IT-jus nr. 12/23

fredag 1. desember 2023 @ 07:07

Dette nyhetsbrevet er skrevet med assistanse av advokat Jenny Nondal i Schjødt. Riktig god desember! Det tar aldri slutt på personvernnyheter og nå har jeg måttet sortere hardt i hva jeg velger ut. Under er et knippe nyheter jeg synes det er verdt å bruke tid på. a Mange har kanskje lagt merke til at […]
Av Eva Jarbekk

Dette nyhetsbrevet er skrevet med assistanse av advokat Jenny Nondal i Schjødt.

Riktig god desember! Det tar aldri slutt på personvernnyheter og nå har jeg måttet sortere hardt i hva jeg velger ut. Under er et knippe nyheter jeg synes det er verdt å bruke tid på. a

Mange har kanskje lagt merke til at en del mediehus nå endrer sin cookie-praksis – de blir mer detaljerte. Men cookiereglene i Norge har jo ikke endret seg, så hvorfor skjer dette? Det har sin bakgrunn i at mange Consent Management Platforms (CMP’er) for bruk av cookies er internasjonale, og vil ha det samme oppsettet i mange land. Mange av disse er også med i en bransjeforening for annonsører som heter IAB. IAB har en egen code of conduct som heter TCF (Transparency and Consent Framework) og denne er nylig oppdatert til TCF 2.2.

Årsaken til endringen er en lang historie som vi ikke tar her, men et datatilsyn mente at samtykkene de brukte tidligere ikke var gode nok, så nå har TCF 2.2 blitt veldig tydelig på hva som er OK og ikke. TCF 2.2 trådte i kraft 20 november i år og det har gitt ganske store ringvirkninger, særlig ved at det nå legges ganske klare samtykker til grunn for bruk av cookies. TCF 2.2 har dessuten detaljerte beskrivelser av hva man kan bruke samtykker til og hva man kan bruke berettiget interesse til. Dette er klargjørende, fordi de har spesifisert svært mange ulike behandlinger. Superviktig for alle som driver med annonsering.

Ønsker dere en fredfull jul og håper dere får noen rolige dager – uten avvik.

Hilsen Eva,

i samarbeid med Jenny Nondal


COOKIES

EDPB med nye retningslinjer for cookies o.l.

15. november lanserte EDPB nye retningslinjer knyttet til Artikkel 5(3) i EUs ePrivacy Directive. Bestemmelsen handler om lagring på brukerens utstyr eller tilgang til informasjon på utstyret. Cookies, altså. Men det gjelder også pixler, beacons og annen teknologi som henter og sender informasjon fra brukerens enhet. Som dere vet kreves samtykke for å gjøre dette. Noen har tidligere sagt at pixler er noe annet enn cookies og at ePrivacy-direktivet ikke gjelder, men det blir ikke så lett å hevde fremover.

Poenget for EDPB er å se om nye sporingsteknologier også rammes av direktivet. Spoiler alarm: ja, det gjør de. Ofte.

Retningslinjene gir en grundig analyse av de fire mest sentrale elementene i anvendelsen av artikkel 5(3), (i) ‘information’, (ii) ‘terminal equipment of a subscriber or user’, (iii) ‘electronic communications network’, og (iv) ‘gaining of access’ og ‘stored information’ / ‘storage’, samt eksempler på når EDPB mener artikkel 5(3) kommer til anvendelse.

Under har vi oppsummert hovedpunktene. Flere av eksemplene er etablerte tolkninger av artikkel 5(3). Derimot er anvendelsen av artikkel 5(3) på innsamling av identifikatorer fra sporede URL-er, som distribuert over et offentlig kommunikasjonsnettverk, en bredere tolkning av artikkel 5(3) enn det som tidligere har vært godt etablert.

URL- og pikselsporing

  • Innsamling av identifikatorer fra sporing av piksler og sporede URL-er anses som «gaining of access» slik at artikkel 5(3) kommer til anvendelse.

