Det er knapt et møte eller en konferanse uten at ChatGPT blir nevnt for tiden. Problemer med opphavsrett, problemer med juks for skoler ved eksamener, problemer med personvern, det at det italienske Datatilsynet stanset bruken er periode – you name it. Og det er viktig.

Sett fra vinklingen til dette nyhetsbrevet – hva er hjemmelen for behandling av personopplysninger: Når ChatGPT kan skrive artikler om både deg og meg – og dikte opp og distribuere litt falske fakta underveis om det passer – hvilken hjemmel kan man bruke? Neppe samtykke. Fungerer berettiget interesse? Jeg er i stor tvil.  

Og (minst) en person har avkrevd Open AI innsyn i hvilke personopplysninger AI’en har brukt da den skrev artikler om dem som inkluderte (feilaktig) at de var avgått ved døden. Det spørs om OpenAI kan svare og da kommer nok en klage til et datatilsyn raskt.

Det er bra at EDBP har satt ned en egen task force på dette. Jeg tipper det blir noen relativt prinsipielle synspunkt fra dem fremover.  

Og hva om en programmerer sender kode (med sensitive personopplysninger) til ChatGPT for å teste om den virker – og så blir opplysningene en del av ChatGPTs læringsmarteriale videre? Dette er omtalt som ett reelt inntruffet case i The Economist Korea: Les artikkelen her.
Dette bør ha betydning for hvordan man bruker ChatGPT internt i bedrifter.

Dette blir i alle fall nok et spennende felt å følge med på. I øvrig har det ikke vært noen store personvernskred den siste måneden. Litt deilig egentlig, så man kan få summet seg. I neste nettverksmøte planlegger jeg å komme med mer informasjon om Google Analytics 4 – det kan faktisk tenkes at det åpnes noen muligheter der, men jeg må forske litt mer først.

Under er et knippe andre saker jeg synes er verdt å vite om.

Hilsen Eva

---

RETNINGSLINJER

«EDPBs endelige retningslinjer om innsynsrett

Det ser ut som en trend at det kommer flere og mer inngående innsynsbegjæringer. For noen er det en ganske stor utfordring når man må redegjøre for f.eks. hvilke personopplysninger som overføres til hvilke land og hvilke sikkerhetsforanstaltninger som er truffet. Det er derfor relevant at EDPB har oppdatert sin guideline for hvordan slike innsynsbegjæringer skal forstås og håndteres. En endelig oppdatert guideline ble offentliggjort den 17. april.
Guidelinen tar opp og går gjennom flere poeng i denne sammenheng. Sentrale og relevante poeng er som følger:

• Brukeren trenger ikke å begrunne innsynsbegjæringen og det er ikke opp til kontrolløren å vurdere hvorvidt begjæringen faktisk vil bidra til å verifisere lovligheten av behandlingen eller utøvelsen av rettighetene
   
• Innsynsretten omfatter tre ulike komponenter;

1. Informasjon om hvorvidt data om personen behandles eller ikke
2. Tilgang til personopplysningene
3. Tilgang til informasjon om behandlingen av dataen, eksempelvis formålet, kategorier av data og dets mottakere, behandlingens varighet og brukerens rettigheter

• Måtene å gi tilgang på, kan variere avhengig av mengden data og kompleksiteten i behandlingen som utføres. Med mindre annet er uttrykkelig angitt, bør anmodningen forstås slik at den gjelder alle personopplysninger om brukeren. Behandlingsansvarlig kan be brukeren om å spesifisere begjæringen dersom de har en stor mengde opplysninger.
   
•  Behandlingsansvarlig skal søke etter den registrertes personopplysninger i alle IT- og arkiveringssystemer basert på søkekriterier som speiler måten informasjonen er strukturert på, eksempelvis navn og kundenummer. Formidlingen av opplysninger og annen informasjon skal være kortfattet, forståelig og lett tilgengelig.
   
• Når det gjelder hvordan forespørselen om innsyn fremsettes, er det ingen spesifikke krav til formatet den fremsettes. Behandlingsansvarlig skal sørge for at det foreligger hensiktsmessige kommunikasjonskanaler som er lett tilgjengelig for brukeren. Brukeren er likevel ikke pålagt å bruke kanalene, og kan derfor sende forespørselen direkte til andre hos den behandlingsansvarlige.

Guidelinen er tilgjengelig her.

I tillegg minner jeg om tidligere kommentarer om nye domsavgjørelser om at innsynsretten er vid – at den som regel omfatter hvilke databehandlere som har hatt tilgang til informasjon og i mange tilfeller antakelig også hvilke interne ansatte som har hatt tilgang til informasjon.

---

COOKIES

Datatilsynet oppfordrer til gjennomgang av cookies og sporingsmekanismer på nettsider

Datatilsynet har kommet med en oppfordring om at alle virksomheter gjennomgår nettsidene sine for cookies eller andre sporingsmekanismer. Oppfordringen skyldtes blant annet at Sveriges Radio nylig avdekket at over 100 apotek har delt kunders personopplysninger med Facebook.

Datatilsynet fremhever blant annet at de er bekymret for at flere norske nettsteder bruker cookies eller andre sporingsmekanismer uten å være oppmerksomme på hva slags informasjon sporingsteknologiene avdekker eller hvem informasjonen deles med. For brukerne av nettstedet kan det være en stor personvernrisiko, mens det for virksomheten både kan være en juridisk- og omdømmemessig risiko. Tilsynet understreker derfor at alle virksomheter bør ha et bevisst forhold til personvernregelverket når de iverksetter analyse- og markedsføringsløsninger på nettstedene sine.

Datatilsynet fremhever ellers at bekymringen gjelder både private og offentlige nettsteder. Jeg synes ikke anbefalingen er overraskende, og min antakelse er at håndhevelse av cookieregelverk vil bli svært mye viktigere i Norge fremover.

Du kan lese mer om saken på Datatilsynets nettside her.

---

OVER DAMMEN

EU-parlamentet fortsatt kritiske til overføringsavtalen USA-EU

EU-parlamentet er stadig vekk kritiske til den nye overføringsavtalen mellom EU og USA. De ber om at avtaleutkastet forbedres. Resolusjonen som kom i april er imidlertid ikke bindende, og kommisjonen blir derfor ikke forpliktet av den.
Les mer om dette her.

Det siste jeg hørte om denne saken er at det pt er usikkert hvordan Kommisjonen nå griper dette an. Det kan tenkes at det kommer en adekvansbeslutning om USA i løpet av noen måneder, men jeg har også hørt informerte kilder si at det kan gå ut året og vel så det. Som skrevet før – det kan være bra med en god mal for å skrive Transfer Impact Asessments, de forsvinner neppe med det første.

Personvernlovgivning i USA

I et seminar forrige uke hørte jeg IKT Norge hevde at «EU regulates while US operates». Det ble sagt som et hjertesukk over et komplisert GDPR som europeere må forholde seg til. Jeg tror likevel at dette er en foreldet oppfatning. GDPR er komplisert å forstå og er svært detaljert, men det er i ferd med å bli minst like komplisert i USA. Nå foreslår den syvende staten i USA å innføre et personvernregelverk.

En del amerikanske personvernadvokater jeg kjenner, synes at Europa er heldige som bare har ett regelverk å forholde seg til. I USA har de allerede mange regelverk – inntil de en dag (kanskje) klarer å samles om et helhetlig regelverk for alle stater. Men det synes å være en stund til.

Senatet i Indiana godtok 13. april 2023 the Senate Bill 5 (SB 5). SB 5 er et nytt personvernregelverk om forbrukere. Forbrukere skal få en tilgjengelig, tydelig og informasjonsrik personvernerklæring som blant annet inneholder informasjon om hva slags personopplysninger virksomheten innehar, hensikten bak innhentingen av dataen, samt rettighetene forbrukeren har. Videre krever regelverket at virksomhetene gjennomfører og dokumenterer en vurdering av personvernkonsekvensene for de ulike behandlingsalternativene som involverer personopplysninger. En amerikansk personvernadvokat jeg kjenner sier med et skjevt smil at kravene til en «DPIA i USA er større enn i Europa». Og det kan godt tenkes det stemmer.  

For interesserte, er det mere om SB 5 i Indiana her.

Det er sannsynlig at flere stater vil følge etter og innføre personvernregelverk. Forskjellen mellom regelverkene er dog stor – og frustrerende. Mulig må vi komme tilbake til dette, det er relevant for virksomheter med aktivitet i USA. Et ulikt regelverk i statene er selvsagt vanskelig for virksomheter som arbeider på tvers av flere stater. Det er litt som det var i Europa før GDPR – bortsett fra at vi ikke hadde de store bøtene eller særlig slagkraftige datatilsyn på den tiden.

Les mer om utviklingen i USA her.

Og her er en oversikt over lovgivningen i USA.

---

RETTSLIGE AVGJØRELSER I SVERIGE OG ØSTERRIKE

Gebyr på 6 millioner til Klarna

Forvaltningsdomstolen i Sverige har nylig avsagt en dom hvor de konkluderer med at Klarna Bank AB har overtrådt den svenske personvernforordningen. Følgende av overtredelsen er et sanksjonsgebyr på SEK 6.000.000.

Klarna ble først pålagt å betale et gebyr på SEK 7.500.000 av det svenske datatilsynet, IMY. Selskapet anket avgjørelsen og hevdet at det eneste som var brutt var ikke-bindende retningslinjer fra EDPB. Akkurat det argumentet er det mange som mener er viktig i etterlevelsen av et GDPR-regelverk som er litt ullent, samtidig som retningslinjene fra EDPB ikke er gjennom like mange demokratiske diskusjoner som selve GDPR. Jeg kommer tilbake til i hvilken grad EDPBs retningslinjer ble avgjørende og vektlagt her, men det er klart at domstolen mente at informasjonsplikten ikke var brutt i like stor grad som det IMY mente.

Forvaltningsdomstolen kom imidlertid til det samme resultatet som IMY, men justerte ned gebyret med halvannen million SEK. Ved vurderingen la domstolen vekt på at Klarna ikke hadde gitt nettbrukerne sine tilstrekkelig informasjon om hvordan og til hvilke formål personopplysningene ble behandlet. Det var heller ikke gitt tilstrekkelig informasjon om hvilke rettigheter brukerne hadde.

Det er foreløpig ikke mye informasjon tilgjengelig om saken, men det er omtalt her.


Østerrike – sak mot avis

Det østerrikske datatilsynet, DSB, har kommet med uttalelser i «Pay or Okay»-saken. Innledningen på denne saken er omtalt i nyhetsbrevet for mars.

Saken gjaldt samtykkekravene i GDPR artikkel 4. Den østerrikske avisen Der Standard hadde i sin nettavis tilbudt brukeren å enten samtykke til cookies eller å kjøpe et abonnement for 6 euro i måneden. NOYB argumenterte for at dette ikke var personvernvennlig da de mente at brukeren i praksis ikke hadde mulighet til å gi et fritt samtykke ettersom det eneste alternativet ville ha vært å abonnere på avisen.

DSB konkluderte med at et slikt «pay or okay» ikke var lovlig i henhold til samtykkeprinsippet i GDPR artikkel 4 (11). Domstolen begrunnet dette blant annet i at et samtykke skal være fritt, spesifikt, informert og utvetydig. Videre ble det fremhevet at «the granularity of consent» er et sentralt moment i vurderingen. Samtykket skal være spesifikt for alle eventuelle behandlinger, hvilket innebærer at når det foreligger flere behandlingsalternativer så skal det gis samtykke for hver av dem. Dette var ikke tilfellet i foreliggende sak.  De hadde bundlet samtykke for markedsføring, analyse og «social media plug-ins».

Prinsippet om «Pay or OK» ble ikke direkte kommentert, domstolen valgte å adressere granularitet i samtykket. Akkurat dette ser vi at mange Datatilsyn har fokus på for tiden.
Les mer om saken her.

---

PERSONVERNOMBUD

Rapport etter tilsyn av ulike personvernombud

Det litauiske datatilsynet har offentliggjort en rapport basert på tilsyn av ulike personvernombud. De har blant annet følgende funn:

• Interessekonflikt: noen selskaper utpekte administrerende direktør som ombud, mens i andre tilfeller hadde ombudet oppgaver som førte til at de bestemte midler og formål med behandlingen.
• Noen selskaper hadde flere ombud – uten at det var fastsatt hva ansvaret var. Tilsynet understreker at hvis det er behov for å ha flere ressurser som jobber med personvern, anbefales å sette opp en gruppe bestående av ett ombud og et team – ikke flere ombud.
• Der ombudsrollen var kjøpt inn som en DPO-as-a-service, var tjenesten ofte begrenset til f eks 60 timer per år og uten at man hadde klarlagt hvordan kontinuitet i tjenesten skulle sikres.
• Manglende klarhet i hvordan ombudet skal rapportere til toppledelsen.
• Lite informasjon til ansatte om ombudets rolle for ansatteopplysninger. Mens kontaktinformasjon til ombudet ofte står på et selskaps hjemmeside, var det ikke alltid tilsvarende informasjon til ansatte.
• Når råd fra ombudet ikke ble fulgt, var det manglende dokumentasjon på hvorfor, på hvem som tar en slik beslutning og hvordan.
• Få ombud gjennomførte internkontroller i selskapet.

Rapporten er tilgjengelig her, dog på litauisk.

Det er grunn til å tro at noen tilsvarende funn kan gjøres andre steder. EDPBs koordinerte undersøkelse om ombudsrollen vil antakelig sette fokus på de samme forholdene. I Norge venter man fremdeles på resultatet av det norske Datatilsynets undersøkelser for en god stund siden. Jeg tror at det vil være vanskelig for andre enn ganske store selskaper og etater å ha full uavhengighet for ombudsrollen, fordi det krever så store ressurser. Og mange vil undres hva man skal med et ombud som man egentlig ikke kan spørre om råd om hvordan man skal gå frem. Noen pragmatiske løsninger må nok tas, men det er samtidig klart at det vil bli et mye sterkere oppmerksomhet på ombudets uavhengighet fremover. Og – som noen av oss sa da GDPR kom – hvis du ikke er pålagt å ha et personvernombud, så er du antakelig bedre hjulpet av en «Privacy officer», som har frihet til å gi råd og anbefalinger inn i organisasjonen uten samtidig å være pålagt å revidere dem.

---

NYTTIGE VEILEDERE

Praktiske råd for privacy by design fra England?

England har som mål å ha et effektivt og praktisk personvern. Som dere vet, har de foreslått en lang rekke endringer i sin versjon av GDPR og mange av disse er kritisert for å svekke personvernet. Men uansett er det fint med et tilsyn som er opptatt av å lage praktisk rådgivning. Nå har de kommet med både råd og illustrative videoer for produktutvikling.

ICO har blant annet laget en ny veiledning for å hjelpe UX-designere, produktledere og programvareingeniører med å legge inn databeskyttelse i sine produkter og tjenester fra starten. Veiledningen inneholder både eksempler på god praksis, samt praktiske skritt som organisasjoner kan ta for å overholde databeskyttelsesloven når de designer nettsteder, apper eller andre teknologiprodukter og tjenester.
Se oppsummering av veiledning og link til videoene her

ICO deler prosessen med å starte en virksomhet opp i seks forskjellige faser; Kick-off-, forskning-, design-, utvikling-, lanserings- og etter-lanseringsfasen. Veiledningen gir konkrete råd til hver av de seks fasene om hvordan virksomheten bør behandle personlig informasjon og data. Dette kan faktisk være nyttig for flere.

Se veiledningen til de seks fasene her.

---

TESLA OG TIKTOK

Tesla og innebygget personvern

Mulig kunne Tesla hatt godt av å lese rådgivningen fra ICO litt mer nøye. Dette er jo garantert ingen nyhet for lesere av dette nyhetsbrevet, men det er uansett tankevekkende at også selskaper som bør være særdeles proffe, bommer så ettertrykkelig på personvern.

Det har vært en liten verdensnyhet at tidligere ansatte i Tesla hevder at det var flere tilfeller hvor ansatte hadde delt intime og inngripende videoer/bilder av tesla-eiere i bilene sine. Videoene omfattet blant annet en naken mann som nærmet seg en Tesla, bilulykker og utbrudd med raseri. Videoene har blitt tatt opp via innebygde kameraer i bilene, som har blitt satt inn med det formål å assistere Tesla sin selvkjøringsfunksjon/autopilot. Ikke med formål å være underholdning for ansatte.

Ikke overraskende er Tesla nå saksøkt som følge av dette. Saksøker påstår blant annet at Tesla-ansatte delte «highly invasive videos and images» fra brukernes biler for deres egne «tasteless and tortious entertainment» og «the humiliation of those surreptitiously recorded».

Les mer om søksmålet her.

The Guardian skriver om saken her.

Vi skal komme tilbake til hvor ofte søksmål innen personvern gir uttelling for individene.

To nye bøter til TikTok – fra England og Nederland
TikTok har nylig fått en bot av det ICO på EUR 12,700,000 for ulovlig behandling av dataene til 1.400.000 barn som var under 13 år og som brukte TikTok uten foreldrenes samtykke.

Aldersgrensen for bruk av TikTok er i henhold til dens egne vilkår og betingelser satt til 13 år. Boten er blant annet begrunnet i at TikTok ikke gjorde nok for å hindre at barn under 13 år fikk tilgang til plattformen, at de ikke gjorde nok for å fjerne barn under 13 år fra plattformen, samt at de ikke gjorde nok for å avdekke eller oppdage at barn under 13 år brukte plattformen deres.

Saken startet allerede i mai 2018, hvorpå boten først ble foreslått å ligge over EUR 25.000.000. TikTok har etter boten understreket at de har endret praksis siden ICO begynte å etterforske saken. Nå bruker nettstedet mer enn bare brukernes selvoppgitte alder når de prøver å finne ut hvor gamle de er. Dette inkluderer blant annet opplæring av moderatorene for å identifisere mindreårige kontoer og gi verktøy til foreldre slik at de kan be om sletting av deres mindreårige barns kontoer.

Les mer om saken her.

TikTok har også fått en bot av det nederlandske datatilsynet, AP, på EUR 750.000 for brudd på GDPR artikkel 12 (1). Bruddet på GDPR går ut på at TikTok kun har gitt og fremstilt sin privacy policy på engelsk og ikke som et alternativ på nederlandsk.

Når en bruker oppretter en TikTok-konto ble de informert på nederlandsk om at de godtok TikToks personvernregler. Datatilsynets undersøkelse avslørte imidlertid at TikTok, mellom 25. mai 2018 og 28. juli 2020, ga sin personvernpolicy til nederlandske brukere – inkludert barn – bare på engelsk. Dette gjaldt både under registreringsprosessen, så vel som når en bruker er logget inn og ønsket å konsultere personvernreglene i TikTok-appen.

Les mer om saken her.

Dette med hvilket språk en personvernerklæring må gis på, kommer opp som spørsmål med jevne mellomrom. Ulike land i Europa har litt ulik praksis på dette og det må sjekkes lokalt. Noen land har regler på at det må gis på landets eget språk. Andre mener at man «bare» må sørge for at det gis på et språk brukerne forstår. I praksis opplever jeg egentlig ikke at dette er et stort problem.

---

GEOLOKASJON

Fransk tilsyn om geolokasjon

I disse tider der leide biler, sparkesykler og andre mobile enheter er vanlig, er det naturlig at datatilsynene har fokus på om slike avtaler inngås lovlig.

Det franske datatilsynet, CNIL, har etterforsket bruk av geolokalisering for slike tjenester. I denne sammenheng har CNIL fokusert på selskapet CITYSCOOT, som leier ut scootere. De fokuserte særlig på selskapets innhenting av data, hvorvidt det var gitt informasjon om og hvorvidt samtykke var innhentet fra brukere før behandlingen av informasjon på mobiltelefoner. Det ble avdekket at under utleie av en scooter samlet selskapet inn data knyttet til geolokaliseringen av kjøretøyet hvert 30 sekund. I tillegg til dette holdt selskapet oversikt over brukernes reiser over lang tid.

Selskapet begrunnet innhentingen av geolokaliseringen med at den ble brukt til behandling av trafikkforseelser, kundeklager, brukerstøtte og håndtering av krav og tyverier. CNIL konkluderte imidlertid med at ingen av disse grunnene rettferdiggjorde innhentingen av så detaljert og omfattende data. Videre ble det fremhevet at selskapet kunne ha tilbudt en identisk tjeneste uten geolokalisering av kundene. CNIL bemerket også at tre kontrakter inngått med CITYSCOOTs databehandlere ikke inneholdt all informasjonen som kreves av GDPR.

Selskapet hadde også brukt en reCAPTCHA-mekanisme, levert av Google, som samlet inn maskinvare- og programvareinformasjon (for eksempel enhets- og applikasjonsdata). Mekanismen ble aktivert når man opprettet en konto på CITYSCOOTS mobilapplikasjon, når man logget på og når man gikk gjennom prosedyren for glemt passord på nettstedet. Det ble verken hentet inn forhåndssamtykke eller gitt informasjon til brukerne om at selskapet hadde tilgang til og lagret informasjonen deres. CITYSCOOT fikk EURO 125 000 i bot.

Les mer om saken her.

---

SVENSK POLITIKK OG STRENGT OM E-POST I SPANIA

Tilsyn mot Moderaterna etter videokampanje

Den svenske personvernmyndigheten, IMY, setter nå i gang en gransking av det politiske partiet Moderaterna. Granskningen knytter seg til at IMY har mottatt en rekke klager på at Moderaterna i forkant av valget i 2022 brukte personifiserte videohilsener. I klagene anføres det blant annet at Moderaterna ikke har tilstrekkelig informasjon på sine nettsider om hvordan personopplysninger ble brukt under valgkampen, at det gjennom tjenestene som brukes til videohilsenene er lagret data i USA og at det teknisk sett har vært mulig å få tilgang til andres personlige videohilsener. Det er ganske åpenbart at den type personifisering – hvis det har skjedd – vil kreve både klar informasjon og klar hjemmel. Det at IMY også tar opp spørsmålet om tredjelandsoverføringer i samme sak, høyner på en måte innsatsen.

Les mer om saken her.

En streng sak fra spansk datatilsyn til slutt

Det spanske datatilsynet, AEPD, har ilagt en behandlingsansvarlig en bot på EUR 5.000 for manglende hjemmel for å ha sendt en e-post til ca 190 mottakere. Mottakerne sto i CC og ikke i BCC. Tilsynet mente dette var brudd på GDPR artikkel 5(1)(f) og artikkel 32 (1).

Det har vært vanskelig å få tak i detaljene om saken, men det virker som om det dreiet seg om en invitasjon til en betalt middag/arrangement. Det må være lov å si at reaksjonen virker noe streng. Særlig når det er slik at man ofte kan tillate en overføring til et tredjeland, f eks USA, dersom den aktuelle informasjonen er offentlig kjent – hvor ett av eksemplene er epostadresser. Det vil naturligvis spille inn hva slags epostadresser som var involvert og dette har jeg ikke innsikt i. Men mulig skal jeg tenke meg om en ekstra gang fremover før jeg setter folk i BCC eller CC fremover og trykker send.

Les mer om saken her.

---

KOMMENDE MØTER

25. mai 14.00 – 17.00   Nettverksmøte (fysisk)

24. august 14.00 – 17.00   Nettverksmøte

14. september 12.00 – 13.00   Digital drop-in

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.