Datatilsynet har kommet med en oversikt over nylig vedtatt regelverk fra EU. Der er AI Act, selvfølgelig. Men også
- Data Governance Act,
- Digital Markets Act,
- NIS 2 direktivet,
- General Product Safety Regulation,
- Digital Services Act,
- Critical Entities Resilience Directive
- Digital Operations Resilience Act (DORA).
Og ny lovgivning som ventes å komme om kort, er
- AI Liability Act,
- Consumer Credit Directive,
- European Health Data Space,
- European Media Freedom Act
og hele ni andre lover.
Fra ECJ fikk vi 32 avgjørelser om personvern i 2023. Et søk på EDPBs sider viser at de har publisert 117 dokumenter i 2023. Man kan bli svimmel av mindre! Heldigvis er ikke alt like viktig.
Uansett kan vi neppe bare forholde oss til GDPR fremover – personvernet sniker seg inn i mange andre lover også. For å finne relevant GDPR-materiale bruker jeg ofte GDPRhub som har en ganske fullstendig oversikt over europeiske avgjørelser, både fra domstoler og datatilsyn. Det er en fin og lett søkbar nettside som NOYB har tatt initiativ til.
Under er et knippe saker fra årsskiftet som har fanget min interesse. Jeg tar noen korte, enkle saker først, og så kommer noen litt mer juridiske ECJ-saker om erstatning for tort og svie til slutt.
I neste nettverksmøte skal vi ha en runde på hvordan det var å ha tilsyn for NAV samt en del om AIB TCF 2.2-rammeverket om cookies. Cookies er veldig i vinden og jeg vet at mange jobber hardt med å trimme tekst på hjemmesidene sine. Happy reading og riktig godt nytt personvernår!
Hilsen Eva
LOJALITETSPROGRAM
Slett kundeopplysninger i lojalitetsprogram
Det finske datatilsynet har kommet med en praktisk avgjørelse om lagringstid innen retail. Det dreier seg om Kesko, landets største retailkjede, og deres lojalitetsprogram.
De lagret kundeopplysninger og salgsopplysninger så lenge kundeforholdet varte. Tilsynet slo fast at koblingen til kundeforholdet kunne medføre lagring i hele kundens levetid og at dette var for lenge. Det ble også fremhevet at kjøpshistorikk kan brukes til å utlede særlige kategorier opplysninger. Kesko skulle også ha sørget for at kundene fikk velge hvor mye data om dem som ble samlet inn om dem.
Kesko slapp bot, men det er all grunn til å tro at lagringstid og sletting får oppmerksomhet fremover.
Saken er omtalt her https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_3831/161/21&mtc=today
SAKER FRA DET DANSKE DATATILSYNET
Hva er tilstrekkelige sikkerhetstiltak?
Når man lurer på hvilke sikkerhetstiltak man må implementere, kan det være nyttig å se til en ny veileder fra det danske datatilsynet. Datatilsynet mottar ukentlig flere anmeldelser om brudd på persondatasikkerheten og mange handler om utilsiktet tilgang eller videreformidling av personopplysninger.
Tilsynet mener at bruddene kunne vært unngått med passende sikkerhetstiltak. Datatilsynet har derfor identifisert 10 typiske brudd og gir råd om relevante sikkerhetstiltak for å redusere risikoen for disse hendelsene.
Veiledningen henvender seg spesielt til ansatte med innflytelse på organisasjonens regler, prosedyrer, opplæring og tekniske konfigurasjoner for å beskytte mot brudd på persondatasikkerheten. Det vil antakelig være ganske nyttig lesning for mange. Med tanke på den oppmerksomhet NAV nylig har fått for sviktende adgangskontroll i Norge, er det interessant å se at første avvik de tar opp er nettopp “adgangsrettigheter etter behov”.
Du finner oversikten her
Mer om hva som er god tilgangskontroll
Det danske Datatilsynet har også gitt ut en veileder for nettopp tilgangsstyring. Tilsynet skriver at styring av brukernes tilganger er en helt grunnleggende del av informasjonssikkerhet, men at mange finner dette vanskelig. Manglende tilgangsstyring øker risikoen for brudd på persondatasikkerheten – alt fra ansattes uautoriserte innsyn og misbruk utført av tidligere ansatte, til målrettede hacker- og ransomware-angrep.
