EDPB har kommet med sin “Opinion” om “Consent or pay”. Den er trigget av at Meta innførte en betalingsløsning for å unngå rettet reklame. Jeg har skrevet to artikler om dette som du finner her

https://iapp.org/news/a/thoughts-on-behavioral-advertising-meta-and-privacy

https://schjodt.com/news/thoughts-on-behavioural-advertising-meta-and-privacy –

og hvor jeg er noe kritisk til den rolle EDPB nå får i Europeisk rettsutvikling.

Beslutningene fra EDPB fungerer i realiteten på samme måte som lovgivning, men tilblivelsesprosessen er ganske annerledes og mindre gjennomsiktig. Dette er en konsekvens av GDPR som er vanskelig å gjøre noe med. Noen har begynt å kalle datatilsynene i EU “den fjerde statsmakt” og det er ikke helt feil.

Hva gjelder “Consent og pay” sier EDPB nå at en del aktører plikter å tilby sine tjenester vederlagsfritt. Virksomheter må tjene penger. Om en forbruker får 3 valg: 1) betal for tjenesten, 2) betal for tjenesten ved å motta rettet reklame eller 3) få en tilsvarende tjeneste gratis – så vil nok flertallet velge det siste. Det fremmer neppe nye tjenester, ingen kan levere tjenester gratis. Et av de sentrale spørsmålene er hvem som pålegges å tilby vederlagsfrie tjenester – er det bare Meta? Nei. Men hvem som rammes er ganske uklart formulert fra EDPB og det er rom for å gi retningslinjene anvendelse på tjenester som er sentrale på sitt område selv om tjenesten ikke er veldig stor. Mange er dypt uenige i dette. Vi vil få se fremover hvordan dette spiller ut.

I øvrig er det full fart på personvernområdet. NOYB har klaget på OpenAI om at den gir resultater som ikke er riktige når den “hallusinerer” – og kritisert at det ikke er i tråd med GDPR at det ikke finnes måter å avhjelpe dette på. Her ser vi en kollisjon mellom reglene i GDPR og hvordan KI fungerer. For meg er det uklart hvordan man skal få denne teknologien til å følge alle reglene i GDPR, men jeg tror heller ikke at reglene kommer til å endres. EDPB arbeider med dette også i en dedikert task force – det blir spennende å se hva de kommer til etter hvert.

Denne gangen går jeg ikke inn på behandlingsgrunnlag for rettet reklame og IAB-sakene som vi har snakket om flere ganger i nettverket, men for spesielt interesserte er det kommet en ny avgjørelse fra ECJ den 5. mars i år (C-604/22). Avgjørelsen bekrefter at informasjonen i samtykke-strengene er personopplysninger og at IAB er felles behandlingsansvarlige med de som bruker systemet til IAB (kanskje mest overraskende).

For oss i Norge er det nok viktigere at det er kommet et nytt forslag til Ekomlov, som stiller klare krav til at bruk av cookies baserer seg på samtykke og ikke berettiget interesse. Det er interessant å se at det foreslås at NKOM skal ta stilling til hva som er nødvendige cookies, mens Datatilsynet skal ta stilling til hva som er et godt nok samtykke. Her kan det bli mye action fremover. Det er pt uklart når loven går gjennom Stortinget, det kan skje allerede før sommeren, men mest sannsynlig til høsten.

Under er noen av de andre viktige sakene den siste måneden og jeg er redd det ble et langt nyhetsbrev, men jeg vet at mange av dere likevel setter pris på det.

God lesning og husk å nyte vårsolen også!

Hilsen Eva,

denne gang med assistanse av Sigurd Fjærtoft-Andersen fra Schjødt

---

KUNSTIG INTELLIGENS

Dominos i trøbbel for bruk av AI-system for telefonbestillinger

Den stadig økende bruken av AI-systemer byr på sedvanlig vis på nye utfordringer for store, verdensomspennende selskaper som benytter seg av den teknologiske utviklingen. I et foreslått gruppesøksmål i den amerikanske delstaten Illinois har tre kunder anklaget pizzakjeden Dominos og utvikleren av selskapets stemmegjenkjenningssystem for å samle inn og lagre kunders stemmeavtrykk, navn, adresse, telefonnummer og kredittkortnummer, uten å informere kundene. Et stemmeavtrykk er å regne som et individuelt og særegent mønster av egenskapene til en persons stemme som er spektrografisk produsert, og utgjør vanligvis biometriske data som er særskilt vernet som særlige kategorier av personopplysninger.

