De siste dagene har det vært mye oppmerksomhet rettet mot nye rettssaker om personvernvedtak i vårt lille land. Både Meta og Grindr har gått til sak mot staten for å få opphevet vedtak som dels handler om behandlingsgrunnlag, om kravene for samtykke og om størrelsen på bøter.
Datatilsynet har, naturlig nok, bemerket at disse aktørene besitter tilstrekkelige ressurser til å innhente juridisk bistand for å forsvare sine forretningsmodeller. Disse modellene er, ifølge direktøren, gjenstand for kritikk fra flere myndigheter.
Sakene er etter min oppfatning svært forskjellige, men det handler om usikkerhet i tolkningen av GDPR, noe som i seg selv ikke er overraskende. Hvor stor usikkerheten er, varierer også.
Jeg heier generelt sett på personvernmyndighetene som gjør en viktig jobb, men jeg tror også det er bra at vi får rettslige avklaringer på dette feltet. Det vil være til nytte både for myndigheter og andre som skal praktisere lovverket. Dessuten: Datatilsynet kan knapt regne med at selskaper, uansett hvor store de er, får titalls millioner i bot uten at de vil ha prøvet lovtolkninger som ikke er gjort før. Jeg tror vi kommer til å flere rettssaker fremover – og en del personvernadvokater bør nok børste støv av den svarte kappen.
Men det har skjedd mye annet også, under er et knippe nyheter. Jeg bruker anledningen til å skryte litt av programmet for neste fysiske nettverksmøte i desember. Vi får besøk av Anders Holt som er personvernombud i NAV. Han skal fortelle om erfaringer fra stedlige tilsyn fra Datatilsynet tidligere i høst. Her er det mye praktisk informasjon å hente dersom man skulle få besøk av tilsynet. Dessuten kommer Microsoft og forklarer om personvern i Copilot, og jeg tror vi får noen gode diskusjoner om bruk av AI.
Jeg tror dette blir ordentlig spennende og gleder meg!
Hilsen Eva
SØKSMÅL MOT DPF
Foreløpig ikke medhold for Latombe
EU-domstolen har behandlet en sak om midlertidige tiltak for å stanse implementering av EU-U.S. Data Privacy Framework. Domstolens avgjørelse kom som et motsvar til en klage som utfordret gyldigheten av overføringsavtalen for personopplysninger mellom EU/EØS og USA, som trådte i kraft 10. juli i år.
Klagens innsender var Philippe Latombe, som er fransk representant i Europaparlamentet. EU-domstolen konkluderte med at Latombe ikke kan bevise den individuelle og kollektive skaden som han mener at det nye
overføringsregelverket medfører.
Selv om Latombes påstand om midlertidig stopp av implementeringen av regelverket ble avvist, er det grunn til å anta at han senere vil kunne få prøvet sin hovedpåstand om hvorvidt Data Privacy Framework i sin helhet er lovlig. EU-domstolens avgjørelse viser at spørsmål om lovligheten av Data Privacy Framework stadig er et dagsaktuelt tema, og det kan forventes at debatten om adekvatbeslutningens gyldighet vil vedvare i tiden som kommer.
ANSVAR FOR DATABEHANDLERAVTALE
Tilbakevirkende kraft er ingen unnskyldning
Hvem er ansvarlig for at databehandleravtale foreligger? En belgisk avgjørelse klargjør dette.
Det belgiske datatilsynet har avsagt en avgjørelse som berører spørsmålet om hvem som har ansvaret for at det foreligger en databehandleravtale mellom behandlingsansvarlig og databehandler.
Den 4. september 2020 klaget et belgisk datasubjekt både behandlingsansvarlig og databehandler inn for det belgiske datatilsynet for brudd på GDPR artikkel 28 (3), som pålegger behandlingsansvarlig å inngå databehandleravtale med eventuelle databehandlere. Klagen var foranlediget av at vedkommende den 20. mai 2020 hadde mottatt en parkeringsbot fra kommunen. I forbindelse med kommunens dokumentasjon av parkeringsovertredelsen, anmodet vedkommende bl.a. fremleggelse av databehandleravtalen mellom kommunen som behandlingsansvarlig og den tredjeparts databehandleren som ble brukt ved utdeling og innkreving av parkeringsboten.
I Datatilsynets behandling av den aktuelle klagen ble det avdekket at kommunen hadde etablert en databehandleravtale med en ekstern tredjepart først den 27. juli 2020. Denne databehandleravtalen inneholdt en klausul om tilbakevirkende kraft. De sentrale spørsmålene for datatilsynet var dermed for det første om klausulen om tilbakevirkende kraft er lovlig etter GDPR art. 28 (3). For det andre, hvem som bærer ansvaret – behandlingsansvarlig eller databehandleren – for at det ikke eksisterte en databehandleravtale på det tidspunktet opplysningene faktisk ble behandlet.
Det belgiske datatilsynet konkluderte med at den aktuelle databehandlingen var et brudd på GDPR artikkel 28, 14 og 12. I sin vurdering, tok tilsynet et standpunkt om at tilstedeværelsen av en tilbakevirkningsklausul ikke rettferdiggjør mangelen på en databehandleravtale ved behandlingens start. Datatilsynet begrunnet sitt synspunkt med at slike klausuler potensielt kunne tillate omgåelser av personvernbestemmelsene, i strid med intensjonene i GDPR artikkel 28 (3). Videre anså tilsynet at både kommunen og tredjepartsbehandleren var ansvarlig for brudd på personvernlovgivningen. Følgelig rettet Datatilsynet en irettesettelse både mot den behandlingsansvarlige og databehandleren.
Jeg tror dette er en situasjon som være en vekker for ganske mange og være en motivasjon for å få på plass databehandleravtaler, selv om det ikke ble bot i dette tilfellet.
Les mer om avgjørelsen her:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_137/2023&mtc=today
OPPTAK AV KUNDESAMTALER – BERETTIGET INTERESSE
I kundetjenestens navn…
Dette er også et tema som er relevant for mange. AustrianFederal Administrastive Court (“BVwG”) har avsagt avgjørelse i en sak om berettiget interesse som grunnlag for opptak av kundesamtaler. Et datasubjekt fremmet en klage mot en bank inn for det østerrikske datatilsynet, basert på at banken gjorde opptak av kundesamtaler uten at kundene hadde muligheten til å motsi seg slike opptak og den påfølgende behandlingen av deres personopplysninger. Det østerrikske datatilsynet opprettholdt datasubjektets klage, og banken anket derfor saken inn for domstolene.
Banken fremholdt at det hadde en berettiget interesse i å behandle personopplysninger gjennom opptak av kundesamtaler. I tillegg tok banken til ordet for at det var umulig å unngå opptak av alle innkommende samtaler, gitt at nasjonale lover pålegger bankinstitusjoner en plikt til å ta opp samtaler som gjelder investeringstjenester.
Bankens påstand ble avvist av østerrikske domstoler. I relasjon til spørsmålet om berettiget interesse, uttalte domstolen at bankens interesse i å “sikre kvalitet” på sine tjenester ikke var tilstrekkelig spesifisert til å kunne utgjøre et gyldig rettslig grunnlag for behandlingen. Som svar på bankens argument om at nasjonale lover gjør det umulig å ikke gjøre opptak av alle innkommende samtaler, presiserte domstolen at det er den behandlingsansvarliges ansvar å etablere interne prosedyrer som sikrer at etterlevelse av nasjonale lovregler gjøres på en måte som ikke strider mot personvernreglene. Domstolen påpekte videre at banken kunne ha etablert prosedyrer for å fastslå temaet ved oppringingens begynnelse. Dette ville ha muliggjort en vurdering av om en telefonsamtale faktisk falt under forpliktelsen til å ta opp samtaler om investeringstjenester, og slik kunne banken ha unngått å registrere samtaler hvor opptak ikke var lovpålagt.
BVwG kom etter dette til at bankens opptak av kundesamtaler var i strid med personvernreglene, som følge av at behandlingen av personopplysninger verken hadde grunnlag i lov eller i bankens berettigede interesse etter GDPR artikkel 6(1)(f).
Selv må jeg innrømme at jeg blir bittelitt irritert hver gang jeg ringer et sted og jeg blir fortalt at samtalen “tas opp for å forbedre våre kundetjenester”, og jeg ikke kan avslå. Sist skjedde dette da jeg skulle etterlyse en pakke på vei til meg. Det kan da ikke være nødvendig å ta opp slike samtaler? Og hvor lagres de hen? Og ble samtalen noensinne lyttet på av noen for å forbedre pakketjenesten? Lurer nesten på om jeg skal be om et aldri så lite innsyn selv…
Les saken i sin helhet her:
https://gdprhub.eu/index.php?title=BVwG_-_W274_2251055-1/5E
TRE AVGJØRELSER OM MARKEDSFØRING
Groupe Canal+ i Frankrike har fått bøter for markedsføringsaktiviteter
Den 19. oktober 2023 ble selskapet Groupe CANAL+ ilagt en bot på 600 000 euro av det franske datatilsynet CNIL for brudd på flere av personvernforordningens artikler i tidsrommet november 2019 til januar 2021.
CNIL hadde mottatt 31 klager relatert til såkalte “Cold Calls” fra Groupe CANAL+ til potensielle kunder som ikke tidligere har vært i kontakt med selskapet. I tillegg mottok datatilsynet andre klager relatert på manglende personvernrettigheter for registrerte, sikkerhetsspørsmål knyttet til passord for selskapets ansatte, og selskapets unnlatelse av å varsle CNIL om et personopplysningsbrudd i 2020.
CNIL bemerket at Groupe CANAL+ benyttet elektroniske salgskampanjer, som ble utført av tredjepartsleverandører, for å identifisere potensielle kunder for sine tjenester. Personopplysninger som ble samlet inn av tredjepartsleverandørene, ble senere brukt av selskapet for å gjennomføre Cold Calls mot disse potensielle kundene.
Selskapet kunne ikke bevise at de potensielle kundene hadde avgitt gyldig samtykke til å motta henvendelser, som følge av at kundene ikke ble informert om identiteten til tredjepartsleverandøren som gjennomførte de elektroniske salgskampanjene. Selv om de potensielle kundene elektronisk hadde samtykket til å motta elektroniske dørsalg, kom CNIL til at samtykkene ikke var gyldige fordi kundene ikke ble informert om hvem samtykket ble innhentet på vegne av. Dette er et sentralt element for mange og er i tråd med tidligere avgjørelser. Når selskapet ikke kunne dokumentere samtykke, konkluderte CNIL med at selskapet hadde brutt GDPR artikkel 7(1) og artikkel4(11). Det er viktig å kunne dokumentere samtykker!
CNIL oppdaget også at selskapet hadde forsømt å informere datasubjekter om at deres telefonnumre ble innhentet fra en tredjepart. Som følge av dette var datasubjektene ikke blitt gjort kjent med formålet bak, og deres rettigheter relatert til, selskapets behandling av deres personopplysninger. Dermed kom datatilsynet til at Groupe Canal+ også hadde brutt GDPR artikkel 14. Datatilsynet fant ytterligere at Groupe Canal+ hadde brutt sine forpliktelser etter GDPR artikkel 12, artikkel 28(3) 32 og 33.
Hva gjelder avviket som ikke ble meldt, gjaldt det navn og adresse til ca. 10.000 kunder som i en periode på 5 timer og 36 minutter hadde vært tilgjengelig for andre kunder. Det er tankevekkende i seg selv – er dette et type avvik du ville meldt selv?
Botens størrelse ble fastlagt på bakgrunn av at Groupe Canal+ har brutt GDPR i et betydelig omfang, og at enkelte av bruddene er av mer alvorlig karakter. CNIL la imidlertid også vekt på enkelte formildende omstendigheter, herunder at selskapet har iverksatt omfattende tiltak og på denne måten brakt seg i samsvar med flere av de punktene i GDPR.
Les oppsummering av saken her:
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-015&mtc=today
Meta og adferdsbasert markedsføring
Det skjer mye rundt Meta. Datatilsynet skriver at det ikke er et generelt forbud mot å publisere annonser på Facebook. Bakgrunnen for denne kunngjøringen er at datatilsynet har mottatt flere henvendelser fra bedrifter som lurer på om de er rammet av Datatilsynets midlertidige forbud mot adferdsbasert markedsføring på Facebook og Instagram.
Selv om bedrifter ikke er direkte berørt av forbudet, oppfordrer Datatilsynet alle bedrifter til å være bevisste på problemstillingene knyttet til Datatilsynets forbud mot annonsering på Metas plattformer. Dette innebærer at selskapet er ansvarlig for å gjennomføre nødvendige vurderinger og må være klar over at Meta i dag driver med ulovlig adferdsreklame. Jeg tror at mange synes det er vanskelig og tungvint å lage slike vurderinger.
På den annen side er ovennevnte problemstilling snart ikke lenger relevant, da Datatilsynet helt nylig fikk medhold hos EDPB i at forbudet mot atferdsbasert reklame utvides til hele EU. Og dette skjer samtidig som at Meta går over til å bruke samtykke som hjemmel for den omstridte markedsføringen.
Så hva er sluttsituasjonen nå? Meta har endret sin praksis for å etterkomme kravene fra europeiske tilsynsorganer. Hoveddiskusjonen fremover vil bli om Metas nye samtykke til personalisert reklame anses som god nok. Er Metas “pay or Okay” i tråd med GDPR? Det har relevans for mange. Vi må komme tilbake til dette fremover.
Les mer her:
Kan virksomheter annonsere på Facebook?
Bot til H&M for deres markedsføringspraksis
Den 17. oktober 2023 utstedte det svenske datatilsynet, Integritetsskyddsmyndigheten (IMY), en administrativ bot på 350.000 SEK mot H&M for selskapets markedsføringspraksis. Seks personer bosatt i ulike europeiske land, inkludert Polen og Italia, sendte inn klager i forbindelse med mottak av direkte markedsføring fra H&M. Ettersom H&M har hovedkontor i Sverige, behandlet IMY klagene.
IMY sin undersøkelse konkluderte med at H&M brøt personvernloven, idet H&M ikke stanset behandling av klagerens personopplysninger for markedsføringsformål uten unødig opphold, til tross for mottatte klager knyttet til slik behandling. Videre hadde ikke H&M, ifølge IMY, tilstrekkelige systemer og rutiner på plass for å gjøre det lettere for personene å benytte sin rett til å motsette seg direkte markedsføring. Det er egentlig litt overraskende at H&M satte seg i en slik posisjon.
Det skal være enkelt å slippe å motta annonser og tilbud man ikke er interessert i, uttalte Albin Brunskog, enhetsleder i IMY. Og med tanke på den siste tids strenge praksis rundt markedsføring, er det ikke en overraskende uttalelse.
Les mer her:
https://www.imy.se/nyheter/hm-har-gjort-det-onodigt-svart-att-slippa-reklam/
KRAV OM RETTING AV OPPLYSNINGER
Personvernnemnda om retting av opplysninger
Den 15. september 2023 avsa Personvernnemnda avgjørelse i sak PVN-2023-04 om Retting av personopplysninger hos NAV. En privatperson påklaget Datatilsynets vedtak datert 20. desember 2021. Dette skjedde etter at personen hadde inngitt en klage til Datatilsynet mot NAV, med et krav om retting av opplysninger i et NAV-vedtak angående rett til dagpenger.
Saken var foranlediget av at privatpersonen høsten 2015 mottok dagpenger under arbeidsløshet fra NAV. Etter å ha søkt om støtte til etablering av egen virksomhet, fattet NAV 2. oktober 2015 vedtak om stans i dagpengene som følge av NAVs forståelse om at vilkårene for rett til dagpenger ikke var oppfylt. Etter ytterligere korrespondanse vurderte NAV saken på nytt, og innvilget privatpersonen dagpenger i et nytt vedtak 1. desember 2015.
17.mars 2016 fattet NAV enda et nytt vedtak som innebar omgjøring av vedtaket fra 2. oktober 2015 om stans i dagpengene. Her konkluderte NAV med at dagpengene aldri skulle ha vært stanset, og innvilget privatpersonen dagpenger for hele den perioden der utbetalingen hadde vært stoppet.
Privatpersonen krevde at vedtaket om stans i dagpenger fra 2. oktober ble rettet opp av NAV i medhold av personvernforordningen artikkel16. NAV gjorde på sin side gjeldende at vedtaket var rettet opp som følge av de etterfølgende vedtakene 1. desember 2015 og 17. mars 2016, og at det ble lagt til en merknad om “Se endringsvedtak 17. mars 2016” i vedtaket av 2. oktober 2015.
I klagesaken for Datatilsynet konkluderte tilsynet med at vilkårene for retting etter personvernforordningen artikkel 16 første punktum ikke var oppfylt, fordi opplysningene som ble krevd rettet ikke er “uriktige” gjengivelser av NAVs vurderinger på vedtakstidspunktet. Personvernnemnda opprettholdt Datatilsynets vedtak. Nemnda la vekt på at opplysningene kan endres ved at vedtaket påklages, omgjøres eller endres gjennom nye vedtak. I tillegg påpekte Personvernnemnda at NAVs vedtak av 2. oktober 2015 gir korrekt uttrykk for det faktum som NAV la til grunn da vedtaket ble fattet, og at de tre vedtakene i sammenheng gir uttrykk for at privatpersonen på søknadstidspunktet hadde krav på dagpenger og at stansingen av dagpenger derfor var urettmessig. På denne bakgrunn ble det konkludert med at sammenhengen mellom vedtakene medfører at NAV ikke har registret uriktige opplysninger om privatpersonen, og at vilkåret for retting etter personvernforordningen artikkel 16 derfor ikke er oppfylt.
