Kunstig intelligens – det er det alle snakker om fremdeles. Hvordan kan vi innføre Copilot? Hvilken dokumentasjon trenger vi? Er avtalen med OpenAI balansert? Er virkelig ikke OpenAI DPF-sertifisert? Kan vi la AI/KI trene på våre kundedata – hva skal til? Og NOYB har saksøkt OpenAI for at den angir “feilaktige” påstander om individer og at feilene ikke kan rettes, slik GDPR krever.
EDPB har sin pågående task force om lovligheten av OpenAI ,og de har uvanlig nok akkurat kommet med en midlertidig rapport der døren settes på gløtt for at berettiget interesse kan brukes for å skrape tredjepartsopplysninger gitt at en rekke forhold ivaretas. Samtidig skriver de at de ikke har konkludert på hvilket rettsgrunnlag som er riktig. De anerkjenner dessuten at LLM-er hallusinerer og skriver at brukere må informeres om dette. Kanskje avgjorde selveste EDPB søksmålet til NOYB med den uttalelsen. Skjønt jeg tror kanskje ikke det. It’s complicated.
Og moro – god lesning!
Hilsen Eva
KUNSTIG INTELLIGENS
Er personvern viktig?
Det er i alle fall blitt et område der det leveres tjenester i stort omfang. En ny rapport gjennomført av Coherent Market Insights viser at det globale GDPR tjenestemarkedet var verdsatt til over en milliard dollar i 2023, og det regnes med en årlig vekst på over 22% frem til 2030. Det er en stor industri!
Tjenestemarkedet for GDPR er hovedsakelig drevet av det økte fokuset på reguleringer av personvern på tvers av ulike sektorer i EU. Formålet med GDPR er å styrke og sikre beskyttelsen av personopplysninger i Europa. At brudd på GDPR sanksjoneres med store bøter, har tvunget organisasjoner på tvers av sektorer til å iverksette tiltak og investere i GDPR-konsulent og – vurderingstjenester. Økt bruk av skybaserte tjenester forsterker etterspørselen etter slike tjenester, fordi offentlig skydeling øker behovet for tredjeparts tilgangsadministrasjon og kontroll.
Bruk av AI og analyseverktøy er klare trender. Det er høy etterspørsel etter produkter som kan automatisere samtykkebehandling, administrasjon av registrertes rettigheter, innsyn og klassifisering av opplysninger. Utviklingen av, og etterspørselen etter, GDPR-tjenester er en naturlig konsekvens av den teknologiske utviklingen, og etterlevelse av regelverket for GDPR.
Alle som leser dette nyhetsbrevet, arbeider med personvern. Det er jobb for oss fremover.
Du kan lese mer om personvern som tjenesteområde her:
Kongressen i USA forbyr bruk av Copilot – hva gjør du?
Den amerikanske kongressen forbyr bruk av AI-språkmodeller som Copilot og ChatGPT, grunnet for dårlig sikkerhet. Microsoft lanserte Copilot i 2024, og vi ser at mange virksomheter tar i bruk AI-språkmodellen i sitt daglige arbeid. Det er uklart hvilke avtalevilkår kongressen ble presentert for, men det ser ut å handle om fare for at opplysninger deles med ikke-godkjente skyleverandører.
Det er liten offentlighet om akkurat hva kongressen har reagert på. Det er uansett slik at implementering av Copilot og annen AI krever årvåkenhet. Det vil etter min oppfatning ofte være behov for å gjøre en Data Protection Impact Assessment (DPIA). Man må også være svært nøye på hvilken informasjon som stilles til rådighet for tjenesten. Mange fraråder å installere slike AI-modeller på hele det eksisterende Office 365-filbiblioteket. Man må også ha gode retningslinjer for bruk av tjenesten internt. Typiske elementer i slike er når tjenesten kan benyttes, men også hva den ikke skal benyttes til. For eksempel skal den ikke benyttes til å ta opp og skrive referat fra medarbeidersamtaler. En annen detalj som kan være nyttig å vite, er at OpenAI i skrivende stund ikke er DPF-godkjent. Det betyr at det kan være nødvendig å gjøre en Transfer Impact Assessment (TIA). Nok av dokumentasjonsbehov der, altså.
Samtidig er kvalitet viktigere enn noen gang. Selv om teknologien effektiviserer arbeid, muliggjør den også snarveier og halvveisløsninger. At produktet man leverer er av god kvalitet har alltid vært viktig, men i en tid som denne er det kanskje blitt enda viktigere? Det kan kanskje være greit med dokumentasjonsplikten som krever litt tankekraft på hvordan dette skal gjøres.