Stemmegjenkjenningssystemet ble utviklet av ConverseNow Technologies, og brukes angivelig på 57 ulike Dominos-lokasjoner i Illinois for å forbedre kundeservicen og å forbedre salget. Ifølge det foreslåtte søksmålet har stemmegjenkjenningssystemet blitt brukt siden 2020, uten at kundene har blitt informert om slik bruk og lagring. Det er et betydelig misbrukspotensiale for slik stemmeinformasjon.

Gruppesøksmålet reiser spørsmål om Dominos tilnærming til kundenes personvern, og bygger på at innsamlingen av stemmeavtrykk er i strid med Illinois Biometric Information Privacy Act (BIPA). Søksmålet kan som vanlig resultere i økonomiske sanksjoner og tapt omdømme, og illustrerer på sedvanlig vis viktigheten ved etterlevelsen av personvernregelverket i situasjoner der selskaper tar i bruk ny teknologi i takt med den teknologiske utviklingen. Til deg som implementerer nye AI-baserte verktøy i bedriften – følg med på personvernregelverkets krav til informasjon og samtykke!

Världen: Pizzeria stäms för att ha samlat in röstavtryck med AI-system för telefonbeställningar

---

Statsminister i falsk pornovideo

Italias Statsminister Giorgia Meloni krever 100 000 euro i erstatning for opplastning av videoer med falskt pornografisk innhold.

Den teknologiske utviklingen byr også på utfordringer som går utenfor de mer typiske regulatoriske problemstillingene innen personvern og AI. Ifølge den italienske statsministeren ble det i 2022 produsert og lastet opp flere falske pornografiske videoer på internett der den italienske statsministerens ansikt ble lagt over en annens kropp – såkalt deepfake. Videoene har blant annet skapt utbredt bekymring for bruken av slike deepfakes i italiensk politikk og andre steder, knyttet til produksjon av propaganda og desinformasjon. Bruk av videoene viser også hvor enkelt det er å lage og dele deepfakes på en måte som krenker enkeltpersoners privatliv, skader omdømme og forårsaker følelsesmessig skade.

Politiet har uttalt at de gjennom sporing av mobilenhetene som ble brukt til å legge ut videoene har identifisert en 40 år gammel mann og hans 73 år gamle far som gjerningsmenn, og Meloni skal vitne mot disse for en domstol på Sardinia 2. juli 2024. Dersom Melonis krav om erstatning på 100 000 Euro vinner frem, vil hun donere pengene til et fond som støtter kvinner som har vært utsatt for vold fra menn. Det er lov å mene at deepfakes er ganske skummelt og at det er fint at AI Act regulerer dette hardt.

Italien: Italiens premiärminister kräver 100 000 euro i skadestånd för AI-genererade porrvideor

---

Det danske datatilsynet tillater – overraskende nok – ansiktsgjenkjenning

For fire og et halvt år siden fikk den danske fotballklubben Brøndby IF, som den første private aktøren i Danmark, tillatelse fra det danske datatilsynet til å bruke automatisk ansiktsgjenkjenning for identifikasjon av utestengte tilskuere. De fire siste sesongene har tilskuere blitt filmet og sammenlignet ved hjelp av Brøndby Stadions ansiktsgjenkjenningsteknologi – alt for å identifisere og fange opp fans som har fått karantene og som ikke skal slippes inn på stadion. Et system for ansiktsgjenkjenning vurderes nå på nasjonalt nivå av den danske divisjonsforeningen, som er i ferd med å utarbeide regler og rammeverk for bruk av teknologien på nasjonalt nivå. Til tross for at bruk av teknologien har gitt gode resultater for Brøndby IF, ble lanseringen av systemet i 2019 – som i stadig økende grad også ellers i personvernverden – møtt med skepsis i Danmark. Lederen i IT-politisk forening, Jesper Lund, uttalte tilbake i tid at ansiktsgjenkjenning er “den mest inngripende overvåkningsteknologien som finnes”, og at han håpet at “det blir protester og at fotballfans som går på Brøndbys kamper, sender klager til Datatilsynet på denne behandlingen av personopplysninger”. Til tross for slik skepsis, informerer det danske datatilsynet at de ikke har mottatt noen klager på Brøndby Ifs bruk av ansiktsgjenkjenning. Det er på mange måter overraskende at det danske tilsynet har tillatt ansiktsgjenkjenning, men det illustrerer en interessant holdning: De potensielle fordelene ved å bruke slik teknologi kan være så store at også inngripende tiltak etter en totalvurdering kan være akseptabelt. https://www.digi.no/artikler/fotballklubb-bruker-ansiktsgjenkjenning-for-a-stoppe-utestengte-fans/545113

---

Studie viser (overraskende) skadelige fabrikasjoner i OpenAI’s tale-til-tekst algoritme

Tendensen til at chatboter drevet av kunstig intelligens av og til finner på ting, eller hallusinerer, er etter hvert godt dokumentert. Nå har en ny studie fra Cornell University funnet at også AI-modeller for transkribering kan hallusinere. Det er kanskje ikke overraskende, men konsekvensene kan bli store.  

OpenAI’s Whisper, en AI-modell som er trent til å transkribere lyd til tekst, fant ifølge en ny studie opp 1.4% av den lyddataen som ble testet. I tillegg inneholdt en stor del (rundt 40%) av de konstruerte setningene støtende eller potensielt skadelig innhold, bl.a. knyttet til vold, seksuelle forhold og demografiske stereotyper. Dette er spesielt uheldig der transkripsjonsverktøy brukes av f. eks. leger eller annet helsepersonell til å skrive pasientnotater eller journaler. Utfordringene ved bruk av AI-basert transkripsjonsverktøy blir enda større der brukeren av disse tar det for gitt at verktøyet transkriberer det som rent faktisk blir sagt.

Det faktum at transkripsjonsverktøy kan hallusinere, gir et sterkt insentiv til å behandle slike verktøy med forsiktighet, særlig i tilfeller der riktigheten av den teksten som genereres er av stor betydning for individet som teksten angår.

https://www.science.org/content/article/ai-transcription-tools-hallucinate-too

---

Man må ha lovlig treningsdata for utvikling av AI-modeller

I kjølvannet av et nytt søksmål mot Amazon i California, oppstår igjen problemstillinger knyttet til bruk av opphavsrettslig beskyttet materiale ved trening av AI-modeller. I søksmålet påstår en tidligere ansatt i Amazon at selskapet, i forbindelse med OpenAI’s lansering av GPT-4, var så desperate etter å holde tritt med konkurransen innen generativ kunstig intelligens at selskapet var villig til å bryte opphavsrettslige regler ved utvikling og trening av sine AI-modeller.

Påstanden fremsettes i en sak der en tidligere ansatt AI-forsker ble degradert og deretter avskjediget, etter at Amazon oppdaget av vedkommende var gravid. I tillegg til påstander knyttet til urettmessig og diskriminerende oppsigelse, påstår kvinnen at hun ble sagt opp fordi hun klaget da Amazon angivelig brøt sine egne regler for bruk av opphavsrettslig beskyttet materiale i forbindelse med AI-utvikling. I søksmålet påstås at representanter fra øverste juridiske hold i Amazon ba kvinnen om å ignorere Amazons brudd på egne, internt utarbeidede regler for opphavsrett, og at instruksen ble begrunnet i at alle andre store aktører gjorde det samme.

