Det er en høst full av action innenfor personvern. For tiden gjør det norske Datatilsynet seg bemerket på den internasjonale arenaen med ulike forbudsvedtak både mot det amerikanske Meta og den russisk-tilknyttede taxi-app’en Yango. Det er fascinerende at et datatilsyn i et lite land kan fatte vedtak om å stanse behandlinger som går langt utover dets egne landegrenser, og som angår store selskaper. Jeg ville ikke bli forbauset om det blir enda mer av dette og vedtak der tilsynene beordrer stans av pågående behandlinger fremover.
Det er fremdeles mye snakk om AI og det vil fortsette. Slik vi snakket om i siste møte, er det grunn til å minne om at GDPR vil gjelde i tillegg til den kommende AI Act – bruken av personopplysninger i AI må ha hjemmel i GDPR. Det er en spesialhjemmel i AI Act for sandkasser, men den er snever. GDPR fortsetter å være “ryggraden” for personopplysninger, også ved bruk av AI. For AI er det også relevant at dommen fra i våres som åpnet for at pseudonymiserte personopplysninger ikke alltid vil anses som personopplysninger, er anket. Samtidig har flere datatilsyn fra ulike nasjoner gått ut mot ulovlig dataskraping. AI opererer ikke i et lovtomt rom i dag, men det kommer mange nye regler som skal sikre trygg AI og et godt samfunn. Mer om dette og mye annet under.
Hilsen Eva,
i samarbeid med Paal-André Storesund
ZOOM OG AI
Kritikken haglet mot Zoom – måtte endre brukervilkår
Zoom er et velkjent navn og verktøy for de fleste. Mange ble ordentlig kjent med tjenesten under pandemien. Zoom har i august prestert å skape overskrifter og diskusjoner i ulike medier. Årsaken er at selskapet nylig oppdaterte sine brukervilkår. Endringen ga selskapet en evigvarende rett til å benytte innhold som Zoom-brukere skaper eller laster opp på plattformen, til utvikling av nye tjenester samt maskinlæring og kunstig intelligens.
Oppdateringen ga med andre ord selskapet rett til å bruke brukerens videosamtaler, opplastede filer, brukeradferd og lignende til å trene opp kunstig intelligens. Selskapet påpekte riktignok etterhvert at lydopptak, video og samtaler ikke vil bli benyttet til å trene opp kunstig intelligens uten at det er innhentet samtykke. Dette er likevel ikke uproblematisk der møteverten har akseptert at selskapet kan bruke video- og lydopptak. Alternativet vil da bli for deltakerne å forlate møtet.
Det tok ikke lang tid før jurister og andre tok til orde mot endringen. Kritikken haglet, rett og slett. Dette førte til at Zoom valgte å endre sine brukervilkår igjen. De nye endringene innebærer at Zoom ikke lenger har rett til å bruke lydopptak, video, samtaler, delte skjermer, vedlegg eller annen kommunikasjon til å trene opp kunstig intelligens. Selskapet har likevel fortsatt forbeholdt seg rettighetene til tjenestegenerert data, som typisk er diagnostiske data, informasjon om produktbruk og lignende.
AI har absolutt kommet for å bli. Og en ny AI Act kommer også snart. Men å ha riktig hjemmel for å bruke læringsdata er ikke noe man kan overse. Jeg spår at det vil bli mye diskusjon om dette i årene fremover, antakelig mye på samme måte som man i dag diskuterer hjemmelsgrunnlag markedsføring.
Les mer her: Zoom AI Backlash: TOS Update Says No Customer Content Used in Training – Variety
DATASKRAPING
Svært lesverdig felles uttalelse om datascraping
Flere lands datatilsynsmyndigheter har laget en felles uttalelse om viktigheten av å forhindre ulovlig dataskraping. Et eksempel på dataskraping er Clearview AI, som bygget en database med milliarder av ansiktsbilder. Det hentet bildene av helt vanlige mennesker direkte fra nettet. Dette kan innebære at individet mister kontroll over egne personopplysninger ved at noe man har publisert i en sammenheng brukes for helt andre formål av ukjente aktører. GDPR gjelder selv om personopplysninger er åpent tilgjengelig på nett.
Det har også vært tilfeller der informasjon på nett har vært brukt av AI som treningsdata, noe vi har skrevet om tidligere.
Uttalelsen fra tilsynene er sendt direkte til selskaper som Alphabet, Meta, Microsoft, X (twitter) og andre. Den viser til en rekke tekniske tiltak slike selskaper kan gjøre for å hindre at personopplysninger skrapes av sider de opererer. Uttalelsen er på 6 sider og er lesverdig – den er tilgjengelig på lenken under:
PSEUDONYMISERTE OPPLYSNINGER
EDPS klager på “SRB-saken”
Den såkalte SRB-saken som kom i april, er påklaget av EDPS (the European Data Protection Supervisor). EDPS fikk kritikk for at de ikke hadde vurdert om mottaker av personopplysningene besatt tilstrekkelig informasjon til selv å kunne identifisere personene bak pseudonymiserte opplysninger. Jeg har omtalt og skrevet om dommen tidligere. Mange har ment at den var feil og nokså oppsiktsvekkende – mens andre applauderte og sa at endelig fikk man en mer praktisk vinkling på hva som er personopplysninger.
En ting er om hvilke vurderinger EDPS hadde gjort, en annen ting er at domstolen viste til en eldre avgjørelse (Breyer-saken) der det kom frem at man ikke bare må vurdere hva den behandlingsansvarlige kan reidentifisere, men også hva den behandlingsansvarlige kan få en tredjepart til å reidentifisere. Dette åpner for en mer subjektiv forståelse av begrepet personopplysning enn å bare betingelsesløst fastslå at pseudonymiserte personopplysninger også er personopplysninger. Det å gjøre slike vurderinger av muligheten av reidentifikasjon, vil være komplisert.
Nå går saken til ECJ. Det er ikke overraskende og det blir veldig spennende å se hva utfallet blir der. Klagen fra EDPS er kort – den sier enkelt og greit at den underliggende domstolen har misforstått grunnleggende personverndefinisjoner.
ANSIKTSGJENKJENNING
NOYB saksøker Ryanair
NOYB har gått til sak mot selskapet Ryanair. Bakgrunnen for søksmålet er Ryanair sin bruk av ansiktsgjenkjenningsteknologi i forbindelse med verifikasjonsprosesser. Problemstillingen ble oppdaget da en kunde booket sin reise via nettreiseselskapet eDreams. Ryanair skriver at verifikasjonsprosessen skulle bekrefte kundens informasjon. Kunden fikk valget om enten å foreta verifiseringen eller møte opp på flyplassen minst to timer før avreise for å sjekke inn på flyplassen. I tillegg ble kunden bedt om å betale en avgift for verifikasjonsprosessen.
NOYB har derimot ikke latt seg overbevise av denne begrunnelsen fra Ryanair. NOYB skriver: “They already have your contact details to send you the link to the ‘verification’ process. A verification of contact details via biometrics also doesn’t make a lot of sense: Your email address is not printed on your face or in your passport. Ryanair’s verification process looks like another attempt to make the lives of travelers and competitors more complicated to increase profits.” Et annet argument framsatt av NOYB, er at det ikke kreves en slik type verifisering av kunder som booker direkte med Ryanair.
NOYB skriver at det er to ting som er problematisk med denne praksisen. For det første innebærer ansiktsgjenkjenningsteknologi behandlingen av særlige kategorier av personopplysninger, nemlig biometriske data. Behandlingen av slike biometriske data kan innebære en uakseptabel stor risiko for den registrerte. For det andre er samtykkeløsningen problematisk. Ryanair påstår at behandlingsgrunnlaget for behandlingen er samtykke. Innvendingen fra NOYB er at Ryanair gir for lite informasjon om formålet med behandlingen av de biometriske personopplysningene. Den registrerte vil da ikke kunne avgi et informert samtykke og det er ikke gyldig.
Nå er ikke slike løsninger vanlige mange steder, og jeg tror nok at datatilsynene vil stille strenge krav til slik ansiktsgjenkjenning. I det kommende AI Act er det å bruke systemer for ansiktsgjenkjenning ansett som potensielt svært inngripende og i noen tilfeller helt forbudt.