Lokal behandling

  • Teknologier som innebærer lokal behandling instruert av programvare distribuert på brukernes terminal, slik at behandlet informasjon blir tilgjengelig for utvalgte aktører gjennom klientens API og senders tilbake over nettverket, utgjør «gaining of access» slik at artikkel 5(3) kommer til anvendelse.
  • Det faktum at informasjonen produseres lokalt er uten betydning for anvendelse av artikkel 5(3).

Sporing utelukkende basert på IP

  • Artikkel 5(3) gjelder også for reklameløsninger som kun samler inn IP-adressen for brukersporing over domener, selv om instruksjonen er gitt av en annen enhet enn den som mottar den, så lenge informasjonen stammer fra brukerens terminalutstyr.

Kortvarig («intermittent») lagring og IoT-rapportering

  • Artikkel 5(3) gjelder for IoT-enheter tilknyttet et offentlig kommunikasjonsnettverk hvis enheten er instruert til å sende dynamisk lagrede data til en fjernserver, da en slik instruksjon utgjør «gaining of access», selv om informasjonen streames eller lagres bare for kortvarig rapportering.
  • Hvis en IoT-enhet er tilkoblet via en reléenhet, kan overføring til reléenheten falle utenfor artikkel 5(3) ePD, men artikkel 5(3) gjelder hvis informasjonen som mottas av reléenheten er instruert til å sende til en fjernserver.

Unik identifikator

  • Artikkel 5(3) gjelder for innsamling av unike identifikatorer på nettsteder eller applikasjoner som er avledet fra vedvarende personopplysninger og hashet på brukerens enhet, da det innebærer å instruere nettleseren til å sende informasjon og utgjør «gaining of access».

Du finner guidelinen her:

https://edpb.europa.eu/news/news/2023/edpb-provides-clarity-tracking-techniques-covered-eprivacy-directive_en


KUNSTIG INTELLIGENS

AI Act nærmer seg – kanskje

Det pågår betydelig aktivitet knyttet til den kommende AI Act i EU. Forslaget er som kjent i siste fase av lovgivningsprosessen, men forhandlingene står akkurat nå i stampe grunnet uenigheter rundt reguleringen av såkalte «foundation models» innen kunstig intelligens. ChatGPT er en typisk foundation model som bygger på en stor mengde data.

Flere EU-land, inkludert Frankrike, Tyskland og Italia, motsetter seg regulering av disse modellene i AI Act og foreslår heller retningslinjer for adferd uten sanksjonsordninger. Dette skaper spenninger, da andre ønsker mer bindende regulering for å sikre tryggere bruk av avansert AI.

Uenigheten knytter seg spesielt til den såkalte trappetrinnsmodellen, hvor de kraftigste AI-modellene skulle underlegges strenge regler. Motstanderne av trappetrinnsmodellen ønsker heller selvregulering. Dette har skapt en viss stagnasjon i forhandlingene.

Merk også at Frankrike, Tyskland og Italia visstnok har inngått en avtale om regulering av foundation models der selvregulering står sentralt.

Det er ikke uvanlig at slike uenigheter kommer frem mellom medlemslandene og jeg tror at AI Act kommer til å bli vedtatt, men kanskje med noen endringer. Kanskje legger de mer av regelverket ut i vedlegg der det er lettere å gjøre endringer hvis det blir behov for det fremover enn i en forordningstekst.

Les mer om dette i disse lenkene.

https://www.euractiv.com/section/artificial-intelligence/news/eu-policymakers-enter-the-last-mile-for-artificial-intelligence-rulebook

https://www.euractiv.com/section/artificial-intelligence/news/eus-ai-act-negotiations-hit-the-brakes-over-foundation-models/

https://www.euractiv.com/section/artificial-intelligence/news/france-germany-italy-push-for-mandatory-self-regulation-for-foundation-models-in-eus-ai-law/

https://www.reuters.com/technology/germany-france-italy-reach-agreement-future-ai-regulation-2023-11-18/

Italia har fokus på trening av AI på åpne data

Italienske myndigheter har satt i gang en undersøkelse for å se om nettsider tar nok grep for å hindre at AI-plattformer samler inn store mengder personopplysninger gjennom dataskraping. Det italienske tilsynet har et spesielt fokus på AI. Avhengig av hva de finner, sier tilsynet at det kan komme til å fatte haste-tiltak. Hastetiltak begynner å bli vanlig i personvern-verdenen. Men det blir spennende å se om de finner forhold de mener er kritikkverdige.