Veiledningen er tilgjengelig her
Vanskelig med samtykke på sykehus
I slutten av november kom det en litt uvanlig sak fra det danske Datatilsynet. Aarhus universitetssykehus publiserte enkelte pasientbilder på Instagram – basert på samtykke. Det høres antakelig helt OK ut for mange.
Men en pasient henvendte seg til datatilsynet og lurte på om dette var lov.
Tilsynet åpnet sak og konkluderte med at samtykke ikke kunne brukes som behandlingsgrunnlag fordi det ikke er likevekt mellom pasienten og sykehuset. Sykehuset er i en maktposisjon, selv om de selvfølgelig ikke vil gi pasienter som ikke samtykker dårligere behandling.
Balanse mellom partene i samtykkesituasjoner er jo viktig og er jo kjent for å være vanskelig i arbeidsforhold. Jeg er kanskje noe overrasket over avgjørelsen, men det vil naturligvis avhenge av i hvilke situasjoner sykehuset ba om tillatelse til publisering.
Du finner beslutningen her
Bruker utviklerne dine JavaScript?
Den 20. januar 2022 mottok det danske Datatilsynet en henvendelse fra en borger angående Digitaliseringsstyrelsens bruk av JavaScript i MitID, den danske digitale ID-en. Vedkommende hevdet at JavaScript er utdatert og ikke sikkert, og at enheter enkelt kan hackes hvis JavaScript er aktivert. Dette har vært tema i sikkerhetsbransjen lenge.
Digitaliseringsstyrelsen forklarte at det var gjennomført risikovurderinger av MitID, herunder av kodekvalitet. De hadde likevel ikke vurdert mulige risikoer for de registrerte ved bruk av JavaScript.
Datatilsynet minnet om at GDPR krever at behandlingsansvarlig må håndtere risikoen for rettighetene og frihetene til datasubjektene før man starter behandlinger. I tillegg minnet Datatilsynet om at i henhold til artikkel 5(1)(f) i GDPR må personopplysninger behandles på en måte som sikrer tilstrekkelig sikkerhet for de berørte personopplysningene. Det påpekte videre at både artikkel 5(2) i GDPR og artikkel 24(1) i GDPR fastslår at en behandlingsansvarlig må kunne påvise overholdelse av GDPR. For at et tilsynsorgan skal kunne vurdere om tilstrekkelig sikkerhetsnivå er sikret, må behandlingsansvarlige dokumentere identifiserte risikoer og de tiltakene som er iverksatt.
Ikke overraskende, konkluderte Datatilsynet med at risikoen for de registrerte skulle ha vært vurdert og at man burde ha gjennomført en separat risikovurdering av JavaScript, siden det er offentlig kjent at programmeringsspråket har svakheter. At dette gjaldt en nasjonal infrastruktur gjorde det verre.
Da Digitaliseringsstyrelsen viste til en eldre vurdering av JavaScript, gjennomført flere år tidligere for “NemID”, var det utilstrekkelig.
Hva kan vi lære av dette? At dokumentasjon selvfølgelig er viktig, selv om det er tidkrevende.
BEHANDLINGSANSVAR
Kreves avtale for felles behandlingsansvar?
I ECJ C-683/21 var spørsmålet om et helseinstitutt som hadde outsourcet utviklingen av en Covid-19-smittesporingsapp til en privat aktør, var behandlingsansvarlig. Instituttet eide ikke appen og behandlet ikke personopplysninger selv. Men ECJ slo fast at når en virksomhet faktisk medvirker til å bestemme formålene og virkemidlene for behandlingen av personopplysninger, anses den som behandlingsansvarlig. I dette aktuelle tilfellet mente domstolen at det var et felles behandlingsansvar. Det var ikke avgjørende at partene ikke hadde inngått noen avtale om slikt felles behandlingsansvar – domstolen gjorde en vurdering basert på faktum.
Antakelig er det flere enn man tror som har felles behandlingsansvar. Jeg tror nok dette gjelder i en del konsern og også i en del utviklingssituasjoner. Det skal ikke mye til – og konsekvensene er jo faktisk ganske store. Det spiller en rolle for ens ansvar om man er behandlingsansvarlig eller om man er databehandler. En meget dyktig engelsk personvernekspert, Christopher Millard, skrev en artikkel om dette allerede i 2019. Tittelen var “At this rate, everyone will be a joint controller of personal data!”