Booking a Ryanair flight through an online travel agent might hold a nasty surprise (noyb.eu)
OVERFØRING TIL RUSSLAND
Datatilsynet griper inn mot Yango/Yandex
Det norske datatilsynet har opplyst om at de erfarer at taxitjenesten Yango overfører personopplysninger om norske innbyggere til Russland. Yango er en app som tillater brukeren å bestille taxitjenester. Denne appen er tilgjengelig for bruk i Norge og Finland i EØS. Kontorene til selskapet ligger i Nederland. Ettersom applikasjonen er en taxitjeneste, vil den blant annet behandle personopplysninger om lokasjon, hentested og destinasjon tilhørende norske innbyggere.
Det som har utløst Datatilsynets reaksjon, er at det nylig har blitt vedtatt en ny russisk lov som tilsynelatende gir russiske sikkerhetsmyndigheter ubegrenset tilgang til personopplysningene Yango har om norske borgere. Dette har ført til at Datatilsynet har fattet et hastevedtak, i samarbeid med det finske datatilsynet.
I Datatilsynene anser situasjonen som så presserende at vilkårene for å nedlegge et midlertidig forbud med hjemmel i artikkel 66, anses som oppfylt. Datatilsynet mener med andre ord at situasjonen er et særlig tilfelle der det foreligger et akutt behov for å treffe tiltak for å verne norske borgeres rettigheter og friheter. Brevet til Yango er offentlig og tilsynet skriver at de vil fatte følgende tiltak:
- Påbud om et midlertidig stans i Yangos overføring av personopplysninger fra Norge til Russland; og
- Forbud mot å behandle personopplysninger for brukere når hensikten er å overføre disse personopplysningene fra Norge til Russland.
Forbudet og påbudet vil tre i kraft fra og med 1. september 2023 og vare i tre måneder, altså til 30. november 2023. Artikkel 66 er svært sjelden i bruk, men dette er den andre gangen det norske datatilsynet nedlegger et midlertidig forbud etter bestemmelsen. Første gang var tidligere i sommer og gjaldt det midlertidige forbudet mot Metas adferdsbaserte markedsføring på Facebook og Instagram.
Under er en lenke til tilsynets omtale av saken:
Datatilsynet griper inn mot Yangos overføring av personopplysninger til Russland | Datatilsynet
INDIAS NYE PERSONVERNLOV
Er den nye loven tilstrekkelig for EU?
Siste nytt fra India er at det indiske parlamentet nå vurderer et nytt forslag til lov om personvern. Regelverket vil gjelde for alle India-baserte virksomheter som behandler personopplysninger, i tillegg til internasjonale virksomheter som behandler personopplysninger om indiske borgere. Dette er ikke første gang et personvernregelverk presenteres for parlamentet. Sist gang var i 2019. Tidligere forslag har som regel blitt ansett å være altfor komplekse, og av den grunn blitt forkastet. Begrunnelsen har blant annet vært at regelverket ville vært vanskelig å etterleve for for eksempel start-up selskaper i landet. Den indiske ministeren Rajeev Chandrasekhar har uttalt at det nye forslaget skal være enklere å etterleve enn tidligere forslag.
Det har likevel kommet en del kritikk mot forslaget. En del av fokuset ved utformingen av loven har vært at staten gis en del unntak fra regelverket og makt og kontroll. Organisasjonen The Internet Freedom Foundation har uttrykt bekymring ved at lovverket inneholder flere unntak for statens virksomheter og derfor kan tilrettelegge for økt statlig overvåking.
Lovverket inneholder også unntak som knytter seg til personopplysninger som gjelder barn. Noen av unntakene i lovverket dekker blant annet behandling av barns personopplysninger og innhenting av samtykke fra barnets forelder. Dersom en virksomhet kan bevise at de er “verifiably safe”, vil de være unntatt lovens regel om behandling av barns personopplysninger og innhenting av samtykke fra barnets forelder.
Fra et europeisk perspektiv er spørsmålet om regelverket gir tilstrekkelig personvern til at India kan få godkjentstempel fra EU på overføringer av opplysninger dit. Helt umiddelbart ser det ut som om det kan bli utfordrende.
INNSYNSBEGJÆRINGER
Spiller formålet bak innsynsbegjæringer en rolle?
