Siden sist har jeg vært i retten med en svært prinsipiell sak – Grindr-saken. Saken handler dels om hvordan man innhenter samtykker, men også om det er en særlig kategori personopplysning at noen har en bruker på Grindr-appen. Det siste er nok det mest interessante.
Grindr-appen har ca 20 ulike kategorier av seksuelle orienteringer og dersom en bruker velger en av dem, deles ikke dette med andre. Det er svært uklart begrunnet i vedtaket fra Personvernnemnda om hvorfor og hvordan det at man har en bruker på Grindr, er sensitivt slik det er definert i GDPR. Jeg skal ikke ta argumentene her, men dersom dommen fastholder at dette er en særlig kategori opplysning, vil det ha stor betydning. Ikke bare for Grindr, men for mange andre virksomheter som retter seg mot minoriteter. Det vil bli vanskeligere å drive virksomhet rettet mot minoriteter – både for at all aktivitet må baseres på samtykke og for at kravene til sikkerhet gjør alt dyrere.
Saken viser noe som blir stadig tydeligere – nemlig at personvern påvirker forretningsmodeller og det griper inn i hvordan virksomheter kan konkurrere. Jeg tror vi får flere rettssaker fremover. Sakene er blitt for viktige til at man kan la et forvaltningsvedtak stå uprøvd. Noe av det som vil bli prøvd fremover, er hvor mye vekt man kan legge på retningslinjer fra EDPB når tilblivelsen av disse ikke har samme omfattende forberedelse som vanlige lover.
I øvrig er det selvsagt mye som skjer. Fokuset på etterlevelse (compliance) hos de store dataleverandørene er økende, se eksempelvis saken om Microsoft nedenfor. Cookies og markedsføring må vi ha stadig mer oppmerksomhet på. Felles behandlingsansvar er i vinden – og merk dere at det også gjelder for avvik.
Hilsen Eva
COMPLIANCE
En prinsipielt viktig sak – er Microsoft compliant?
Flere vil huske at det nederlandske datatilsynet har gjort undersøkelser har undersøkt hvorvidt Microsofts tjenester er i overensstemmelse med GDPR. Flere vil også huske at EDPS har gjort tilsvarende undersøkelser for de MS-tjenester som brukes i kommisjonen. Større deler av disse undersøkelsene er gjort offentlig tilgjengelige. Noen av hovedfunnene er at europeiske myndigheter mener Microsoft tar på seg en for stor rolle i behandlingen av en del av de brukeropplysningene som genereres under bruk, ofte referert til som metadata.
EDPS skriver følgende i sin nye pressemelding:
The EDPS has found that the Commission has infringed several provisions of Regulation (EU) 2018/1725, the EU’s data protection law for EU institutions, bodies, offices and agencies (EUIs), including those on transfers of personal data outside the EU/European Economic Area (EEA). In particular, the Commission has failed to provide appropriate safeguards to ensure that personal data transferred outside the EU/EEA are afforded an essentially equivalent level of protection as guaranteed in the EU/EEA. Furthermore, in its contract with Microsoft, the Commission did not sufficiently specify what types of personal data are to be collected and for which explicit and specified purposes when using Microsoft 365. The Commission’s infringements as data controller also relate to data processing, including transfers of personal data, carried out on its behalf.
Dette er store ord. Men vi har jo hørt lignende fra myndigheter i mange år uten at det egentlig har skjedd store endringer. Det kan se ut som om dette endres nå. EDPS pålegger kommisjonen å rette disse forholdene innen 9. desember 2024, hvis ikke må kommisjonen “suspend all data flows resulting from its use of Microsoft 365 to Microsoft [..]”.
Det er vel grunn til å tro at Microsoft ønsker å beholde kommisjonen som kunde – og det er mulig å tro at dersom kommisjonen får til endringer, så kanskje de vil gjelde for flere. Det er i alle fall all grunn til å følge med på dette fremover.