Søksmålet illustrerer at opphavsrettslige spørsmål knyttet til utvikling og trening av språkmodeller stadig er et høyst relevant tema.

https://www.theregister.com/2024/04/22/ghaderi_v_amazon

---

PERSONVERN

Nye klageskjema for overføringer til USA

Da EU-Kommisjonen i fjor besluttet at man kan trygt overføre personopplysninger til selskaper i USA som er registrert under DPF, var en forutsetning at privatpersoner skal kunne klage hvis man mener at vilkårene ikke er oppfylt. Det er mange steder en slik klage kan rettes, men nå har EDPB laget et skjema for klage til lokalt datatilsyn på at mottaker i USA ikke overholder de mange kravene i DPF. Det er et eget skjema man kan bruke hvis man mener at amerikansk etterretningstjeneste ikke behandler opplysninger korrekt. Det danske Datatilsynet har gjort skjemaene tilgjengelig her

https://www.datatilsynet.dk/internationalt/internationalt-nyt/2024/apr/nye-klageformularer-vedroerende-overfoersler-til-usa

---

CJEU med ny avgjørelse knyttet til bruk av fingeravtrykk på europeiske identitetskort

EU-domstolen avsa nylig en avgjørelse som aktualiserer skjæringspunktet mellom EU-forordningen om identitetskort og grunnleggende rettigheter til respekt for privatliv. Bakgrunnen for saken var at en tysk statsborger hadde klaget kommunens avslag om å utstede et identitetskort uten fingeravtrykk inn for EU-domstolen, under henvisning til at kommunens avslag var i strid med grunnleggende rettigheter til respekt for privatliv. EU-domstolen erkjente at EU-forordningen om identitetskort, som krever lagring av fingeravtrykk på kortet, bl.a. begrenser retten til beskyttelse av personopplysninger. EU-domstolen fant imidlertid at formålene som ligger til grunn for lagring av fingeravtrykk er forsvarlige og legitime, og at disse formålene måtte gis forrang i den konkrete saken.

Et av de legitime formålene som ble fremholdt av EU-domstolen, var bl.a. at bruk av et pålitelig identifikasjonssystem fremmer borgernes rett til fri bevegelse og opphold i EU og at bruk av fingeravtrykk bidrar til å bekjempe produksjonen av falske identitetskort.  Saken illustrerer at personvernhensynet stadig veies opp mot andre legitime hensyn, og at dataminimering (gjennom andre, mindre personverninngripende tiltak) ikke alltid er tilstrekkelig for å ivareta andre, legitime formål som griper inn i enkeltindividers personvern.

https://www.lexology.com/library/detail.aspx?g=92561619-bf99-45ed-89e0-8c29bd879572

(Krever innlogging)

---

Ny avgjørelse fra det portugisiske datatilsynet knyttet til Worldcoins lagring av biometriske data

Det portugisiske datatilsynet (CNDP) har nylig pålagt selskapet Worldcoin, som oppfordrer kunder til ansiktsskanning i bytte mot digital ID og gratis kryptovaluta, om å slutte med all lagring av biometriske data i 90 dager. CNDP er gjort kjent med at mer enn 300.000 personer i Portugal har gitt Worldcoin biometriske data bl.a. i form av iris-skanning og de har fått flere klager om uautorisert samling av personopplysninger fra mindreårige, mangelfull informasjon og mangel på individenes mulighet til å slette data og trekke samtykke. Worldcoin har på sin side uttalt at de sikter på å bygge en identitet og et finansielt nettverk, og at behandlingen av biometriske data er nødvendig for at folk skal kunne bevise at de er mennesker i en verden dominert av kunstig intelligens.

Worldcoin er foreløpig under etterforskning i flere land, og har mottatt kritikk fra personvernkjennere knyttet til samling og lagring av personopplysninger. Det spanske datatilsynet har gitt Worldcoin en tre-måneders suspensjon etter å ha mottatt tilsvarende klager. Saken illustrerer flere kjente personvernrettslige problemstillinger, og det blir spennende å se hvordan personvernmyndighetene behandler saken – særlig knyttet Worldcoins angivelig mangelfulle informasjon om behandlingen av biometriske data. Avgjørelsen kan potensielt gi store konsekvenser både for datasubjektet og Worldcoin.

https://www.reuters.com/markets/currencies/sam-altmans-worldcoin-ordered-stop-data-collection-portugal-2024-03-26

---

Det finske datatilsynet  ny avgjørelse knyttet til bruk av personnummer i SMS’er til pasienter

Det finske datatilsynet avsa nylig avgjørelse mot en behandlingsansvarlig for å ha sendt testresultater til sine pasienter på SMS, med pasientens personnummer inkludert i meldingen. I sin respons på datatilsynets forespørsel om forklaring på formålet med å inkludere personnummer i tekstmeldinger til pasienter, uttalte den behandlingsansvarlige at bruken av personnummer sikret at pasientens informasjon ikke ved uhell ble delt til andre personer med samme navn. Den behandlingsansvarlige fremholdte videre at i en tjeneste der pasientens personnummer ble sendt som tekstmelding til pasientens egen mobiltelefon, må risikoen knyttet til behandling av personnummer anses som lav.

Til tross for at datatilsynet var enige i at artikkel 87 i personvernforordningen sier at medlemslandene kan fastsette spesifikke vilkår for behandling av personnummer, la datatilsynet vekt på at personnummeret er en unik og permanent identifikasjonsfaktor, og at tredjepartstilgang til slike opplysninger kan påføre datasubjektet omfattende skade i form av bl.a. identitetstyveri.

På denne bakgrunn kom det finske datatilsynet til at nummeret ikke skulle brukes i SMS’er til pasienter. Med norske øyne må en slik behandling av personnummer anses som oppsiktsvekkende. Jeg tror ikke mange ville gjøre det samme her.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/29/2020&mtc=today

---

Rett til innsyn i alle dokumenter som inneholder personopplysninger

Den administrative domstolen i Berlin har behandlet en sak om den registrertes rett til å kreve tilgang til og kopi av alle personopplysninger som den behandlingsansvarlige behandler om den registrerte. Den registrerte krevet en kopi av alle dokumenter som inneholder personopplysninger. Den behandlingsansvarlige ga den registrerte tilgang til generell informasjon om hvilke typer personopplysninger selskapet hadde i sitt IT-system – såkalte “master data”. Behandlingsansvarlig hevdet at forespørselen ville innebære en uproporsjonal innsats og dermed var urimelig – som følge av at dette medførte en gjennomgang av over 5000 sider – og at forespørselen om kopi av alle dokumenter innebar misbruk av den registrertes rettigheter.

Domstolen fremholdt at formålet bak innsynsretten etter GDPR artikkel 15 bl.a. er at den registrerte skal kunne ettergå lovligheten ved behandlingen av personopplysninger. Basert på viktigheten av dette formålet, kom retten til at den behandlingsansvarlige bare kan motsette seg plikten til å gi slikt innsyn på grunnlag av uproporsjonalt stor innsats i strengt begrensede tilfeller. Som følge av at den registrertes krav om innsyn var begrunnet i ønsket om å forstå hvordan og med hvilke tredjeparter behandlingsansvarlige delte personopplysninger, kom retten til at behandlingsansvarlige måtte gi den registrerte kopi av alle personopplysninger, og at den registrertes forespørsel ikke innebar misbruk av rettigheter etter personvernforordningen.

Saken er en ytterligere påminnelse om hvor sterkt innsynsretten står og at denne bare helt unntaksvis kan begrenses.

https://gdprhub.eu/index.php?title=VG_Berlin_-_1_K_187/21&mtc=today

---

Rett til innsyn i møtereferat der en forening (behandlingsansvarlig) diskuterte den registrerte.

En forening (behandlingsansvarlig) på Island hadde holdt et møte der det bl.a. ble diskutert en klage fra den registrerte knyttet til mobbing og vold på arbeidsplassen. Den registrerte ba om innsyn i møtereferatet. Som følge av foreningens avslag om innsyn, klagde den registrerte foreningen inn til det islandske datatilsynet. Datatilsynet kom til at GDPR artikkel 15 oppstiller en rett for den registrerte til å få tilgang til informasjon fra møter der den registrerte blir diskutert, i tillegg informasjon om til navnene på de som deltok på møtet. Datatilsynet understrekte imidlertid at andre datasubjekters interesser også må beskyttes, og at den registrerte derfor ikke kunne få tilgang til møtereferatet i sin helhet.

Et interessant spørsmål her er hvorvidt resultatet av klagen ville blitt annerledes i Norge, som følge av unntaksbestemmelsen for interne dokumenter i personopplysningsloven § 16 bokstav e – og det er uansett interessant at det ser ut å være ulik praksis på dette innenfor EØS.

https://gdprhub.eu/index.php?title=Pers%C3%B3nuvernd_(Island)_-_2021122345&mtc=today

---

Omstendigheter teller ved vurderingen av hva som er akseptabel bruk av personopplysninger

Det spanske datatilsynet (AEPD) har tatt stilling til om et medisinsk senters (behandlingsansvarlig) bruk av et apparat for temperaturmåling av pasienter i resepsjons- og venteområde utgjorde akseptabel bruk av personopplysninger. Som følge av at bruk av apparatet for temperaturmåling i disse områdene innebar at temperaturdata kunne bli sett av tredjeparter som oppholdte seg i venterommene, kom det spanske datatilsynet til at behandlingsansvarlig manglet tilstrekkelige tiltak for å beskytte personopplysningene mot observasjon fra tredjeparter.

Behandlingsansvarlig ble idømt en bot på 30,000 euro som følge av brudd på prinsippene om sikkerhet og konfidensialitet i GDPR artikkel 5 og 32.

Det er nok noen mottaksrom og venterom innenfor helsesektoren som har en utfordring her. Selv om man ikke tar temperaturen på folk i offentlighet er det mange steder pasienter må forklare årsak til hvorfor de er møtt opp.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202309&mtc=today

---

EU-parlamentet stemmer for å styrke håndhevelsen av GDPR

Medlemmene av Europaparlamentet stemte onsdag 10. april om endringer for å styrke håndhevelsen av GDPR – og andre oppfordret til ytterligere forbedringer av personvernforordningen. Endringene i reglene om håndhevelse tar sikte på å styrke klagers rettigheter og å adressere prosedyremessige utfordringer i reglene. Endringene innebærer bl.a. en endring av tilsynsmyndighetenes rolle, og fjerner enkelte forpliktelser knyttet til deling av foreløpige funn (preliminary findings). En vesentlig endring åpner for at nasjonale tilsynsmyndigheter kan be om hastebindende avgjørelser fra EDPB i prosessuelle tvister, og dersom en ledende tilsynsmyndighet ikke kan overholde en frist på grunn av komplekse undersøkelser, kan det bes om en forlengelse på inntil ni måneder. I tillegg kan tilsynsmyndighetene nå be om ex officio-undersøkelser når de mistenker et potensielt GDPR-brudd som påvirker registrerte. Slike ex officio-undersøkelser gjør det mulig for tilsynsmyndighetene å selvstendig sette i gang undersøkelser av mistenkt ulovlig behandling av personopplysninger, uavhengig av klager fra datasubjekter. Endringene introduseres imidlertid ikke uten motbør, og relevante innsigelser kan leses i linken nedenfor. Uansett virker det klart at endringene vil medføre større fokus og tettere oppfølging av personvernregelverket.

https://www.euractiv.com/section/data-privacy/news/eu-parliament-votes-to-strengthen-gdpr-enforcement/

---

USA kan endelig få en føderal personvernlov som konkurrerer med Europas GDPR

Det er iverksatt arbeid med en ny, omfattende personvernlov i USA som skal gi langt videre beskyttelse en reglene for medisinske data og barnedata som gjelder i dag. Lovforslaget, som formelt sett skal introduseres i slutten av april, kalles American Privacy Rights Act eller APRA. Det foreløpige regelverket ser angivelig likt ut som det europeiske regelverket i GDPR, og vil bl.a. gi amerikanske datasubjekter mulighet til å velge bort målrettet annonsering og å minimere de personopplysningene selskaper behandler om dem. I tillegg legger forslaget opp til at datasubjektene skal kunne be behandlingsansvarlig om tilgang til de personopplysningene som behandles, kreve at personopplysninger korrigeres eller slettes, og kreve en nedlastbar versjon av data som selskapene besitter. Forslaget legger også opp til at selskaper ikke skal kunne dele sensitive personopplysninger uten datasubjektets uttrykkelige samtykke. Selv om mange av disse rettighetene allerede er tilgjengelige for mange amerikanere i enkelte delstater, vil det nye regelverket kunne bidra til en styrking og harmonisering av personvernregelverket over hele USA. Det blir imidlertid meget interessant å se hvordan regelverket vil se ut når det først blir implementert, etter det som sannsynligvis vil bli en omfattende politisk prosess. https://fortune.com/2024/04/08/apra-us-federal-privacy-law-rodgers-cantwell-gdpr-ai/

---

Prinsipielt viktig sak om datatilsynenes aktivitetsplikt

Datatilsynet i Hessen, Tyskland (HBDI) har avgjort en sak knyttet til datatilsynets aktivitetsplikt. Saken var foranlediget av at en behandlingsansvarlig gjorde HBDI oppmerksom på et databrudd: En av behandlingsansvarliges ansatte hadde ulovlig fått tilgang til personopplysninger om behandlingsansvarliges kunder.

