordi de anvendte eprivacy-direktivet. Den såkalte «one-stop-shop»-mekanismen i GDPR gjaldt ikke.
PLIKT TIL Å LAGRE
Hvor lenge skal dokumentasjon for samtykker oppbevares?
Det danske datatilsynet har utarbeidet en veileder om hvor lenge personopplysninger skal oppbevares for å kunne dokumentere at man har innhentet samtykker. Veilederen er antakelig praktisk for svært mange.
Plikten til å kunne dokumentere etterlevelse av reglene i GDPR, herunder at den registrerte har avgitt samtykke, må ses i sammenheng med forordningens øvrige regler. Spesielt reglene om dataminimering og lagringsbegrensning. GDPR artikkel 11 er viktig her. Den sier at hvis formålene med en behandling av personopplysninger ikke (lenger) krever at den registrerte kan identifiseres, er den behandlingsansvarlige ikke forpliktet til å oppbevare, innhente eller behandle tilleggsopplysninger for å kunne identifisere den registrerte.
Vilkåret i artikkel 7 om dokumentasjon gjelder derfor kun så lenge behandlingen pågår. Etter avsluttet behandlingsaktivitet – f.eks. fordi den registrerte har trukket tilbake sitt samtykke – er det dermed ingen plikt til å påvise at samtykke er innhentet fra den enkelte ved å lagre det gitte samtykket eller personopplysninger behandlet på grunnlag av dette.
Forordningens generelle krav om dokumentasjon krever altså ikke at en kopi av et gitt samtykke oppbevares. Kravet bør i stedet oppfylles av såkalt systemdokumentasjon om generelle prosedyrer for innhenting av samtykket, f.eks hvilke opplysninger som gis for samtykker.
Konsekvensen av dette er at personopplysninger som behandles basert på samtykke som hovedregel skal slettes umiddelbart etter avsluttet behandlingsaktivitet og/eller at samtykket er trukket tilbake. Og dette gjelder også selve samtykket.
Veilederen var en konsekvens av en konkret sak der Datatilsynet fastslo at en lagringstid på 5 år for at kunne dokumentere gyldigheten av et innhentet samtykke, ikke var i tråd med reglene om lagringsbegrensning. Det kan nok være lurt å se nærmere på hvor lenge dokumentasjon oppbevares.
Les om sakene her.
DIAGNOSEOPPLYSNINGER
Viking Line får bot for feil oppbevaring av HR-opplysninger
En tidligere ansatt ved Viking Line klaget til finsk datatilsyn om at han ikke hadde mottatt alle personopplysningene han hadde bedt om etter en innsynsbegjæring. Viking Line lagret helseopplysningene til den tidligere ansatte i 20 år. De hadde blant annet lagret diagnosedata sammen med data om sykefravær. Ifølge klageren var en del av opplysningene feil og årsaken var at systemet ikke hadde diagnosekoder som var relevante.
Datatilsynet gjorde tilsyn og fant flere alvorlige mangler. Viking Line skulle ha skilt opplysninger om arbeidstakerens helsetilstand fra andre personopplysninger om arbeidstakeren. Det var ulovlig å lagre diagnosedata sammen med andre arbeidsrelaterte data. Videre var det kritikkverdig at noen av dataene var feil. Helseopplysninger skulle også blitt slettet når det ikke lenger var behov for å lagre dem. Viking Line hadde heller ikke informert sine ansatte på korrekt måte om behandlingen. Viking Line ble pålagt å utbedre manglene, samt gi klageren all informasjon vedkommende hadde krav på.
Det ble lagt vekt på at selv uriktige diagnoseopplysninger ble lagret over lengre tid og at dette utgjør en betydelig personvernrisiko for de berørte.
Viking Line fikk en bot på 230.000 euro og tilsynet samarbeidet med tilsynene i Norge, Sverige og Estland om fastsettelsen av botens størrelse.
Saken viser igjen at forvaltning av HR-opplysninger er viktig og at noen ganger setter it-systemer grenser for hvordan opplysninger blir behandlet. Selv om man har et mangelfullt it-system, må kravene i GDPR overholdes. Man blir ikke behandlet mildere om en feil skyldes at it-systemet ikke var optimalt. Oppbevaring av ansattes HR-data over lang tid er nok i praksis ikke helt uvanlig, men det er rimelig klart at mange opplysninger faktisk må slettes og at Datatilsynene krever dette.
En annen sak er at vi ser en økende grad av samarbeid mellom tilsynsmyndigheter som kan medføre øket fokus på nettopp HR-opplysninger.