Og apropos AI. Du finner rapporten fra EDPB om OpenAI her – den er lesverdig om du utvikler AI. Den lister opp spørsmålene de har stilt til OpenAI – det er spørsmål man har godt av å se på for egen bruk av AI.
https://www.edpb.europa.eu/system/files/2024-05/edpb_20240523_report_chatgpt_taskforce_en.pdf
Les mer her:
https://www.axios.com/2024/03/29/congress-house-strict-ban-microsoft-copilot-staffers
PERSONVERN
Beriking av data i fokus hos datatilsynet i Bayeren
Kredittopplysningsbyrået CRIF Bürgel kjøpte personopplysninger som navn, adresser og fødselsdatoer for millioner av tyskere, inkludert klageren, fra megleren Acxiom, som samlet disse dataene for direkte markedsføringsformål. CRIF Bürgel brukte personopplysningene for å vurdere kredittverdigheten til enkeltpersoner.
Klageren ba om tilgang til en kopi av sine data og informasjon om behandlingen av sine personopplysninger. CRIF Bürgel svarte med informasjon om hvilke personopplysninger som var tilgjengelige, men ga ikke klageren informasjon om den nøyaktige datoen for mottak av data fra Acxiom, lagringsperioden, utlevering av data til bestemte mottakere og formålene med overføringen.
Klageren ba også CRIF Bürgel om å begrense behandlingen av sine personopplysninger i henhold til artikkel 18. CRIF Bürgel hevdet at retten til å begrense behandlingen kun eksisterte hvis de aktuelle dataene var feilaktige, og avviste derfor klagerens forespørsel om begrensning. CRIF Bürgel hevdet videre at de ikke utførte en “ny behandling” ettersom de allerede hadde de samme personopplysningene om klageren da de mottok personopplysningene fra Acxiom.
Klageren hadde hjelp av NOYB. De klaget begge selskap til det bayerske datatilsynet. De avviste CRIF Bürgels argument om at det ikke var “ny behandling”. Datatilsynet forklarte at CRIF Bürgel kunne konkludere med at klageren fortsatt var bosatt på den adressen som CRIF Bürgel hadde lagret i systemet sitt basert på Acxioms data. Derfor fastslo datatilsynet at klageren skulle ha blitt informert senest en måned etter å ha fått inn data fra Acxiom, i samsvar med artikkel 14. Dette var et brudd på informasjonsplikten. Klageren skulle også ha fått informasjon om denne datoen.
Datatilsynet fastslo videre at Acxioms behandling for formål om direkte markedsføring og CRIF Bürgels behandling for formål om å vurdere kredittverdigheten til enkeltpersoner ikke var forenlige.
Saken mot Axciom er forsinket da Axciom gikk til retten for å hindre klageren i å få tilgang til saksdokumenter. Denne saken har de tapt, og datatilsynet kommer antakelig med et vedtak i den saken også.
Det er mange selskaper som beriker data. Det må nok regnes med at dette er en type aktivitet som får mer oppmerksomhet fremover.
Les mer om saken her:
https://gdprhub.eu/index.php?title=BayLDA_(Bavaria)_-_LDA-1085.1-10821/21-F&mtc=today
Samtykke eller avtale?
Man skal være tydelig på om man bruker samtykke eller avtale. Det er det ikke alle som er gode på.
Den svenske datatilsynsmyndigheten (“IMY”) startet en undersøkelse mot Expressen Lifestyle AB (Expressen) i 2019 for å sjekke om samtykke ble innhentet på riktig måte. Expressen er en stor avisutgiver i Sverige. Etter innføringen av GDPR i 2018, baserte Expressen seg hovedsakelig på kontraktsmessig nødvendighet og berettiget interesse i stedet for samtykke for abonnement. Imidlertid glemte de ved en feiltakelse å oppdatere registreringsskjemaet til en av selskapets nettbutikker, Magasinshoppen. Nettbutikken hadde en avkrysningsboks på nettsiden sammen med teksten “Jeg godtar abonnementsvilkårene. Ved å gjøre det, samtykker jeg i behandlingen av personopplysninger innenfor Bonnier Group.”
Expressen oppdaterte heller ikke abonnementsvilkårene som anga følgende: “Ved bestilling samtykker du i at dine personopplysninger, inkludert e-postadresse, mobilnummer for samtaler og tekstmeldinger og andre digitale adresser, kan lagres og brukes innenfor Bonnier for digitale tjenester, markedsføring og for statistiske og analytiske formål.” Videre ble det gitt informasjon om retten til å trekke tilbake samtykke.