Etter at HBDI hadde informert den registrerte om at ingen tiltak ble iverksatt mot behandlingsansvarlig, klagde den registrerte avgjørelsen inn for den administrative domstolen i Wiesbaden og ba om at HBDI skulle iverksette tiltak mot behandlingsansvarlig. Deretter refererte domstolen spørsmål til EU-domstolen om hvorvidt en tilsynsmyndighet som finner ut at personopplysninger har blitt behandlet i strid med den registrertes rettigheter, alltid må foreta handlinger i tråd med GDPR artikkel 58(2).

På prinsipielt grunnlag besvarte EU-domstolen spørsmålet bekreftende. Det ble konkludert med at når en tilsynsmyndighet blir oppmerksom på en behandling av personopplysninger som har krenket den registrertes rettigheter – må tilsynsmyndigheten iverksette tiltak under GDPR artikkel 58 (2) i den utstrekning dette er nødvendig for å sikre full etterlevelse av GDPR. Avgjørelsen er prinsipiell og høyst interessant, særlig sett i lys av at en så omfattende aktivitetsplikt for datatilsynene kan være vanskelig å etterleve i en stadig økende oppdragsmengde.

https://gdprhub.eu/index.php?title=CJEU_-_C-768/21_-_TR_v_Land_Hessen&mtc=today#English_Summary

---

Praktisk viktig sak om lagring av personopplysninger i rekrutteringssaker

Det finske datatilsynet har tatt stilling til et datasubjekts forespørsel om sletting av personopplysninger i forbindelse med en rekrutteringsprosess. Datatilsynet hadde blitt gjort oppmerksom på at et selskap (behandlingsansvarlig) hadde nektet å slette datasubjektets personopplysninger. Ved spørsmål fra datatilsynet om hvorfor behandlingsansvarlig nektet å slette personopplysningene, svarte selskapet at lagring av opplysningene var nødvendig for at selskapet skulle kunne forsvare seg selv mot potensielle klager om diskriminering i ansettelsesprosessen. Selskapets forklaring ble akseptert av datatilsynet.

Dermed kom det finske datatilsynet til at selskapet ikke behøvde å etterleve datasubjektets forespørsel om sletting, som følge av at lagring var nødvendig for at selskapet skulle kunne forsvare seg mot slike potensielle klager om diskriminering – som ifølge den finske straffeloven må fremsettes innen to år etter ansettelsesprosessen.

Det er ikke opplagt for meg at dette skulle bli resultatet, da det f eks tidligere har vært uttalt at et selskap ikke kan lagre kundeopplysninger for å håndtere senere reklamasjoner – men her tror jeg det er ulik praksis i ulike land.

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_6652/154/19&mtc=today

---

Beslutning fra det irske datatilsynet i sak mot Airbnb

Vi har tidligere omtalt en sak mellom det irske datatilsynet og Airbnb. Saken handlet om behandlingsgrunnlag for Airbnbs krav om datasubjektets ID ved datasubjektets krav om sletting av personopplysninger.

Det irske datatilsynet har nå konkludert og kom til at Airbnb manglet behandlingsgrunnlag – og brøt plikten til dataminimering – da de fremsatte krav om datasubjektets ID i forbindelse med forespørselen om sletting. På denne bakgrunn ga det irske datatilsynet en irettesettelse mot Airbnb, uten at Airbnb ble ilagt bot.

https://gdprhub.eu/index.php?title=DPC_(Ireland)_-_Inquiry_into_Airbnb_Ireland_UC_-_January_2024&mtc=today

---

KOMMENDE MØTER

23. mai 14.00 – 17.00 Nettverksmøte i Oslo

22. august 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.

---

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.