Personvernnemndas avgjørelse finnes her:
For omtale av saken på engelsk:
https://gdprhub.eu/index.php?title=PVN_-_PVN-2023-04&mtc=today
COOKIES
Det danske datatilsynet på hugget om cookies
Det danske datatilsynet anmeldte Texas Andreas Petersen A/S til politiet 6. oktober 2023 etter det de mente var innsamling og behandling av personopplysninger uten rettslig grunnlag etter nettstedsbesøk på www.texas.dk. Ved gjennomgang av nettsiden oppdaget det danske datatilsynet at en rekke informasjonskapsler ble brukt for å samle inn og avsløre informasjon om besøkende til Google og Meta.
Ettersom Texas Andreas Petersen A/S behandlet personopplysninger uten rettslig grunnlag, hvor slik behandling potensielt involverte et stort antall besøkende på nettstedet, utstedte det danske datatilsynet en bot på til sammen DKK 200.000. Botens størrelse begrunnes med at det danske datatilsynet har gitt veiledning om hvordan personopplysninger som gjelder besøk på nettstedet skal behandles siden februar 2020. Boten er ikke særlig høy i europeisk sammenheng, men den er høy i en dansk sammenheng da de sjelden utsteder bøter.
Som de fleste lesere vil vite, har Norge foreløpig en annen tilnærming til problemstillingen. Foreløpig kan samtykke til informasjonskapsler gis gjennom nettleserens innstillinger, og enkelte unntak fra samtykkekravet og informasjonsplikten gjelder etter norsk lov. Dette forventes imidlertid å endre seg når den nye e-komloven trer i kraft. Det er klokt å allerede nå forberede seg på at denne endringen vil inntreffe, ettersom jeg antar at eventuelle nye regler i Norge vil bli håndhevet like effektivt og strengt som de nåværende EU-reglene.
Les mer her:
DATABEHANDLERE
Er tilbyder av samlokasjon i datahaller databehandlere?
Det danske datatilsynet har, etter henvendelse fra Region Midtjylland, tatt stilling til hvorvidt leverandører av samlokasjon av servere (Co-location) som benyttes til behandling av personopplysninger, skal anses som databehandlere.
I sin henvendelse opplyste Region Midtjylland at samlokasjon er en oppbevaringstjeneste som leveres av it-virksomheter. Regionen plasserer egne servere i et serverskap hos en virksomhet som leverer denne tjenesten.
Datatilsynet konkluderte overordnet sett med at en virksomhet, myndighet eller en annen organisasjon som leverer samlokasjon av servere ikke skal anses som databehandlere for de organisasjonene eller virksomhetene samlokasjonsytelsen leveres til. Som forutsetning for sin konklusjon, fremhevet datatilsynet at virksomheten som leverer samlokasjon ikke har adgang til personopplysninger på serverne. Som eksempel nevner tilsynet situasjoner der kunden har plassert egne servere med strøm- og internettilknytning i et låst serverskap, som bare kunden har tilgang til.
For å begrunne sitt synspunkt, understrekte Datatilsynet videre at levering av samlokasjon for servere først og fremst dreier seg om levering av fysiske fasiliteter, internett og strømforsyning, ikke behandling av personopplysninger. Datatilsynets understreker imidlertid at uttalelsen bare konstituerer et utgangspunkt, og at andre omstendigheter kan føre til at leverandøren av samlokasjon likevel må anses som en databehandler.
Som eksempler på omstendigheter som kan føre til at leverandøren likevel må anses som en databehandler nevnes situasjoner der leverandøren har adgang til serverskapet, slik at man kan få tilgang til personopplysningene. Som andre eksempler fremheves også situasjoner der leverandøren kan skifte ut eller på annen måte behandle de harddiskene som lagres, eller der serverne kan flyttes, skrus av og på eller på annen måte håndteres. I tillegg fremheves situasjoner der leverandøren tilbyr ytterligere ytelser enn kun fysiske fasiliteter, strøm og internett. Dette kan dreie seg om ytelser som brannmurer, back-up eller andre sikkerhetstiltak som omfatter behandling av personopplysninger.
Virksomheten som driver samlokasjon kan også bli dataansvarlige som følge av de fysiske sikkerhetstiltakene som leverandøren har etablert. Det kan handle om registrering av besøkende, loggføring av nøkkelbrikker og/eller kameraovervåkning. Det er virksomhetene som benytter seg av samlokasjon som er forpliktet til å etablere og føre kontroll med tilfredsstillende behandlingssikkerhet i tråd med personvernforordningens artikkel 32. Dette innebærer at kunden må ha kjennskap til leverandørens sikkerhetstiltak, og vurdere om disse er tilstrekkelige i relasjon til de behandlingsaktivitetene som gjennomføres på serverne.
Overordnet sett er det likevel grunn til å fremheve at datatilsynets uttalelser antyder at leverandører av samlokasjon for servere i utgangspunktet ikke skal anses som databehandlere. Unntakene er konkrete serviceavtaler som tilsier at leverandøren har befatning med personopplysningene som behandles på serverne.
Avgjørelsen kan leses i sin helhet her:
KONTROLL PÅ ARBEIDSPLASSEN
Kameraovervåking av ansatte og GPS-sporing
Datatilsynet har igjen rettet blikket mot hvordan virksomheter overvåker sine ansatte, med søkelys på bruk av kamera på arbeidsplasser med unge arbeidstakere. Som annonsert tidligere vil Datatilsynet gjennomføre flere kamerainspeksjoner i fremtiden. Tilsynet vil skje uanmeldt, og uten forvarsel. Dette er høyst uvanlig, og understreker hvor seriøst Datatilsynet tar denne problemstillingen.
Datatilsynet har hatt et uanmeldt tilsyn hos Fast Candy AS, en godteributikk i Oslo. Datatilsynet oppdaget at store deler av godteributikken var kameraovervåket, inkludert området bak kassen og lager/kontorområdet. Kameraløsningen hadde også kontinuerlig fjerntilgang og lydopptak. På bakgrunn av disse funnene fattet Datatilsynet vedtak om flere pålegg. Datatilsynet mener at ansatte ikke skal overvåkes bak kassen, med mindre særskilte grunner taler for at det er nødvendig. Fast Candy må stoppe kameraovervåkingen bak kassen i butikken. Butikken må videre justere eller fjerne kameraovervåking av lager og kontorareal, samt stoppe all bruk og mulighet for fjerntilgang og lydopptak gjennom kameraovervåkingen. Utover dette må Fast Candy gi sine ansatte ytterligere informasjon om kameraovervåking og etablere internkontroll for slik overvåking.
Jeg tror Fast Candy var ganske heldige som ikke fikk en bot for dette. Det kan være verd å minne om at man ikke kan ha lydopptak samtidig med kameraopptak. Dette sitter i “ryggmargen” på mange av oss som har jobbet med personvern en stund, men i den siste tiden hører jeg oftere om at virksomheter tror de kan gjøre begge deler. Kameraene har ofte den muligheten – men det er altså i all hovedsak ikke lov.
Datatilsynet erkjenner at det er lett å ta i bruk rimelige kameraløsninger. Mange av systemene kan være forhåndsinnstilte på en måte som ikke er i tråd med regelverket. Selskaper er ansvarlige for å bruke kameraet på en lovlig måte, og påse at innstillingene er lovlige.
Overvåking av ansatte er også på dagsorden i utlandet. Information Commissioner’s Office (‘ICO’) har nylig gitt ut ny veiledning om overvåking av ansatte. De har en bred beskrivelse av hva overvåkning kan være: Sporing av telefonsamtaler, meldinger og tastetrykk, opptak fra webkamera, lydopptak, skjermbilder eller bruk av overvåkingsprogramvare for å spore ansattes aktivitet og annet.
Dersom organisasjoner ønsker å over våkeansatte, må de iverksette visse grep, herunder gi ansatte informasjon om art, omfang og årsaker til overvåking. Videre må bedriften sørge for at overvåking har et klart definert formål, samt påse at minst mulig inngripende tiltak benyttes. Det må tilbys alternativer for ansatte som ikke ønsker å bruke biometriske tilgangskontroller til arbeidsområdet, for eksempel sveipekort eller PIN-numre. Selv om vi ofte opplever at Storbritannia tillater mer overvåking av ansatte enn de skandinaviske landene, er veiledningen her ganske lik med det skandinaviske regelverket.
Den østerrikske datatilsynsmyndigheten avgjorde nylig at en behandlingsansvarlig som hadde installert GPS-sporingsenheter på firmakjøretøy brukt av sine ansatte, verken kunne bruke en juridisk forpliktelse eller legitime interesser som det lovlige grunnlaget for behandlingen. Myndigheten anerkjente visse legitime interesser til behandlingsansvarlig, inkludert bruk av GPS-data for å beregne arbeidstimer, utgifter som påløper for å kompensere ansatte tilstrekkelig og lokalisering av ansatte slik at de kunne sendes til klienter. Men de kom frem til at den at behandlingsansvarlig kunne få tilgang til slik informasjon, og utføre disse oppgavene, uten GPS-sporingsenheten. Dette betyr at de nødvendige betingelsene for å bruke legitim interesse som rettslig grunnlag ikke var oppfylt.
Den behandlingsansvarlige kunne heller ikke bruke påberope seg en juridisk forpliktelse som rettslig behandlingsgrunnlag, siden den allerede oppfylte kravene i den østerrikske arbeidstidsloven før bruken av GPS-sporingsenheten og gjorde det med mindre inngripende midler. Som en konsekvens, ble det pålagt å stoppe all behandling av personopplysninger gjennom GPS-sporingssystemet.
For mer informasjon, se:
- Kameratilsyn hos virksomheter med unge arbeidstakere
- Flere pålegg etter tilsynssak mot Fast Candy AS
- Employment practices and data protection − Monitoring workers
- DSB (Austria) – 2022-0.021.739
KUNSTIG INTELLIGENS
Praktisk veileder for utvikling av AI i Frankrike
Det franske datatilsynet, CNIL, har delt en praktisk veiledning for utvikling av kunstig intelligens (AI)-systemer. Fire ting er spesielt verdt å nevne:
For det første skal det defineres et formål. I denne forbindelse uttaler CNIL at behandlingsoperasjonene som utføres i distribusjonsfasen og utviklingsfasen, i prinsippet har et enkelt overordnet formål når den operative bruken under distribusjonsfasen er nøyaktig identifisert fra utviklingsfasen. Saken er mindre klar for generelle AI-systemer. I dette tilfellet kan den operative bruken ikke være eksplisitt identifisert fra utviklingsfasen, hvilket betyr at formålet med behandlingen i denne fasen må inkludere forståelig informasjon om type system, samt dets funksjoner og muligheter.
For det andre: Samtykke, legitime interesser, allmenne interesser og oppfyllelse av en kontrakt kan brukes som et rettslig grunnlag, avhengig av konteksten. Den behandlingsansvarlige må finne et passende juridisk grunnlag for deres AI-system. Dette er både praktisk og nyttig – og viser at det er flere alternativer hjemler som kan fungere når man skal utvikle en AI – men det gjelder å velge riktig.
For det tredje: en vurdering av personvernkonsekvenser (DataProtection Impact Assessment – DPIA) for utvikling av AI-systemer må ta for seg spesifikke AI-risikoer. For eksempel risikoen for å dele falskt innhold om ektemennesker. Dette kommer ikke som noen overraskelse, siden utvikling av AI-systemer krever betydelige data, inkludert personopplysninger.
For det fjerde må behandlingsansvarlig kontinuerlig overvåke og oppdatere dataminimering og databeskyttelsestiltak for å sikre at de som er vedtatt i datainnsamlingsfasen ikke blir utdatert.
Prinsippene er i tråd med hva som antas å bli vedtatt i AI Act.
Veiledningen er tilgjengelig her:
https://cnil.fr/en/ai-how-sheets
OFFENTLIGHETSLOV KONTRA PERSONVERN
Politisk reklame til foreldre under valgkampen
Under valgkampen tidligere i høst, sendte flertallspartiene i Stavanger, inkludert Arbeiderpartiet og Senterpartiet, en e-post med politisk reklame til flere foreldre med barn i barnehager og skoler. Foreldrenes kontaktinformasjon var ikke offentlig kjent. Partiene hadde fått tilgang til informasjonen fra Stavanger kommune via offentlighetsloven. Selv om personopplysninger kan kreves utlevert med hjemmel i offentlighetsloven, må all videre behandling være i samsvar med personvernloven. Mange reagerte negativt.
Uvitende om at deres personopplysninger ble behandlet på denne måten, sendte flere foreldre inn klager til Datatilsynet. Foreldrene stiller spørsmål ved lovligheten av de politiske partienes, og Stavanger kommunes, behandling av personopplysninger.
På bakgrunn av disse klagene ba Datatilsynet om en redegjørelse fra Stavanger Arbeiderparti på vegne av flertallspartiene. Datatilsynet ba om ytterligere informasjon om hvem som var behandlingsansvarlig, hvilke personopplysninger som ble behandlet, formålet med behandlingen, dets rettslige grunnlag, hvilken informasjon registrerte mottok, samt lagringsperioder.
Datatilsynet har mottatt redegjørelsen og denne vurderes nå. Mer informasjon om denne saken vil komme utover høsten, og vi venter spent på datatilsynets vurderinger. Offentlighetsloven står meget sterkt og det er ikke alltid at den trekker i samme retning som personvernet. Saken er interessant, da den vil ha betydning for hvordan andre politiske partier kan dele politisk reklame.
Les mer her:
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2023/ber-om-redegjorelse/
BRUDD PÅ PERSONVERN
Dyrt med avvik i USA
Etter påstander knyttet til et datainnbrudd som avslørte sensitive data fra 13.000 non profit organisasjoner i 2020, gikk Blackbaud, et programvareselskap for pengeinnsamling, med på å betale 49,5 millioner dollar i en forliksavtale. Brudd på personvernet kan med andre ord koste dyrt i USA.
En uautorisert tredjepart fikk tilgang til Blackbauds data, noe Blackbaud offentlig erkjente 16. juli 2020. Det Blackbaud angivelig ikke informerte om, var bruddets omfang og sensitiviteten i dataene som var blitt stjålet. Over én million filer var omfattet av datainnbruddet. Statsadvokater i 49 stater og Washington D.C. opprettet sak med personvernkrav mot selskapet. Selv om Blackbaud ikke innrømmer skyld i henhold til forliksavtalen, må de både betale dyrt og styrke sin datasikkerhet og varsling av kunder ved databrudd. En tredjepart skal inn og vurdere Blackbauds overholdelse av forliksavtalen i syv år fremover.
Les mer her:
https://apnews.com/article/blackbaud-data-breach-settlement-dba8fac12af30f74691c7af4fec69a14\
CSAM-FORSLAGET
Omdiskutert forslag i kampen mot nettovergrep
Nylig stemte EU om det såkalte CSAM-forslaget, som er en del av EUs tiltak for å bekjempe overgrepsmateriale av barn på internett. Forslaget kan i praksis forby krypterte, sikre meldingstjenester som vi i dag kjenner som f.eks. WhatsApp, iMessage og Signal.
Forslaget har blitt heftig debattert, blant annet fordi at dette vil åpne for en masseovervåkning av meldingstjenester som kan på virkekildevern, overføring av helsedata og generelt personvern. Kritikerne mot forslaget hevder at regelverket vil være enkelt å omgå for de kriminelle det er ment å stanse, og at forslaget derfor kan få større konsekvenser for vanlige mennesker enn for de kriminelle. Blant kritikerne blir det også tatt til orde for at tjenestene kan bli nødt til å overvåke alt innhold som sendes, for å være sikre på at de forholder seg til EUs reguleringer.
EU har blant annet foreslått å gjøre skanning etter overgrepsmateriale av barn obligatorisk, gjennom at tjenestetilbyderne pålegges å bruke teknologi for å oppspore, rapportere og fjerne overgrepsmateriale fra sine tjenester. Datatilsynet har på sin side uttalt at EUs foreslåtte reguleringer vil være enkle å omgå for kriminelle, blant annet gjennom at overgrepsmateriale krypteres før det sendes eller lastes opp. Datatilsynet har også uttalt at de støtter innsatser for å sikre effektive tiltak mot seksuelle overgrep mot barn på nett, men at den foreslåtte CSAM-forordninger reiser alvorlige utfordringer for personvernet.
Datatilsynet har mange gode poenger her og det å slå “hull i” krypteringsløsninger har en rekke store personvernkonsekvenser.
Dersom EU beslutter å vedta CSAM-forordningen, vil denne tidligst bli vedtatt i 2024.
Les mer om saken her:
KOMMENDE MØTER
| 16. nov 12.00 – 13.00 Digital drop-in |
| 7. des 14.00 – 17.00 Nettverksmøte, Oslo |
| 25. jan 14.00 – 17.00 Nettverksmøte i Oslo |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments