IT-jus nr. 8/23

tirsdag 8. august 2023 @ 07:07

Sommerens gladnyhet er at overføringer mellom EØS og USA blir enklere fremover. Så lenge det varer, i alle fall. Schrems vil ta den nye avtalen til retten og det er […]
Av Eva Jarbekk

Sommerens gladnyhet er at overføringer mellom EØS og USA blir enklere fremover. Så lenge det varer, i alle fall. Schrems vil ta den nye avtalen til retten og det er interessant å se at Schrems beskriver at det kun er kommet små endringer i amerikansk lov, mens det norske Datatilsynet skriver at de er glade for at personvernet i USA har blitt bedre. Situasjonen er i alle fall bedre for bedrifter, som nå kan overføre opplysninger enklere.

I øvrig har det skjedd betydelige innstramminger i anledningen til å bruke berettiget interesse som hjemmel for profilering og markedsføring. Se noen viktige saker fra Sverige og fra ECJ om dette under. Her har også vårt eget Datatilsyn meldt seg på gjennom å pålegge Meta å stanse rettet markedsføring. De som er interessert i dette kan se et webinar om saken i regi av IAPP forrige uke. Jeg ble invitert til å bidra i webinaret og det var faktisk over 1000 påmeldte – noe som sier mye om hvor stor oppmerksomhet Datatilsynets vedtak har generert. Hvis dere driver rettet markedsføring kan det være nyttig å bruke liten en time på å se webinaret – det er tilgjengelig på LinkedIn: Legal basis and consequences for personalized advertising.


Det er ikke lenge til neste møte i nettverket og jeg har tenkt at vi da skal ta et dypdykk i AI-forordningen. Det ser ut til at forordningen snart blir vedtatt, og det er lite sannsynlig at det vil bli store endringer i siste runde. Derfor er det på tide å se hvordan regelverket vil påvirke oss i praksis.

Jeg gleder meg til å se dere. Ha en riktig fin oppstart på høsten!

Hilsen Eva,
denne gang med hjelp fra Anna Eide og William Eitrem


FLERE SENTRALE AVGJØRELSER FRA SVERIGE

Det  svenske datatilsynet, IMY, trapper opp aktiviteten. De kan ikke lenger kritiseres for å være passive, slik man ofte har sagt frem til nå. Det er all grunn for selskaper med aktivitet i Sverige å følge med på fokusområdene til IMY. Under er noen saker som har praktisk betydning for mange.

1. Millionbot til Bonnier 

IMY har gitt Bonnier en administrativ bot på 13 millioner kroner. Saken er viktig fordi den kritiserer en praksis som nok har vært vanlig – og så langt stilltiende akseptert – men ikke er det lengre. I tillegg til at saken gir fokus på hvordan berettiget interesse kan brukes som hjemmel for profilering, er dette også tema i 4. juli-avgjørelsen mot Meta som er omtalt litt lenger ned. 

Det er mange som samler inn informasjon fra nettsider og sammenstiller med informasjon fra nettkjøp. Dersom man gjør dette basert på berettiget interesse, er det på høy tid å revurdere sin praksis.
 

Boten ble gitt fordi Bonnier profilerte kundene og nettstedbrukerne uten samtykke. IMY har undersøkt hvordan Bonnier News samlet inn og håndterte personopplysninger for markedsføringsformål. Informasjonen ble samlet fra mange kilder og ble brukt til målrettet annonsering på nettet, markedsføring via post og til telefonsalg. For eksempel omfattet dette innsamling av personopplysninger relatert til kjøp utført hos forskjellige selskaper innenfor Bonnier-gruppen, samt analyse av brukernes nettaktivitet – altså hvordan besøkende har navigert på firmaets nettsteder. I visse tilfeller ble informasjonen også sammenstilt med personopplysninger innhentet fra eksterne kilder. Dette omfattet blant annet detaljer om kundenes kjønn og postnummer, i tillegg til statistisk informasjon basert på individets bostedsområde, som livsfase, kjøpekraft og type bolig.

Bonnier har uttalt at de baserer seg på en berettiget interesse-vurdering for behandling av personopplysningene. Ifølge vurderingen er selskapets aktuelle interesser mer tungtveiende enn de registrertes, og behandlingen er nødvendig for gjennomføringen av den relevante markedsføringen.

IMY mener derimot at kunder ikke skal måtte forvente at adferdsdata blir samlet inn for markedsføringsformål utelukkende på bakgrunn av besøk på en nettside. De kan heller ikke antas å forvente at adferdsdata blir sammenflettet med opplysninger fra en kjøpssituasjon eller opplysninger innhentet fra andre registre, med hensikt om at de skal bli kontaktet for telefonsalg eller direkte markedsføring. I følge IMY krever slik omfattende profilering samtykke.

Ved fastsettelsen av botens størrelse har IMY lagt vekt på at selskapet har iverksatt omfattende tiltak for å minimere krenkelser av de registrertes personvern. Ettersom Bonnier har brukere i mange land, er avgjørelsen fattet i samråd med andre databeskyttelsesmyndigheter i EU.

Saken kan du lese i sin helhet her.

2. Tele2, CDON, Coop og Dagens Industri

IMY har vurdert lovligheten av fire bedrifters overføring av personopplysninger til USA via Google Analytics. Dette gjelder CDON, Coop, Dagens Industri og Tele2. Vurderingen er basert på en utgave av Google Analytics datert 14. august 2020 – altså før noen av aktørene brukte Google Analytics 4.

Undersøkelsen ble foranlediget av de kjente 101-klagene fremsatt av organisasjonen NOYB (None Of Your Business) i etterkant av Schrems II-avgjørelsen fra 2020. Klagene gikk enkelt nok ut på at selskapene ikke hadde hjemmel til å overføre opplysningene til USA. 
 

Alle bedriftene brukte SCCer som overføringsgrunnlag. Spørsmålene var om opplysningene som ble overført var personopplysninger, og i så fall om selskapene hadde implementert nok sikkerhetstiltak til å sikre et tilstrekkelig beskyttelsenivå for personopplysningene som ble overført.

IMY mente klart at opplysningene som blir sendt til USA er personopplysninger, ettersom informasjonen kan kobles sammen med andre unike personopplysninger som overføres. IMY konkluderte også med at de tekniske sikkerhetstiltakene som selskapene hadde implementert ikke var tilstrekkelige til å sikre et beskyttelsesnivå, på linje med det som er garantert av GDPR.
 

IMY utstedte en administrativ bot på 12 millioner SEK mot Tele2 og 300.000 SEK mot CDON, som ikke har implementert de samme dyptgående tekniske sikkerhetstiltakene som Coop og Dagens Industri.
 

IMYs beslutning har vekket stor internasjonal oppmerksomhet da det er den første avgjørelsen som faktisk ilegger bot for overtredelsen. Dette er spesielt interessant i lys av det nå vedtatte EU-US Data Privacy Framework, se nedenfor.


EU-US DATA PRIVACY FRAMEWORK

Sommerens hyggeligste nyhet

Du har helt sikkert fått med deg sommerens kanskje hyggeligste nyhet: EU og USA har blitt enige om et nytt rammeverk for overføring av personopplysninger til USA. For oss som jobber med personvern kan jeg trygt si at dette lovet bedre for noen ukers sommerferie enn det Schrems II gjorde i 2020 og det EDPB (med sine retningslinjer for oppfølging av Schrems II) gjorde i 2021. 

Kort oppsummert vil EU-U.S. Data Privacy Framework la amerikanske bedrifter selv-sertifisere seg under løsningen og slik bli godkjent for å ta i mot personopplysninger fra EU og EØS. Alle store amerikanske selskaper vil selvfølgelig gjøre dette og vi vil nærme oss en “fri-flyt-situasjon” igjen. Denne frie personopplysningsflyten gjelder ikke automatisk alle amerikanske selskaper, bare de som er sertifiserte og er oppført på den offisielle nettsiden
 

Men det blir også enklere å overføre personopplysninger til andre amerikanske selskaper. Hvis du skal sende personopplysninger til et selskap som ikke er på listen, må du fortsatt sørge for å ha et overføringsgrunnlag. I praksis er det SCCene som vil benyttes. Ettersom EU-kommisjonen nå har vurdert USAs lover og praksis, og funnet at de er tilfredsstillende, betyr det at det ikke trengs en rekke supplementære tilleggstiltak – noe som de fleste av oss har brukt en god del tid på å vurdere i det siste. Dette sies eksplisitt av Datatilsynet i deres FAQ om den nye løsningen. De skriver helt konkret om dette: «Forutsatt at virksomheten du skal overføre til, ikke er underlagt andre lover enn det vanlige, kommersielle amerikanske virksomheter er, kan du altså lene deg på EU-kommisjonens vurderinger. Dermed har de krevende vurderingene blitt forenklet, men ikke glem at du fortsatt må sikre et overføringsgrunnlag.» 
 

Og som Datatilsynet skriver – husk at du fortsatt må sørge for å ha et overføringsgrunnlag.

Men vil dette vare? Schrems har varslet at han vil bringe forholdet til European Court of Justice (ECJ) så raskt som mulig. 

Det vil kunne skje så fort Privacy Framework faktisk tas i bruk av et selskap. Dette betyr også at de første selskapene som gjør dette, løper en betydelig risiko for å bli utsatt for Schrems III. Personlig ville jeg foretrukket å ikke være “first mover” her. Det finnes dessuten et hurtigløp i EU for denne type klager og det kan tenkes at saken lander hos ECJ allerede mot slutten av 2023 eller tidlig i 2024. Det er også en mulighet for at domstolen suspenderer avtalen mens den behandler saken. Ingen grunn til å glemme hvordan man fyller ut SCC og vurderer tilleggstiltak, altså. 


FLERE AVGJØRELSER OM META

Meta ilagt den største GDPR-boten noensinne

Den 22. mai 2023 ble Meta Platforms Ireland Limited, selskapet bak Facebook, ilagt en bot på 1,2 milliarder euro på bakgrunn av håndtering av personopplysninger. Boten – den største GDPR-boten noensinne – er utdelt for Metas overføring av personopplysninger til deres amerikanske morselskap, Meta Platforms Inc. på feil måte. I tillegg til boten har Meta blitt pålagt å rette opp i dataoverføringene sine i henhold til GDPR (akkurat dette vil nok nå være relativt enkelt, ettersom et nytt rammeverk er på plass).

Avgjørelsen, på hele 222 sider, dreier seg om at Meta i årevis har overført store mengder personopplysninger basert på standard kontraktsklausuler (SCC) og tilleggstiltak. Den irske databeskyttelsesmyndigheten har gått grundig gjennom Metas tilleggstiltak, som organisatoriske retningslinjer og kryptering av personopplysninger, og konkludert med at tiltakene ikke ga tilstrekkelig beskyttelse, og at alle overføringene derfor strider mot GDPR.

Selv om Meta har innført tiltak for å motsette seg forespørsler om utlevering fra amerikanske myndigheter, kan de ikke endre det faktum at de må utlevere opplysninger hvis amerikanske myndigheter krever det på en gyldig måte. Derfor kan de ikke sikre at beskyttelsesnivået ved overføring av personopplysninger til USA er på samme nivå som beskyttelsesnivået EU-borgere har i EU, slik GDPR krever.

Lederen for EDPB, Andrea Jelinek, uttalte følgende (uoffisiell oversettelse): Overtrampet til Meta er alvorlig fordi det skjer systematisk og kontinuerlig. Facebook har millioner av brukere i Europa, så mengden personopplysninger som overføres er enorm. Denne gigantbota sender et klart signal til bedrifter om at alvorlige brudd får store konsekvenser.

Meta har selvfølgelig vært tydelige på at de vil iverksette juridiske skritt for å bestride boten. Samtidig er jo situasjonen litt underlig når man samtidig har fått et nytt EU-US Data Privacy Framework som vil tillate slike overføringer. Men dette viser jo også at enhver overtredelse vurderes opp mot regelverket da den skjedde – at reglene endres får liten betydning – selv om dette nok virker underlig for mange.
 

EU-domstolen støtter Tyskland i sak mot Meta

Den 4. juli ble neppe en festdag for Meta i år. Da avsa EU-domstolen en avgjørelse (C-252-21) i en sak mellom Tyskland og Meta. Prosessen som har ledet frem til dommen startet med en avgjørelse fra det tyske føderale kartellkontoret, som hevdet at Metas vilkår for bruk av Facebook overtrådte tysk lovgivning som forbyr misbruk av dominerende markedsposisjon. Facebooks vilkår ble sagt å bryte GDPR da bruk av Facebook krevde at Meta kunne samle og behandle brukeropplysninger fra forskjellige kilder uten effektivt samtykke fra brukerne. Dette bruddet på GDPR ble sett på som et misbruk av Metas dominerende stilling.

Med denne dommen har EU-domstolen nå gitt sin støtte til det tyske føderale kartellkontorets synspunkt. Domstolen presiserte at ingen regler i GDPR hindrer nasjonale konkurransemyndigheter fra å fastslå at en virksomhet med dominerende markedsposisjon ikke overholder GDPR. Imidlertid klargjør de at konkurransemyndigheter ikke erstatter nasjonale datatilsyn, ettersom konkurransetilsyn verken skal overvåke eller håndheve anvendelsen av GDPR. EU-domstolen oppmuntrer derimot konkurransemyndigheter til å ta personvernhensyn i vurderinger av konkurranserettslige regelverk. I tråd med prinsippet om uniform anvendelse av GDPR, understreker EU-domstolen riktig informasjons- og samarbeidsplikter mellom konkurranse- og personvernmyndighetene.

To meget dyktige jussprofessorer i Norge, Lee Bygrave og Samson Esayas, har en interessant diskusjon om konkurransemessige aspekter ved dommen i denne LinkedIn-tråden. Jeg anbefaler å lese den dersom man er spesielt interessert.

EU-domstolen presiserer videre at Meta ikke kan belage seg på avtale som behandlingsgrunnlag for å skape persontilpasset innhold og for å tilrettelegge for sømløs bruk av de forskjellige tjenestene fra Meta. Bakgrunnen for dette er at behandlingene ikke ble ansett som objektivt uunnværlige for å gjennomføre et formål som er en integrert del av den kontraktytelsen. Det at behandlingen er beskrevet i avtalen, eller at det er nyttig for gjennomføringen av avtaleytelsen, anses ikke relevant. EU-domstolen presiserer at den behandlingsansvarlige må kunne demonstrere at hovedformålet med avtalen ikke kan gjennomføres uten den aktuelle behandlingen. Det siste er en interessant presisering og innstramming fra EU-domstolen, noe som kan medføre at flere må vurdere om avtale kan benyttes som behandlingsgrunnlag – altså om hovedformålet med avtalen ikke kan gjennomføres uten den aktuelle behandlingen. 
 

Etter å ha vurdert om avtale utgjør et lovlig behandlingsgrunnlag for Meta, gikk EU-domstolen videre til å vurdere om Meta kan bruke berettiget interesse som behandlingsgrunnlag. Selv om EU-domstolen anerkjenner at behandling med formål om direkte markedsføring kan utgjøre en berettiget interesse, vil interessene og rettighetene til individene overveie en bedrifts interesse i å behandle personopplysninger for adferdsbasert markedsføring. EU-domstolen peker blant annet på at det ikke kan forventes at brukerne av Facebook forventer at Meta behandler personopplysningene for dette formålet uten deres samtykke, selv om tjenesten er en gratistjeneste og at behandlingen knytter seg til et potensielt ubegrenset omfang av data. 
 

Dommen er tatt til inntekt for at Meta i realiteten bare kan bruke samtykke som behandlingsgrunnlag for adferdsbasert markedsføring. Nyob skriver blant annet (uoffisiell oversettelse): 
 

Selv om EU-domstolen ikke har utelukket at en berettiget interesse kan eksistere (f.eks. for nettverkssikkerhet), gjør dommen det klart at det ikke er noen “berettiget interesse” som vil overstyre rettighetene til brukeren når databehandleren forsøker å markedsføre. Dette begrenser i utgangspunktet enhver databehandler i EU fra å kjøre adferdsbasert markedsføring hvis ikke det er gitt et fritt (ja/nei) samtykke.
 

EU-domstolens uttalelser om Metas behandlingsgrunnlag har fått direkte konsekvenser for Meta i Norge. Les mer om det nedenfor. 
 

Datatilsynet med midlertidig forbud mot adferdsbasert markedsføring på Fb og IG

Store aktører får mye oppmerksomhet. I Norge har Datatilsynet nedlagt et midlertidig forbud mot adferdsbasert markedsføring på Facebook og Instagram. Forbudet gjelder for Metas behandling av personopplysninger om norske brukere for målretting av annonser på grunnlag av observert adferd. Det gjelder med andre ord ikke selve tjenesten eller behandling for markedsføring som sådan. 
 

Vedtaket henger tett sammen med EU-domstolens avgjørelse fra 4. juli (se ovenfor) og det irske tilsynets (DPC) vedtak fra 31. desember. I desember vedtok DPC at Meta ikke kunne bruke avtale som behandlingsgrunnlag for adferdsbasert markedsføring og beordret Meta om å sørge for at behandlingsaktivitetene etterlevde GDPR artikkel 6 innen tre måneder. Avgjørelsen fra DPC medførte at Meta endret behandlingsgrunnlag til berettiget interesse for en rekke av sine tjenester. 
 

Som et resultat av at EU-domstolens avgjørelse 4. juli 2023, hvor EU-domstolen konkluderer med at Meta heller ikke kan bruke berettiget interesse for behandlingen av personopplysninger for adferdsbasert markedsføring, har Datatilsynet konkludert med at Meta ikke endret praksisen slik at de etterlever artikkel 6. Med andre ord mener Datatilsynet at Meta ikke har overholdt DPCs beordring om å endre praksisen slik at de etterlever GDPR artikkel 6.  
 

Datatilsynet mener vilkårene for hastesaker er oppfylt, og skriver på sine nettsider
 

Siden Meta har sitt europeiske hovedkvarter i Dublin, er det normalt det irske datatilsynet som fører tilsyn med selskapet i EØS. Datatilsynet i Norge kan imidlertid gripe inn direkte mot Meta i hastesaker, og da kan vi fatte vedtak som er gyldig i tre måneder. Vi mener at vilkårene for hastesaker er oppfylt, fordi Meta nylig har fått vedtak og dom mot seg som de fremdeles ikke har innrettet seg etter, og fordi vi allerede har forsøkt den vanlige saksbehandlingsmekanismen. Hvis vi ikke griper inn nå, vil personvernet til flertallet av nordmenn krenkes av Meta på ubestemt tid.
 

Datatilsynets midlertidige vedtak gjelder fra 4. august 2023 og i tre måneder, eventuelt frem til Meta viser at de har innrettet seg etter DPCs og EU-domstolens avgjørelse på en lovlig måte. Dersom Meta ikke retter seg etter datatilsynets vedtak, risikerer de tvangsmulkt på opptil en million kroner per dag. Meta har sagt at de vil legge om sin praksis, men har samtidig tatt vedtaket til retten. De som er interessert i dette kan se et webinar om saken i regi av IAPP forrige uke.
 

Whatsapp går over til å bruke berettiget interesse

WhatsApp annonserte den 17. juli at de har endret behandlingsgrunnlaget sitt til berettiget interesse for å etterleve DPCs vedtak. Meta har som kjent anket vedtaket fra DPC hvor DPC fastslår at Meta ikke kan bruke avtale som behandlingsgrunnlag for deres persontilpassede tjenester (deriblant Metas adferdsbaserte markedsføring). I påvente av anken må Meta imidlertid etterleve DPCs vedtak. Det kan virke som at Metas strategi er å benytte berettiget interesse som behandlingsgrunnlag, selv om mye kan tyde på at Dataatilsynene (i alle fall det norske) mener at heller ikke dette grunnlaget kan brukes. 