Etter at tilsynsmyndigheten startet inspeksjonen, iverksatte Expressen umiddelbare tiltak for å korrigere informasjonen som ble gitt i registreringsprosessen på nettbutikken deres. Nå ber de om at abonnenten godta abonnementsvilkårene (dvs. kjøpsvilkårene) og bekrefte at de har lest kontrollerens personvernpolicy, i stedet for en forespørsel om samtykke.
IMY konkluderte med at den opprinnelige teksten ved siden av avkrysningsboksen på kontrollerens nettside ga inntrykk av at kontrollerens rettslige grunnlag for behandling av personopplysninger var samtykke. Dette ble forsterket av teksten i abonnementsvilkårene og den gitte informasjonen om retten til å trekke tilbake samtykke. Siden Expressen ikke baserte sin behandling på samtykke, men på avtale og berettiget interesse, fant IMY at Expressen brøt artikkel 13(1)(c) ved å angi et feilaktig rettslig grunnlag.
Tilsynsmyndigheten fant at bruddene var en mindre overtredelse i henhold til betraktning 148, ettersom nettsiden ikke var hovedsiden som ble brukt av de registrerte for å abonnere. Antallet berørte personer var begrenset, og bruddet resulterte ikke i alvorlige konsekvenser for de registrerte. IMY utstedte derfor en irettesettelse og ingen bot. Det er en pragmatisk vinkling fra IMY på valg av sanksjoner her, det er ikke alle lands tilsyn som gjør det slik.
Det er mange som har blandet avtale med samtykke og grensen kan være hårfin. Om du bruker noe av dette som behandlingsgrunnlag – ta en runde på den informasjonen dere gir kundene og se om ordlyden trenger en oppfrisker.
Se mer her:
https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2019-6523&mtc=today
En av sakene mot Klarna er blitt endelig
Det svenske datatilsynet (“IMY”) ila Klarna AB en bot på SEK 7 300 000 for ikke å gi tilstrekkelig informasjon til de registrerte. Klarna anket beslutningen til Forvaltningsretten i Stockholm, som delvis opphevet beslutningen og reduserte boten til SEK 6 000 000 fordi overtredelsene ikke var forsettlig og fordi Klarna hadde forbedret informasjonen til de registrerte.
IMY anket avgjørelsen videre til Kammarrätten i Stockholm, som vurderte sentrale aspekter knyttet til GDPR i saken:
- Kammarrätten var uenig med Forvaltningsretten om det forelå en overtredelse av artikkel 13(1)(f) ved ikke å angi spesifikke tredjeland. Kammerrätten konkluderte med at GDPR ikke krever spesifikasjon av tredjeland. Derfor fant Kammarrätten at Klarna ikke overtrådte GDPR i denne sammenhengen.
- Kammarrätten var uenig med Forvaltningsretten om informasjonen om registrertes rettigheter under artikkel 13(2)(b). De mente at GDPR ikke krever en detaljert beskrivelse av disse rettighetene.
- Klarna ble imidlertid funnet å ha brutt artikkel 13(1)(f) og artikkel 14(2)(g) ved ikke å gi informasjon om sikkerhetsforanstaltninger for overføringer til tredjeland og om bruken av en scoringsmodell i automatiserte beslutninger.
- Kammarrätten fant også at informasjonen om automatiserte beslutninger ikke var lett tilgjengelig som krevd av artikkel 12(1) GDPR, og at informasjonen om retten til dataportabilitet og retten til begrensning var uklart formulert.
Til tross for at Klarna hadde forbedret sin personvernerklæring, mente Kammarrätten at alvorlighetsgraden av overtredelsene, som berørte et stort antall registrerte, rettferdiggjorde en bot på det beløp IMY hadde ilagt opprinnelig. Dermed ble Datatilsynets anke tatt til følge og boten opprettholdt på det opprinnelige beløpet.
Les mer om saken her:
https://gdprhub.eu/index.php?title=KamR_Stockholm_-_2829-23&mtc=today
Og selve saken (må bestilles):
https://www.domstol.se/nyheter/2024/03/kammarratten-faststaller-sanktionsavgift-for-klarna
Prinsipiell sak om balansen mellom personvern og andre rettigheter
Fire franske organisasjoner, deriblant La Quadrature du Net, ønsket å annullere en bestemmelse i den franske åndsverkloven som fastslår at en opphavsrettsmyndighet for spredning av verk og beskyttelse av rettigheter på Internett (Hadopi) kan be om identiteten, postadressen, e-postadressen og telefonnummeret til en person som har gjort beskyttede verk tilgjengelige for nedlasting på internett. Formålet er å gjøre det mulig for Hadopi å iverksette tiltak mot den identifiserte personen. Saken havnet i ECJ. Det ble hevdet at bestemmelsen var i strid med artikkel 15 i ePrivacy-direktivet og artiklene 7, 8 og 11 i Charteret. Behandlingen ble ansett å falle utenfor GDPR fordi den handler om straffeforfølgelse, ref GDPR art 2(2)(d).
Domstolen konkluderte i sak C-470/21 med at en slik tilgang er tillatt i nasjonal rett, under visse forhold:
- Formål og begrensning: Hadopis tilgang til data må utelukkende tjene til å identifisere personer som er mistenkt for brudd på opphavsrett, og kan ikke brukes til å overvåke personens online-aktivitet.
- Lagring og tilgang: Internettleverandører må lagre dataene på en måte som sikrer at det ikke er mulig å trekke konklusjoner om personens privatliv ved å kombinere IP-adresser med andre personopplysninger. Hadopi skal ikke få tilgang til trafikkdata eller lokasjonsdata. Personopplysningene må bare lagres i en periode som er strengt nødvendig.
- Personvern og sikkerhet: Lovgivningen må inneholde klare og presise regler for lagring og tilgang, og gi effektive garantier mot misbruk og ulovlig tilgang til personopplysningene.
- Forhåndsgodkjenning: Før Hadopi kan koble en persons sivile identitet til en IP-adresse og sende en advarsel, må det godkjennes av en domstol eller et uavhengig administrativt organ. Slik gjennomgang må være en konkret vurdering og kan derfor ikke være en automatisert prosess.
Dommen understreker at Hadopis tilgang til personopplysninger ikke utgjør et alvorlig inngrep i personvernet, forutsatt at de nevnte betingelsene er oppfylt. Det er kompliserte vurderinger i dommen om bruk av IP-adresser og hvordan man skal sikre at det ikke trekkes konklusjoner om annet enn ren identifisering av en person.
Foreløpig er den ikke mye omtalt, noe som egentlig er ganske overraskende. Jeg tror saken også har overføringsverdi til andre diskusjoner om lagring av IP-adresser og overvåkning. Jeg er sikker på at dette blir en sak vi må komme tilbake til flere ganger.
Foreløpig er det gdprhub som har den beste omtalen av saken:
Generaladvokaten uttaler seg om minimumsprinsippet og generell anvendelse av GDPR i nok en Meta-sak
En Facebook-bruker i EU mottok målrettet reklame basert på sine interesser, inkludert reklame rettet mot hans seksuelle orientering. Dette var Max Schrems selv, i dette tilfellet. Han hevdet at Facebook hadde ulovlig behandlet hans personopplysninger og saken endte i domstolen. Østerrikske rettsinstanser ba om en forhåndsuttalelse fra ECJ om fire spørsmål. Imidlertid ble to av dem trukket tilbake etter dommen av 4. juli 2023, Meta Platforms and Others. De to gjenværende spørsmålene var:
- Betyr prinsippet om dataminimering (Artikkel 5(1)(c) GDPR) at alle personopplysninger som en plattform innehar kan aggregere, analyseres og behandles for formålet med målrettet reklame uten begrensninger?
- Betyr Artikkel 5(1)(b) lest i sammenheng med Artikkel 9(2)(e) GDPR at en uttalelse i en paneldebatt fra en person om sin seksuelle orientering gir en behandlingsansvarlig rett til å behandle andre data angående vedkommendes seksuelle orientering for å tilby dem personlig tilpasset reklame?
Generaladvokat Rantos publiserte sin mening om saken den 25. april 2024. Som svar på spørsmål første spørsmål fastslo Generaladvokaten at dataminimeringsprinsippet ikke tillater ubegrenset behandling av personopplysninger for målrettet reklame. Behandlingen må være proporsjonal og nødvendig i forhold til formålet med innsamlingen av dataene. Domstolene må vurdere om oppbevaringsperioden og omfanget av dataene er berettiget med tanke på formålet.
Om det andre spørsmålet fastslo Generaladvokaten at en uttalelse om en persons seksuelle orientering under en offentlig paneldebatt, kan gjøre opplysningene offentlig tilgjengeliggjort. Dette oppfyller det juridiske kravet for at personopplysningene er “åpenbart offentliggjort” i henhold til GDPR. Likevel tillater ikke dette i seg selv behandling av disse personopplysningene for personlig tilpasset reklame ettersom øvrige prinsipper i GDPR må følges.
Den endelige dommen foreligger ikke, men Generaladvokatens uttalelser får ofte stor vekt.
For mer informasjon om saken, se:
Mer om lagringstid for markedsføringsinformasjon
I Italia skjer det mye på markedsføringsfronten om dagen. En offentlig transportbedrift kalt Trasporto Passeggeri Emilia-Romagna S.p.A. (TPER) samlet inn ugyldige samtykker for abonnement på sesongbilletter. Skjemaet har vært i bruk siden 2016.
Samtykket gjaldt spesifikke formål knyttet til markedsundersøkelser, tilfredshetsundersøkelser, promotering og informasjonsformidling via telefonanrop, samt aktivering av SMS-varslingstjeneste angående streiker og planlagte endringer i tjenesten. Skjemaet inneholdt informasjon om at manglende samtykke ville gjøre det umulig for TPER å behandle dataene og dermed umulig for den registrerte å få tilgang til tjenestene. Dataeierne kunne ikke uttrykke spesifikt samtykke for hvert formål, da skjemaet bare krevde en signatur fra brukerne nederst på skjemaet. Skjemaet hevdet også at det var obligatorisk å oppgi disse dataene for å få utstedt TPERs personlige identifikasjonskort.
Enkelt sagt: TPER ble ikke ble hørt med dette, noe som ikke er overraskende. Det var en lang rekke svakheter med dette oppsettet. I dag tror jeg at få vil velge en tilnærming som TPER gjorde. Men det var også en interessant vurdering om lagringstid. TPER anga at lagringsperioden for dataene er 10 år etter utløpet av den siste sesongbillett og mente at de er underlagt ulike inspeksjoner fra regionale myndigheter som krever dokumentasjon. De viste også til mulige rettstvister med brukerne. Datatilsynet var klare på at markedsføringsformål ikke kan tilsi lagring i 10 år og påla dem å følge nasjonale retningslinjer på lagring av slik informasjon. I Italia gjelder visstnok 24 måneder for markedsføringsformål og 12 måneder for personopplysninger som brukes for profilering.
Saken er omtalt her:
En annen italiensk sak gjelder Coop Italia Società Cooperativa (Coop Italia), en av de største supermarkedskjedene i Italia. Den registrerte hadde kjøpt et e-SIM fra dem. Han mottok stadig salgsfremmende meldinger fra Coop Italia og motsatte seg dette, ref artikkel 21(2) og han klaget etterhvert til Garante, det italienske datatilsynet.
Coop Italia innrømmet å ha sendt to ytterligere salgsfremmende tekstmeldinger etter å ha mottatt innsigelsen, men sa at dette skyldtes en uvanlig intern misforståelse. Garante gjennomførte tilsyn hos Coop Italia med fokus på markedsførings- og profileringsaktiviteter.
De avdekket at det ble samlet inn en mengde personopplysninger som en del av deres telefontjeneste, inkludert telefon- og trafikkdata, internettlesedata, posisjonsdata og/eller geolokasjonsdata relatert til bruken av e-SIM-kortet. Coop Italia hevdet at disse dataene var nødvendige for å oppfylle kontraktsforpliktelsene for å levere sine tjenester. For direkte markedsføring behandlet de kun navn og kontaktopplysninger gitt av den registrerte i henhold til samtykket. Etter deres syn inkluderte dette også markedsundersøkelser, økonomisk og statistisk analyse. Coop Italia samlet også inn bilder, videoer og lydopptak for å promotere sine arrangementer og messer. De oppbevarte disse i maksimalt 5 år, noe Garante anså som for lenge.
Inspeksjonen avdekket også at Coop Italia behandlet identifikasjons- og kontaktdata, bilder og annen personlig informasjon fra sine sosiale plattformer, basert på samtykke for markedsføringsformål og for å svare på brukernes forespørsler. Lagringsperioden på 5 år for slikt materiale ble også ansett som for lang.
Garante vurderte saken slik:
Rett til innsigelse og tilgang: Coop Italia brøt artikkel 12(3), 15 og 21(2) GDPR ved å ikke hjelpe den registrerte med å utøve sin rett til å protestere mot behandlingen og ved å ikke svare på innsynsforespørsler innen 30 dager.
Behandling av diverse data: Selv om Coop Italia samlet inn diverse data for å oppfylle kontraktsforpliktelser, ble det påpekt at statistisk og økonomisk analyse krever separat samtykke, og å kombinere dette med markedsføringssamtykke var ulovlig.
Lagring av bilder og videoopptak: Garante avviste innsigelsen om overdreven lagringstid for bilder og videoopptak da samtykket var spesifikt og fritt gitt.
Data fra sosiale plattformer: Lagringsperioden for data fra sosiale plattformer manglet klare kriterier og ble ansett som overdreven for markedsføringsformål og invaderende for brukernes personvern.
Garante ga en bot på €90,000. Som sagt så mange ganger før – se over samtykkene dere bruker og sørg for at brukeren har valg.
Les mer her:
Retten til å få informasjon slettet
|
Sverige har IMY fokus på hvor enkelt det er å få slettet informasjon
Denne saken kan ha betydning for mange, da det ikke helt sjelden hender at virksomheter har lagt inn spesielle krav for å få slettet informasjon. I slike situasjoner er det spesielt viktig å vite om hvilke rettigheter man har som forbruker, også på tvers av landegrenser.
Sju registrerte personer kontaktet CDON AB og ba om sletting av sine data. CDON svarte at for å kunne behandle forespørselen trengte de informasjon om fødselsdato, adresse, kundenummer, informasjon om nylige kjøp som ordrenummer og betalingsmetode inkludert de siste fire sifrene av kredittkortnummeret ved kortbetaling. Flere registrerte personer hevdet at de ikke kunne hente all den forespurte informasjonen fordi kjøpene deres var så langt tilbake i tid.
De registrerte personene sendte klager mot behandlingsansvarlig. CDON hevdet at navn og e-postadresser til de registrerte personene ikke var tilstrekkelig for å sikre identiteten til den registrerte. De uttalte at de tok klagene svært alvorlig og har siden gjennomgått og klargjort identifikasjonsprosessen slik at de registrerte nå bare trenger å svare på ett av to sikkerhetsspørsmål, for å bekrefte sin identitet.
Videre uttalte de at de slettet kundeprofiler automatisk avhengig av forbrukerlovgivningen i forskjellige land, for eksempel etter tre år i Sverige. Behandlingsansvarlig bekreftet dermed at alle personopplysningene til de registrerte var slettet.
IMY undersøkte ikke to av de sju klagene, blant annet på grunn av manglende verifikasjonsmuligheter av mottak- eller behandlingsdatoen. For de resterende fem klagene vurderte IMY først om behandlingsansvarlig hadde rimelig grunn til å tvile på identiteten til de registrerte. Datatilsynet påpekte at behandlingsansvarlig kan kreve ytterligere informasjon kreves hvis behandlingsansvarlig har rimelig grunn til å tvile på identiteten til den registrerte, men man må først utføre en forholdsmessighetsvurdering. De mente at et generelt krav om ekstra identifikasjon bryter GDPR.
IMY fant at CDON ikke hadde tilstrekkelig vurdert om ytterligere informasjonen var nødvendig og konkluderte med at CDON brøt artikkel 5(1)(c) og artikkel 12(6).
Videre uttalte de at behandlingsansvarlig brukte en byrdefull verifiseringsmetode når de ba de registrerte om å oppgi ordrenummer og pris på siste bestilling når den siste bestillingen var for lenge siden. Datatilsynet mente at behandlingsansvarlig ikke tilrettela for utøvelsen av de registrertes rettigheter, og brøt dermed artikkel 12(2) GDPR.
IMY konkluderte med at overtredelsene var mindre alvorlige fordi CDON hadde fattet tiltak for å legge til rette for de registrertes rettigheter og endret sin praksis samt at overtredelsene skjedde for relativt lenge siden, og at CDON ikke mottatt noen korrigerende tiltak for GDPR-overtredelser tidligere. Derfor ga IMY en reprimande og ingen bot.
Jeg vet om noen virksomheter som kunne ønske seg at en tilsvarende vurdering av formildende omstendigheter gjøres oftere!
Les mer om saken her:
https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_DI-2020-10549&mtc=today
Anonymisering er ikke alltid så enkelt
Overføring av personopplysninger fra et selskap til et søsterselskap kan skape problemer. Dette var tilfelle i en sak der et selskap i Tsjekkia delte personopplysninger samlet inn fra brukerne av selskapets antivirusprogram.
Etter en runde i tsjekkiske datatilsynsmyndigheter, kom man til at den behandlingsansvarlige overførte personopplysninger fra brukerne av sitt antivirusprogram og nettleserutvidelser til sitt søsterselskap uten tilstrekkelig rettslig grunnlag. De overførte personopplysningene omfattet omtrent 100 millioner brukere og bestod av brukernes pseudonymiserte internettlesingshistorikk. Det ble brukt en unik identifikator på brukerne.
Videre fant man at behandlingsansvarlig ga feil informasjon til sine brukere om disse dataoverføringene, da man skrev de overførte dataene var anonymiserte og kun ble brukt til statistisk trendanalyse. Myndighetene konkluderte med at internettlesingshistorikk, selv om den ikke er fullstendig, kan utgjøre personopplysninger, ettersom re-identifisering av minst noen av de registrerte kunne skje. Avgjørelsen er endelig etter at anker er avvist og kan fullbyrdes.
Den behandlingsansvarliges brudd er enda alvorligere med tanke på at selskapet er en av de fremste ekspertene på cybersikkerhet som tilbyr verktøy for datasikkerhet og personvern til allmennheten.
Hva kan vi lære av dette? At pseudonymisering ikke er anonymisering. Mange vet det godt, men det er fremdeles mange misforståelser om dette rundtom!
Lyst å lese mer? Se her:
Moderatorer må ikke ha mer informasjon enn nødvendig
Den 2. november 2022 opplevde Shanghai Moonton Technology Co. Ltd., et kinesisk videospillselskap (behandlingsansvarlig), et sikkerhetsbrudd. Bruddet påvirket 442 spanske datapersoner og involverte eksponering av brukernavn på forumet, bruker-ID, besøksfrekvens, rapportert kjønn, IP-adresser, e-postadresser og forumaktiviteter. De stjålne dataene ble publisert på en tredjeparts nettside.
Den spanske datatilsynsmyndigheten (AEPD) ble varslet om bruddet den 21. november 2022. Under etterforskningen fant AEPD at selskapet hadde brutt flere artikler i GDPR. AEPD konkluderte med at selskapet hadde delt mer personlig informasjon med forummoderatorer enn nødvendig, og dermed brutt prinsippet om dataminimering. Det ble også fastslått at selskapet ikke hadde oppfylt sikkerhetsforpliktelsene, noe som ble tydeliggjort gjennom publiseringen av personlig informasjon på en tredjeparts nettside og utilstrekkelige sikkerhetstiltak for moderatorer. Her hadde det vært interessant å se om tilsynet har foretatt noen mer inngående vurdering, men avgjørelsen er svært lang og mine spanskkunnskaper og oversettelsesevner har ikke rukket gjennom alt.
Videre hadde ikke selskapet utpekt en representant i Den europeiske unionen, slik GDPR krever. Selskapet varslet ikke AEPD om bruddet innen den fastsatte tidsrammen.
Som følge av disse bruddene startet AEPD sanksjonsprosedyrer mot selskapet og anbefalte en bot på €90 000.
Noe å lære her? Moderatorer er i denne sammenhengen å ligne med ansatte. Sørg for at ingen har tilgang til mer informasjon enn nødvendig!
Se mer om saken her:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213323&mtc=today
Den finske Vaastamo-saken går mot en avslutning
En finsk statsborger har blitt dømt til seks år og tre måneders fengsel i Vest-Uusimaa tingrett i Finland for å ha hacket seg inn i pasientfilene til psykoterapisenteret Vastaamo og krevd 400 000 kroner i løsepenger. Vedkommende var gjerningsmannen bak den såkalte Vaastamo-saken som er en av de verste hacking-sakene i Norden. Det er en av få saker hvor det er ilagt fengselsstraff for brudd på GDPR. Psykoterapisenterets direktør fikk en tre måneders betinget fengselsstraff i fjor for ikke å ha beskyttet sensitive data tilstrekkelig. Ankesaken hans starter neste år.
Vi har hatt saken presentert i personvernnettverket tidligere: Et psykoterapisenter ble hacket, og opplysninger om mange pasienter ble lagt på “dark web”. Omtrent 33 000 pasientfiler ble stjålet. Psykoterapisenteret fikk en bot på 608 000 euro for brudd på GDPR. De hadde ikke sikret personopplysningene på en tilstrekkelig måte, hadde ikke tatt hensyn til interne varsler om at sikkerheten var for dårlig og de rapporterte datainnbruddet for sent. Selskapet som drev psykoterapisenteret gikk etter hvert konkurs, og det er lite sannsynlig at ofrene får erstatning og at boten blir betalt.
Les saken her:
DPA decision from January 2022
BIOMETRI
Fingeravtrykk for å se fotballkamp
At det gjelder strenge krav for behandling av biometriske personopplysninger, hadde gått Burgos Club de Fútbol hus forbi. I 2022 implementerte Burgos Club de Fútbol, S.A.D. (behandlingsansvarlig) et system for innsamling av biometriske data som krevde at rundt 700 medlemmer av “heiafeltene” måtte avgi obligatorisk fingeravtrykk for å få adgang til arenaen. Fingeravtrykksystemet samlet inn navn, nasjonale ID-numre, system-ID-numre og fingeravtrykkmønstre, og erstattet det tidligere systemet som brukte ID-kort.
Bakgrunnen var et vedtak fra en statlig kommisjon mot vold, rasisme, fremmedfrykt og intoleranse i sport.
Det ble samme år levert klager til det spanske datatilsynet (AEPD). Det ble hevdet at kontrollen var overdreven og at de registrerte ikke fikk tilstrekkelig informasjon. Den 15. februar 2023 sluttet behandlingsansvarlig den obligatoriske innsamlingen av biometriske personopplysninger og ga medlemmene mulighet til å bruke ID-kort eller fingeravtrykk for adgang. Den 19. februar 2023 fastslo AEPD at kommisjons krav om biometrisk behandling ikke var i samsvar med GDPR.
AEPD fant flere sannsynlige brudd på GDPR. Blant annet var det ikke utført en risikovurdering før implementering av systemer og det manglet behandlingsgrunnlag (noe risikovurderingen antakelig ville avdekket). Behandlingen brøt også prinsippet om dataminimering, da sikkerhetsformålene kunne oppnås med det tidligere ID-kortsystemet. Videre ble det funnet brudd på artikkel 8 fordi biometriske personopplysninger fra mindreårige ble samlet inn uten aldersbegrensning. Heller ikke informasjonsplikten var ikke overholdt.
AEPD anbefalte en sanksjon på €200,000, men behandlingsansvarlig fikk boten til €120,000 ved å erkjenne ansvar og betale den foreslåtte boten.
Jeg synes å se at det er ulik praksis om biometriske opplysninger i ulike land. I Danmark tillates som kjent ansiktsgjenkjenning for å ekskludere hooligans fra fotballkamper, og i Tyskland brukes fingeravtrykk i ID-kort. Det som i alle fall er sikkert er at dersom man skal bruke biometri, så er det en rekke vurderinger som må gjøres for å sikre at man gjør ting lovlig.
Les mer her:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202213792&mtc=today
Ikke ansiktsgjenkjenning i supermarkeder i Nederland
Mange setter pris på ansiktsgjenkjenning for åpning av mobiltelefonen, men ansiktsgjenkjenning kan brukes til veldig mye mer.
Nederlands datatilsyn (DPA) har utgitt en veiledning som klarlegger bruken av ansiktsgjenkjenningsteknologi og behandling av biometriske data. Det nederlandske datatilsynet understreker at å innføre ansiktsgjenkjenning i supermarkeder ville bryte nederlandske personvernlover, da det anses som et betydelig inngrep i besøkendes personvern. I veiledningen bekreftes det også at bruk av spesielle personopplysninger, som biometriske data, fortsatt er underlagt forbud ved bruk av ansiktsgjenkjenning for identifikasjonsformål.
Nederland tillater likevel ansiktsgjenkjenning for sikkerhetsformål, som å beskytte atomkraftverk.
Les mer om dette i denne artikkelen:
ULIKE ROLLER
Ikke alltid lett å si om man er databehandler eller behandlingsansvarlig
Det er en trend at mange ønsker å være behandlingsansvarlige fordi det gir større kontroll over opplysningene. Selv om det kan være et visst handlingsrom i å fastlegge roller, vil realiteten være avgjørende for hva som er et riktig resultat.
Den registrerte utøvet sin rett til innsyn overfor administratoren av programvareplattformen for en app og nettsted. Administratoren hevdet å bare fungere som en databehandler som behandlet personopplysninger på vegne av helsepersonell. Appen og nettsiden tillot pasienter å se gjennom ulike medisinske praksiser, identifisere seg selv, velge legen de ønsket avtale med, velge ønsket tidspunkt og bekrefte avtalen. Den registrerte mente at administratoren faktisk var behandlingsansvarlig og klaget derfor til det belgiske datatilsynet (GBA).
GBA konkluderte med at formålet med appen og nettsiden var å ha et nettbasert avtalesystem, utveksle data med andre apper og gjøre fullstendig automatiserte avtaler. Derfor ble formålet autonomt fastsatt av helsepersonellet. Administrator leverte bare et nettbasert kalendersystem for å oppnå dette formålet. Helsepersonellet ble ansett som behandlingsansvarlige.
GBA mente at databehandleravtalene viste at behandlingsaktiviteten ble utført utelukkende i samsvar med skriftlige instruksjoner fra helsepersonellet. Det ble også uttrykkelig angitt at administratoren ikke ville behandle personopplysninger til andre formål enn de som ble spesifisert av helsepersonellet. Personvernerklæringen spesifiserte også at administratoren bare var ansvarlig for den tekniske funksjonen til plattformen, mens helsepersonellet var ansvarlig for å fastsette formålet og innholdet i behandlingsoperasjonene.
GBA konkluderte også med at den dataregistrerte må utøve retten til innsyn mot den behandlingsansvarlige, ikke databehandleren.
Les mer om saken her:
https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_63/2024&mtc=today
KOMMENDE MØTER
22. august 14.00 – 17.00 Nettverksmøte i Oslo |
19. sept 12.00 – 13.00 Digital drop-in |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.