Høsten er godt i gang og datatilsynene i Europa kommer med en strøm av nye avgjørelser. Det er kommet nok en stor bot fra Irland, denne gangen mot TikTok. Det er så mange avgjørelser nå at det utgjør en utfordring for mange å følge med på hva som er viktig. Under har jeg valgt ut en rekke nye avgjørelser som jeg synes har verdi å vite om. Grensen mellom avtale og samtykke er stadig i fokus. I øvrig er det viktig at det har kommet et søksmål mot DPF, overføringsgrunnlaget til USA. Det har også skjedd en del på mer overordnet personvern-plan: Selskaper som rammes av DMA er identifisert, det er kommet ny kritikk mot personvern i bilbransjen og mye mer. Avgjørelsen fra Personvernnemnda om Grindr og hva som er sensitive personopplysninger, kommer vi tilbake til i neste møte.

Happy reading!

Hilsen Eva

---

KLAGE MOT DPF

Det finnes flere aktivister enn Schrems

Den nye EU-US Data Privacy Framework, DPF,  strider mot både GDPR og EUs pakt om grunnleggende rettigheter, mener

, medlem av Frankrikes lovgivende forsamling. Tidlig i juli vedtok EU-kommisjonen et nytt juridisk rammeverk for trygg overføring av personopplysninger mellom EU og USA. Latombe mener at den nye dataoverføringsavtalen ikke gir tilstrekkelige garantier for respekten for privatlivet, og han ber EU-domstolen om å sette den på hold. Mange trodde det ville bli Schrems som skulle angripe DPF, men slik ble det altså ikke.

Et interessant poeng er at han også er ansatt i det franske datatilsynet – CNIL. Klagen har han likevel levert inn som enkeltperson – noe annet ville jo vært helt oppsiktsvekkende når tilsynene faktisk er bundet av EUs beslutning om å godta DPF. Han skal ha valgt en juridisk fremgangsmåte som vil gå raskere enn hva Schrems har gjort, samtidig som det visstnok skal være noe større risiko for at saken blir avvist.

Klagen er pt ikke offentliggjort, så jeg har så langt ikke funnet noen kommentarer på hvor sannsynlig det er at han vil nå frem. Vi kommer helt sikkert til å få vite så snart mer blir kjent, for denne saken er jo viktig for mange.

Les mer her:

https://www.politico.eu/article/french-lawmaker-challenges-transatlantic-data-deal-before-eu-court/

https://www.linkedin.com/pulse/french-mp-disrupts-schrems-monopoly-challenging-data-tiulkanov/?trk=news-guest_share-article

---

PERSONVERN – TAKE IT OR LEAVE IT

chrems og NOYB er aktive også

Max Schrems og NOYB (None of Your Business) har pekt ut sitt neste mål i personvernkampen: treningsklokka Fitbit. NOYB har klaget inn produsenten av Fitbit for brudd på personvernregler i Østerrike, Nederland og Italia.

NOYB hevder at klokken blir så å si ubrukelig hvis brukeren ikke gir sitt samtykke til deling av personopplysninger. Det kritiseres blant annet at Fitbit ikke gir brukeren informasjon om hvordan personopplysninger brukes, og at den eneste måten å trekke tilbake sitt samtykke er ved sletting av brukerkonto. Maartje de Graaf, advokat i NOYB skriver: “Først kjøper du en Fitbit-klokke for minst 100 euro. Deretter registrerer du deg for et betalt abonnement, bare for å oppdage at du er tvunget til å “fritt” godta deling av dataene dine med mottakere over hele verden. Fem år inn i GDPR prøver Fitbit fortsatt å håndheve en «take it or leave it»-tilnærming“. NOYB mener at et slikt samtykke er verken frivillig, informert eller spesifikt – noe som betyr at samtykket ikke oppfyller GDPRs krav.

Kritikken er på linje med mye annet som skjer nå, der hva som er nødvendig for å levere en tjeneste er i fokus og det blir økt oppmerksomhet på forskjellen mellom avtale og samtykke.

Les mer her:

https://noyb.eu/en/your-fitbit-useless-unless-you-consent-unlawful-data-sharing

---

NY MILLIONBOT

TikTok i hardt vær

en irske databeskyttelsesmyndigheten (DPC) har bøtelagt TikTok med 345 millioner euro for brudd på behandling av barns personopplysninger.

Ifølge DPC skal TikTok-bruddene blant annet ha dreid seg om følgende:

• Profilinnstillingene for barnekontoer var som standard satt til offentlig, som betød at alle kunne se innholdet, selv uten en TikTok-konto.
• Family Pairing-innstillingen gjorde det mulig for kontoer å pare kontoen sin med en barnekonto uten å bekrefte at de var forelder eller foresatt, og på den måten aktivere direktemeldinger for brukere mellom 16 og 17 år.
• For lite transparens i informasjonen til barnebrukere
• TikTok brukte såkalte «dark patterns», på norsk gjerne kalt manipulativ design, for å få brukerne til å velge alternativer med mindre personvern i registreringsprosessen, i tillegg til når de postet videoer.

Av takeaways fra denne saken, tror jeg nesten at det som er mest praktisk for mange, er at det blir satt fokus på manipulativ design. Det er ikke så mange avgjørelser som handler om dette enda, selv om det snakkes en god del om det. Det kan altså være grunn til å legge noe mer vekt på å ha en “fair” design fremover når tjenester og grensesnitt utvikles.

Du finner DPCs avgjørelse her:

https://edpb.europa.eu/system/files/2023-09/final_decision_tiktok_in-21-9-1_-_redacted_8_september_2023.pdf

---

PRIVATLIVETS FRED

NYPD vil bruke droner for å overvåke bakgårdsfester

New York-politiet (NYPD) planlegger å ta i bruk droner for overvåkning av ulike arrangementer, inkludert bakgårdsfester. Planen har vakt protester fra flere aktivister som mener at slik droneovervåking er en krenkelse av privatlivets fred.

Rundt 1400 politistasjoner i USA bruker droner i en eller annen form, ifølge en fersk rapport fra American Civil Liberty Union. Hittil har bruk av droner imidlertid bare vært begrenset til operatørens synsfelt eller i forbindelse med nødssituasjoner. Ifølge rapporten er bruken av droner “klar til å eksplodere” blant politiet i USA.

Les hele artikkelen her:

https://apnews.com/article/drones-labor-day-eric-adams-nypd-jouvert-c2787e87bcad8fa87aa8d34b454ee6cf

---

STORBRITANNIA

Personvern i UK er ikke helt som i Europa

Storbritannias Innenriksdepartementet (Home Office) er anklaget for å drive hemmelig lobbyvirksomhet til fordel for Facewatch, et selskap som tilbyr teknologi for ansiktsgjenkjennelse drevet av kunstig intelligens. Kritikere av teknologien hevder at den bryter menneskerettighetene og er unøyaktig og partisk, spesielt mot mennesker med mørk hud. Til tross for utbredt bekymring over teknologien, har den allerede blitt introdusert i hundrevis av butikker i Storbritannia for å identifisere butikktyver.

Information Commissioner’s Office (ICO, datatilsynet i Storbritannia) konkluderte 31. mars at det ikke var påkrevd med tiltak mot Facewatch, da “selskapet har et legitimt formål med å bruke personopplysninger for å oppdage og forebygge kriminalitet”. Nylig ble det imidlertid avslørt at Storbritannias innenriksdepartement skrev til ICO, og gjorde det klart at ansiktsgjenkjenning for å bekjempe detaljhandelskriminalitet var en viktig politisk agenda for Chris Philp, Storbritannias politiminister. Innenriksdepartementet skrev også at Chris Philp ville ta kontakt med ICO dersom ICOs konklusjon ikke var positiv.  Den tilsynelatende trusselen kom to dager etter et lukket møte 8. mars mellom Philp, seniorembetsmenn i innenriksdepartementet og Facewatch.

Flere aktivister har nå krevd en uavhengig gransking av innenriksdepartementets innflytelse på ICO. Både ICO, innenriksdepartementet og Philp avviser å ha påvirket ICO.

Les mer:

https://www.theguardian.com/technology/2023/sep/02/home-office-accused-of-secret-lobbying-for-facial-recognition-spy-company

Litt mer fra Storbritannia  

Den britiske regjering har gjort endringer i sitt kontroversielle lovforslag om nettsikkerhet (Online Safety Bill), og viser tegn til å mykne sin stilling til ende-til-ende-kryptering (E2EE). Lovforslaget, som tar sikte på å bekjempe skadelig innhold på internett, vakte opprinnelig bekymring for å kompromittere sikkerheten til private meldinger på kommunikasjonsplattformer.

E2EE er en krypteringsmetode som sikrer at kommunikasjonen forblir trygg ved å holde dekrypteringsnøklene skjult, selv for plattformtilbydere. Det foreslåtte lovforslaget truet med å svekke denne sikkerheten ved å gi Ofcom (Storbritannias regulerings- og konkurransemyndighet for kommunikasjonsindustrien) makten til å kreve bruk av “akkreditert teknologi” for moderering av innhold, noe som ville kreve identifisering og fjerning av ulovlig innhold.

Store teknologiselskaper som WhatsApp, Apple og Signal kom med innvendinger og advarte om at de heller ville forlate Storbritannia enn å la dette gå på bekostning av brukernes personvern.

Nå kan det imidlertid virke som at den britiske regjeringen har tatt til seg kritikken, og den har kommet ut med beskjed om at teknologiselskaper ikke vil bli pålagt automatisk skanning av digital kommunikasjon.  I realiteten er det imidlertid lite som tyder på at regjeringens syn har endret seg. Den kontroversielle delen av lovforslaget vil ikke bli fjernet, noe som betyr at det fortsatt vil innføres en bakdør som undergraver ende-til-ende kryptering. Den eneste endringen er at den britiske regjeringen nå har sagt at den ikke vil tvinge teknologiselskaper til å faktisk håndheve dem.

Det gjenstår å se om Storbritannias lovforslag om nettsikkerhet vil bli implementert eller om den vil bli droppet helt. I mellomtiden kan regjeringens beslutning ha stor innvirkning på lignende lovgivning som forhandles i EU.

---

PERSONOPPLYSNINGER

Personvern i biler kommer til å bli et tema

En undersøkelse gjennomført av Mozilla viser at ingen av de store bilmerker klarer å oppfylle de mest grunnleggende personvern- og sikkerhetsstandardene i sine nye internett-tilkoblede modeller. Jeg er ikke spesielt overrasket og tror nok at dette er et felt som vil få mer oppmerksomhet fremover. Ingen av de 25 bilmerker som ble undersøkt bestod Mozillas test. Noen bilprodusenter, som Nissan og KIA, har også blitt kritisert for å samle inn og behandle svært sensitive personopplysninger, inkludert genetisk informasjon og helseopplysninger, for markedsføringsformål. Noen biler samler inn informasjon “race, facial expressions, weight, health information, and where you drive”. Det er en ganske kraftig opplysningsmiks.

“Alle nye biler i dag er personvernmareritt på hjul som samler enorme mengder personlig informasjon”, uttalte Jen Caltrider, programdirektør for Privacy Not Included-prosjektet, i en pressemelding.

Mozilla oppdaget også at mange bilmerker praktiserer “privacy washing”, det vil si at de gir forbrukere informasjon som tyder på at de ikke trenger å bekymre seg for personvernspørsmål når virkeligheten er en helt annen. Rapporten kritiserer også hva selskapene regner som samtykke. Subaru sier for eksempel at ved å være passasjer i bilen regnes du som en “bruker” som har gitt selskapet samtykke til å innhente informasjon om deg. Det er jo en interessant vinkling på hva samtykke skal være. Mozilla viser videre til at en rekke bilmerker sier at det er sjåførenes ansvar å informere passasjerene om bilens personvernregler. Jeg tror ikke så mange sjåfører er klar over hvordan opplysningene brukes overhodet. Det er nok helt fint at det blir mere søkelys på dette.

Les mer her:

https://gizmodo.com/mozilla-new-cars-data-privacy-report-1850805416

---

INNSYNSBEGJÆRINGER

Spiller motivet bak en innsynsbegjæring en rolle? Ikke denne gangen

En tysk domstol kom til at et krav om innsyn ikke er “overdreven”, selv om den forfølger andre formål enn personvern. I denne saken økte forsikringsselskapet en forsikringspremie, noe forsikrede mente var ulovlig. Forsikrede fremsatte dermed krav om innsyn i opplysninger knyttet til premieøkninger, men selskapet nektet innsyn.

Forsikrede utfordret lovligheten av premieøkningen i retten og ba dommeren om å pålegge selskapet å gi tilgang til opplysninger om premieøkninger. Den tyske domstolen kom til at forsikrede hadde rett til innsyn, og viste til at slik informasjon er å regne som personopplysninger i henhold til artikkel 4(1) GDPR. Videre mente den tyske domstolen at det var uten betydning hva som var motivasjonen bak innsynskravet. Domstolen kunne derfor ikke se at kravet var “overdreven” i henhold til artikkel 15 GDPR, og klager fikk medhold.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=OLG_Koblenz_-_10_U_1633/22&mtc=today

---

2 x SAMTYKKE

Tilsynene er opptatt av samtykker

Den 18. juli 2023 bøtela det italienske datatilsynet et italiensk selskap Compara Facile med 40 000 euro for å ha gjennomført markedsføringssamtaler pr. telefon, uten å ha innhentet informert samtykke fra de registrerte.

Det italienske datatilsynet avdekket at Compara Facile, etter å ha kjøpt personopplysningene fra et selskap i Moldova, kontaktet personer for å spørre om de var interessert i å motta kommersielle tilbud, og deretter sendte dem en tekstmelding med en lenke til en nettside der de kunne gi sitt samtykke. Det italienske datatilsynet fant at den første telefonkontakten fant sted uten samtykke fra den enkelte, og uten at den enkelte fikk tilstrekkelig informasjon om behandling av personopplysninger. Det italienske datatilsynet konstaterte dermed flere brudd på GDPR.  

Les hele avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9921112&mtc=today

I en lignende sak, som også gjaldt samtykke til digital markedsføring, konstaterte det italienske datatilsynet igjen brudd på GDPR. I denne saken fant det italienske datatilsynet at Tiscali Italia ga utilstrekkelig informasjon til sine brukere, da Tiscali Italia ikke opplyste om noen tidsbegrensning for lagring av personopplysninger for markedsføringsformål. Det italienske datatilsynet bemerket også at Tiscali Italia hadde utført såkalte “soft spam” aktiviteter, ved å sende tekstmeldinger til over 160 000 kunder som ikke hadde gitt samtykke til å motta reklame. Boten ble satt til 100 000 euro.

Les avgjørelsen her:

https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9920942&mtc=today

---

BOT TIL FORSIKRINGSSELSKAP

Informasjonssikkerhet er viktig 

Den svenske databeskyttelsesmyndigheten (IMY) ga Trygg-Hansa en bot på 35 millioner svenske kroner.

Om lag 650.000 kunder hos det svenske forsikringsselskapet Trygg-Hansa har hatt sine personopplysninger åpent tilgjengelig på nett. Ved å endre noen sifre i URL-en, kunne kunder få tillgang til andre kunders dokumenter. Problemet var så grunnleggende at Trygg-Hansa burde ha oppdaget det allerede før systemet ble innført, mente IMY. Sikkerhetseksperter jeg har snakket med, bekrefter at dette var en helt elementær feil.

Problemet varte fra oktober 2018 til februar 2021, og eksponerte personnumre, økonomisk informasjon, kontaktinformasjon og helseopplysninger.

Saken finner du her:

https://www.imy.se/nyheter/sanktionsavgift-pa-35-miljoner-mot-trygg-hansa/

---

EUs DIGITALE MARKEDSLOV

EU har pekt ut hvem som skal være DMA-portvoktere   

EU har nå identifisert 22 digitale plattformer, som skal som skal fungere som portvoktere i henhold til EUs digitale markedslov (DMA). Disse teknologigigantene vil være underlagt spesifikk og strengere forpliktelser under DSA-regelverket fra mars 2024. Regelverket er ikke direkte relevant for den gjennomsnittlige virksomheten i Norge, da det primært retter seg mot de største plattformene. Så for den gjengse bruker, er dette mest relevant fra vårt ståsted som brukere av plattformene. DMA skal som kjent sikre rettferdig konkurranse og sluttbrukerens rettigheter. EU forventer at de nye reglene vil skape nye muligheter, innovasjon og begrense urettferdig praksis fra portvoktere. Av de vedtatte tiltakene kan det blant annet nevnes at portvoktere vil bli pålagt å gi tredjeparter mulighet til å interagere med portvokters egne tjenester i nærmere angitte situasjoner. Det vil også være forbudt for portvoktere å gi egne varer og tjenester bedre rangering enn tilsvarende varer og tjenester som tilbys av tredjeparter på portvokters plattform.

For å bli utpekt som portvokter må selskapet ha over 45 millioner aktive lokale brukere, en omsetning på over 7,5 milliarder euro de tre siste årene, eller en markedsverdi som overstiger 75 milliarder euro. På listen finner man derfor en rekke teknologiganter, blant annet Amazon, Apple, TikTok, Facebook, Instagram Google, Microsoft, mfl.

Hvis selskapene bryter det nye lovverket, kan de få en straff på opptil 10 prosent av den globale årlige omsetningen, eller opptil 20 prosent for alvorlige lovbrudd.

---

CYBERSIKKERHET

En liten personverngladnyhet på tampen  

Det trønderske teknologiselskapet Secure Practice har fått et EU-oppdrag verdt 29 millioner kroner for å forsterke cybersikkerheten i hele Europa. Det skjer mindre enn to år etter at selskapet fikk testet ideene sine i Datatilsynets regulatoriske sandkasse. Secure practise anslår at 85% av sikkerhetsbrudd skyldes menneskelig feil og tilstreber å redusere risikoen for dette gjennom personalisert trening gjennom en AI-basert skyløsning. Som den første norske virksomheten som mottar støtte gjennom Digital Europe, står Secure Practice i en sjelden posisjon for å bidra til vår digitale fremtid. Med EU som oppdragsgiver, kan selskapet bygge betydelige nettverk og samarbeid på tvers av hele Europa.

Les mer her:

https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/eu-satser-pa-norsk-sandkassegaselle/

---

KOMMENDE MØTER

19. okt 14.00 – 16.00 Digitalt nettverksmøte

16. nov 12.00 – 13.00 Digital drop-in

7. des 14.00 – 17.00 Nettverksmøte, Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.