RETT TIL Å BLI SLETTET
Svensk avgjørelse mot Google er rettskraftig
I 2020 fikk Google en bot på 50.000.000 SEK fra det svenske datatilsynet (Integritetsskyddsmyndigheten – IMY) på grunn av at de ikke tok bort søketreff i Google. Boten var opprinnelig på hele 75.000.000 SEK.
Saken gjaldt dels at Google gjorde en for snever vurdering av hvilke nettadresser som faktisk bør fjernes fra søkeresultatene når en person krever dem slettet. Dels gjaldt det at når Google fjerner søkeresultater, varslet selskapet nettstedet om dette på en måte som gjør at nettstedseieren kunne finne ut hvilken nettside det gjelder og hvem som ba om å få søkeresultatene fjernet. Dette muliggjorde at siden kunne publiseres på nytt med en annen URL som ville vises i Google-søk likevel. IMY mente også at Google, i skjemaet for fjerning, ga informasjon på en måte som gjorde at enkeltpersoner ikke ville be om sletting.
Vedtaket ble påklaget og IMY vant frem i Kammarretten. Det er nå klart at saken ikke slipper inn for videre prøving i høyere domstoler og den er således endelig. Det er som dere vet, en rekke saker i Europa om store beløp som ikke er endelige og det kan være vanskelig å rådgi på et felt inntil beslutninger er endelige. Nå har denne landet.
MOBILNUMMER SOM AUTENTISERING
Norsk datatilsyn og PostNord
PostNord har unngått bøter, men må endre hvordan deres app fungerer etter et vedtak fra Datatilsynet i Norge. Etter to meldinger om avvik fra PostNord og tips fra publikum, gjorde Datatilsynet nærmere undersøkelser rundt sikkerheten i tjenesten «mypostnord». App-en er laget for privatkunder som bruker selskapets tjenester.
PostNord brukte mobilnummer som eneste autentisering for brukere i app-en. Dette medførte at personer som får et nytt telefonnummer kunne få tilgang til profilen til en tidligere eier av telefonnummeret. De kunne da se andres navn, adresse, og i noen tilfeller informasjon om pakker. For så vidt ikke særlig sensitiv informasjon.
I tillegg til konfidensialitetsbestemmelsene i GDPR, har PostNord taushetsplikt etter postloven.
PostNord må etter pålegg fra tilsynet nå iverksette tiltak for å forhindre at nye eiere av telefonnumre får tilgang til tidligere eiers opplysninger.
INFORMASJON OM HELSE
Er det en særlig kategori personopplysning at noen har en formynder?
Det korte svaret er ja. Det svenske datatilsynet, IMY, har nylig tatt stilling til spørsmålet. Det å ha fått oppnevnt en formynder gir indirekte informasjon om helsesituasjonen til et individ og er derfor en særlig kategori personopplysning. Det er interessant at IMY viser til den nå ganske gamle Lindqvist-dommen fra ECJ, og skriver at hva som er en særlig kategori personopplysning må tolkes vidt og informasjon som indirekte viser sensitivt innhold skal omfattes.
Konsekvensen er som mange vet, strengere krav til hjemmel i artikkel 9 sammenlignet med i artikkel 6, strengere krav til blant annet tilgangskontroll og informasjonssikkerhet.
Se mer om dette fra IMY her.
PERSONVERN OG KONKURRENTER
Konkurrenter bruker GDPR-brudd mot hverandre
I Tyskland er det kommet en spennende sak om hvorvidt konkurrenter i privat sektor kan iverksette tiltak mot hverandre på grunn av urimelig handelspraksis basert på brudd på GDPR. Den tyske forbundsdomstolen har fremmet spørsmålet for ECJ.
Saken har sin bakgrunn i farmasøytisk sektor. En aktør selger produkter via Amazon og har ikke innhentet samtykker som en del av bestillingsprosessen. Dette ønsker en konkurrent å klage på. Aktøren som selger produktene på nett, mener at opplysningene ikke er helseopplysninger og i øvrig at alle lovkrav der er dekket.
Saken for ECJ gjelder hvorvidt dette mulige bruddet på GDPR kan forfølges av en annen farmasøyt gjennom et konkurranserettslig søksmål.
Mange i privat sektor kommer til å følge denne saken fremover. Det ser ut til å være et økende antall saker der konkurrenter bruker brudd på GDPR mot hverandre, noe som for så vidt ikke er overraskende. Om man skal ha en fair konkurranse, må det også gjelde på personvernområdet.
OMBUDENES ROLLE
Økt fokus på personvernombudets rolle og uavhengighet
Den 9. februar 2023 avsa ECJ dom i X-FAB Dresden-saken (C-453/21). Domstolen klargjorde kriteriene for å vurdere om det er en interessekonflikt mellom stillingen som personvernombud, eller DPO, og andre oppgaver som vedkommende utfører. Det ble understreket at man må sørge for at DPO ikke får oppgaver som kan svekke utførelsen av vedkommendes tilsynsrolle i virksomheten. Dommen gjør det helt klart at ombudet ikke kan bestemme formålene og metodene for behandlingsaktiviteter.
Avgjørelsen er i tråd med EDPBs veileder for ombudsrollen. Hva som eventuelt kan være en interessekonflikt må vurderes konkret fra sak til sak. Det er etter hvert kommet flere avgjørelser som belyser hvor grensene går. Tidligere avgjørelser har vist at ombudet ikke kan ha roller som leder for risk management, compliance eller internrevisjon.
Hvorvidt det faktisk forelå en konflikt i denne saken, ble henvist til nasjonal domstol å avgjøre. ECJ presiserte at alle relevante omstendigheter skal hensyntas, spesielt organisasjonsstrukturen til den behandlingsansvarlige eller dens databehandler(e), alle gjeldende regler inkludert eventuelle retningslinjer for behandlingsansvarlig eller dens databehandler(e). Rollen som vil bli vurdert i denne saken var om ombudet kan være «chair of the works council», noe som i norsk sammenheng kan sammenlignes med å være en slags lokal, bedriftsintern fagforeningsleder. Helt umiddelbart er det ikke innlysende at det er en rollekonflikt her, men det blir spennende å se hva tyske domstoler kommer til.
Som mange vet, gjennomfører EDPB nå en undersøkelse om ombudenes rolle. Det norske Datatilsynet har også gjort flere undersøkelser om dette i 2022, og delvis er det der stilt spørsmål om ombudenes faglige kompetanse. Det er sannsynlig at det vil komme flere avgjørelser om ombudenes rolle i 2023.
Helt fra innføringen av GDPR har det vært klart at personvernombud skal være uavhengige. Samtidig har det vært akutt mangel på mennesker med tilstrekkelig kompetanse i personvern, slik at mange har nok både fungert som ombud samtidig som de har bistått i hvordan en organisasjon skal behandle personopplysninger. Det er nå en dreining i tilsynspraksis på at ombudsrollen skal ha den uavhengighet og kontrollerende funksjon som GDPR beskriver. Ombudsrollen er en annenlinje- funksjon for virksomhetene, mens førstelinje om personvernspørsmål bør ivaretas av andre funksjoner, typisk juridisk avdeling. Det går mot en klarere rollefordeling.
SCRAPING
Meta saksøker «scraper»
Til slutt: Som nevnt i nyhetsbrevet mitt i januar, fikk Meta i november 2022 en gigabot på 2,5 milliarder kroner fra det irske Datatilsynet for at personopplysningene som lå på Facebook-sidene kunne skrapes av tredjeparter. Facebook ble da kritisert for ikke å ha tilstrekkelig innebygget personvern, slik at opplysningene kunne lekkes.
I mellomtiden har Meta blitt oppmerksom på et selskap som har utført slik fordekt skraping, og har trukket dette selskapet for retten: Selskapet heter Voyager Labs, er amerikansk, og tilbyr overvåkingstjenester til politimyndigheter i USA. De har en programvare som skal forutsi om enkeltpersoner er særlig disponert for å utføre straffbare handlinger. De benytter kunstig intelligens som trenger store datasett for å kunne gi så gode prediksjoner som mulig. Programvaren og tilhørende data ble blant annet benyttet av politiet i Los Angeles.
Ifølge rettsdokumentene hevder Meta at Voyager har opprettet over 38 000 falske konti på Facebook, Instagram, Twitter, YouTube, LinkedIn og Telegram og så benyttet disse for å skrape informasjon om over 600.000 personer.
Meta har i skrivende stund ikke saksøkt selskapet med tanke på å motta noen form for erstatning. De ønsker i første omgang kun at praksisen opphører. Rettsgrunnlaget er at virksomheten bryter med Facebooks retningslinjer og vilkår for bruk av tjenesten, og at den dermed er å anse som et avtalebrudd. Hadde dette skjedd i Europa, ville de kunnet argumentere med GDPR i tillegg. Saken viser at det er betydelige rettslige utfordringer med internasjonale plattformer.
Du kan lese mer om saken her.
KOMMENDE MØTE
| 30. mars 14.00 – 16.00 Digitalt nettverksmøte |
| 20. april 12.00 – 13.00 Digital drop-in |
| 25. mai 14.00 – 17.00 Nettverksmøte (fysisk) |
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments