Det nytter jo ikke å skrive at «nå har det skjedd mye» – fordi det er jo slik det er hele tiden med personvern. Det er stadig nye avgjørelser og tolkninger som må tas hensyn til og det er utfordrende.
Men GDPR er bare en 5-åring. Det er naturlig at det tar tid å få et så stort regelverk på plass når man skal ensrette praksis på et stort rettsområde i alle Europas land. Jeg tror nok at man trenger 5 nye år på at ting blir mer forutsigbart.

Personvernet har uansett blitt mye bedre i løpet av disse årene. Nå ser vi en trend til at personvern også blir viktigere i oppkjøpssituasjoner og det vil også bli en sterk driver for bedre personvern fremover. Den historisk høye boten til Meta er også viktig.
Mer om dette ogandre sentrale saker under.

Gratulerer med 5-års jubileum og god lesning!

Hilsen Eva

REKORDBOT

Meta bøtelagt med 1,2 milliarder euro

Meta er ilagt det største overtredelsesgebyret i GDPRs historie. Ulovlighetene bestod i at selskapet hadde overført opplysninger fra europeiske brukere til USA i strid med personvernordningen kapittel 5. Feilen ble ansett som svært alvorlig fordi Meta hadde overført opplysninger på en systematisk og repetitiv måte, i tillegg til at volumet av de overførte opplysningene var massivt. Boten er på ca 14 milliarder norske kroner.

Det europeiske personvernrådet (EDPB) har uttalt at boten må anses som et sterkt signal til selskaper om at alvorlige brudd på forordningens bestemmelser vil få vidtrekkende konsekvenser. Det er et viktig budskap, og jeg merker at flere nå er mer varsomme med å inngå avtaler som medfører overføring av personopplysninger til USA.

Meta har fått frist til oktober for å rette opp situasjonen eller stanse overføringene. Det er uklart om den nye avtalen om overføring av personopplysninger fra EU til USA vil være klar i tide for at Meta kan fortsette overføringene. Det ville jo være en fordel for Meta, men de påpeker selv i sine rapporter at det er usikkert om overføringssystemet vil være ferdig til den gitte fristen og at det kan skape problemer for selskapet. Mange av dem jeg har snakket med, tror ikke at den nye overføringsavtalen vil være på plass i tide.

Samtidig er det mange som spør seg om boten egentlig er streng nok. En alternativ fremgangsmåte kunne ha vært å pålegge selskapet krav om umiddelbar stopp av overføringer mellom EU og USA, samt umiddelbar sletting av personvernopplysninger fra amerikanske servere. I tillegg kunne Meta ha blitt pålagt en dagbot for hver dag som gikk uten at kravene ble etterkommet. En høy dagsmulkt ville også oppmuntre andre selskaper, i tillegg til Meta, til å sikre at deres egne handlinger er i samsvar med personvernforordningen.
Det er ikke utenkelig at en slik tilnærming med pålegg om stans, blir vanligere fremover.

SCHREEMS II

Hva betyr Schrems II-dommen for de store teknologiselskapene?

Schrems II-saken kom i 2020. Som dere vet, ble det vanskeligere å overføre personopplysninger til USA – og et spørsmål er jo hva dette betyr for amerikanske selskaper. Lenge har mange sagt at dommen i realiteten ikke medfører store endringer. Det spørs om det er riktig. Det er interessant å se hvordan dette nå omtales i en rekke av selskapenes års- og kvartalsrapporter.

I sin årsrapport for 2022 opplyser selskapet Alphabet at det eksisterer stor usikkerhet rundt bruken av kommisjonens standardkontrakter som grunnlag for overføring av personvernsinformasjon mellom USA og EU frem til EU vedtar personvernregelverket. Videre skriver de at myndighetenes sanksjonering av slik type overføring av personvernsopplysninger kan skade selskapets evne til å tilby visse funksjoner og begrense kundenes mulighet til å dra nytte av disse funksjonene.

I likhet med Alphabet uttaler Telefonica Deutschland i sin årsrapport fra 2022 at ugyldiggjøringen av Privacy Shield-rammeverket er egnet til å skape usikkerhet i ulike kontraktsforhold. Videre skrives det at det ikke virker å være enighet blant europeiske tilsynsmyndigheter om hvordan rettstilstanden for utveksling av personvernopplysninger skal forstås og at dette øker risikoen for at selskapene skal bli funnet skyldig i regelbrudd. Salesforce skriver at deres kostnad øker og det samme gjør kompleksiteten ved å tilby tjenester i «visse markeder». Vi får tro “visse markeder” er Europa. Microsofts kvartalsrapport angir at Schrems II-dommen fortsetter å skape usikkerhet rundt de rettslige kravene for informasjonsoverføring fra EU til USA. Det uttales videre at dommen har medført at enkelte tilsynsmyndigheter i EU har blokkert bruk av USA-baserte tjenester. De skriver også at strengere regler for overføring til USA vil kunne øke kostnadene og kompleksiteten ved leveringen av selskapets tjenester og produkter.

Oppsummert skriver selskapene at Schrems II-saken faktisk har innvirkning. Det er jo ikke overraskende, men for så vidt forfriskende at det skrives i klar tekst.

Jeg fant dette omtalt på LinkedIn i denne posten.

UENIGHET OM SANKSJONER

Det irske datatilsynet er i utakt med datatilsynene i øvrige EU-land

Selv om det irske datatilsynet DPC nå har kommet med den største boten i GDPRs historie, har det ofte vært uenighet mellom DPC og andre lands datatilsyn om nivået på sanksjoner. En rapport fra The Irish Council for Civil Liberties (ICCL) viser at tre fjerdedeler av det irske datatilsynets avgjørelser over en periode på fem år, har blitt tilsidesatt av det europeiske personvernrådet (EDPB).

EDPB har i disse sakene krevd strengere håndheving av regelbruddene enn hva det irske datatilsynet har konkludert med i sine avgjørelser. En tilsidesettelsesprosent på 75 prosent er åpenbart svært høy. Rapporten bemerker at det irske datatilsynet har en tendens til å bruke skjønnsfriheten under irsk lov til å lande på en «minnelig løsning», i stedet for å utøve håndhevelsestiltak mot den innklagede virksomheten. Rapporten hevder derfor at Irland er «flaskehalsen ved håndhevelsestiltak» for grenseoverskridende saker i Europa.

Når en stor del av de innklagede sakene mot tek-gigantene bare har blitt møtt med irettesettelser, har håndhevelsesmekanismen i stor grad vært paralysert. I fjor sommer kunngjorde den irske regjeringen at de ville ansette to ekstra kommisjonærer og forfremme Helen Dixon til styreleder for å bedre håndtere den økende arbeidsmengden til datatilsynet. Det er vel likevel usikkert om DPC kommer til å endre sin praksis. Jeg tipper at de vil fortsette å være mildere stemt enn andre tilsyn, og at andre tilsyn så vil protestere til EDPB, med den konsekvens at DPC må oppjustere sine gebyrer og ting vil egentlig bare ta litt lenger tid enn om DPC hadde endret praksis selv.

Rapporten er omtalt her.

INNSYN I AIs BESLUTNINGER

Sak mot Uber og Ola Cabs og bruk av AI

I en sak for Amsterdam Court of Appeal opprettholdt en gruppe sjåfører påstanden om at Uber og Ola Cabs hadde brutt personvernforordningen ved å bruke ugjennomsiktige algoritmer som beslutningsgrunnlag for bøteleggelse og avskjedigelse av sjåførene.

Uber forsvarte seg blant annet med at algoritmenes avgjørelser var blitt gjennomgått og evaluert av mennesker – en argumentasjonslinje som jo ofte brukes som en metode for å bruke algoritmer i saksbehandling. Det er derfor spesielt interessant at ankedomstolen avviste dette og sa at de menneskelige vurderingene ikke kunne anses for å være mer enn bare en symbolsk handling. Algoritmeavgjørelsene måtte dermed anses for å være foretatt automatisk.

Sjåførene hadde etter GDPR artikkel 22 rett til ikke å være gjenstand for automatiske beslutningsprosesser når det gjaldt avgjørelser som i betydelig grad påvirket dem – og det forelå dermed brudd på artikkel 22 i saken. I tillegg måtte også sjåførenes rett til informasjon etter GDPR artikkel 13-15 anses krenket.

Hva gjaldt sjåførenes rett til en forklaring på algoritmebeslutningene, anførte selskapene imidlertid at de måtte være berettiget til å holde tilbake informasjon som gjaldt funksjonaliteten til algoritmene som ble brukt til å oppdage svindel fordi slik informasjon måtte betraktes som forretningshemmeligheter og at deling av informasjon kunne muliggjøre en omgåelse av disse prosessene. Ankedomstolen imøtegikk dette med å si at tilbakeholdelsen av informasjon om algoritmenes funksjonalitet ikke var proporsjonalt holdt opp mot de negative effektene som sjåførene opplevde.

Dommen er viktig fordi den viser behovet for transparente algoritmeløsninger. Når sjåførene ikke gis informasjon om beslutningsprosessen, er det i praksis umulig for disse å vurdere rettferdigheten av algoritmene. Samtidig kan man lure på hvordan og om transparens overhodet kan gis – det vil jo avhenge av hvilke typer algoritmer som er i bruk. Men det er i alle fall klart at dette er en viktig avgjørelse for alle som planlegger bruk av AI.

Dommen er blant annet omtalt her.

TREJELANDSOVERFØRINGER

Kan Google Analytics være lovlig likevel?

I sin oppdaterte veileder om tredjelandsoverføringer skrev Datatilsynet nylig at det er nødvendig å iverksette ytterligere tiltak for overføring til land der lovgivningen er problematisk, med mindre det ikke er grunn til å tro at den problematiske lovgivningen vil ramme den konkrete overføringen. I vurderingen av om den problematiske lovgivningen vil bli anvendt på overføringen, presiserte tilsynet at det kan legges vekt på dataimportørens praktiske erfaringer samt erfaringer til lignende aktører i samme bransje.

I en bloggpost fra januar 2022 skrev Google at de ikke har hatt noen innsynsbegjæringer fra amerikanske myndigheter over en periode på femten år tilbake i tid fra januar 2022. Uttalelsene i bloggposten utgjør erfaringer som Google har opparbeidet seg over lang tid. Selskapet var ikke forpliktet til å avgi uttalelsen, og informasjon fra høytstående ansatte i selskapet må kunne klassifiseres som troverdig informasjon.

Datatilsynet har varslet nye retningslinjer for bruk av Google Analytics i Norge om kort tid. Det blir interessant å se om tilsynet tar Googles egne erfaringsuttalelser fra bloggposten i betraktning – noe som vil være i tråd med informasjonen de presenterer i deres egen veileder.

Jeg hadde en kronikk om dette i Digi sammen med noen kolleger, den finner du her.

EN REKKE NYE RETTSAVGJØRELSER

Samtykker til markedsføring

Dersom personopplysninger behandles med sikte på direkte markedsføring, har den registrerte rett til å protestere mot behandlingen av personopplysninger som angår vedkommende. Dersom den registrerte protesterer mot slik behandling, skal personopplysningene ikke lenger behandles for slike formål, se GDPR artikkel 21 (2) og (3). I årsrapporten for 2022 behandlet datatilsynet i den tyske delstaten Hessen en særsituasjon om dette. Situasjonen kan være praktisk for mange.

Sett at en kunde har handlet i en nettbutikk og reservert seg mot reklame der. Så handler kunden via selskapets app – kan man da sende reklame basert på dette kjøpet? I dette konkrete tilfellet, gjorde selskapet det. De forklarte det med at kundedataene fra app’en og nettbutikken var lagret ulike steder.

Datatilsynet i Hessen kom til at dette var ulovlig fordi reservasjonen mot reklame ikke avhenger av distribusjon eller underliggende tekniske løsninger.Kundens motsettelse av behandlingen måtte anses for gyldig frem til den ble trukket tilbake av vedkommende.

Av rapporten fremgår det videre at dersom det ikke er mulig for selskapet å ha en enhetlig kundeinformasjonsdatabase for nettbutikk- og app-kunder, må virksomheten utvikle andre tekniske og organisatoriske løsninger for å sikre at kundenes personvernrettigheter faktisk overholdes. Det er en påminnelse om at man bør tenke privacy by design fra dag 1 ved utvikling av nye tjenester.

Rapporten er tilgjengelig her.


Den behandlingsansvarlige kan pålegges bøter for databehandlers brudd på GDPR

I en ny sak fra EU-domstolen uttalte generaladvokat Emiliou seg om hvorvidt den behandlingsansvarlige kan pålegges ansvar – og dermed også en bot – som følge av databehandlers ulovlige behandling av personopplysninger. Generaladvokaten kom til at GDPR artikkel 83 ga grunnlag for at den behandlingsansvarlige er ansvarlig for databehandlerens brudd på personvernforordningen – selv om den behandlingsansvarlige selv ikke har begått noe lovbrudd. Dette vil naturlig nok gjelde mange som bruker databehandlere.

Den behandlingsansvarlige, altså oppdragsgiver, kan imidlertid ikke pålegges ansvar i ethvert tilfelle – bare når databehandleren handler innenfor rammene av de instrukser som den behandlingsansvarlige har gitt. Dersom databehandleren går utenfor dette mandatet og bruker opplysninger til egne formål, kan ikke den behandlingsansvarlige bli bøtelagt for databehandlers ulovlige behandling.

Dette betyr at de instrukser den behandlingsansvarlige gir, blir viktige. Spørsmål som må avklares er eksempelvis hvem som skal utstede instruksene og i hvilken form instruksene skal utstedes. I tillegg er det essensielt å klarere hva instruksene konkret omfatter: Desto vagere og mer skjønnsmessig instruksene er, desto større er risikoen for at den behandlingsansvarlige risikerer å bli bøtelagt for databehandlerens potensielle lovbrudd. Jeg tror mange databehandleravtaler kan bli bedre på dette.


Stor bot fra datatilsynet i Kroatia til inkassobyrå

I desember 2022 mottok det kroatiske datatilsynet en anonym klage hvor det ble hevdet at et inkassobyrå, Debt Collection Agency B2 Kapital, behandlet et stort antall av debitorenes personvernopplysninger ulovlig. Datatilsynet kom til at inkassobyrået ikke hadde informert debitorene om personvernbehandlingen på en tydelig og klar måte i tråd med GDPR artikkel 13. De hadde heller ikke databehandleravtale med databehandleren som hadde ansvaret for å overvåke personvernopplysningene ved forbrukerkonkurser. Datatilsynet konkluderte med at inkassobyrået ikke hadde tilstrekkelige sikkerhetstiltak og ga en bot på 2,265 millioner euro. Beslutningen er omtalt her.

Det finnes mange typer personvernrisiko som man må prioritere blant når man arbeider med personvern. Det er en betydelig risiko å behandle personopplysninger på måter som ikke er i samsvar med den informasjonen som er gitt til de registrerte. Dette er en viktig problemstilling som man bør ha spesielt fokus på under egenkontrollen i eget selskap – spesielt fordi jeg er redd for at det ikke er helt uvanlig med behandlinger som ikke er beskrevet i personvernerklæringene.
 Erstatning for enhver tort og svie ved GDPR-brudd?

I mai uttalte EU-domstolen i sak C-300/21 at ikke ethvert brudd på personvernforordningen utløser rett til erstatning etter forordningens artikkel 82. Saken omhandlet en østerrisk statsborger som saksøkte den nasjonale posttjenesten fordi posttjenesten hadde forutsagt innbyggeres politiske syn ut fra sosiodemografiske kriterier uten innbyggernes kunnskap eller samtykke.

EU-domstolen skrev at tre vilkår må være oppfylt for å kreve erstatning etter forordningen:

1. Behandlingen av personopplysninger må utgjøre et brudd på bestemmelsene i GDPR,
2. Individet som påberoper seg erstatning må ha lidt en skade,
3. Det må eksistere årsakssammenheng mellom den ulovlige behandlingen av informasjon og skaden som er oppstått.

GDPR inneholder ingen bestemmelser som gir retningslinjer for vurderingen av omfanget av erstatningen som det skadelidte individet har krav på. I mangel på slike bestemmelser er det medlemslandene selv som må utforme regler vedrørende dette. EU-domstolen påpeker at medlemslandenes bestemmelser må hensynta forordningens prinsipper om likebehandling og effektivitet.
En slik løsning vil imidlertid kunne lede til forskjellige tolkninger av kompensasjonsbegrepet i EU-landene, hvilket igjen vil kunne ha som konsekvens at summen på erstatningsutbetalingen vil være ulik avhengig av hvilket EU-land man bor i. Dette vil være uheldig i et overordnet perspektiv. Vi kommer nok til å se mange flere slike saker fremover.

Techcrunch har en god artikkel om saken her.

NY GUIDE

Personvernguide for små selskaper

EDPB har lansert en personvernguide for å hjelpe mindre bedrifter å tilpasse seg personvernreglene. Formålet er å øke bevisstheten rundt forordningen og å gjøre praktisk informasjon lettere tilgjengelig og mer forståelig. Dette er forsøkt gjort ved blant annet videoer og grafiske fremstillinger samt annet praktisk materiale.

Ved en nærmere gjennomgang av guiden kan det muligens innvendes at guiden i realiteten er nokså avansert for små bedrifter. Men sett i lys av at regelverket er komplekst, er det likevel begrenset hvor lett stoffet kan formidles.

Et eksempel på at guiden tross alt kan være nyttig for bedriftene, er beskrivelsen av hvordan en DPIA kan gjennomføres og skaleres. Guiden kan også være nyttig som innføring for nybegynnere i personvern og kan antakelig fungere bra som opplæringsmateriell i mange selskaper.  

Guiden er tilgjengelig her.

KOMMENDE MØTER

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.