Saken er omtalt her:

https://www.reuters.com/world/europe/italys-privacy-regulator-looks-into-online-data-gathering-train-ai-2023-11-22/


GRUPPESØKSMÅL

Google og Amazon i hardt vær i Nederland

To forbrukerorganisasjoner i Nederland, Consumentenbond og Privacy Protection Foundation, har gått til gruppesøksmål mot Google for brudd på personvernet. De hevder at Google utfører konstant overvåkning og deling av personlige data gjennom nettannonsering. 82 000 forbrukere har sluttet seg til søksmålet.

En annen gruppe, Stichting Data Bescherming Nederland (SDBN), har saksøkt Amazon for sporing av nettsidebesøkendes aktivitet uten deres tillatelse. Søksmålet representerer rundt fem millioner Amazon-kontoer i Nederland.

Disse søksmålene er del av en økende trend der forbrukergrupper søker erstatning for påståtte brudd på personvern fra store selskaper som Amazon og Twitter. Tidligere har Facebook blitt funnet skyldig i ulovlig bruk av personopplysninger i Nederland.

Den europeiske lovgivningen og rettsavgjørelser i Nederland har bidratt til å skape et press på selskapene for å endre praksis og respektere personvernreglene. Gruppesøksmålene har som mål å oppnå erstatning for berørte forbrukere og tvinge selskapene til å endre sine praksiser slik at personvernreglene faktisk overholdes.

Her kan nevnes at selskap som driver med såkalt «søksmålsfinansiering» aktivt vurderer om krav etter GDPR er noe man skal satse på. Det innebærer at de følger med på store selskaper hvor det blir konstatert brudd som rammer mange brukere – og deretter vurderer å finansiere et søksmål mot en andel av eventuell gevinst. Jeg har alltid syntes at dette er en uvanlig forretningsmodell, men hører at en del mener at dette faktisk er god investeringsstrategi.

Ovennevnte gruppesøksmål er omtalt her:

https://iapp.org/news/a/netherlands-consumer-advocates-file-privacy-class-action-against-google/

https://www.livemint.com/technology/dutch-consumer-group-sues-amazon-over-data-tracking-11697651856735.html

https://www.techradar.com/news/facebook-misused-dutch-data-court-finds


DATA ACT

Ny EU-lovgivning for datadeling

EU har nettopp vedtatt Data Act, en lov som gjør det enklere å kreve å få tilgang til data som genereres av oppkoblede produkter. Denne loven åpner for at flere kan få tilgang til og dele slik informasjon og det forventes økt verdiskaping. Produkter og tjenester skal designes slik at andre kan få enkel tilgang til informasjonen.

Loven vil endre måten bedrifter og forbrukere bruker og deler data på, og forventes å gi mulighet for mer nyskapning og forbedre tilgangen til nyttig informasjon. Data Act setter standarder for hvordan data deles og brukes. Dette er ikke nødvendigvis personopplysninger, men for eksempel informasjon om hvordan vaskemaskinen din «snakker med» leverandørens skytjeneste. Hvis man har tilgang til den informasjonen, blir det antakelig lettere å finne alternative reparatører dersom maskinen går i stykker.

Dersom du jobber i et selskap som har oppkoblede tjenester eller produkter ut mot kundene, er dette er regelverk du må sette deg inn i.

