IT-jus nr. 9/23

onsdag 6. september 2023 @ 07:07

Det er en høst full av action innenfor personvern. For tiden gjør det norske Datatilsynet seg bemerket på den internasjonale arenaen med ulike forbudsvedtak både mot det amerikanske Meta og […]
Av Eva Jarbekk

Det er en høst full av action innenfor personvern. For tiden gjør det norske Datatilsynet seg bemerket på den internasjonale arenaen med ulike forbudsvedtak både mot det amerikanske Meta og den russisk-tilknyttede taxi-app’en Yango. Det er fascinerende at et datatilsyn i et lite land kan fatte vedtak om å stanse behandlinger som går langt utover dets egne landegrenser, og som angår store selskaper. Jeg ville ikke bli forbauset om det blir enda mer av dette og vedtak der tilsynene beordrer stans av pågående behandlinger fremover. 

Det er fremdeles mye snakk om AI og det vil fortsette. Slik vi snakket om i siste møte, er det grunn til å minne om at GDPR vil gjelde i tillegg til den kommende AI Act – bruken av personopplysninger i AI må ha hjemmel i GDPR. Det er en spesialhjemmel i AI Act for sandkasser, men den er snever. GDPR fortsetter å være “ryggraden” for personopplysninger, også ved bruk av AI. For AI er det også relevant at dommen fra i våres som åpnet for at pseudonymiserte personopplysninger ikke alltid vil anses som personopplysninger, er anket. Samtidig har flere datatilsyn fra ulike nasjoner gått ut mot ulovlig dataskraping. AI opererer ikke i et lovtomt rom i dag, men det kommer mange nye regler som skal sikre trygg AI og et godt samfunn. Mer om dette og mye annet under.  

Hilsen Eva,
i samarbeid med Paal-André Storesund


ZOOM OG AI

Kritikken haglet mot Zoom – måtte endre brukervilkår

Zoom er et velkjent navn og verktøy for de fleste. Mange ble ordentlig kjent med tjenesten under pandemien. Zoom har i august prestert å skape overskrifter og diskusjoner i ulike medier. Årsaken er at selskapet nylig oppdaterte sine brukervilkår. Endringen ga selskapet en evigvarende rett til å benytte innhold som Zoom-brukere skaper eller laster opp på plattformen, til utvikling av nye tjenester samt maskinlæring og kunstig intelligens.

Oppdateringen ga med andre ord selskapet rett til å bruke brukerens videosamtaler, opplastede filer, brukeradferd og lignende til å trene opp kunstig intelligens. Selskapet påpekte riktignok etterhvert at lydopptak, video og samtaler ikke vil bli benyttet til å trene opp kunstig intelligens uten at det er innhentet samtykke. Dette er likevel ikke uproblematisk der møteverten har akseptert at selskapet kan bruke video- og lydopptak. Alternativet vil da bli for deltakerne å forlate møtet. 

Det tok ikke lang tid før jurister og andre tok til orde mot endringen. Kritikken haglet, rett og slett. Dette førte til at Zoom valgte å endre sine brukervilkår igjen. De nye endringene innebærer at Zoom ikke lenger har rett til å bruke lydopptak, video, samtaler, delte skjermer, vedlegg eller annen kommunikasjon til å trene opp kunstig intelligens. Selskapet har likevel fortsatt forbeholdt seg rettighetene til tjenestegenerert data, som typisk er diagnostiske data, informasjon om produktbruk og lignende. 

AI har absolutt kommet for å bli. Og en ny AI Act kommer også snart. Men å ha riktig hjemmel for å bruke læringsdata er ikke noe man kan overse. Jeg spår at det vil bli mye diskusjon om dette i årene fremover, antakelig mye på samme måte som man i dag diskuterer hjemmelsgrunnlag markedsføring.

Les mer her: Zoom AI Backlash: TOS Update Says No Customer Content Used in Training – Variety


DATASKRAPING

Svært lesverdig felles uttalelse om datascraping

Flere lands datatilsynsmyndigheter har laget en felles uttalelse om viktigheten av å forhindre ulovlig dataskraping. Et eksempel på dataskraping er Clearview AI, som bygget en database med milliarder av ansiktsbilder. Det hentet bildene av helt vanlige mennesker direkte fra nettet. Dette kan innebære at individet mister kontroll over egne personopplysninger ved at noe man har publisert i en sammenheng brukes for helt andre formål av ukjente aktører. GDPR gjelder selv om personopplysninger er åpent tilgjengelig på nett. 

Det har også vært tilfeller der informasjon på nett har vært brukt av AI som treningsdata, noe vi har skrevet om tidligere. 

Uttalelsen fra tilsynene er sendt direkte til selskaper som Alphabet, Meta, Microsoft, X (twitter) og andre. Den viser til en rekke tekniske tiltak slike selskaper kan gjøre for å hindre at personopplysninger skrapes av sider de opererer. Uttalelsen er på 6 sider og er lesverdig – den er tilgjengelig på lenken under:

https://www.datatilsynet.no/contentassets/2cdbd8dc42f041d684a96f775ab58ba2/iewg-data-scraping-sub-group—draft-joint-statement—august-24-2023.pdf


PSEUDONYMISERTE OPPLYSNINGER

EDPS klager på “SRB-saken”

Den såkalte SRB-saken som kom i april, er påklaget av EDPS (the European Data Protection Supervisor). EDPS fikk kritikk for at de ikke hadde vurdert om mottaker av personopplysningene besatt tilstrekkelig informasjon til selv å kunne identifisere personene bak pseudonymiserte opplysninger. Jeg har omtalt og skrevet om dommen tidligere. Mange har ment at den var feil og nokså oppsiktsvekkende – mens andre applauderte og sa at endelig fikk man en mer praktisk vinkling på hva som er personopplysninger. 

En ting er om hvilke vurderinger EDPS hadde gjort, en annen ting er at domstolen viste til en eldre avgjørelse (Breyer-saken) der det kom frem at man ikke bare må vurdere hva den behandlingsansvarlige kan reidentifisere, men også hva den behandlingsansvarlige kan få en tredjepart til å reidentifisere. Dette åpner for en mer subjektiv forståelse av begrepet personopplysning enn å bare betingelsesløst fastslå at pseudonymiserte personopplysninger også er personopplysninger. Det å gjøre slike vurderinger av muligheten av reidentifikasjon, vil være komplisert.

Nå går saken til ECJ. Det er ikke overraskende og det blir veldig spennende å se hva utfallet blir der. Klagen fra EDPS er kort – den sier enkelt og greit at den underliggende domstolen har misforstått grunnleggende personverndefinisjoner.

Se klagen her:  https://eulawlive.com/european-data-protection-supervisor-appeals-general-court-judgment-in-data-protection-case-against-single-resolution-board/


ANSIKTSGJENKJENNING

NOYB saksøker Ryanair

NOYB har gått til sak mot selskapet Ryanair. Bakgrunnen for søksmålet er Ryanair sin bruk av ansiktsgjenkjenningsteknologi i forbindelse med verifikasjonsprosesser. Problemstillingen ble oppdaget da en kunde booket sin reise via nettreiseselskapet eDreams. Ryanair skriver at verifikasjonsprosessen skulle bekrefte kundens informasjon. Kunden fikk valget om enten å foreta verifiseringen eller møte opp på flyplassen minst to timer før avreise for å sjekke inn på flyplassen. I tillegg ble kunden bedt om å betale en avgift for verifikasjonsprosessen. 

NOYB har derimot ikke latt seg overbevise av denne begrunnelsen fra Ryanair. NOYB skriver: “They already have your contact details to send you the link to the ‘verification’ process. A verification of contact details via biometrics also doesn’t make a lot of sense: Your email address is not printed on your face or in your passport. Ryanair’s verification process looks like another attempt to make the lives of travelers and competitors more complicated to increase profits.” Et annet argument framsatt av NOYB, er at det ikke kreves en slik type verifisering av kunder som booker direkte med Ryanair.

NOYB skriver at det er to ting som er problematisk med denne praksisen. For det første innebærer ansiktsgjenkjenningsteknologi behandlingen av særlige kategorier av personopplysninger, nemlig biometriske data. Behandlingen av slike biometriske data kan innebære en uakseptabel stor risiko for den registrerte. For det andre er samtykkeløsningen problematisk. Ryanair påstår at behandlingsgrunnlaget for behandlingen er samtykke. Innvendingen fra NOYB er at Ryanair gir for lite informasjon om formålet med behandlingen av de biometriske personopplysningene. Den registrerte vil da ikke kunne avgi et informert samtykke og det er ikke gyldig. 

Nå er ikke slike løsninger vanlige mange steder, og jeg tror nok at datatilsynene vil stille strenge krav til slik ansiktsgjenkjenning. I det kommende AI Act er det å bruke systemer for ansiktsgjenkjenning ansett som potensielt svært inngripende og i noen tilfeller helt forbudt. 

Booking a Ryanair flight through an online travel agent might hold a nasty surprise (noyb.eu)


OVERFØRING TIL RUSSLAND

Datatilsynet griper inn mot Yango/Yandex

Det norske datatilsynet har opplyst om at de erfarer at taxitjenesten Yango overfører personopplysninger om norske innbyggere til Russland. Yango er en app som tillater brukeren å bestille taxitjenester. Denne appen er tilgjengelig for bruk i Norge og Finland i EØS. Kontorene til selskapet ligger i Nederland. Ettersom applikasjonen er en taxitjeneste, vil den blant annet behandle personopplysninger om lokasjon, hentested og destinasjon tilhørende norske innbyggere. 

Det som har utløst Datatilsynets reaksjon, er at det nylig har blitt vedtatt en ny russisk lov som tilsynelatende gir russiske sikkerhetsmyndigheter ubegrenset tilgang til personopplysningene Yango har om norske borgere. Dette har ført til at Datatilsynet har fattet et hastevedtak, i samarbeid med det finske datatilsynet.

I Datatilsynene anser situasjonen som så presserende at vilkårene for å nedlegge et midlertidig forbud med hjemmel i artikkel 66, anses som oppfylt. Datatilsynet mener med andre ord at situasjonen er et særlig tilfelle der det foreligger et akutt behov for å treffe tiltak for å verne norske borgeres rettigheter og friheter. Brevet til Yango er offentlig og tilsynet skriver at de vil fatte følgende tiltak: 

  • Påbud om et midlertidig stans i Yangos overføring av personopplysninger fra Norge til Russland; og
  • Forbud mot å behandle personopplysninger for brukere når hensikten er å overføre disse personopplysningene fra Norge til Russland. 

Forbudet og påbudet vil tre i kraft fra og med 1. september 2023 og vare i tre måneder, altså til 30. november 2023. Artikkel 66 er svært sjelden i bruk, men dette er den andre gangen det norske datatilsynet nedlegger et midlertidig forbud etter bestemmelsen. Første gang var tidligere i sommer og gjaldt det midlertidige forbudet mot Metas adferdsbaserte markedsføring på Facebook og Instagram.

Under er en lenke til tilsynets omtale av saken:

Datatilsynet griper inn mot Yangos overføring av personopplysninger til Russland | Datatilsynet


INDIAS NYE PERSONVERNLOV

Er den nye loven tilstrekkelig for EU?

Siste nytt fra India er at det indiske parlamentet nå vurderer et nytt forslag til lov om personvern. Regelverket vil gjelde for alle India-baserte virksomheter som behandler personopplysninger, i tillegg til internasjonale virksomheter som behandler personopplysninger om indiske borgere. Dette er ikke første gang et personvernregelverk presenteres for parlamentet. Sist gang var i 2019. Tidligere forslag har som regel blitt ansett å være altfor komplekse, og av den grunn blitt forkastet. Begrunnelsen har blant annet vært at regelverket ville vært vanskelig å etterleve for for eksempel start-up selskaper i landet. Den indiske ministeren Rajeev Chandrasekhar har uttalt at det nye forslaget skal være enklere å etterleve enn tidligere forslag. 

Det har likevel kommet en del kritikk mot forslaget. En del av fokuset ved utformingen av loven har vært at staten gis en del unntak fra regelverket og makt og kontroll. Organisasjonen The Internet Freedom Foundation har uttrykt bekymring ved at lovverket inneholder flere unntak for statens virksomheter og derfor kan tilrettelegge for økt statlig overvåking. 

Lovverket inneholder også unntak som knytter seg til personopplysninger som gjelder barn. Noen av unntakene i lovverket dekker blant annet behandling av barns personopplysninger og innhenting av samtykke fra barnets forelder. Dersom en virksomhet kan bevise at de er “verifiably safe”, vil de være unntatt lovens regel om behandling av barns personopplysninger og innhenting av samtykke fra barnets forelder. 

Fra et europeisk perspektiv er spørsmålet om regelverket gir tilstrekkelig personvern til at India kan få godkjentstempel fra EU på overføringer av opplysninger dit. Helt umiddelbart ser det ut som om det kan bli utfordrende.

https://iapp.org/news/a/indias-proposed-digital-personal-data-protection-bill-arrives-before-parliament/


INNSYNSBEGJÆRINGER

Spiller formålet bak innsynsbegjæringer en rolle?

En domstol i Tyskland konkluderte nylig med at en behandlingsansvarlig kunne avvise en innsynsbegjæring som følge av at innsynsbegjæringen ble ansett som “overdreven”. Det er en åpning i GDPR for at en behandlingsansvarlig kan avvise en innsynsbegjæring hvis anmodningen fra den registrerte er åpenbart grunnløs eller overdreven. 

Begrunnelsen var at formålet med innsynsbegjæringen ikke var relatert til personvern. Innsynsbegjæringen var begrunnet i et spørsmål om lovligheten av enkelte justeringer av en forsikringspolise. Den registrerte sitt formål med innsynsbegjæringen var å skaffe informasjon angående grunnlaget for endringene. Selv om domstolen anerkjente at opplysningene som var omfattet av innsynsbegjæringen var personopplysninger, var det avgjørende at formålet med begjæringen ikke var personvernrelatert. 

Man kan da stille spørsmålet om den behandlingsansvarlige har rett til å spørre personen som ber om innsyn, hva formålet med innsynet er. Jeg tror det vil bli avvist – så på en måte er utfallet i denne saken noe overraskende. Formålet i denne saken var imidlertid antakelig enkelt å identifisere fordi innsynskravet ble fremsatt i forbindelse med en rettssak mellom partene om forsikringsvilkår. Saken er referert på GDPRhub, se lenke under:

OLG Hamm – 20 U 146/22 – GDPRhub

Kan innsynsbegjæringer sendes til hvem som helst?

Datatilsynet i Berlin har fattet en avgjørelse der et selskap irettesettes for ikke å ha korrigert personopplysninger til tross for at den registrerte ba om dette. Den registrerte hadde informert selskapet via epost om at epostadressen som var lagret hos selskapet, var feil.  

Den registrerte hadde ikke bestilt noe fra selskapet og heller ikke bedt om å bli ført opp på deres nyhetsbrev. Vedkommende mottok likevel en ordrebekreftelse og et nyhetsbrev – samt personopplysninger som tilhørte den faktiske bestilleren. Den registrerte antok dette skyldtes at noen hadde gitt selskapet feil epostadresse. Selskapet sa senere at hendelsen skyldtes en feil fra selskapets side. 

Den registrerte sendte en epost til selskapet og ba om at eposten ble slettet, men da ble hun bedt om å logge inn via sin bruker og gjennomføre forespørselen der via en blankett. At hun ikke hadde en bruker, ble oversett. Selskapet etterlevde ikke ønsket om at epostadressen skulle slettes, fordi avdelingen mente adressen var nødvendig for å gjennomføre bestillingen og betalingen. Videre ble det argumentert med at den registrerte hadde henvendt seg til kundeservice, ikke til selskapets ansvarlige person for personvern. 

Datatilsynet i Berlin presiserte at selskapet ikke hadde noe behandlingsgrunnlag for å behandlingen av epostadressen. Videre kunne de ikke legge ansvaret på den registrerte ved å henvise til at anmodningen ble rettet til kundeservice istedenfor den som var ansvarlig for personvern. 

Avgjørelsen viser viktigheten av gode rutiner på hvordan anmodninger i forbindelse med personvern, skal behandles.

Avgjørelsen finner du her.


DIREKTØRSKIFTE I SVERIGE

IMYs direktør slutter etter 5 år

Lena Lindgren Schelin har gått av som generaldirektør i det svenske datatilsynet, IMY (Integritetsskyddsmyndigheten). Lena kom fra en stilling som sjefsjurist i den svenske Ekobrottsmyndigheten og har jobbet som generaldirektør i IMY i litt over fem år. En ny direktør skal ansettes og inntil da er Karin Lönnheden vikariere i stillingen. Hun er i dag stabssjef og ansvarlig for innovasjonsarbeid i IMY.  

En betraktning rundt dette er at personvern har blitt et komplisert område med stort internasjonalt tilsnitt. Det tar en god del tid å bli god på området og å kjenne det internasjonale miljøet. Det er en fordel med kontinuitet blant de som arbeider med faget. Det blir spennende å se hvilken kompetanse neste direktør tar med seg inn i rollen, la oss håpe det er en som er god på personvern. 

Les om byttet her: IMY:s generaldirektör går till Kustbevakningen


KOMMENDE MØTER

14. sept12.00 – 13.00
  Digital drop-in
19. okt14.00 – 16.00
Digitalt nettverksmøte
16. nov12.00 – 13.00Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Fant ikke noen innlegg.

Abonnement på coaching

Abonnement på coaching

Gi dine medarbeidere tilgang på personlig og profesjonell vekst og utvikling med et fleksibelt abonnement på en eller flere av våre profesjonelle coacher.

Les mer

Coaching-teknikker for prosjektledere

Coachende prosjektledelse

En coach-veteran avslører nyttige teknikker spesielt tilrettelagt for deg som leder prosjekter.

Dette kurset gir deg grunnleggende coaching-verktøy som er anvendelige i mange situasjoner. I kurset lærer du gjennom teori og øvelser som gir deg håndfast kroppslig læring. Kurset er et samarbeid mellom tilt.work og Computerworld Academy.


Våre nyhetsbrev

Her kan du melde deg på et eller flere av våre ukebrev.

"*" obligatorisk felt

Navn*

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av “kloke hoder” (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

På forsiden nå

Diagnose: Kan brukes til alt

Diagnose: Kan brukes til alt

|
Å kunne mer om det meste enn de fleste høres bra ut. Men i et ekspertdrevet arbeidsliv kan "multitalent" klinge mer som en diagnose.
Skal vi gni det inn, eller ikke?

Skal vi gni det inn, eller ikke?

|
De gangene jeg som barn kom over en liten rift på en tapetvegg eller i et klesplagg, var det utrolig fristende å pirke litt, og se om jeg kunne få løs en bit til, eller lage hullet litt større. Jeg hadde ikke noe ønske om å ødelegge, jeg ville bare se hva som skjedde.  
Født som leder?

Født som leder?

|
Blir man født som leder? Eller kan det læres? Jeg trodde ikke dette var et tema lenger. Jeg tok feil.
Bare 200 meter til: Små steg gjør store fremskritt

Bare 200 meter til: Små steg gjør store fremskritt

|
Hva er likheten mellom en polfarer, deg og dine ansatte?
Olivias verden

Olivias verden

|
KI er et fantastisk verktøy, og det blir mer fantastisk for hvert minutt. Fint for oss, stort sett. Men hvordan vil Olivia (8 måneder) sitt voksne liv se ut?
Darwin, dating og dommedag

Darwin, dating og dommedag

|
Det går en rød tråd fra Simen Velle til armageddon. Men det er ikke kvinnekampen som har skylda. Ei heller datingappene. Det er Darwin.
Snyltekapitalismen

Snyltekapitalismen

|
De har sugd seg inn i verdiskapningen i det meste som foregår på planeten. Nå begynner de å spise av velferdssamfunnets grunnmur også.
vektorgrafikk eldre i aktivitet

Farvel til alderismen. Eldre som livsbejaende, verdiskapende borgere

|
Den offentlige samtalen har et sterkt fokus på eldre som et problem og en kostnad. Skal vi snu samtalen til å handle om eldre som en livsbejaende ressurs, må det en holdningsendring til – også hos eldre.
Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.