NOYB og flere andre mener at resultatet av EU-domstolens avgjørelse av 4. juli og DPCs vedtak er at behandlingsansvarlige må basere seg på samtykke for å kunne drive med adferdsbasert markedsføring. Meta er nok ikke enig i dette ettersom overgangen til samtykke vil kunne ha store økonomiske konsekvenser for Meta og flere andre aktører. 


SAMARBEID MELLOM TILSYNSMYNDIGHETENE 

Forslag til nytt regelverk for å effektivisere samarbeidet mellom tilsynsmyndighetene

Det er ingen hemmelighet at det har vært flere uoverensstemmelser mellom datatilsynene i flere land i forbindelse med Meta-sakene. Det samme har skjedd i andre saker også. 

Samarbeidet mellom tilsynsmyndighetene har flere ganger vist seg utfordrende, noe som har gjort at håndhevingen av GDPR har vært spesielt langsom for grenseoverstridende saker. EU-kommisjonen har nå kommet med et forslag til et nytt regelverk som skal effektivisere samarbeidet mellom tilsynsmyndighetene. Det nye regelverket inneholder flere saksbehandlingsregler for saker som berører individer i mer enn ett land.

Dersom forslaget til den nye lovgivningen vedtas, vil den ledende tilsynsmyndigheten tidlig i prosessen måtte sende en oppsummering av sakens hovedpunkter til de berørte tilsynsmyndighetene, hvor hovedelementene i undersøkelsene og tilsynets syn på saken identifiseres.  Dette skal gjøre det mulig for de berørte tilsynsmyndighetene å fremme deres syn på saken tidlig, og dermed unngå uenigheter og sørge for at tilsynsmyndighetene er samstemte fra starten av. Forslaget vil gi bedrifter klarhet i deres saksbehandlingsrettigheter når tilsynsmyndighetene foretar undersøkelser, og klargjøre hva klager må sende inn ved en klage og sikre individets riktige involvering i saken.  

Forslaget har imidlertid mottatt kritikk fra flere kanter. The Computer & Communications Industry Association (CCIA) mener at forslaget ikke løser de største saksbehandlingsmanglene, og at de grunnleggende rettighetene til innklagde fortsatt blir underkjent. Selskaper vil for eksempel bare ha to uker på å besvare nye påstander dersom saken eskaleres til EDPB. Max Schrems mener på sin side at regelverket innebærer at en prosess som handlet om individets rettigheter endres til å handle om selskapers rettigheter.

Det blir spennende å se utfallet av EU-kommisjonens forslag. Forslaget må nå sendes til det europeiske råd og EU-parlamentet, og det er forventet at flere store endringer vil skje.  


THE DATA ACT

Data fra «tilkoblede produkter»

Det europeiske råd og EU-parlamentet kom nylig til en politisk enighet om en ny forordning som harmoniserer regler for rettferdig tilgang på og bruk av data (the Data Act, på norsk “dataforordningen”).

Dataforordningen følger opp EU-kommisjonens datastrategi fra februar 2020, og regulerer bruk og tilgang til data generert fra såkalte «tilkoblede produkter» (alt fra smarte husholdningsapparater til smarte industrimaskiner). Dataforordningen vil derfor i hovedsak gjelde andre data enn typiske personopplysninger.

Dataforordningen vil gi både bedrifter og individer bedre kontroll over sine data. Blant annet vil både bedrifter og individer kunne kreve å få utlevert data som er generert fra deres bruk av «tilkoblede produkter», eller at datainnehaveren utleverer denne dataen direkte til en tredjepart. Med andre ord vil dataforordningen gi en styrket rett til dataportabilitet for data som ofte bare er tilgjengelig for produsenten eller tjenesteleverandøren.

Regelverket vil også gi både selskaper og individer muligheten til å påvirke hvordan deres data brukes, og gjøre det enklere for individer å effektivt bytte mellom forskjellige skyleverandører. 


KOMMENDE MØTER

24. august 14.00 – 17.00
  Nettverksmøte
14. sept 12.00 – 13.00
  Digital drop-in
19. okt 14.00 – 16.00
  Digitalt nettverksmøte

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#