IT-jus nr. 6/24

mandag 1. juli 2024 @ 13:41

Det er alltid interessant å skrive nyhetsbrev. Denne gangen er jeg overrasket over at det er så mange saker som handler om biometri. Det ser ut som om det er […]
Av Eva Jarbekk

Det er alltid interessant å skrive nyhetsbrev. Denne gangen er jeg overrasket over at det er så mange saker som handler om biometri. Det ser ut som om det er en trend at biometri tillates i ulike kontrolltiltak og autentiseringsfunksjoner. Vi har lenge sagt at det er vanskelig å bruke biometri til kontroll, men jeg tror at handlingsrommet er i ferd med å åpne seg. Det er flere saker om dette under.

Ellers er det mye diskusjon i Norge om hjemmel for opplæring av KI. Mye av dette henger sammen med at Meta ønsker å bruke berettiget interesse for å trene Llama, som er navnet på deres KI. Llama brukes av mange andre enn Meta, blant annet av norske offentlige virksomheter. Det vil komme mer rådgivning fra datatilsynene og EDPB på hvilket hjemmelsgrunnlag som er riktig, men EDPBs task force om ChatGPT åpner for at berettiget interesse kan brukes. Selv tror jeg ikke det er lurt å sette samtykke som eneste mulige kriterium, men dersom man bruker berettiget interesse må det være en enkel opt-ut mulighet. Jeg kommer tilbake til temaet senere.

I øvrig kan dere glede dere til neste nettverksmøte i august – vi skal blant annet ha en særskilt bolk om ting man må tenke på ved innkjøp av KI-tjenester.

Men før august-møtet – ha en riktig god sommer! Og få med deg det siste innlegget i nyhetsbrevet – arbeidsgiver må sørge for at personvernombudet ikke er overarbeidet. 😊 Ha en riktig avslappende og velfortjent ferie!

Hilsen Eva


BIOMETRI

Ansiktsgjenkjenning på gaten i Tyskland (!)

I Tyskland er det satt i gang testing av et biometrisk overvåkningssystem (ansiktsgjenkjenning) som skal gjøre det enklere å identifisere og pågripe mistenkte. Dette har skapt store protester. Protestene er ikke overraskende, det overraskende er at initiativet tas i Tyskland som tradisjonelt har et sterkt personvernfokus. Dette har ledet til en offentlig debatt rundt den delikate grensen mellom borgernes sikkerhet og deres individuelle frihet.

Tysk politi ønsker å benytte høyoppløselige kameraer og ansiktsgjenkjenning i sanntid. Det er nylig kommet frem at det tyske føderale kriminalpolitiet (BKA) brukte bilder av omtrent tre millioner personer til testing av ansiktsgjenkjenningssystemer. BKA skal angivelig ha hentet ut nesten fem millioner ansiktsbilder fra politiets sentrale informasjonssystem i 2019 for å evaluere nøyaktigheten til løsningene fra flere produsenter.

Intern kommunikasjon mellom BKA og den føderale datatilsynet viser at man har søkt å basere seg på hjemler knyttet til vitenskapelig forskning, men det reises tvil om dette er lovlig og det er kommet krav om tydeligere lovreguleringer for hvordan sikkerhetsmyndigheter skal teste programvare.

Saken er omtalt her :


EDPB har kommet med en veileder om ansiktsgjenkjenning på flyplasser

EDPB har uttrykt bekymring rundt bruken av ansiktsgjenkjenningsteknologi på flyplasser. Helt konkret gjelder det bruk av biometri i noen typesituasjoner som sikkerhetskontroll, bagasjedrop, boarding og tilgang til passasjerområder. De anerkjenner at implementering av slike metoder vil være til god hjelp for sikkerheten på flyplasser. Imidlertid setter slik teknologi igjen forholdet mellom personvern og individuelle friheter på spissen.

Som EDPB så ofte gjør, setter de opp ulike scenarioer og uttaler seg om dem. De kommer med ganske praktiske vurderinger av hvilke typer behandlinger som kan anses lovlige og legger mye vekt på om individet selv har kontroll over opplysningene eller ikke. Det anses mindre inngripende om flyplassen ikke lagrer de biometriske opplysningene om individet. De har også noen mellomløsninger der opplysningene lagres sentralt, men individet selv kontrollerer en nøkkel til informasjonen. Der opplysningene lagres sentralt, vektlegger de kort lagringstid, eksempelvis 48 timer. Dette er som forventet. Det er interessant at det eksempelet de er mest kritiske til dreier seg om skybasert sentral lagring.

Selv om det finnes gode argumenter for slik teknologi, må den stadig balanseres mot behovet for individuelles rett til personvern og frihet. Det ser likevel ut som om man nå ser en stadig større åpning for denne type systemer.

Du finner selve veilederen her:

https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-112024-use-facial-recognition-streamline_en


Mer biometrisk overvåking i Sverige

I Sverige har et utvalg utredet politiets muligheter til å bruke teknologi for automatisk ansiktsgjenkjenning, samt om den eksisterende bruken av teknologi for gjenkjenning av kjøretøyregistreringsnummer kan utvides og effektiviseres. Utredningen har også sett på politiets muligheter til å få tilgang til materiale fra andres kameraovervåkning.

Forslagene i utredningen inkluderer:

  • Politiet skal kunne drive overvåkning med kamera på veier, gater, torg og andre offentlige steder som brukes til motorisert trafikk uten å måtte gjøre en dokumentert interesseavveining før overvåkningen starter. Materiale kan bare behandles for å forebygge, forhindre, oppdage, etterforske eller straffeforfølge forbrytelser som har en strafferamme på tre år eller mer, og kan behandles i seks måneder etter at det er samlet inn.
  • Teknologi for biometrisk fjernidentifisering i sanntid skal kunne brukes på offentlige steder for formål knyttet til kriminalitetsbekjempelse i den grad EU’s AI-forordning tillater det. Teknologien kan dog bare brukes i enkeltstående  tilfeller og kun etter tillatelse fra en myndighet.
  • En tydeliggjørende regel skal innføres for hva som gjelder når politiet ber om tilgang til andres overvåkningsmateriale. Materialet kan utleveres når det er nødvendig for å etterforske en begått forbrytelse som har en strafferamme på fengsel, eller for å forebygge, forhindre eller oppdage kriminell virksomhet som involverer forbrytelser med en strafferamme på fengsel.
  • Transportstyrelsen (Sveriges svar på det norske Vegvesenet) skal utlevere materiale fra bompenger- og infrastrukturavgiftskameraer til politiet hvis opplysningene er nødvendige i en nødsituasjon for å forhindre eller etterforske en forbrytelse som har en strafferamme på tre år eller mer, eller et straffbart forsøk eller forberedelse, eller for å avsløre eller forhindre slik kriminalitet.
  • Personopplysninger som er samlet inn gjennom kameraovervåkning skal kunne gjøres tilgjengelig internt i politiet for spesifiserte tjenestemenn som har behov for opplysningene for å opprettholde offentlig ro, orden og sikkerhet, eller for å forebygge, forhindre, oppdage, etterforske eller straffeforfølge forbrytelser som har en strafferamme på tre år eller mer. Opplysningene kan ikke behandles lenger enn seks måneder etter at de er samlet inn.

Utredningen foreslår at reglene skal tre i kraft 1. januar 2025 og  – etter hva jeg hører – er frustrasjonen over gjengkriminalitet i Sverige så stor at man regner med at dette faktisk kan bli en realitet.


Ryanair får klager for å kreve biometrisk identifikasjon

Reiseorganisasjonen EU Travel Tech har klaget på Ryanair til de franske og belgiske datatilsynene. EU Travel Techs medlemmer omfatter kjente online reisebyråer som Airbnb, Booking.com og Expedia Group samt Amadeus. Klagen utfordrer at Ryanairs i desember 2023 innførte nye regler for biometrisk kundeidentifisering. Kunder uten medlemsskap hos Ryanair må sende inn bilder av seg selv, av sin underskrift eller av pass for å bestille og sjekke in online. Dette gjelder selv om bestillingen skjer gjennom andre Online Travel Agencies (OTA).

EU Travel Tech mener at fremgangsmåten er i strid med personvernforordningen. De ber om en hasteundersøkelse av Ryanairs praksis etter forordningens artikkel 66 og krever midlertidige tiltak for å suspendere den biometriske verifiseringsprosessen.

På mange måter ser man her at personvernregler brukes i en rent kommersiell sammenheng. Det er rimelig å anta at Ryanair gjør det vanskeligere for andre enn sine egne kunder med denne mer tyngende registreringsprosessen.


Stadig flere saker om hva som kan kreves av identifikasjon

I Spania har datatilsynet bøtelagt en behandlingsansvarlig 20.000 euro som følge av for strenge krav til identifikasjon.

Selskapet Mouro Producciones arrangerer konserter og arrangementer. De krevde at foreldre eller foresatte måtte framlegge kopi av både sine egne og barnas ID-kort for at barna skulle få adgang til arrangementene. Det ble vurdert som ulovlig at man krevde kopi av legitimasjon og at man ikke informerte om hvor lenge kopien ble lagret.

Selskapet erkjente ansvaret, og fikk dermed en redusert bot i henhold til spanske regler. Boten ble på 12 000 euro.

Mer om saken finner du her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202310910&mtc=today


SKYTJENESTER  OG TREDJELANDSOVERFØRINGER  

Skytjenester under lupen (igjen) i Frankrike

Den offentlige interessegruppen “Plateforme des données de santé” i Frankrike ønsket å opprette et database over helseopplysninger på servere hos Microsoft. De søkte tillatelse fra CNIL (det franske Datatilsynet), og fikk innvilget denne den 21. desember 2023.

Flere selskaper og organisasjoner påklaget denne tillatelsen, og anket saken helt opp til den høyeste franske administrative domstolen (Conseil d’Etat) i mars 2024. De hevdet at denne tillatelsen innebar en for stor risiko for at amerikanske myndigheter kunne misbruke personopplysningene i basen som Microsoft kontrollert. De ønsket å stanse prosjektet ved å bruke en særlig fransk bestemmelse om hasteavgjørelser i situasjoner med stor umiddelbar fare.

Domstolen var ikke enige i at det forlå en stor fare. De synes å legge vekt på at det ikke var funnet alternativer til løsningen uten en tilsvarende overføringsrisiko. Videre la de vekt på at det var pseudonymiserte helseopplysninger der personnummer og fødselsdato ikke var med. Opplysningene skulle lagres på servere i Frankrike. Domstolen la vekt på at klagerne ikke hadde ført bevis for at amerikanske myndigheter kunne bruke CLOUD Act til å skaffe seg tilgang til opplysningene. De mente likevel at man ikke kunne utelukke at slik tilgang ville kunne skje, men at det fremsto som hypotetisk på tidspunktet for vurderingene. Basert på dette konkluderte de med at det ikke var noen stor og overhengende fare for personvernet samtidig som formålet med prosjektet – å fremme forskning innenfor helsefeltet – veide tungt.

Dette er en avgjørelse som nok kommer til å få mye oppmerksomhet for tredjelandsoverførsler og kommer antakelig til å bli viktig fremover.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=CE_-_492369&mtc=today


PERSONOPPLYSNINGER

Dansk Datatilsyn er (som vanlig) på hugget

Denne saken inneholder en smørbrødliste over ting som ofte gjøres feil. Samtidig illustrerer den at nyere rettspraksis om behandlingsansvar og behandlingsgrunnlag for digital reklame faktisk blir håndhevet.

Datatilsynet mottok en klage fra en borger som klaget over at Telmore A/S videreformidlet hans personopplysninger til Meta Irland. Klagen inneholdt fire punkter:

  1. Telmores videreformidling av klagers personopplysninger til Meta Irland.
  2. Telmores overføring av klagers personopplysninger til USA.
  3. Telmores manglende overholdelse av sin opplysningsplikt.
  4. Telmores manglende svar på klagers forespørsel om innsyn.

Man brukte vedkommendes epostadresse som nøkkel inn i Facebooks “Custom Audience”. Ved å dele epostadressen, ville Telmore unngå at vedkommende fikk rettet reklame på Facebook. Det var altså ikke for å sende reklame – men for å unnta vedkommende fra å få reklame.

Selskapet hevdet at de gjorde dette basert på sin berettigede interesse.  Epostadressen var hashet. Telmore anså at Meta Irland handlet som databehandler for selskapet. Telmore anførte også at det ikke var skjedd noen overføring til USA fordi avtaleparten var Meta Irland.

Læringspunkt 1: Datatilsynet la ikke vekt på at opplysningene var hashet. Hashede personopplysninger anses som personopplysninger og må følge reglene i GDPR.

Læringspunkt 2: Berettiget interesse er vanskelig å bruke som behandlingsgrunnlag for reklame og deling av personopplysninger med tredjepart. Skal man kunne gjøre det, må man blant annet passe på at det gis informasjon. Behandlingen var ikke beskrevet i selskapets personvernerklæring.

Datatilsynet anerkjente likevel at Telmore kunne ha en berettiget interesse i å drive markedsføring og har noen interessante vurderinger. De skriver:

Det er Datatilsynets opfattelse, at den registrerede generelt har en rimelig forventning om, at personoplysninger, der afgives som led i et kundeforhold, ikke videregives til andre dataansvarlige til brug for direkte markedsføring, herunder til udbydere af sociale medier.

Det betyder ikke, at en virksomhed er forpligtet til at indhente den registreredes samtykke. Behandlingen af de omhandlede oplysninger kan ske på baggrund af en interesseafvejning. Det forudsætter imidlertid, at virksomheden træffer yderligere foranstaltninger for at sikre, at den registrerede bliver særskilt opmærksom på, at oplysningerne vil blive brugt til direkte markedsføring, at oplysningerne til brug for direkte markedsføring videregives til udbydere af sociale medier, hvilke oplysninger der er tale om, og at den registrerede altid har mulighed for at gøre indsigelse mod den pågældende behandling.

Efter en samlet vurdering finder Datatilsynet, at videregivelse og behandling af klagers e-mailadresse ikke kunne ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra f.

Det er Datatilsynets vurdering, at Telmore har forfulgt en legitim og nødvendig interesse i at foretage direkte markedsføring og en legitim interesse i, at virksomhedens kunder ikke udsættes for unødige reklamebudskaber.

Heroverfor står hensynet til klager, idet behandling af personoplysninger har en indvirkning på den registrerede. Denne indvirkning, der kan være både positiv og negativ, kan også omfatte rene følelsesmæssige indvirkninger, som f.eks. irritation, frygt og angst, der kan opstå, hvis den registrerede mister kontrollen over sine personoplysninger.

Datatilsynet har foretaget en konkret afvejning af de angivne (modsatrettede) interesser og finder på den baggrund, at klagers interesse i, at vedkommendes e-mailadresse ikke blev videregivet og behandlet, vejer tungere end Telmores legitime interesse i gennemføre de ovennævnte markedsføringsaktiviteter. Datatilsynet har i den forbindelse navnlig lagt vægt på, at klager i en situation som den omhandlede må antages at have en berettiget forventning om, at oplysninger, der er afgivet som led i etablering af et kundeforhold, som udgangspunkt ikke videregives til tredjeparter i markedsføringsøjemed. Endvidere har Datatilsynet lagt vægt på, at Telmore ikke ses at have implementeret yderligere foranstaltninger for at sikre bl.a. øget transparens som kunne føre til, at interesseafvejningen faldt ud til fordel for virksomheden.

Datatilsynet konkluderte så med at Telmores behandling av klagers personopplysninger ikke kunne baseres på berettiget interesse i denne situasjonen.

Læringspunkt 3: Domspraksis fra EUCJ om felles behandlingsansvar gjelder. Datatilsynet fastslo at det forelå et felles ansvar for databehandlingen. Dermed manglet en avtale om felles behandlingsansvar. Dessuten spiller dette inn på vurderingen av berettiget interesse. Kontrollen over opplysningene blir mindre – og det blir vanskeligere å konkludere med berettiget interesse.

Datatilsynet kom til at det ikke var hensiktsmessig å fortsette undersøkelsen av de øvrige klagepunktene i saken fordi det er en avgjørende forutsetning for å overholde personvernreglene at man identifiserer sin egen ansvarsrolle korrekt. Datatilsynet la også vekt på at Telmore ikke lenger delte klagers e-postadresse med Meta Irland.

Les gjerne hele avgjørelsen her – den er lesverdig:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-telmore-as%E2%80%99-behandling-af-personoplysninger

Det danske Datatilsynet har også kritisert en videregående skole for bruk av programvare til å forhindre juks ved eksamener.

Skolen ble kritisert for manglende risikovurdering ved bruk av en eksamensovervåknings-programvare “ExamCookie”. Programvaren ble brukt til å overvåke studenter under eksamen for å forhindre juks. Skolen mente at behandling av skjermbilder, kopiert tekst, aktive programmer og URL-adresser var nødvendig for å oppdage juks. De valgte bort funksjoner som ikke var ansett som nødvendige, f eks overvåkning av aktive prosesser og nettverksaktivitet. Skolen ble imidlertid kritisert for å ikke ha iverksatt tilstrekkelige tekniske tiltak for å beskytte studentenes personopplysninger, spesielt risikoen for utilsiktet innsamling av sensitive data. Blant annet var risikoen for personvernbrudd ikke tilstrekkelig kommunisert til studentene.

Datatilsynet kom til at skolen generelt sett overholdt personopplysningsreglene, men oppfordret skolen til en ny risikovurdering.

Dette betyr at man nok ofte kan benytte denne type programvare, men man må passe på at de nødvendige vurderingene er foretatt og at informasjon gis.

Saken er omtalt her:

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/apr/kritik-af-gymnasiums-brug-af-eksamensovervaagningssoftware


Hjelp til konskvensanalyser fra det danske datatilsynet

I mai i år offentliggjorde det danske datatilsynet to maler for konsekvensanalyser. Den ene er ganske generell, mens den andre er spesifikt innrettet mot utvikling og ikke minst drift og bruk av KI-løsninger. Malen for KI-løsninger er ganske omfattende, men det er egentlig en god ting fordi den tvinger brukeren gjennom en rekke spørsmål man kanskje ellers ville glemt å stille.

Jeg vil virkelig anbefale dere å se nærmere på disse malene dersom dere trenger konsekvensanalyser og særlig dersom dere nå er i ferd med å gjøre deres første reelle vurderinger av å ta i bruk KI i egen virksomhet. En av de praktiske delene er at de setter opp eksempler på scenarioer der ting går galt. For eksempel er en meget alvorlig hendelse beskrevet slik:

Registrerede kan opleve betydelige konsekvenser, som kun kan overkommes med betydelig indsats og konsekvenser for den enkelte (økonomiske konsekvenser, fejlkontering af midler, sortlistning eller nedgradering i kreditmuligheder, fysisk skade på aktiver, påvirkning af arbejdssituation, stævning, dårligere helbred og lignende).

Det er nyttig å få hjelp med slikt.

Du finner malene her:

https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/maj/nye-skabeloner-til-gennemfoerelse-af-konsekvensanalyser


AI Act er viktig – men Europarådet vil også være med

Lenge før vi fikk omfattende forordninger om personvern fra EU, hadde Europarådet konvensjoner om grunnleggende personvernprinsipper. Disse var gjeldende for Norge og noen av oss jobbet med dem, men nå er de mest for spesielt interesserte. Europarådet er likevel et viktig organ og nå har de besluttet en konvensjon om KI også. Konvensjonen heter Council of Europe Framework Convention on artificial intelligence and human rights, democracy, and the rule of law.

Konvensjonens navn viser at den skal sikre respekt for menneskerettigheter, rettsstatsprinsipper og demokratiske standarder i bruk av KI-systemer. Den dekker hele livssyklusen til KI-systemer og skal balansere mulige risikoer opp mot ansvarlig innovasjon. Avtalen kan ratifiseres av både europeiske og ikke-europeiske land. Slik sett oppfyller den behovet for en internasjonal juridisk standard for flere kontinenter og kan bli vel så viktig som AI Act.

Konvensjonen er resultatet av to års arbeid av en gruppe bestående av 46 medlemsland og 11 ikke-medlemsland. Den dekker bruk av AI-systemer både i offentlig sektor og privat sektor. Den inneholder blant annet krav til åpenhet og tilsyn og identifisering av innhold generert av AI-systemer. Det er krav til tiltak for å identifisere, vurdere, forebygge og begrense mulige risikoer, samt vurdere behovet for midlertidig stans, forbud eller andre egnede tiltak når bruken av AI-systemer kan være uforenlig med menneskerettighetsstandarder. De må også sikre ansvarlighet og ansvar for negative virkninger, samt at AI-systemer respekterer likhet, inkludert ikke-diskriminering av kjønn og personvernrettigheter. Det skal også sikres at AI-systemer ikke brukes til å undergrave demokratiske institusjoner og prosesser, inkludert prinsippet om maktfordeling, respekt for rettslig uavhengighet og tilgang til rettferdighet/domstol.

Konvensjonen gjelder ikke aktiviteter knyttet til beskyttelse av nasjonale sikkerhetsinteresser, men medlemmene er forpliktet til å sikre at slike aktiviteter respekterer folkeretten og demokratiske institusjoner og prosesser. Medlemmene skal etablere en uavhengig tilsynsmekanisme for å overvåke etterlevelse av avtalen. Konvensjonen vil bli åpnet for signering i Vilnius den 5. september under en konferanse for justisministre.


Lagring av kundeopplysninger i Finland

Mange av sakene jeg skriver om er kompliserte. Denne er heldigvis litt enklere, men relevant likevel:

Det finske datatilsynet ble varslet om at en teleoperatør (behandlingsansvarlig) hadde nektet å slette personopplysningene til en registrert person som hadde vært kunde hos dem. Datatilsynet ba den behandlingsansvarlige forklare hvorfor de hadde avslått sletteforespørselen og hvor lenge de lagret personopplysningene til kundene sine.

Den behandlingsansvarlige svarte at de ikke kunne imøtekomme ønsket om sletting fordi lagringen var nødvendig i henhold til artikkel 17(3)(e) og at lagringen var nødvendig på grunn av den generelle foreldelsesfristen på tre år. De opplyste videre at kundedata eldre enn tre år skulle ha blitt slettet fra systemene deres gjennom en automatisert sletteprosess, som ikke hadde blitt utført på grunn av en teknisk feil.

Det finske datatilsynet anså at den behandlingsansvarlige hadde rett til å lagre den registrerte personens personopplysninger i tre år etter avslutningen av kundeforholdet. Datatilsynet aksepterte at hvis den behandlingsansvarlige slettet den registrerte personens personopplysninger, ville de ikke kunne forsvare seg mot mulige fakturakrav fra kunder eller andre kreditorer.

Imidlertid fant datatilsynet at den behandlingsansvarlige hadde brutt artikkel 17(3)(e) fordi de ikke hadde slettet personopplysninger som skulle ha blitt fjernet fra systemene deres før vedkommende fremsatte forespørselen. Datatilsynet ga dem en irettesettelse.


COOKIES

Dark patterns og design på cookiesamtykke?

Det er mye snakk om dark patterns for tiden. En ganske ny tysk sak handlet om mange ulike forhold rundt Meta, men dommen hadde også en pragmatisk uttalelse om brukergrensesnitt og manipulativ design. Det er to setninger i avgjørelsen som omtaler hvordan designet på Metas cookiebanner var utformet. Knappen for “Godta cookies” var farget blå. Det er ikke klart hvilken form eller farge avslå-knappen var, fordi det er ingen beskrivelse eller bilde av det i dommen. Men jeg antar at den muligens var hvit med blå skrift. Samtykke-knappen virker å ha vært blå med hvit skrift.

De relevante to setningene lyder som følger (maskinoversettelse av avsnitt 62):

At knappen “Tillat alle informasjonskapsler” er farget blå, utgjør ikke en overtredelse av Artikkel 25(2) i personvernforordningen (GDPR) (personvernvennlig standardinnstilling). Dette er ikke en “standardinnstilling”, men en vanlig og tillatt visuell fremheving som ikke påvirker brukerens aktive beslutningsevne.

Dette må bety at man kan ha ulik farge på samtykke og avslå-knapper. Etter hva jeg forstår, mener Meta at den blå fargen er gjengs å bruke for dem – fordi det er den fargen de bruker i Facebook.

Men at det er OK med ulike farger, betyr nok ikke at man kan bruke rødt og grønt eller svart sammen med lysegrått. Man må være på vakt mot farger som åpenbart dytter brukeren i en bestemt retning.

Dette viser likevel at det kan være mange måter å designe lovlige samtykkeknapper på. Det er ikke sikkert at knappene må være helt identiske.

For de som leser tysk, er dommen tilgjengelig her:

https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2024-N-8093?hl=true


“Pay or OK” – ny avgjørelse fra Spania

I mai 2023 ble det levert inn en klage til AEPD (spansk datatilsyn) fra en bruker av nettsiden Motorsport Network España (behandlingsansvarlig). Klagen hevdet at nettsiden brukte en ulovlig consent or pay-løsning i cookiebanneret. AEDP etterforsket og fant at nettsiden brukte ikke-tekniske informasjonskapsler, som krever samtykke – uten forhåndssamtykke fra brukeren ved første gangs besøk på nettsiden.

Etter at informasjonskapslene var satt, ba nettsiden om samtykke gjennom et cookiebanner som ga to alternativer i første lag. Brukeren kunne godta informasjonskapslene og bruke nettsiden gratis. Da fortsatte nettsiden å bruke de samme informasjonskapslene som den hadde brukt før samtykket ble forespurt eller gitt.

Alternativet var mer komplisert. Brukeren kunne trykke på en boks merket “Vis alternativene”, som førte til et annet banner. Der var all bruk av informasjonskapsler stilt inn på “av” unntatt analyseinformasjonskapsler, som var merket som “på”. Hvis man ville avvise alle informasjonskapsler ved å klikke på “Bekreft mine preferanser” – knappen, ville nettsiden fortsette å bruke informasjonskapslene som den hadde brukt før samtykke ble forespurt. En ny popup ville deretter vises og be registrerte personer om enten å bli abonnenter mot en månedlig avgift og få tilgang til nettsiden uten reklame, eller å godta alle informasjonskapsler.

AEPD vurderte også oppsettet for brukere som ønsket å trekke tilbake samtykke. Det lå en lenke til “Administrer preferanser” nederst på nettsiden. Der fikk brukeren tilgang til informasjonskapselkontrollpanelet og kunne manuelt slå av hver informasjonskapsel. Likevel, når de bekreftet preferansene, ble de konfrontert med samme valg om enten å godta alle informasjonskapsler eller å starte et betalt abonnement.

AEPD konkluderte med at oppsettet var ulovlig. Det var lovstridig å bruke ikke-tekniske informasjonskapsler uten samtykke, mangelen på mulighet til å enkelt avvise samtykke var ulovlig og det var for vanskelig å trekke tilbake samtykke.

AEPD betraktet dette dog som en mindre overtredelse og påla en bot på €5.000.

Saken er omtalt her:

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202309359&mtc=today


Interessant sak om klagerett fra Personvernnemnda

Personvernnemnda avslo i april i år en klage fra en privatperson som hevdet at Statistisk Sentralbyrå (SSB) behandlet hans personopplysninger ulovlig.

En mann klagde inn en sak til Personvernnemnda etter at Datatilsynet besluttet å ikke følge opp hans klage om at SSB hadde brutt Personvernforordningen. Utgangspunktet er at Datatilsynet må ta stilling til klager for de brudd på Personvernforordningen som anføres, men bare dersom klager konkretiserer og redegjør for de anførte bruddene i tilstrekkelig grad – noe mannen ikke hadde gjort i saken her. Slik manglende konkretisering og redegjørelse ville etter nemndas syn resultere i at Datatilsynet ikke pliktet å ta stilling til klagen.

Etter Personvernnemndas syn stilles det med andre ord kvalitative krav til klagen for at Datatilsynet plikter å ta stilling til de bruddene som er anført å foreligge i den konkrete sak.

Du finner saken her:

https://gdprhub.eu/index.php?title=Personvernnemnda_(Norway)_-_PVN-2023-24&mtc=today


OVERARBEIDET?

Overarbeidet personvernombud?

Vi avslutter denne runden med å tenke på ferie. Mange personvernombud har mye å gjøre og trenger sårt den forestående sommerferien.

I en ny sak fra det belgiske datatilsynet den 3. juni, arbeidet personvernombudet bare tre dager i uken. Vedkommende var den eneste som hadde tilgang til e-postadressen der tilsynet hadde sendt en henvendelse. Henvendelsen ble ikke besvart, delvis fordi vedkommende var overarbeidet. Årsaken til henvendelsen til epostkassen virker å ha vært at de ikke reagerte på en protest mot direkte markedsføring.

Den behandlingsansvarlige hevdet de ikke var klar over hvor mye arbeid ombudet hadde, men dette ble de ikke hørt på.  Ansvaret pålå dem. De fikk en bot på 170.000 euro.

Så – kjære personvernkollega – si ifra om du har mye å gjøre. Og husk å ta ferie også.

Beslutningen (på fransk) finner du her:

https://autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-87-2024.pdf


KOMMENDE MØTER

22. august 14.00 – 17.00 Nettverksmøte i Oslo
19. sept 12.00 – 13.00 Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#