Pressemeldingen fra EDPS kom en stund før påske og er tilgjengelig her:
Her må man også se til hva det danske Datatilsynet gjør. I kjølvannet av den såkalte Chromebook-saken (overføring av personopplysninger til USA via Google), har de fått spørsmål fra Region Syddanmark om deres planlagte migrering til Microsoft 365. Det er neppe overraskende at tilsynet ser store fellestrekk mellom sakene. På et overordnet nivå må det være lov å si at det ofte brukes store ord fra tilsynsmyndighetene i disse sakene, men at det så langt er relativt sjelden at de strenge lovtolkningene håndheves.
Se uttalelse fra det danske tilsynet her
BØTER
Pass på hvilke data kundene dine kan se
CaixaBank fikk 5 millioner euro i bot som følge av et brudd på personvernregler i forbindelse med at en bankkunde kunne se overføringer gjort av en annen kunde. Boten er bestridt og CaixaBank har signalisert at de vil utfordre sanksjonen. Banken mener boten er uproporsjonal fordi det var en eksepsjonell omstendighet.
Etter hva jeg har funnet, omhandlet bruddet kun ett enkelt tilfelle der en kunde kunne se en annen kundes data knyttet til en overføring av penger. Vedkommende kunne se avsender og mottaker samt noe mer data knyttet til overføringen. Da er det mulig å forstå at banken mener sanksjonen er stor.
Saken er pt ikke offentliggjort på engelsk, men er omtalt her:
https://www.dataguidance.com/news/spain-aepd-fines-caixabank-5m-inadequate-security
Meld avvik i tide – og samarbeid med tilsynet
Den 24. april 2023 meldte et selskap avvik til det østerrikske datatilsynet. Den 6. mars var de utsatt for et ransomware-angrep og data ble kryptert. Det var uklart om data var stjålet, men lønnsinformasjon om 55 ansatte ble berørt. Det ble iverksatt tiltak for å avhjelpe datainnbruddet, inkludert å koble hele nettverket fra internett, reinstallere og sikre systemer, samt sikkert slette krypterte harddisker.
Tilsynet startet undersøkelser, men fikk mangelfull respons fra virksomheten. Dels svarte de ikke, dels gjentok de bare den første avviksmeldingen. Dette endte med at de fikk 5 900 euro i bot. Jeg tror egentlig ikke at mange norske virksomheter ville oppført seg slik, men det er et økt fokus på å melde avvik i tide og på å samarbeide med tilsynet.
Les om saken her:
https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2023-0.603.142&mtc=today
Nettbutikker og kundedata
Det finske datatilsynet har kommet med sin hittil største bot. Verkkokaupa, som er en stor nettbutikk, fikk 856 000 euro i bot i mars, tett på ti millioner kroner. Årsaken var blant annet at de ikke hadde fastsatt lagringstid for kundedataene. De mente at det var nødvendig å beholde dataene lenge fordi en del av varene hadde lang bruksverdi og at det var nyttig å beholde opplysningene dersom kunden ville klage. Delvis argumenterte de med at det var parallellitet mellom kundeforholdets varighet og lagringstiden. Dels hevdet de at de slettet data knyttet til kunder som var inaktive – og definerte dette som kunder som ikke hadde vært innlogget på 6 år.
Ingen av disse argumentene ble hørt. Tilsynet er klare på at det må fastsettes oppbevaringstider. Dessuten hadde selskapet gjort det obligatorisk å opprette en kundekonto for å handle hos dem. Tilsynet mente, ikke overraskende, at det ikke er nødvendig å opprette en konto for å gjennomføre et kjøp.
I likhet med de fleste store personvernsaker, er den påklaget og er ikke endelig. Det er uansett grunn til å merke seg hva tilsynet har ment og justere egen praksis dersom den ikke er i tråd med dette. Jeg tror nok det er sannsynlig at tilsynets oppfatning her blir stående.
Saken er omtalt her:
Italias største bot så langt
Det italienske datatilsynet (Garante) har ilagt energiselskapet Enel Energia SpA en bot på 79 000 000 euro for ulovlig reklame.
Enel samlet inn lister med potensielle kunder fra fire andre selskaper og dette gjaldt adresser, telefonnumre, kundens bostedskommune, og kundens energileverandør.
Garante understreket blant annet at Enel Energia brøt GDPR ved å unnlate å utføre en tilstrekkelig risikovurdering av sitt kundesystem (CRM). I tillegg sikret de ikke at andre selskaper, som skaffet dem nye kontrakter, overholdt regelverket. Dette omfattet også at de nødvendige databehandleravtaler ikke hadde tilstrekkelig innhold.
På samme måte som Federal Trade Commission i USA (FTC) ofte pålegger selskaper å informere (se sak lenger nede i nyhetsbrevet), er Enel Energia pålagt å informere berørte individer om utfallet av saken og en rekke andre tiltak som skal bedre personvernet.
Hørte jeg noen si at de jobber med leverandørrevisjon?
Saken er omtalt mange steder, blant annet her:
https://www.dataguidance.com/news/italy-garante-fines-enel-energia-7910m-gdpr-violations
COOKIES
Cookies og samtykke
Saken er ikke helt ny, men fra slutten av fjoråret. Det franske datatilsynet bøtela Yahoo med ikke mindre enn 10 000 000 euro for ikke å ha samtykker til cookies på plass. CNIL vektla også at dersom en bruker ville trekke tilbake samtykket til cookies, ville vedkommende miste tilgangen til eposten. Det er igjen interessant å merke seg at one-stop-shop-mekanismen i GDPR her ikke får anvendelse fordi tilsynsmyndighetene viser til nasjonale ekom-regler.
Enn så lenge har disse tingene ikke vært i fokus i Norge, men vi får antakelig nye cookieregler om kort tid og da er det all grunn til å være varsom med hvordan cookies og trackere brukes.
Se saken omtalt på disse stedene:
https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-yahoo-dune-amende-de-10-millions-deuros
https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2023-024&mtc=today
Mer om cookies fra det danske datatilsynet
I 2023 behandlet det danske Datatilsynet to saker om GulogGratis og JFM’s bruk av cookies for utarbeidelse av statistikk. Datatilsynet mente at utarbeidelse av statistikk ikke var en nødvendig del av tjenestetilbudet til virksomhetene. Virksomhetene har senere bedt om gjenopptakelse av sakene, og slik jeg forstår det er det argumentert med at de trenger statistikk for å kunne fortelle annonsører om det er relevant å kjøpe bannerannonser på hjemmesidene. Datatilsynet synes å mene at dette er et markedsføringsformål, som er noe annet enn ren statistikk. Hva som er statistikk og for hvilke formål, er ikke alltid enkelt. Likevel er det å forvente mer fokus på dette fra mange tilsyn fremover.
Sakene er omtalt her
TILSYN
Svar når (hvis) tilsynet spør!
I 2023 gjennomførte EDPB som kjent en koordinert undersøkelse av personvernombudenes stilling. Hellas deltok også og sendte ut spørreskjema til 31 ombud i offentlig sektor. Ett ombud svarte ikke. Det greske tilsynet sendte deretter spørreskjemaet på nytt, men ombudet svarte fremdeles ikke. Etter utløp av fristen forsøkte vedkommende å svare på undersøkelsen, men da var lenken deaktivert av tilsynet. Etter at ombudet kontaktet tilsynet, ble lenken reaktivert, men ombudet svarte igjen ikke i tide. Ombudet hevdet at årsaken til den forsinkede responsen var tekniske problemer med nettstedet der spørreskjemaet var plassert, som hindret innlevering selv etter flere forsøk. Tilsynet var ikke enig i dette og ila selskapet en bot på 5 000 euro.
Nytt koordinert tilsyn fra EU
Etter at EDPB i 2022-2023 har gjennomført tilsyn med personvernombudenes rolle, er det nå i 2024 fokus på hvordan virksomheter ivaretar de registrertes rett til innsyn.
Personlig tror jeg dette varierer ganske mye. Samtidig er det helt grunnleggende personvern at dette ivaretas på en god måte. Kan vi ikke spørre og få svar på hvordan våre personopplysninger faktisk brukes, er det vanskelig å håndheve noen rettigheter overhodet. Arbeider du i en virksomhet som får spørsmål om dette – sørg for å svare i tide.
Du kan lese mer om dette her:
https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en
GDPR OG ANSATTE
BYOD og 2-faktor
Fra Spania er det kommet en litt spesiell sak der en arbeidsgiver ikke kunne be om de ansattes private mobiltelefonnummer for å sikre bruk av 2-faktor autentisering ved bruk av hjemmekontor. Det synes som om saken har bakgrunn i at arbeidsgiver ikke har stillet mobiltelefon til rådighet for arbeidstakere, men basert seg på bruk av privat mobiltelefon.
I Norge vil de fleste arbeidsgivere stille mobiltelefon til rådighet og problemstillingen blir neppe aktuell. Men det er interessant at det settes så strenge grenser rundt hva en arbeidsgiver kan be om.
Saken er omtalt her:
https://gdprhub.eu/index.php?title=AN_-_SAN_487/2024&mtc=today
FELLES BEHANDLINGSANSVAR
Mer om reklame, TCF og felles behandlingsansvar
Mange av dere har hørt meg (og andre) snakke om IABs Transparency Consent Framework de siste to årene. Det er et rammeverk som er meget relevant for digital markedsføring. Spesielt er det viktig for de som er publisister (aviser, mediehus) – og for de som bruker deres forbrukerflater som annonseplattform.
Forrige måned kom ECJ med en ny avgjørelse om IAB og TCF. Avgjørelsen er sammensatt og komplisert, men den slår blant annet fast at informasjonsstrengen som viser at en forbruker har samtykket til et bestemt formål, er personopplysninger. Det er kanskje ikke så overraskende. Men dommen sier også at organisasjonen IAB Europe er felles behandlingsansvarlig med virksomheten som bruker rammeverket. Det betyr at det må inngås spesielle avtaler som angir hvilken aktør som har ansvar for hva.
Avgjørelsen finner du her:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2024-03/cp240044en.pdf
Den er også omtalt mange steder, blant annet her (omfattende artikkel):
og her (kortere artikkel):
https://www.lexology.com/library/detail.aspx?g=d2c61d5c-daa2-446d-ba68-5626733af097
Enda mer felles behandlingsansvar – denne gangen for brudd
I en alvorlig sak fra Slovakia om drap på en journalist og hans forlovede, ble det gjort omfattende undersøkelser. Blant annet ble flere mobiltelefoner, som tilhørte en mistenkt, undersøkt. Undersøkelsene ble dels gjort av Europol, dels av slovakisk kriminaletterforskning. Meldingene på telefonene var sendt via krypterte tjenester, men Europol hadde klart å dekryptere (deler av) materialet. De sendte materialet til kriminaletterforskningen i Slovakia.
Senere publiserte media innhold fra mistenktes meldinger, blant annet intim kommunikasjon mellom vedkommende og hans kjæreste. Den mistenkte klaget til Europol på at informasjonen ble offentlig og krevde 100 000 euro som kompensasjon. Halvparten av beløpet krevde han fordi han mente at han urettmessig var blitt hevdet å ha tilhørt en “mafialiste”, den andre halvparten fordi intim samtale med kjæresten var blitt offentlig. Europol bestred at de hadde noe ansvar og mente at de ikke var felles behandlingsansvarlig med Slovakia.
EU-domstolen fastslo at det ikke er nødvendig å bestemme hvilken av disse to enhetene – Europol eller medlemsstaten – som var årsak til avviket. For at solidaransvar skal kunne oppstå, må den enkelte som er berørt kun vise at det i forbindelse med samarbeidet mellom Europol og den aktuelle medlemsstaten, er blitt utført ulovlig databehandling som har forårsaket skade for vedkommende. Denne uttalelsen er, etter min oppfatning, viktig. Det betyr at flere parter risikerer ansvar for skade som skjer hos en annen.
Angående lekkasjen av den såkalte ‘mafialisten’, fant EU-domstolen at den registrerte ikke hadde klart å vise at ‘mafialistene’ der hans navn angivelig var inkludert, var blitt utarbeidet og oppbevart av Europol. Erstatningen for å ha blitt angitt å stå på ‘mafialisten’ ble derfor ikke vurdert nærmere.
Europol ble ikke hørt med at de hadde implementert passende tekniske og organisatoriske tiltak for å beskytte personopplysninger. Domstolen bemerket at data av en slik intim karakter viser behovet for at beskyttelsen må sikres strengt. Siden det fant sted en uautorisert tilgang, utgjorde dette et tilstrekkelig alvorlig brudd. Uten at jeg har lest originalteksten på dette, fremstår dette som en ganske streng tolkning.
Dertil fastslo domstolen at Den europeiske union kan pådra seg ansvar, som følge av offentliggjøringen av den registrertes intime samtaler.
Resultatet var at Europol og den slovakiske republikken er solidarisk ansvarlige for den ulovlige databehandlingen som forårsaket at den registrerte led ikke-materiell skade.
Hva gjelder utmålingen, la domstolen vekt på at det kun var offentliggjort transkripsjoner av samtalen og ingen fotografier. For dette fikk vedkommende 2 000 euro i erstatning. Beløpet er ikke høyt.
Saken er omtalt her:
https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91755/21_P_-_Ko%C4%8Dner_v_Europol&mtc=today
BEHANDLING AV PERSONOPPLYSNINGER
Er muntlig informasjon behandling av personopplysninger?
| ||||||||||||||||
FTC, the Federal Trade Commission, fatter hovedsaklig vedtak mot amerikanske selskaper. Men nå har de inngått forlik med et selskap med forbindelser til Tsjekkia.
Den 22. februar 2024 kunngjorde FTC at Avast Limited betaler 16,5 millioner dollar og FTC forbyr Avast å selge eller lisensiere personopplysninger til reklameformål. Dette er et resultat av anklager om at Avast og dets datterselskaper solgte slik informasjon til tredjeparter etter å ha lovet at produktene deres skulle beskytte forbrukerne mot sporingsaktiviteter på nettet.
Gjennom sitt tsjekkiske datterselskap, samlet de inn forbrukernes browserhistorikk, lagret dette på ubestemt tid og solgte det uten tilstrekkelig varsel og uten samtykke. FTC hevdet også at selskapet villedet brukere ved å hevde at programvaren ville beskytte forbrukernes personvern ved å blokkere tredjeparts sporing, og at all deling ville være i “anonym og aggregert form”. FTC hevdet at selskapet solgte dataene til over 100 tredjeparter.
Fremover skal Avast basere eventuelt salg av slike opplysninger på samtykke, de skal informere forbrukere hvis informasjon har blitt solgt og innføre et omfattende personvernprogram.
Saken er omtalt her:
KUNSTIG INTELLIGENS
Kunstig intelligens og stemmegjenkjenning
| ||||||||||||||||
Bruk av lydopptak og KI kan generere mange ubehagelige situasjoner. Det er allerede kommet reportasjer om “fake calls” der man feilaktig blir lurt til å tro at et familiemedlem eller en sjef ber om en pengeoverføring. Det kommer til å gjøre noe med hvordan vi behandler lydopptak fremover. Et lite fransk selskap har som forretningside at stemmeopptak kan anonymiseres, eventuelt vannmerkes.
Vi kommer til å se mye ny teknologi fremover.
Les mere om KI og stemmebruk her:
PRIVATLIVETS FRED 😉
Til slutt – vil du at huset og nummerskiltet på bilen utenfor huset ditt skal være lett gjenkjennelig på Google maps?
Det er alltid morsomt å ta et streif for å skrive disse nyhetsbrevene. Jeg finner ofte mye spennende juss, men innimellom dukker det opp noe litt annet også.
Google maps er praktisk, men det er jo ikke sikkert at du vil at alle skal kunne se akkurat det som var utenfor ditt hus når google kjørte forbi. Eller hvem som sto i inngangspartiet. Her var det en artig liten artikkel om hvordan man kan få Google til å “blurre” bildet som er åpent for alle. Kanskje greit å sjekke hva Google maps har lagt ut av omgivelsene rundt ditt hus?
Les om hvordan du går frem her
KOMMENDE MØTER
| 25. april12.00 – 13.00 Digital Drop in |
| 23. mai14.00 – 17.00 Nettverksmøte i Oslo |
| 22. august14.00 – 17.00 Nettverksmøte i Oslo |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.
0 Comments