En domstol i Tyskland konkluderte nylig med at en behandlingsansvarlig kunne avvise en innsynsbegjæring som følge av at innsynsbegjæringen ble ansett som “overdreven”. Det er en åpning i GDPR for at en behandlingsansvarlig kan avvise en innsynsbegjæring hvis anmodningen fra den registrerte er åpenbart grunnløs eller overdreven.
Begrunnelsen var at formålet med innsynsbegjæringen ikke var relatert til personvern. Innsynsbegjæringen var begrunnet i et spørsmål om lovligheten av enkelte justeringer av en forsikringspolise. Den registrerte sitt formål med innsynsbegjæringen var å skaffe informasjon angående grunnlaget for endringene. Selv om domstolen anerkjente at opplysningene som var omfattet av innsynsbegjæringen var personopplysninger, var det avgjørende at formålet med begjæringen ikke var personvernrelatert.
Man kan da stille spørsmålet om den behandlingsansvarlige har rett til å spørre personen som ber om innsyn, hva formålet med innsynet er. Jeg tror det vil bli avvist – så på en måte er utfallet i denne saken noe overraskende. Formålet i denne saken var imidlertid antakelig enkelt å identifisere fordi innsynskravet ble fremsatt i forbindelse med en rettssak mellom partene om forsikringsvilkår. Saken er referert på GDPRhub, se lenke under:
OLG Hamm – 20 U 146/22 – GDPRhub
Kan innsynsbegjæringer sendes til hvem som helst?
Datatilsynet i Berlin har fattet en avgjørelse der et selskap irettesettes for ikke å ha korrigert personopplysninger til tross for at den registrerte ba om dette. Den registrerte hadde informert selskapet via epost om at epostadressen som var lagret hos selskapet, var feil.
Den registrerte hadde ikke bestilt noe fra selskapet og heller ikke bedt om å bli ført opp på deres nyhetsbrev. Vedkommende mottok likevel en ordrebekreftelse og et nyhetsbrev – samt personopplysninger som tilhørte den faktiske bestilleren. Den registrerte antok dette skyldtes at noen hadde gitt selskapet feil epostadresse. Selskapet sa senere at hendelsen skyldtes en feil fra selskapets side.
Den registrerte sendte en epost til selskapet og ba om at eposten ble slettet, men da ble hun bedt om å logge inn via sin bruker og gjennomføre forespørselen der via en blankett. At hun ikke hadde en bruker, ble oversett. Selskapet etterlevde ikke ønsket om at epostadressen skulle slettes, fordi avdelingen mente adressen var nødvendig for å gjennomføre bestillingen og betalingen. Videre ble det argumentert med at den registrerte hadde henvendt seg til kundeservice, ikke til selskapets ansvarlige person for personvern.
Datatilsynet i Berlin presiserte at selskapet ikke hadde noe behandlingsgrunnlag for å behandlingen av epostadressen. Videre kunne de ikke legge ansvaret på den registrerte ved å henvise til at anmodningen ble rettet til kundeservice istedenfor den som var ansvarlig for personvern.
Avgjørelsen viser viktigheten av gode rutiner på hvordan anmodninger i forbindelse med personvern, skal behandles.
DIREKTØRSKIFTE I SVERIGE
IMYs direktør slutter etter 5 år
Lena Lindgren Schelin har gått av som generaldirektør i det svenske datatilsynet, IMY (Integritetsskyddsmyndigheten). Lena kom fra en stilling som sjefsjurist i den svenske Ekobrottsmyndigheten og har jobbet som generaldirektør i IMY i litt over fem år. En ny direktør skal ansettes og inntil da er Karin Lönnheden vikariere i stillingen. Hun er i dag stabssjef og ansvarlig for innovasjonsarbeid i IMY.
En betraktning rundt dette er at personvern har blitt et komplisert område med stort internasjonalt tilsnitt. Det tar en god del tid å bli god på området og å kjenne det internasjonale miljøet. Det er en fordel med kontinuitet blant de som arbeider med faget. Det blir spennende å se hvilken kompetanse neste direktør tar med seg inn i rollen, la oss håpe det er en som er god på personvern.
Les om byttet her: IMY:s generaldirektör går till Kustbevakningen
KOMMENDE MØTER
| 14. sept12.00 – 13.00 Digital drop-in |
| 19. okt14.00 – 16.00 Digitalt nettverksmøte |
| 16. nov12.00 – 13.00Digital drop-in |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments