Nå går vi inn i juli og første halvdel av 2023 er bak oss. Med personvernbriller på, er det ganske klart at det er et ungt regelverk vi forholder oss til og at det er hyppige justeringer. Det har jo ofte kommet viktige saker fra domstoler i EU og fra EDPB like før sommerferien – og det kan skje i år også. Gjerne litt før de tar ferie i Europa – sånn omtrent midt i juli med tilhørende avbrutt sommerferie. Vi får se. 

Det er den femte sommeren vi har nå etter at GDPR trådte i kraft. Personvernet er langt fra blitt perfekt, men gjennomgående har personvernet blitt bedre enn hva det var. Selv om jeg også er enig i at en del av dokumentasjonskravene i EDPBs veiledere er (unødig) omfattende og vanskelig å forholde seg til. Jeg har ofte tenkt at menneskers opplysninger brukes på stadig nye områder og at noe av det viktigste er at vi får informasjon om hvordan de brukes. Så er det ikke så farlig om ikke alle bryr seg, det er helt OK at bare noen gjør det.

Hva har vært viktigst i første halvår? Jeg mener vi har sett fire temaer som er viktige. 

󠀡✔️Den aller største boten er nå gitt til Meta for brudd på reglene om overføring til tredjeland/USA – anslagsvis 14 milliarder norske kroner. Den vil bli bestridt, selvfølgelig, men fremover risikerer oppegående selskaper å rammes av at dette er ment å være en “signal-bot” som er et varsko for andre. Jeg tror ikke at “frisøren på hjørnet” vil kjenne på dette, men for mange store selskaper er dette viktig. Og om du ikke får bot, men beskjed om å stanse overføringene du har? I praksis er det like ille som en bot for mange.

✔️ En annen svært viktig sak er den nå såkalte SRB-saken om pseudonymiserte personopplysninger. Kan det være slik at det er pustet liv i Breyer-dommen fra 2016 og at opplysninger som besitteren selv ikke kan re-identifisere, kan anses som anonyme og “unnslippe” GDPR? Konsekvensene kan bli svært store. Klagefristen for SRB-dommen går ut etter at dette nyhetsbrevet er skrevet ferdig. Mange har heiet på dette og sagt at dette er en mer pragmatisk tolkning av GDPR. Jeg tror neppe det blir mindre arbeid hvis dette blir stående – for da må man dokumentere og vurdere konkret hvilke muligheter for re-identifisering mottakeren av pseudonymiserte personopplysninger har. Men det er klart – det er fristende å kunne anse pseudonymiserte opplysninger som anonymiserte. Sammen med flinke kolleger hadde jeg en kronikk om dette i Digi som kan være verdt å lese.
 

✔️ For lesere i Norge, er det videre verdt å merke seg at Personvernnemnda blir mindre viktig fremover. Dette vises gjennom saken om SATS, der klagemuligheten til nemnda ble erstattet av å måtte ta en klage inn for domstolene – fordi saken hadde relevans til flere land og da kan den nasjonale nemnda ikke brukes. Det er veldig mange norske og skandinaviske bedrifter som har en tilsvarende aktivitet i utlandet, slik SATS har. Og det er dyrere å klage i rettsapparatet enn til Personvernnemnda. Men dette har blitt en realitet og vi ser det i flere saker fra tilsynet nå. 

✔️ Trenden fra tilsynene og domstolspraksis er at innsynsretten tolkes ganske bokstavelig og tro til bakenforliggende prinsipper om transparens. Det blir bra personvern av det – men det kan komme som en overraskelse for noen behandlingsansvarlige. Tenk deg at du må fortelle om alle databehandlere du bruker og hvor personopplysningene befinner seg. En utfordring – ja, for de aller fleste.

Under finner du mine kommentarer til noen av de andre mest spennende sakene den siste måneden. Jeg er sikker på at det vil skje mye til høsten også, gleder meg til det.
Ha en riktig god sommer, ta en velfortjent pust i bakken – og så blir det fint med nye møter og diskusjoner i nettverket til høsten! 

Hilsen Eva

---

OVERFØRING TIL USA

Finsk datatilsyn beordrer stans av bruk av Google Analytics og reCAPTcha

Det finske datatilsynet har gitt det meteorologiske instituttet i Finland en irettesettelse på grunn av overføring av personopplysninger til USA ved hjelp av overvåkningsteknologier. Instituttet har brukt både reCAPTCHA” og Google Analytics (GA) på nettsiden sin.  

Datatilsynet konkluderte med at instituttet ikke hadde rettslig grunnlag for overføringen av personopplysninger som bruken av reCAPTCHA og GA medførte. Instituttet hadde heller ikke umiddelbart stoppet overføringen av opplysninger etter EU-domstolens Schrems II- avgjørelse.  De hadde heller ikke gjennomført en DPIA/personvernkonsekvensutredning. 

Det har vært mye snakk om GA det siste året, og i Norge venter vi fremdeles på hva Datatilsynet vil mene om saken mot Telenor. Det kan jo fremdeles tenkes at det kommer en avgjørelse før sommerferien begynner. Mulighetsrommet for at de velger å være fleksible og legge vekt på at det ikke har vært innsynsbegjæringer mot GA, kan virke som å bli innsnevret når disse avgjørelsene mot GA er ganske like.  Men jeg mener det burde kunne la seg gjøre. SRB-saken viser jo at “etablerte” sannheter innenfor GDPR kan utfordres. 

Les mer her.

---

INNSYNSBEGJÆRINGER

Svarfrist på innsynsbegjæring forlenges ikke på grunn av medarbeideres sykdom

Det har vært en del saker om innsynssaker i det siste. Jeg tror det kommer til å bli flere av dem. Folk flest er i ferd med å bli klar over hva de har rett til å få vite og det er saker som utvider dette også. Den svenske Spotify-saken er en av dem. Denne fra det belgiske datatilsynet viser at det ikke er så enkelt for den behandlingsansvarlige å vise til sykdom som unnskyldning for å utsette å svare, heller. 

En tidligere leietaker ba om innsyn i personopplysninger etter GDPR art. 15 hos utleieren (den behandlingsansvarlige). Innsynsbegjæringen ble sendt 2. desember 2019. Den behandlingsansvarlige svarte den 31. desember 2019 at svartiden måtte forlenges med to måneder. Klageren fikk imidlertid ikke svar før 2. september 2020, altså 10 måneder etter at anmodningen først ble sendt. I svaret ble  heller ikke alle spørsmål i anmodningen besvart, fordi de hevdet at de etterspurte opplysningene ikke var omfattet av GDPR art. 15. 

Da klagde den berørte personen den personopplysningsansvarlige inn for det belgiske datatilsynet (GBA). GBA understreket viktigheten av at GDPR art. 15 følges og konkluderte med at den behandlingsansvarlige ikke hadde svart på anmodningen innen den opprinnelige fristen og heller ikke etter den forlengede fristen på to måneder. Dette kunne ikke unnskyldes med at den ansvarlige for saken var langtidssykemeldt. 

Innsynsbegjæringer må besvares med informasjon om hvilke konkrete databehandlere man har delt opplysninger med – og i mange tilfeller også hvilke av ens egne ansatte som har fått opplysninger. Følgelig forelå det en overtredelse av GDPR art. 15.1, 12.3 og 12.4. 

Avgjørelsen finnes her hos GBA.

---

RETTET ANNONSERING

Flere store bøter om “targeted ads”?

Som kjent har retargeting og bruk av personopplysninger i reklameøyemed gitt opphav til mange store bøter. Nå skrives det at det irske datatilsynet (DPC) var varslet Microsoft om et overtredelsesgebyr til Linkedin. Saken startet med at DPC etterforsket klager mot LinkedIn om at de drev ulovlig målrettet reklame. Microsoft har nå fått et forhåndsvarsel fra DPC med en tentativ bot på i underkant av 5 milliarder norske kroner for uhjemlet retargeting. 

Avgjørelsen er ikke offentlig enda, men Microsoft bestrider selvfølgelig kravet. Det er enda ikke klart når den endelige avgjørelsen fra det irske datatilsynet vil foreligge. Samtidig ser vi at både praksis hos noen store aktører (Google) og endringer i regelverk går i retning av eksplisitte samtykker for retargeting.  Personvern er fremdeles et ungt fagområde i rask endring og det at datatilsynene har brukt en del tid (les: år) på å koordinere seg om hvordan GDPR skal tolkes, har nok gjort at en del aktører har lagt seg på utvidende tolkninger. Det kan se ut som om det strammes inn nå, men det kommer til å både ta tid og å skape mange diskusjoner. Og bruker du retargeting overfor dine kunder – så er det all grunn til å følge med på utviklingen.

Les mer om Microsoft-saken her. 

---

PERSONOPPLYSNINGER OM BARN

Og mens vi snakker om Microsoft – de har utfordringer i USA også

Microsoft har inngått et forlik på 20 millioner dollar med den føderale handelskommisjonen (FTC) for å avslutte en anklage om å samle inn personopplysninger om barn uten foreldrenes samtykke og i noen tilfeller oppbevare de i flere år. 

Bruddet er en krenkelse av the children’s online privacy protection act (COPPA) som skal verne privatlivet til barn under 13 år. Loven krever at selskap som samler inn personopplysninger varsler foreldrene om opplysningene som samles inn og at disse gir tillatelse. I tillegg skal personopplysninger som ikke lenger er nødvendig å oppbevare, slettes. 

FTC påstår at barn som oppretter brukere i Microsoft Xbox må oppgi en rekke personopplysninger samt at de har en forhåndsutfylt “sjekkboks” som tillater Microsoft å dele personopplysningene med annonsører. Microsoft skal ha samlet opplysningene før de innhentet samtykke. I tillegg bevarte de opplysningene selv om foreldrene ikke fullførte opprettelsen av brukeren. 

X-box sjef Dave McCarthy mener at oppbevaringen av personopplysningene skyldes en teknisk glipp og at opplysningene aldri på noen som helst måte ble brukt eller delt. 

FTC krever nå at Microsoft må varsle foreldre og innhente samtykke for oppbevaring av opplysninger for alle brukere som er opprettet før mai 2021. I tillegg må Microsoft iverksette nye systemer for å slette barns personopplysninger dersom samtykke fra foreldre ikke er innhentet samt sikre at opplysninger er slettet når det ikke lenger er nødvendig å oppbevare de. 

Det har vært mye aktivitet for FTC i det siste. Denne saken var deres tredje COPPA-relaterte sak de siste ukene. Herunder en sak mot Amazon som oppbevarte opptak fra den velkjente Alexa plattformen til tross for forespørsler fra foreldre om å slette opptakene. 

Hele saken kan du lese om her.

---

VEILEDER FOR GEBYR

EDPB har offentliggjort sin endelige veiledning for utmåling av overtredelsesgebyr

Retningslinjene skal sørge for at bøter beregnes på (omtrent?) samme måte i de europeiske landene. Det er selvfølgelig artikkel 83 som er styrende, men de har laget en metode som skal anvendes i fastsettelsen av botens størrelse. 

Det er tre elementer som skal være styrende: overtredelsens art, alvorligheten av overtredelsen og omsetningen til overtrederen. Selv om dette kan virke sjablongmessig, er skjønn fremdeles sentralt. EDPB skriver selv at skjønn må med. Det er altså ingen automatisk standard beregning, men det skal foretas en konkret vurdering av alle omstendigheter i hver enkelt sak. I tillegg skal man ta hensyn til formildende omstendigheter. Dette er likevel et viktig bidrag til rammeverket for å få til et mer effektivt samarbeid mellom tilsyn i grensekryssende saker. 

Selv om de endelige retningslinjene stort sett er i overensstemmelse med tilbakemeldingene fra den offentlige høringen, så innebærer de endelige retningslinjene en endring i hvordan størrelsen på et foretak skal vektlegges for å fastlegge startsatsen. Det som defineres som mindre alvorlige brudd kan gis mellom 0-10% av maksimumsstraff, medium brudd gis mellom 10-20% av maksimumsstraff og alvorlige brudd skal ha mellom 20-100% av maksimumsstraffen. Det er klart det vil bli diskusjon om hvilken kategori et brudd havner i – hittil har tilsynene hatt en tendens til å anse brudd på grunnleggende rettigheter som alvorlige. Det skal også tas hensyn til et selskaps omsetning (og bæreevne) og de har innført “startnivåer” for bøter for ulike typer omsetning. 

Vi kommer til å få se mye diskusjon om dette fremover i sakene om ilagte bøter.

Veiledningen er tilgjengelig her.

---

HJELP TIL Å KLAGE

Det er de få som er opptatt av personvern, som sikrer de manges personvern

Dette er et utsagn som har vært sagt mange ganger og det er helt sant. Og da er det nyttig at folk klager på brudd på personvern.

Nå hjelper EDPB folk å klage. De har utviklet en mal for et klageskjema samt kvittering for mottak av klage. Målet er å gi klageren generell informasjon om neste steg etter en klage og å underrette om retten til effektiv håndhevelse av avgjørelsene fra tilsynene. Malene skal også gjøre det enklere for tilsynene å behandle klager i grenseoverskridende saker. 

Malene tar høyde for forskjeller i nasjonal lovgivning og tillater tilsynene å gjøre tilpasning til egne lover. EDPB har også kommet med oppdaterte versjoner for søknad om godkjennelse av “BCR”, Binding Corporate Rules, for behandlingsansvarlige. Anbefalingene oppdaterer det eksisterende BCR-C referansedokumentet. EDPB utvikler for tiden en tilsvarende anbefalingsmodell for databehandlere (BCR-P). 

Les mer om dette her.

---

INNSYN PÅ EGET SPRÅK

I Sverige har IMY gitt Spotify en stor bot

Når brukere av Spotify krever innsyn i sine personopplysninger, gir Spotify ut tre typer informasjon; profilinformasjon, historikk linket til brukerens personopplysninger og spesifikk informasjon som en bruker krever å få utlevert. Informasjonen gis i et såkalt teknisk JSON format. 

Det svenske datatilsynet, IMY, mener det er tilstrekkelig at informasjon gjøres tilgjengelig gjennom en nettbasert løsning. Imidlertid er det helt avgjørende at informasjonen blir formulert på en slik måte at den oppfyller formålet med innsynsbegjæringen. Brukeren skal kunne sette seg inn i hvordan personopplysningene blir behandlet og at behandlingen er i tråd med loven. 

Spotify hadde ikke tilpasset informasjonen til en bruker-spesifikk situasjon, noe som vanskeliggjorde prøvingen av om behandlingen av personopplysningen var i tråd med loven. I tillegg var informasjon ikke lett tilgjengelig og for uklar og generell når den først ble gitt som gjorde det vanskelig for vanlige brukere å forstå den. 

Tredelingen av opplysninger mente ikke IMY at var et brudd på artikkel 15 fordi brukeren har mulighet til å få alle opplysningene samtidig ved å henvende seg til kundeservice. Formateringen av opplysningene (JSON format) var også generelt sett tilstrekkelig. Imidlertid ble tekniske opplysninger om historikk bare gitt på engelsk. Det er et krav etter artikkel 12 at opplysninger etter artikkel 15 må gis i en konsis, tydelig og forståelig form og på et forståelig og klart språk. Datatilsynet konkluderte derfor med at å bare gi informasjon på engelsk var et brudd på artikkel 12. 

Datatilsynet tilføyde at dersom det er uklart hvilke opplysninger en innsynsbegjæring gjelder, så skal den behandlingsansvarlige legge til grunn at brukeren ønsker innsyn i alle personopplysninger. 

Etterforskningen endte med en bot på 50 millioner svenske kroner.

Saken er omtalt hos NOYB her.

---

TREDJELAND OG BESKATNING

Kan skatteopplysninger om amerikanske borgere overføres til USA ihht FATCA?

EDPB ba i april 2021 medlemslandene i EU/EØS om å vurdere, og eventuelt revidere bilaterale avtaler som pålegger overføring av personopplysninger til tredjeland i forbindelse med beskatning. Organisasjonen Association of Accidental Americans (AAA) har i et brev til EDPB påpekt at det har gått svært lang tid uten at det har skjedd noe hos medlemslandene. Frem til nylig.  

Flere amerikansk/belgiske statsborgere bosatt i Belgia ble varslet av banken deres om at den måtte opplyse om bankkontoene, herunder innestående og annet, relatert til formue på grunn av FATCA avtalen. Denne avtalen pålegger blant annet banker å opplyse lokale skattemyndigheter om bankkontoer som amerikanske borgere har opprettet i utlandet. Deretter rapporterer de lokale myndighetene videre til USA. Det belgiske datatilsynet mener avtalen er i strid med GDPR. 

Etter GDPR art. 96 så påvirkes ikke internasjonale avtaler som er inngått før ikrafttredelsen av GDPR, av GDPR. Men datatilsynet mente at unntaksvis må reglene i GDPR likevel slå gjennom dersom bruken av art. 96 får uforholdsmessige konsekvenser for rettighetene til klagerne. 

Datatilsynet mente videre at FATCA-avtalen ikke inneholder et tilstrekkelig klart angitt formål og derfor er det ikke mulig å undersøke i hvilken grad behandlingen av personopplysninger er nødvendig for å ivareta formålet. FATCA-avtalen var heller ikke i tråd med prinsippene om nødvendighet og forholdsmessighet, den inneholder ingen beskyttende tiltak og nevner ikke personvernet til de som får sine personopplysninger behandlet gjennom avtalen. 

Som behandlingsansvarlig, hadde de belgiske skattemyndighetene heller ikke gitt tilstrekkelig informasjon om behandlingen av personopplysninger slik GDPR artikkel 13 og 14 foreskriver og de hadde ikke foretatt en DPIA/konsekvensutredning av det å dele personopplysninger med USA. Belgiske skattemyndighetene hadde ikke iverksatt tiltak for å sørge for at delingen av personopplysninger var i overensstemmelse med GDPR. Følgelig vedtok det belgiske datatilsynet et forbud mot å behandle klagernes personopplysninger etter FACTA-avtalen. 

Norge har også signert FATCA-avtalen med USA, og det var en del diskusjoner om personvern da den ble undertegnet. Så langt kan jeg ikke se at det har kommet diskusjoner tilsvarende den i Belgia. 

Les mer her

og her

---

HJELP HR-SJEFEN!

Og atter en påminnelse om at HR-opplysninger skal behandles klokt

Hovedstadens beredskapstjeneste i Danmark oppdaget at det nye arkiveringssystemet deres (ESDH), ga alle ansatte tilgang til nåværende og tidligere ansattes personopplysninger. Herunder navn, personnummer og adresser (også skjulte). Dette gjaldt totalt 2000 ansatte. Etter en nærmere undersøkelse avdekket den behandlingsansvarlige at seks forskjellige brukere hadde brukt tilgangen uten at det hadde relevans for utførelsen av jobben deres. 

Det danske datatilsynet valgte å kritisere beredskapstjenesten, men ga ikke bøter (det er sjelden det gis bøter i Danmark fordi det må gjennom politiet). 

I andre europeiske land ser vi mye oppmerksomhet på hvem som har tilgang til HR-data. Reglene vil jo være de samme i Norge, men foreløpig er det ikke mange saker om dette her. Men det kan endre seg. 

Det kan være lurt å sjekke tilganger til HR-data, hvor lenge de oppbevares og om de ligger i skytjenester som kan medføre overføring til USA – da trengs en TIA (transfer impact asessment). Også når leverandøren er skandinavisk, men bruker en underleverandør som er amerikansk. Jeg hadde nylig møte med en HR-sjef som “plutselig forsto” at vedkommendes norske avtalepart hadde amerikanske underleverandører og at det utløste en tredjelands-situasjon. Fint for vedkommende at det dukket opp i samtale med meg, og ikke med Datatilsynet. Hjelp din egen HR-sjef!

Les mer om den danske saken her.

---

AI Act

Status på AI Act – snart ferdig og med nesten dobbelt så store bøter som i GDPR?

Etter at Europaparlamentet den 14. juni foreslo endringer i den opprinnelige lovteksten utarbeidet av kommisjonen, foregår det nå trilogforhandlinger om et endelig resultat. De som sitter tett på Brussel angir litt ulike tidsscenarioer for når vi får en endelig forordning, men gitt den oppmerksomheten AI har for tiden, kan dette gå fort. Det er samtidig verdt å merke seg at GDPR ikke “forsvinner” med AI Act. En databehandler må fremdeles ha hjemmel i GDPR, men det er en rekke formkrav i tillegg i AI Act. 

Bøtenivået i AI Act er lagt vesentlig over nivået i GDR, det foreslås følgende: 

• Brudd på regelverket om forbudte AI metoder kan gi grunnlag for bøter opp til 40 millioner euro eller 7 % av den årlige omsetningen til foretaket. 
• Brudd på art. 10 og 13 om transparens og personvern kan gi bøter opp til 20 millioner euro eller 4 % av årlig omsetning. 
• Andre brudd på AI Act kan gi bøter opp til 10 millioner euro eller 2 % av årlig omsetning. 

Parlamentet har gjort en rekke endringer, hvorav noen av de viktigste er: 

• De tar hensyn til “generativ” AI.
• Ved bruk av generativ AI pålegges også en informasjonsplikt om at generativ AI er brukt.
• Flere AI-systemer defineres som “høy risiko” – særlig de som anbefaler innhold til brukere av sosiale medier. 
• Individene har fått klagemulighet til et tilsynsorgan, mye på samme måte som for GDPR.
• Det innføres særlige begrensninger i kontraktsvilkår om ansvarsbegrensning i avtaler om høy-risiko AI.

Det er mye å ta tak i her og det er relevant for svært mange. Vi skal se nærmere på dette i løpet av høsten. 

---

FORKLARE ALGORITMER

Det begynner å komme bøter for AI som ikke lar seg forklare

Som leser av dette nyhetsbrevet og dermed godt kjent med GDPR og teknologi-juss, vil du være godt kjent med utfordringene knyttet til det å forklare algoritmer og AI. Jeg har jo ikke fasiten på hvordan dette skal løses. Men det er interessant at det nå kommer saker der tilsynene ikke finner det akseptabelt at årsakene til en beslutning ikke kan forklares. 

En ny sak kommer fra Tyskland der en person hadde søkt om å få kredittkort og oppgitt en rekke personopplysninger. Vedkommende fikk automatisk avslag til tross for god kredittscore og høy inntekt. Personen ba da banken informere om hvorfor vedkommende fikk avslag, og banken nektet å utlevere disse opplysningene. Det tyske datatilsynet slo fast at når behandlingsansvarlige gir automatiske svar ved hjelp av algoritmer er de pålagt å gi konkret informasjon om databaser og faktorer som påvirker avgjørelsen. Saken endte med en bot på 300 000 Euro. 

Saken om Uber som jeg skrev om i forrige nyhetsbrev er også relevant, der det litt upresist ble skrevet og kritisert at AI’en kom med løsningsforslag som den ansatte mest aksepterte uten å ta stilling til resultatet. Det er også tydelig at AI-act eller ikke, så brukes ikke AI i dag i et rettstomt rom- det er mange regler rundt dette. 

Les om saken fra Tyskland her.

---

KOMMENDE MØTER

KOMMENDE MØTER

24. august 14.00 – 17.00   Nettverksmøte

14. sept 12.00 – 13.00   Digital drop-in

19. okt 14.00 – 16.00   Digitalt nettverksmøte

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.