Loven sørger blant annet for:

  • i) Rettferdig deling av data: Regler som sikrer at data deles på en måte som er rettferdig for alle parter. Ingen får en urettferdig fordel av informasjonsdelingen
  • ii) Støtte til små og mellomstore bedrifter: Den hjelper mindre bedrifter ved å gi dem enklere tilgang til viktig data.
  • iii) Forbud mot hindringer for skyleverandørbytte: Loven sier at bedrifter ikke kan sette opp unødvendige hindringer som gjør det vanskelig for andre bedrifter å bytte til en annen skyleverandør. Dette betyr at bedrifter enkelt kan endre hvem de bruker for skytjenester, om det er nødvendig

Det står mer om Data Act her:

https://iapp.org/news/a/a-view-from-brussels-eu-formally-adopts-data-act/


DIGITAL MARKETS ACT

Flere selskaper kjemper for å unngå «gatekeeper»-status

Under den nye loven Digital Markets Act (DMA), som trår i kraft våren 2024,  har EU klassifisert teknologigiganter som Google, Amazon, Apple, TikTok (ByteDance), Meta og Microsoft som såkalte «gatekeepere» fordi de har så stor innflytelse over markedet. Målet med DMA er å jevne ut konkurransen for mindre bedrifter mot disse bransjegigantene. Ikke overraskende er disse selskapene ikke særlig begeistret for dette. Meta, Apple og TikTok har alle tatt rettslige skritt ved å anke sin «gatekeeper»-status til den europeiske domstolen.

Apple utfordrer sin status som «gatekeeper» for App Store, iOS-operativsystemet og Safari-nettleseren. Meta aksepterer «gatekeeper»-statusen for Facebook, Instagram og WhatsApp, men bestrider statusen til Messenger og Marketplace ved å argumentere for at disse er en del av Facebook og ikke separate tjenester. TikTok mener de ikke bør klassifiseres som «gatekeeper» fordi de er nye på markedet og sliter med å konkurrere mot etablerte selskaper som Meta og Google. De påpeker også at de ikke oppfyller lovens krav om årlig omsetning på 75 milliarder euro.


DATAMINIMERING OG LAGRING

Irsk DPC presiserer hva som er nødvendig for å sikre visshet om et individs identitet

AirBnb ble irettesatt av DPC for brudd på prinsippene om dataminimering og lagringsbegrensing. AirBnb ba en kunde om ID-dokumenter og et nytt bilde for å bekrefte identiteten ved booking. Kunden mente dette var å kreve for mye og klagde til datatilsynet i Berlin, som videresendte saken til DPC.

DPC la til grunn at det ikke var lovhjemmel for å kreve ID på denne måten ettersom det fantes andre, mindre inngripende metoder å bekrefte identiteten til brukeren på. DPC påpekte dessuten at AirBnb beholdt ID-kopiene for lenge, selv etter at identiteten var bekreftet.

DPC har ilagt AirBnb reprimander hele fem ganger det siste året for brudd på personvernbestemmelser. Til tross for at DPC anser bruddene som alvorlige, har de valgt å gi reprimande i stedet for bøter. Dette kan skyldes DPCs ønske om å prioritere oppfølging, korrigering og veiledning fremfor strengere sanksjoner, spesielt hvis AirBnb viser vilje til å forbedre seg og etterkomme kravene etter tidligere reaksjoner. AirBnb skal kanskje være glade for at det norske datatilsynet ikke har fokusert på dem.

Se mer om dette her:

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_28_September_2023&mtc=today


SVERIGE

IMY bøtelegger selskap som sendte personopplysninger feil

Svenske IMY har gitt en bot på 500 000 kroner til et selskap som ved en feil sendte en e-post til en stor gruppe kunder. Denne e-posten inneholdt en fil med tusenvis av andre kunders økonomiske data.

IMY gransket saken og fant ut at selskapet ved et uhell la ved en Excel-fil med personopplysninger istedenfor en PDF-rapport om fondenes utvikling. Den feilsendte filen inkluderte kundenes navn, personnummer, bankinformasjon, e-postadresser, individuelle fondvalg og de siste verdiene av kundenes fondinvesteringer. Heldigvis inneholdt ikke filen informasjon som kontonumre eller påloggingsdetaljer. Den omfattet personopplysninger om over 52 000 kunder.

IMY konkluderte med at selskapet hadde behandlet personopplysninger i strid med personvernforordningen ved å ikke sikre tilstrekkelig beskyttelse av dataene. Derfor har IMY ilagt selskapet en bot på 500 000 kroner for bruddet på

personvernlovgivningen. IMY peker på at slike overtredelser ofte skyldes menneskelige feil og understreker viktigheten av å ha på plass tekniske og organisatoriske sikkerhetstiltak for å redusere risikoen for slike hendelser. Dette er jo ikke nytt, men det er nok et eksempel på at man bør oppfordre til aktsomhet.

Saken er omtalt her:

https://www.imy.se/nyheter/sanktionsavgift-mot-bolag-som-skickat-kunduppgifter-fel/


DANMARK

Datatilsynet har vært aktive – to viktige nye saker

Digitaliseringsstyrelsen behandler for mange personopplysninger i sin administrasjon av det digitale kjørekortet.

Digitaliseringsstyrelsen har fått kritikk fra Datatilsynet for å behandle for mange personopplysninger i administrasjonen av det digitale kjørekortet. De lagrer informasjon om alle borgere med gyldig dansk førerkort, totalt nær 4 millioner personer, selv om kun ca. 1,7 millioner har den digitale førerkortappen.

Datatilsynet fant (ikke overraskende) at behandlingen av personopplysninger om over 2 millioner borgere som ikke har sluttet seg til den digitale førerkortordningen, var i strid med prinsippet om dataminimering, som krever at man bare behandler nødvendige opplysninger. Datatilsynet understreker viktigheten av å unngå unødvendig opphopning av personopplysninger og fastslår at Digitaliseringsstyrelsen fremover kun kan behandle opplysninger om de som faktisk har valgt den digitale løsningen.

Selv om Digitaliseringsstyrelsen har argumentert for begrensninger i det eksisterende systemet som årsak til lagringen av alle opplysningene, mener Datatilsynet at dette ikke kan forsvare behandlingen av unødvendige opplysninger om over 2 millioner borgere.

———

Kommunens hjemmel til AI-løsning til identifikasjon av borgere med behov for vedlikeholdene trening og rehabiliterende innsats.

Datatilsynet har evaluert Københavns Kommunes hjemmel til å utvikle og drifte en AI-løsning for å identifisere borgere med behov for vedlikeholdstrening og rehabiliterende tiltak. Kommunen ønsker å bruke AI til å støtte saksbehandlere ved å identifisere borgere med slike behov basert på historiske data.

Datatilsynet mener at generell utvikling, drift og trening av en slik AI-løsning er i tråd med personvernforordningen, men understreker behovet for et supplerende nasjonalt rettslig grunnlag. Kravene til dette grunnlaget vil variere avhengig av om det knytter seg til utvikling, trening eller drift av AI-løsningen.

Behandling av personopplysninger til utvikling og trening av en AI-løsning, vil enklere være i tråd med lovens rammer sammenlignet med driften av en slik løsning, skriver de. I driftsfasen stilles det krav til tydeligere lovhjemmel på grunn av den store mengden sensitive opplysninger som AI-løsninger behandler.

Jeg har tatt med denne saken fordi det er viktig å se at utvikling, trening og drift av et system er ulike behandlinger – og at de ikke alltid kan hjemles i samme bestemmelse.

Sakene er omtalt her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/digitaliseringsstyrelsen-behandler-for-mange-personoplysninger-i-sin-administration-af-det-digitale-koerekort

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/kommunes-hjemmel-til-ai-loesning-til-identifikation-af-borgere-med-behov-for-vedligeholdende-traening-og-rehabiliterende-indsats


YOU TUBE

Er det lovlig å blocke ad-blockere?

YouTube har jobbet hardt med å utvikle teknologi som oppdager annonseblokkere. Nå kan de finne ut om annonseblokkere er skrudd på, og hvis det er tilfellet, spilles ikke videoene av. I stedet får man beskjed om å enten godta annonsene eller abonnere på YouTube Premium.

Personvernforkjempere reagerer på YouTubes identifiseringsverktøy av

annonseblokkene, og mener disse er i strid med reglene i ePrivacy-direktivet, spesielt Artikkel 5.3. Bestemmelsen krever som kjent at nettsteder ber om samtykke før de lagrer eller får tilgang til informasjon på en brukers enhet. YouTube på sin side argumenterer med at annonseblokkere bryter med plattformens vilkår og hindrer skapere i å tjene inntekter fra annonsene. Av den grunn mener selskapet at det er nødvendig med et verktøy som kan identifisere og stoppe annonseblokkere.

Saken håndteres nå som en klagesak ved det irske datatilsynet, DPC, og er omtalt her:

https://www.theverge.com/2023/11/7/23950513/youtube-ad-blocker-crackdown-privacy-advocates-eu


NONE OF YOUR BUSINESS

NOYB klager inn EU-kommisjonen

NOYB har klaget inn EU-kommisjonen til EDPS for å bruke ulovlige metoder på Twitter for å fremme en omstridt lov om chat-kontroll (chat control regulation). De mener at å målrette informasjon mot brukere på twitter brøt med personvernreglene etter GDPR og de etablerte demokratiske prosedyrene mellom EU-institusjonene.

Den foreslåtte chat-kontrollloven i EU har fått stor kritikk fra mange hold, inkludert industri, samfunn og medlemsland, som frykter at den vil åpne døren for omfattende overvåkning av online kommunikasjon.

NOYB reagerte spesielt på Kommisjonens bruk av målrettet annonsering basert på politiske og religiøse synspunkter, noe som åpenbart brøt med personvernreglene. Det var også bemerkelsesverdig at Kommisjonen tidligere hadde advart mot nettopp denne typen annonsering, og omtalt det som en alvorlig trussel mot en rettferdig og demokratisk valgprosess. NOYB har også bedt om at EDPS ilegger bøter i saken.

Dette er en ganske uvanlig sak og skal bli spennende å følge. Hvis EDPS ilegger bøter, tror jeg det er første gangen det skjer.

Saken er omtalt her:

https://noyb.eu/en/noyb-files-complaint-against-eu-commission-over-targeted-chat-control-ads


CANADA

Personvern i USA er annerledes enn i Europa, men det er ganske annerledes i Canada også

I Canada vurderer politiet å ta i bruk teknologi som gir dem tilgang til hjemmeovervåkingskameraer, en praksis som allerede er i bruk i flere amerikanske byer. Systemet, kjent som Fusus, tillater politiet å overvåke direktesendte videoer fra privat eide kameraer hos folk og bedrifter ved mulige nødsituasjoner og potensielle kriminelle handlinger. De mener at Fusus bidrar til å løse forbrytelser raskere og gir politiet informasjon på forhånd om potensielle nødsituasjoner.

Fusus gir politiet direkte tilgang til private overvåkingskameraer, noe som bekymrer personvernforskere på grunn av mulig overvåkning uten rettslig godkjennelse. Tilgangen skal være basert på avtale med de som har de private kameraene.

At Canada i det hele tatt vurderer å implementere denne typen teknologi viser at personvernet der skiller seg en del fra det vi ser i Europa, og var faktisk litt overraskende å lese. Stort sett har jo Canada en personvernlovgivning og et personvernsyn som ligger ganske nære det europeiske.

Saken finner du her:

https://www.cbc.ca/news/canada/hamilton/police-private-security-cameras-fusus-canada-1.7001675


RETNINGSLINJER

GDPR skal evalueres

EU-landene ønsker å evaluere GDPR fem år etter implementeringen. De ser på utfordringer knyttet til implementeringen, spesielt for små bedrifter og offentlige organer. Loven har styrket tillit og rettslig sikkerhet rundt personvern, men medlemslandene etterlyser likevel ytterligere veiledning og retningslinjer. I evalueringen skal det bl.a. tas stilling til bruken av persondata i forskning og behovet for klarere retningslinjer for databehandling av mindreårige. Rådet ber også om forbedringer i håndhevingen av loven og ønsker større klarhet i internasjonale dataoverføringer. Samlet sett anses GDPR som en suksess, og det er lite som tyder på at det vi har noen drastiske endringer i vente.

Mer om dette her:

https://www.euractiv.com/section/data-privacy/news/eu-countries-call-for-overarching-and-comprehensive-evaluation-of-data-protection-law/


NORSKE DATATILSYNET

Personvernnemnda fastslår at Datatilsynet må vurdere personvernspørsmål

Saken gjaldt en klage fra en person, A, angående Datatilsynets avgjørelse om å avslutte en sak uten å vurdere om personopplysningsloven ble brutt. A mente at personvernet hans ble krenket av bostyreren i selskapet X AS, etter at det ble åpnet konkurs i selskapet. Bostyrer hadde sendt ut rapporter til flere mottakere, der det ble fremmet påstander om at A var involvert i ulovlige aktiviteter. Dette resulterte i skade på As omdømme og rykte, noe som ifølge A var et klart brudd på hans rett til personvern og utilbørlig behandling av hans personopplysninger. Datatilsynet avsluttet saken uten å gå inn i detaljer eller konkludere om eventuelle brudd på personopplysningsloven.

Datatilsynet begrunnet avgjørelsen med at konkursboet var slettet, og at det var dermed ikke behov for å fortsette undersøkelsene. Personvernnemnda vurderte saken og fant at Datatilsynet ikke kunne avslutte saken uten å vurdere om personopplysningene ble ulovlig behandlet. Nemnda mente at tilsynet måtte gjøre en grundigere vurdering av om behandlingen av As personopplysninger var lovlig eller ikke etter personvernforordningen. Derfor ble Datatilsynets avgjørelse opphevet, og saken ble sendt tilbake for en ny vurdering.

Saken er praktisk sett viktig fordi Datatilsynet har en stor strøm av saker og trenger å prioritere – samtidig er det grunnleggende at den sier at Datatilsynet ikke kan la være å vurdere personvernspørsmål.

Saken finner du her:

https://personvernnemnda.no/pvn-2023-14


BINDING DECISION

Til slutt: Noen prøver å slå hull i  GDPR

TikTok har utfordret deler av GDPR gjennom en sak for EU-domstolen. I saken er det uenighet mellom irske og tyske datatilsyn angående TikToks brudd på GDPR-reglene og tolkningen av reglene.  Uenigheten har vært forelagt EDPB som har fattet en såkalt «Binding decision» som binder det irske datatilsynet. TikTok har tatt et uvanlig grep, og argumenterer for at hele prosessen med å pålegge «Binding Decisions» bryter med EU-lovgivningen. Det er jo litt artig – å hevde at GDPR bryter med EU-regler.

Tidligere har lignende saker blitt avvist av EU-domstolen. For eksempel prøvde WhatsApp seg på en tilsvarende argumentasjon som TikTok, men de ble avvist med begrunnelsen om at «Binding Decisions» ble pålagt Irland, og ikke selve selskapet. TikTok tar argumentene ett skritt videre ved å utfordre selve GDPR-loven. De påpeker at prosessen med disse bindende beslutningene kan stride imot EU-loven, spesielt rettighetene knyttet til rettferdig rettergang og retten til å anke. (Selskapet har ikke klagerett på vedtakene fra EDPB.)

Dersom TikTok vinner saken, kan det ha store implikasjoner for hvordan EU-lovgivningen for personvern blir håndhevet, spesielt for selskaper som opererer fra Irland og ønsker å unngå strenge straffer fra andre europeiske land. På den annen side er det neppe sannsynlig at de vinner frem.

Dersom TikTok vinner saken, får «One Stop Shop» et stort skudd for baugen. Men det er ikke sikkert at dette gavner selskapene for det vil bety at tilsynsmyndighetene i alle medlemsstatene kan starte sine egne etterforskninger og håndheve regelbrudd på egenhånd. Dette vil gjøre håndhevingen av regelverket svært kostbar og komplisert. Alt i alt må det være å foretrekke at regelbrudd kun behandles av én tilsynsmyndighet.

Disse aspektene er omtalt her


KOMMENDE MØTER

7. des14.00 – 17.00
  Nettverksmøte, Oslo
25. jan14.00 – 17.00
Nettverksmøte i Oslo
22. feb12.00 – 13.00
  Drop In

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

Våre ukebrev

Her kan du melde deg på et eller flere av våre ukebrev. Du kan melde deg av eller endre hva du mottar via lenker i epostene.

"*" obligatorisk felt

Navn*

Litt klokere

Ukentlige nettmøter hvor vi gjør hverandre litt klokere. Du må være logget inn som medlem for å melde deg på.

PrivacyTech

Som medlem i PrivacyTech-nettverket blir du en del av en gruppe likesinnede profesjonelle som er opptatt av GDPR, personvern, compliance og tech. Med Eva Jarbekk – en av Norges fremste eksperter på området – som fasilitator.

Partners in tilt

Vårt nettverk av «kloke hoder» (team tilt) med en bærekraftsagenda.

Del dine tanker om denne artikkelen

0 Comments

Submit a Comment

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

På forsiden nå

Du skal få din lønn i vaffeljernet

Du skal få din lønn i vaffeljernet

|
Den ultimate lederutfordringen: Det eneste du kan tilby av motivasjon er vafler. Tusenvis står i det hver dag.
Kvinne holde en presentasjon foran et publikum.

Kunsten å skape engasjement i møter og på kurs

|
VIVA er en huskeregel for den som vil skape engasjerende kurs som huskes.
Utsikten fra elfenbenstårnet

Utsikten fra elfenbenstårnet

|
Å se det store bildet er bra, men hvis det er det eneste vi ser, mister vi kontakten med virkeligheten.
Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

Nøkkelen til vekst: Lærdommer fra åkeren til kontoret

|
Visdommen jeg arvet fra min kjære bestefar, en visdom som strekker seg langt utover åkrene og inn i livets mange aspekter, er en uvurderlig guide i forståelsen av likhetene mellom lederskap og bondekunnskap.
Norge under lupen, Datatilsynets tilsyn med kommuner ang personvern

Læringspunkter fra Datatilsynets tilsyn med kommuner

|
Datatilsynets rapport etter tilsyn med flere kommuner i Norge, gir oss nyttig læring.
Vektorgrafikk med to personer foran en tavle som viser elementer for god GDPR. Illustrerer viktigheten av å bygge en god personvernkultur.

12 bud for å bygge en robust personvernkultur

|
GDPR og IT-sikkerhet er ikke et engangsoppsett. Det krever konstant fokus og kontinuerlig oppdatering. Her er 12 gode råd for å bygge en varig personvernkultur.
Toppliste med pallplassene 1, 2 og 3.

Disse artiklene ble mest lest i 2023

|
Er artikkel om bærekraftig IT og grønn koding ble den mest leste artikkelen i 2023.
Lederskap bor i oss alle

Lederskap bor i oss alle

|
Jeg ønsker at vi reflekterer mer over hva lederskap egentlig er og hvilket mangfold av lederskap vi ønsker.
Kvinne med avsjekkshefte. Gode rutiner er personvern i praksis.

Personvern og IT-sikkerhet: Slik oppfyller du GDPR-kravene

|
Personvern er småskrittsforbedringer og sunn fornuft satt i system, forankret i lovverket. Det er ledelsens ansvar, men alles oppgave!

Pin It on Pinterest

Share This

Del dette

Delt glede er dobbelt glede. Del dette med ditt nettverk.