Det er en meget lesverdig artikkel og du finner den her:
https://academic.oup.com/idpl/article/9/4/217/5771498
INNSYN NÅR ALGORITMEN AVGJØR
SCHUFA-sakene – viktig for mer enn bare kredittopplysningsvirksomhet!
SCHUFA er et tysk selskap som driver kredittvirksomhet, de setter score på hvor god økonomi mennesker har. En kunde av en bank fikk avslag på sin lånesøknad som følge av at hennes score fra SCHUFA var for lav. Da hun begjærte innsyn i hvilke opplysninger SCHUFA hadde lagt til grunn om henne, fikk hun innsyn i det, men ikke i algoritmen som regnet ut en score fordi SCHUFA mente det var en forretningshemmelighet.
Her oppstår mange juridiske spørsmål, men blant annet om GDPR om artikkel 22 får anvendelse. Ville SCHUFA anses å ha fattet en beslutning med stor innvirkning på individet slik at de veldig strenge rammene i artikkel 22 må anvendes? Da kan man som kjent bare bruke samtykke, avtale eller lov som hjemmel for behandlingen/scoringen.
ECJ konkluderte i sak C-634/21 med at selv om SCHUFA ikke selv traff beslutningen om å avslå lånesøknaden, spilte scoren en avgjørende rolle i at kunden ikke fikk lån. Dette mente de var tilstrekkelig til at artikkel 22 fikk virkning for SCHUFAs egen aktivitet. I tillegg kunne SCHUFA lettere oppfylle informasjonsforpliktelsene overfor den registrerte enn banken, ettersom banken ikke hadde kunnskap om hvordan de automatiserte prosessene i SCHUFA fungerte.
I Norge har vi en særlov for kredittopplysningsselskap, så for dem har saken antakelig ikke stor betydning. Mange andre europeiske land har ikke dette, og der får denne avgjørelsen større betydning. Men den kan likevel ha virkning for mange andre selskaper i Norge.
En bred tolkning av hva som er en automatisert beslutning i artikkel 22 utvider bestemmelsen. I praksis vil nå alle selskaper som utarbeider og selger analyser som andre virksomheter baserer seg på, måtte ta hensyn til denne dommen. Antakelig vil dette påvirke sektorer som arbeidsliv, helsevesen og forsikring – områder der det ikke er uvanlig at bedrifter bruker algoritmer som beslutningsgrunnlag.
Dommen understreker også viktigheten av at virksomheter gir klar og forståelig informasjon om metodene for databehandling. Her vil også AI Act komme inn med veldig like regler om ganske kort tid.
Det kom ganske samtidig to andre saker om SCHUFA, sakene C-26/22 og C-64/22. De gjaldt lagringstid for kredittopplysninger, men jeg tror ikke disse er så relevante i Norge da vi har særlovgivning på dette.
IKKE-ØKONOMISKE TAP
Erstatning for tort og svie? Det spørs!
Da GDPR kom, var mange usikre på hva omfanget ville bli for erstatninger knyttet til ikke-økonomiske tap. Det vet vi mye mer om nå fordi vi har fått mange saker om dette.
I en ganske ny sak fra en domstol i Köln, slås det fast at det ikke var nok å vise til ubehag, angst og frykt for å kreve erstatning etter GDPR art 82. Saken gjaldt opplysninger som kom på avveie etter et avvik hos Facebook i 2019. Selv om klageren faktisk mistet kontrollen over dataene etter at de ble publisert på darkweb, var ikke dette tilstrekkelig for å utgjøre en relevant skade. Det var ikke nok at klageren viste til en “negativ konsekvens” og abstrakt tap av kontroll, det skulle vært vist til en klar skade.
Domstolen sa samtidig at dette ikke betyr at det er en minimumsterskel for erstatning, men at skaden i det minste må være objektivt fastsatt. På samme måte fastslo retten at klageren ikke klarte å vise hvordan han led skade av spam-e-postene og SMS-ene han mottok etter avviket, eller hvordan han brukte tid og innsats på å håndtere tapet av kontroll over dataene sine.
Her er det nyttig med et tilbakeblikk på CJEU C-300/21 om det østerrikske postvesenet (Österreichische Post), fra 4. mars 2023 som blir vist til i dommen over. Österreichische Post-saken var en av de første sakene om dette. Det østerrikske postvesenet laget antakelser om befolkningens politiske tilknytning basert på sosiodemografiske kriterier. En person klaget. Han hadde ikke samtykket til dette og følte seg krenket. Saksøkeren hevdet at dette forårsaket ham stor opprørthet, tap av tillit og en følelse av eksponering ved at postvesenet lagret informasjon om hans antatte politiske meninger.
Saken endte for flere østerrikske domstoler og gjennomgående avviste de erstatningskravet. I prosessen ba en østerriksk domstol ECJ om å uttale seg om flere forhold og følgende ble slått fast:
For at retten til erstatning skal oppstå, må tre kumulative betingelser være oppfylt:
- Det må ha skjedd et brudd på GDPR,
- det må finnes en materiell eller immateriell skade som følge av denne krenkelsen, og
- det må være årsakssammenheng mellom skaden og krenkelsen.
En ren krenkelse av en GDPR-bestemmelse er ikke nok for å gi rett til erstatning, med mindre klageren viser at han eller hun har lidd skade og at den aktuelle krenkelsen faktisk forårsaket den.
EU-domstolen fastslo likevel at medlemsstatene ikke kan betinge retten til erstatning for immateriell skade av at en terskel for “alvorlighet” først blir oppfylt. Domstolen fastslo at begrepet “skade” skal tolkes bredt og sa også at et annet resultat ville føre til at erstatningskrav kan få ulikt utfall i ulike land, noe som ikke ville være i tråd med GDPR.
Til slutt, påpekte EU-domstolen at GDPR ikke inneholder noen regler for å fastsette beløpet av erstatningen som skal i erstatning. Har kan altså nasjonale domstoler i EU anvende nasjonale regler når de avgjør beløpet for erstatning. Dette betyr at nivået på erstatninger vil variere.
Du finner dommen omtalt her
https://gdprhub.eu/index.php?title=CJEU_-_C-300/21_-_%C3%96sterreichische_Post_AG
Det som ble slått fast i Österreichische Post-saken er på mange måter blitt gullstandarden for hvordan vurderingene skal gjøres. Det skal altså en del til for at en virksomhet får slike erstatningskrav mot seg.
Her må jeg også nevne ECJs nye avgjørelse av 14. desember 2023 (C-340/21) som har flere andre prinsipielle avklaringer.
Etter et cyberangrep mot det bulgarske nasjonale skattevesenet der opplysninger ble lekket, klaget en bruker og krevde erstatning. Vedkommende hevdet å ha lidt ikke-materiell skade; frykt for at personopplysninger kunne bli misbrukt i fremtiden eller at de kunne bli presset, angrepet eller sågar kidnappet.
ECJ tok utgangspunkt i at selv om det var brudd på GDPR, så betød ikke det nødvendigvis at behandlingsansvarlig hadde forsømt å bruke hensiktsmessige tekniske og organisatoriske tiltak. De sa at EU-lovgiverens intensjon var å “redusere” risikoen for brudd på personvern, uten å kreve at risikoen skulle bli helt eliminert. Dette er godt nytt for mange. Tiltakene som er implementert må vurderes konkret.
CJEU fortsatte med at selv om et GDPR-brudd skyldes tredjeparter (hackere), så er ikke den behandlingsansvarlige fri for ansvar. Man må se på om de implementerte tekniske og organisatoriske tiltakene var hensiktsmessige. Og et OBS her – merk at det er den behandlingsansvarlige som må kunne dokumentere at tilstrekkelige tiltak er fattet.
Dernest viste de til ovenfornevnte C-300/21 (postvesenet), og skrev at opplevd frykt og mulig misbruk av personopplysninger hos en enkeltperson kan utgjøre relevant skade. De skrev at det er opp til den nasjonale domstolen å verifisere om frykten for den enkelte kan anses som velbegrunnet. Skal man kjøre en slik sak, bør man kanskje involvere psykologisk ekspertise som kan si noe om reell frykt.
Dommen finner du omtalt her
https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91340/21_-_Natsionalna_agentsia_za_prihodite
KOMMENDE MØTER
| 25. jan 14.00 – 17.00 Nettverksmøte, Oslo |
| 22. feb 12.00 – 13.00 Drop in |
| 14. mars 14.00 – 16.00 Digitalt nettverksmøte |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments