IT-jus nr. 7/24

mandag 12. august 2024 @ 13:41

Håper alle har hatt en fin sommer og er klare for en fantastisk og fargerik høst 🍂! På personvernfronten ble juli litt roligere enn mange andre år. Det kom ingen […]
Av Eva Jarbekk

Håper alle har hatt en fin sommer og er klare for en fantastisk og fargerik høst 🍂! På personvernfronten ble juli litt roligere enn mange andre år. Det kom ingen banebrytende avgjørelser fra EU, slik det har vært så mange ganger tidligere, men det er likevel mer enn nok av relevante saker å merke seg.

Selv har jeg brukt noe av sommeren til å ferdigstille ny utgave av introduksjonsboken i GDPR som jeg har skrevet sammen med Simen Sommerfeldt. Ny papirutgave er rett rundt hjørnet. Det blir stas. Fremover oppdaterer jeg og et team i Schjødt kommentarutgaven til GDPR i Karnov – og deretter begynner jeg på en kommentarutgave til AI Act. Det er nok å gjøre.

AI Act trådte i kraft i EU den 1. august og antakelig inkorporeres reglene i Norge i løpet av 2025. Vi kommer fort dit. Jeg ser at nesten alle personvernarrangement for tiden handler om KI. Vårt neste nettverksmøte skal ha en bolk om anskaffelse av KI og vi skal høre mer om leverandørers bruk av kunders data.

Under er et knippe andre relevante saker. Det kunne vært enda flere, men jeg syntes jeg måtte stoppe når jeg rundet 10 manus-sider.

God lesning!

Hilsen Eva


BIOMETRI

Kameraer analyserer følelser på togstatsjoner

I forrige nyhetsbrev skrev jeg at jeg var overrasket over hvor mange nye saker det nå er der ansiktsgjenkjenning tillates. Her er nok en slik sak:

I England har man i to år brukt Amazon-KI-kameraer til å overvåke og analysere passasjerers følelser. Systemet er testet på åtte togstasjoner. Det er en kombinasjon av smarte CCTV-kameraer og tradisjonelle kameraer hvor videostrømmene er koblet til skybasert analyseprogramvare. Systemet registrerer alder, kjønn og ulike følelser. Ansiktsuttrykk og andre non-verbale signaler tolkes slik at man finner passasjerer som kan være bekymret eller opprørte – og da kan funksjonærer forhindre konflikter eller nødsituasjoner.

Dette reiser både spørsmål om det er etisk akseptabelt og om analysen faktisk gir korrekte tolkninger av passasjerenes følelser.

Systemet bruker maskinlæring for å oppdage personer som går i sporet, forutsi overfylte plattformer og å identifisere det de kaller for “antisosial atferd”.

London Underground har gjort en analyse av hva man kan oppnå ved sanntidsdatainnsikt om passasjeratferd. I tillegg til ovennevnte, mener de man kan skape sanntidsvarsler for billettfusk, finne folk som lener seg over sporene, røyker, sitter på benker i lengre perioder eller bretter ut elektriske scootere. Dels skrives at ansiktsgjenkjenning ikke er nødvendig, men på den annen side skriver de at ansiktsgjenkjenning ville kunne avsløre gjengangere.

Jeg må si at jeg er litt skeptisk til dette og jeg er i tvil om dette ville blitt tillatt innenfor EØS. Storbritannia har en litt annen personverntradisjon enn EU. Men det blir spennende å se hva som tillates fremover.

Du kan lese mer om denne saken her:


Hva med nevrodata og “brain fingerprinting”?

Europas datatilsyn har begynt å se på nevroteknologier. Bakgrunnen er produkter som samler inn og behandler nevrale data, eksempelvis hodebånd som registrerer informasjon fra hjernen. Dette kan brukes i velværeprodukter for meditasjon, for oppmerksomhetstrening eller for å styre en maskin.

Feltet er i rask utvikling på mange områder som medisin, underholdning, markedsføring, velvære, sikkerhet, overvåkning av ansatte, og annet.

I begynnelsen av juni ga EDPS og Datatilsynet i Spania ut en egen rapport om dette; “TechDispatch on Neurodata”. Rapporten beskriver ulike nevroteknologier og personvernutfordringer rundt dette. Det er ganske åpenbart at nevrodata om enkeltindivider kan være sensitiv informasjon.

Rapporten går nærmere inn på dette og bør absolutt leses av de som vurderer å bruke denne type produkter – være seg som forbruker eller behandlingsansvarlig. Jeg har sett raskt på rapporten og har lært meg et helt nytt begrep – “brain fingerprinting” – altså å reprodusere tanker som tenkes i en hjerne.

Hjernen er aktiv 24 timer i døgnet med tanker – og drømmer og mareritt. Å skulle reprodusere all slik aktivitet for bruk i den virkelige verden høres ikke bare bra ut. De skriver på side 16 I rapporten:

“As a rule, the EDPS considers that the processing of data such as ‘brain fingerprinting’ should only occur for healthcare purpose, accompanied by all data protection conditions and safeguards. It would be alarming for any controller, other than a provider of healthcare, to use neurodata to detect or infer an individual’s health information (in particular very sensitive information that is possibly not yet known to that individual themselves, e.g. about psychological disorders or a neurogenerative disease).”

Det virker mildt sagt fornuftig at de foreslår at en svært restriktiv tilnærming.  

Du finner rapporten her:

https://www.edps.europa.eu/system/files/2024-06/techdispatch_neurodata_en.pdf


KUNSTIG INTELLIGENS

Hjemmel for utvikling av KI? Om Meta, OpenAI og litt til

På forsommeren var det en heftig debatt i Norge om utviklingen av LLM-modeller. Noen mener at samtykke er det beste rettslige grunnlaget, ikke berettiget interesse. Det italienske datatilsynet har som kjent brukt mye tid på OpenAI’s ChatGPT. Dette har resultert i en egen Taskforce i EDPB som ser på bruken av personopplysninger i LLM’er, og ChatGPT spesielt. De kom med en foreløpig rapport i mai.

Når det gjelder utvikling av AI-modeller, har selskaper vanligvis brukt berettiget interesse som rettslig grunnlag. Dette er forståelig, da det kan være utfordrende å få samtykke fra hver enkelt person når informasjon fra mange personer trengs for å trene en modell. Rapporten fra EDPBs Taskforce åpner for muligheten for å bruke berettiget interesse, men det krever en grundig vurdering fra den behandlingsansvarlige der det også spiller inn hvordan LLM-modellen brukes til for et allmennyttig formål. Dette betyr at vurderingen kan variere fra sak til sak.

Taskforcen setter søkelys på at ChatGPT/OpenAI har basert seg på “web scraping”. Dette vil være tredjeparts data, men de tar ikke opp om det er forskjell på å bruke data fra tredjeparter eller førsteparter. Ei heller om det betyr noe om dataene er offentlige eller private. Man kan tenke seg at en kontraktsmessig relasjon mellom behandlingsansvarlig og brukeren (slik det er for førsteparter), gjør det lettere å sikre gjennomsiktighet og informasjon enn ved “scraping” fra tredjeparter.

Rapporten er likevel kun en foreløpig rapport og det blir spennende å se hvordan en endelig versjon blir. Jeg skrev en artikkel om dette sammen med kollega Anna Olberg Eide som ble publisert i IAPP i sommer – du finner den her:

https://iapp.org/news/a/ai-development-raises-question-of-legal-basis

Samtidig har det norske datatilsynet sagt til Meta at de må bruke samtykke. Det kan virke som om det irske datatilsynet støtter dette. Om dette blir et generelt krav for all AI, vil det nok begrense mulighetene for å utvikle gode AI-verktøy i EU. Man kunne antakelig komme langt med å anerkjenne berettiget interesse, men med en enkel mulighet for reservasjon.

Meta har på sin side konkludert med at de foreløpig pauser både utrulling av sin nye Llama-modell i Europa:

Meta har videre uttalt at de ikke vil trene Llama på informasjon fra Facebook. Det er mange i Norge som bruker Llama, så det blir interessant å følge dette videre.


KI på mobiltelefoner gir en rekke utfordringer

Apple og OpenAI ønsker å innlemme ChatGPT i Apples operativsystemer, men dette har blitt kritisert.

En ting er mulige konkurranserettslige problemer. Mange er bekymret for at store teknologiselskaper vil dominere AI gjennom oppkjøp og partnerskap. En annen ting er uklarheter rundt tilgangen til tredjepartsapper og brukernes personvern. Her kan det bli utfordringer både i forhold til Digital Markets Act og GDPR.

Ifølge det som er kjent fra Apple, skal ChatGPT innpasses i operativsystemene for iPhone, iPad og Mac senere i år. Apple fortalte dette på Worldwide Developer Conference 2024 den 8. juni da de introduserte operativsystemet iOS18.

For å gi bedre svar, skal “Siri” få tilgang til ChatGPT samt brukernes meldinger og e-poster. Dessuten skal skriveverktøy som Notes og Pages få tilgang til ChatGPT 4 for å hjelpe brukerne med å lage skriftlig og visuelt innhold.

OpenAI skal ikke lagre data som anvendes og brukernes IP-adresser (mobiltelefonen) skal være skjult. Det vil nok bli en omfattende diskusjon om dette er teknisk sett helt riktig. Visstnok skal det hele også baseres på samtykke.  Det blir spennende å se hvordan de har tenkt å gjennomføre et slikt samtykke – om det må skje før hver bruk av KI’en, kan det bli tungvint. Om de ikke gjør det slik, kan de risikere at samtykket anses ugyldig i EU. Dette har Apple nok tatt inn over seg.

Selv om Apple tradisjonelt har vært ansett som et selskap som verdsetter personvern høyt, høres nå flere kritiske røster. Det hjelper kanskje heller ikke at OpenAI har et noe mer ustødig forhold til regelverket – jamfør prosessene som gjennomføres initiert av det Italienske datatilsynet. Resultatet av dette er at EDPB har nedsatt en gruppe som arbeider videre med personvern i ChatGPT.

Det interessante er at Apple opplever EU som såpass regulatorisk vanskelig, at de velger å utsette innføring av disse tjenestene i EU, se https://techreport.com/news/apple-intelligence-will-not-launch-eu/

Også i Kina utsettes prosjektet, men da fordi Kina ikke tillater ChatGPT. Det ser ut som om leverandører i større grad må hensynta ulike lands reguleringer fremover. Det kommer til å bli utfordrende.


PERSONOPPLYSNINGER

Meta har utfordringer også i Nigeria

Det er ikke ofte vi har nyheter om personvern fra Afrika, men nå har det Nigerianske konkurranse- og forbrukervernmyndigheten sett nærmere på Facebook og Whatsapp. Det skal være svært mange nigerianske brukere av disse tjenestene. De har også en egen personvernlov som stiller omfattende krav til at behandlingsansvarlige har en egen personvernorganisasjon og melder inn en egen Data Protection Audit jevnlig. Meta har visstnok ikke gjort noe av dette – i tillegg til at det foreligger en rekke andre brudd på nigeriansk personvernlov. Dette har nå resultert i en bot på ikke mindre enn 220 millioner amerikanske dollar.

Saken er omtalt her

https://observer.ug/index.php/businessnews/81928-nigeria-fines-meta-220m-for-data-protection-consumer-rights-violations


Klager på Microsoft – hva kan en leverandør bruke kundens opplysninger til?

På vegne av to skolebarn i Østerrike fremmet NOYB i begynnelsen av juni to klager mot Microsofts (MS) bruk av personopplysninger. Opplysningene kommer fra skoleverktøyet Microsoft 365 Education. NOYB kan reise slike saker på vegne av enkeltpersoner.

Faren til den ene eleven hadde rettet henvendelser til både MS og til skolen for å få klarhet i hvordan barnets personopplysninger ble behandlet. MS svarte at det var skolen som var ansvarlig for behandlingen. Det er jo ikke helt usannsynlig all den tid eleven ikke har noen direkte forbindelse med MS og det er skolen som har kjøpt inn programvaren. Skolen, på sin side, svarte at den eneste informasjon de var behandlingsansvarlig for, var elevens epostadresse. Det er altså ikke helt samsvar mellom det aktørene oppgir om behandlingsansvar.

Jeg har ikke lest dokumentasjonen fra MS selv, men NOYB skriver at brukervilkår og personvernerklæringer er en “labyrint” som er vanskelig å finne frem i og forstå. Akkurat det er jo ikke helt uvanlig.

Den andre saken dreier seg også om en skoleelev i Østerrike. Der hevder NOYB at MS skal ha installert informasjonskapsler som, ifølge Microsofts egen dokumentasjon, analyserer brukeratferd, samler inn nettleserdata og brukes til reklame. NOYB hevder dette kan brukes til svært inngripende profilering, og kritiserer at det skjer uten at elevens skole engang er klar over det. De mener at det er sannsynlig at selskapet sporer alle mindreårige som bruker deres utdanningsprodukter uten gyldig behandlingsgrunnlag.

Vi har vært inne på dette teamet i nettverket tidligere. Hva kan en it-leverandør selv ta behandlingsansvar for når de er en databehandler og personopplysningene stammer fra kundens ansatte eller elever? En av de best kjente sakene om dette er Google Chromebook/Workspace-saken fra Danmark der Helsingør kommune måtte stanse bruken av Chromebooks i skolen i en periode i 2022 – selve saken startet i 2019.

Det danske Datatilsynet gjennomgikk deretter praksis på området i hele 53 kommuner. Hovedpoenget var at kommunene og skolene ikke hadde hjemmel til å “gi” elevenes personopplysninger til Google. Som databehandler, kan Google altså ikke selv tilta seg behandlingsansvar for elevenes personopplysninger. Fritt oversatt, skriver Datatilsynet følgende:

“Før man tar i bruk et verktøy, må man som ansvarlig for data få en oversikt over hvordan man behandler personopplysninger i det, og man må kunne dokumentere det. Dette kravet gjelder for alle organisasjoner. Men når det gjelder offentlige myndigheter – der vi som borgere ikke selv kan velge bort at våre opplysninger blir behandlet – har Datatilsynet en spesiell forventning om at de nødvendige analysene blir gjennomført og dokumentert,” sier Allan Frank, IT-sikkerhetsspesialist og jurist i Datatilsynet, og fortsetter:

“De fleste standard IT-produkter har i dag en veldig kompleks kontraktsstruktur som ikke bare inneholder mange muligheter for variasjoner i behandlingen av personopplysninger, men også har en relativt høy frekvens av endringer. Dette gjør det vanskeligere enn nødvendig for ansvarlige virksomheter og myndigheter å overholde personvernforordningen (GDPR), fordi man lett mister oversikten over hva som skjer med dataene. Vi i Datatilsynet oppfordrer derfor til at kontraktene gjøres mer gjennomsiktige – ikke bare med hensyn til behandlingsstrukturen, men også med hensyn til konsekvensene når forholdene rundt leveransen endres.”

Det er lett å være enig i dette. Videre er det praktisk viktig at tilsynet skriver at de har kommet til at skolene har hjemmel til å videreformidle elevenes opplysninger med formål om å levere tjenestene, forbedre sikkerheten og påliteligheten til tjenestene, kommunikasjon med blant annet kommunene, og overholde juridiske forpliktelser.

Samtidig mener de folkeskoleloven ikke gir hjemmel til at kommunene kan videreformidle elevenes opplysninger til vedlikehold og forbedring av Google Workspace for Education-tjenesten, ChromeOS og Chrome-nettleseren, eller til måling av ytelse og utvikling av nye funksjoner og tjenester i ChromeOS og Chrome-nettleseren.

På denne bakgrunnen påla Datatilsynet i januar 2024 kommunene å bringe behandlingen i samsvar med reglene ved å sikre at det er hjemmel for all behandling som skjer. Dette kan for eksempel gjøres ved:

  • At kommunene ikke lenger videreformidler personopplysninger til Google for disse formålene. Dette vil sannsynligvis kreve at Google utvikler en teknisk mulighet for å avskjære disse datastrømmene.
  • At Google selv avstår fra å behandle opplysningene for disse formålene.
  • At Folketinget etablerer en tilstrekkelig klar rettslig basis for videreformidling til disse formålene.

Kommunene fikk frist til 1. august 2024 med å sikre dette. I løpet av juli skal 52 kommuner ha bekreftet at de ikke lenger vil videreformidle slike personopplysninger til Google. Kontraktene med Google skal også være endret slik at personopplysninger kun vil bli behandlet etter instruks fra den ansvarlige kommunen (med unntak av tilfeller der det kreves i henhold til gjeldende EU-regler eller nasjonal lovgivning). Datatilsynet sier at det likevel er noen utestående spørsmål i saken.

Kommunene skal ha bekreftet at de vil avstå fra å bruke tjenester der behandling av personopplysninger skjer i tredjeland som ikke har tilsvarende beskyttelse av registrertes rettigheter. Dette gjelder også for vedlikehold av infrastruktur fra leverandørens side, der det kan skje behandling av personopplysninger som behandles for de ansvarlige kommunene.

Det danske Datatilsynet har bedt EDPB om en uttalelse om den ansvarliges dokumentasjonsplikt for databehandlerens bruk av underdatabehandlere. Når denne uttalelsen foreligger, forventer Datatilsynet å foreta en endelig vurdering av underdatabehandlerkjeden i kommunenes bruk av Googles produkter.

Uten at jeg kjenner saken i detalj, ser det for meg ut som om NOYB forsøker å få til en tilsvarende prosess mot Microsoft som det det danske Datatilsyn har gjort mot Microsoft. Det danske Datatilsynet har fått til relativt store endringer uten å true med bøter, selv om det nok kostet betydelige ressurser da de påla Helsingør kommune å stanse bruken av Chromebooks i skolen. NOYB går (selvsagt) motsatt vei og krever at Microsoft ilegges bøter.

Den første saken fra NOYB mot MS finner du her https://noyb.eu/sites/default/files/2024-06/Microsoft%20Complaint%201%20EN_redacted_0.pdf

Den andre saken fra NOYB mot MS er her:

https://noyb.eu/sites/default/files/2024-06/Microsoft%20Complaint%202%20EN_redacted_0.pdf

Siste utvikling fra det danske Datatilsynet i Google-saken, finner du her https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/chromebook-sagen-kommunerne-efterlever-datatilsynets-seneste-paabud-


Innsynsbegjæringer i sikkerhetslogger?

I Danmark har man nyansert sin oppfatning vesentlig om hvorvidt sikkerhetslogger kan unntas fra innsynsbegjæringer. Lenge var synspunktet at personopplysninger i en sikkerhetslogg ikke var omfattet av innsynsbegjæringer, men så enkelt er det ikke lenger. På bakgrunn av CJEU sak C-579/21 har tilsynet endret oppfatning i en konkret sak der vedkommende som ba om innsyn ønsket dette for å få vite hvem som hadde “abonnert” på informasjon om vedkommende fra folkeregisteret (CPR). Årsaken til begjæringen har jeg ikke funnet, men det er jo ikke uvanlig at borgere ønsker å vite hvilke offentlige ansatte som har gjort oppslag på dem. Denne informasjonen kunne utledes fra sikkerhetsloggen i CPR-systemet.

I sak C-599/21, la CJEU vekt på at dersom en logg viser informasjon som den registrerte har krav på, så skal vedkommende få dette. Det betyr at man må se på hva loggen faktisk viser. I den konkrete saken for CJEU, ønsket vedkommende å få vite hvem som hadde slått opp på vedkommendes informasjon.

Det danske Datatilsynet legger fremover til grunn at den behandlingsansvarlige må gi kopi av logginformasjon når denne viser informasjon vedkommende har krav på. Dette kan for eksempel være informasjon om søk etter deres opplysninger og dato (og formål) for disse søkene.

Hvis det er nødvendig for at den registrerte skal kunne utøve sine rettigheter på en effektiv måte, må den behandlingsansvarlige også oppgi hvem som utførte søket. Dette kan være aktuelt hvis den registrerte mistenker at vedkommendes opplysninger har vært gjenstand for et uautorisert søk.

Dette betyr at den som begjærer innsyn, kan få innsyn i mer dersom man oppgir at årsaken til begjæringen er at man mistenker “snoking” på informasjon.


Tekster om samtykke må være konsekvente

Datatilsynet i Latvia gjennomførte en undersøkelse hos AQUAPHOTO i mai 2023. AQUAPHOTO tilbyr fototjenester til besøkende i et vannlekeland og bruker ansiktskjenningsprogramvare for å identifisere og tilby bilder til kundene. Selskapet informerte om databehandlingen på fire forskjellige måter, men informasjonen var inkonsekvent.

På nettsiden til fornøyelsesparken sto det at besøkende vil bli fotografert ved å oppsøke fotografene. I delen om “Regler for besøkende” på nettsiden, ble det skrevet at besøkende som har med seg mindreårige kan bli fotografert med mindre de har et særlig tegn som viser at de ikke vil bli fotografert. Det sto at tegnet ble delt ut fra standen til AQUAPHOTO. Derimot sa vilkårene fra AQUAPHOTO at et slikt tegn ble delt ut av parken selv, eventuelt fra fotografene. Det var også et informasjonsskilt ved kassen i parken som sa: “Ikke vær redd for AQUAPHOTO-fotografen. Du vil ikke bli fotografert i rødt. Grønne armbånd gir mange flotte bilder”. Jeg forstår det slik at fargen på et armbånd skulle fortelle fotografene om man ønsket å bli fotografert eller ikke.

Selskapet mente de hadde innhentet samtykke – grønt armbånd for å bli fotografert, rødt armbånd for å unngå fotografering.

Datatilsynet fant at AQAPHOTOs praksis ikke oppfylte selskapets egne standarder. Ansatte ved parken informerte ikke om behandlingen, og det var ingen tydelig fremgangsmåte for å velge armbånd. Dessuten ble det tatt bilder i situasjoner der armbåndene ikke var synlig, f eks i attraksjonen “Unique Tornado”.

Datatilsynet ila AQAPHOTO en bot på €1,000 for brudd på GDPR, inkludert artiklene om transparens, samtykke og den generelle behandlingen av personopplysninger. Dette var ikke en stor bot, men personverntrusselen var kanskje heller ikke meget stor. Uansett er saken en grei påminnelse om at ulike former for personvernerklæringer og vilkår må henge sammen. Og så må praksis være slik man har sagt.

Saken er omtalt her https://gdprhub.eu/index.php?title=DVI_(Latvia)_-_02/02/2024&mtc=today


MARKEDSFØRING

Tøffere tider for adtech – NOYB går mot Xandr

Xandr er et meget stort adtech selskap som tilbyr en såkalt Real Time Bidding (RTB) plattform. Det er Microsoft som eier Xandr. Tjenesten fungerer slik at hvis en bruker besøker en nettside, skjer det en algoritmisk auksjon for å avgjøre hvilket selskap som kan vise vedkommende en annonse.

Informasjonen om brukeren kan berikes med annen informasjon som plattformen har om vedkommende. Ofte vil det være slik at jo mer informasjon, jo mer verdifull er annonseplasseringen, fordi den blir mer treffsikker.

NOYB skriver at Xandr samler inn og deler store mengder personlige data for å lage profiler av brukerne og muliggjøre målretting. Noe av informasjonen skal også visstnok kjøpes av eksterne parter. De mener Xandr samler inn hundrevis av sensitive profiler av europeere som inneholder informasjon om deres helse, sexliv eller seksuell orientering, politiske eller filosofiske meninger, religiøse tro eller økonomisk status. Spesifikke segmenter inkluderer ting som ‘french_disability’, ‘pregnant’, ‘lgbt’, ‘gender_equality’ og ‘jewishfrench’.

Det interessante i saken er at Xandr offentliggjør intern statistikk over hvordan de behandler innsynsopplysninger fra de registrerte – og oppgir at de aldri gir innsyn eller respekterer sletteanmodninger med den begrunnelse at de ikke kan identifisere personen.

NOYB har klaget Xandr inn for det italienske datatilsynet, Garante, nå i juli. Jeg vil tro dette kommer til å resultere i en omfattende kartlegging av hvordan RTB’ene og Xandr fungerer og hvilke muligheter de har til å slette data om individer.


Det er blitt større klarhet i hva som kreves av samtykker for cookies. Selv om de europeiske landene har fått en mye mer ensartet praksis, er det fremdeles en del forskjeller. NOYB har som kjent arbeidet mye med dette og har laget en oversikt over hva de ulike landene mener om cookies. Blant annet er det ulik holdning til dette med fargeforskjell på ja- og nei-knapper.

Jeg vil anta at oversikten kanskje må endres fordi det fremdeles er stor endringshastighet på dette, men oversikten kan likevel være nyttig for noen.

Du finner den her:

https://noyb.eu/en/noybs-consent-banner-report-how-authorities-actually-decide


Facebook Pixel

Integritetsskyddsmyndigheten (IMY) i Sverige er opptatt av virksomheter som benytter Facebook Pixel. IMY har ilagt Avanza Bank en bot på 15 millioner kroner. I juni 2021 fikk IMY en avviksmelding fra banken som viste at personopplysninger feilaktig hadde blitt overført til Facebook i perioden fra 15. november 2019 til 2. juni 2021.

Overføringen skjedde fordi banken brukte Facebook-pixelen for markedsføring. To funksjoner i analyseverktøyet ble utilsiktet aktivert av banken slik at personopplysninger om et stort antall personer som var logget inn på bankens nettside eller i bankens app, ble overført til Meta. De overførte personopplysningene omfattet blant annet personnummer og økonomisk informasjon om lån og kontonummer– noen ganger i klartekst, noen ganger i hashet format.

IMY fastslo at banken ikke traff tilstrekkelige tekniske og organisatoriske personverntiltak. Opplysningene var også underlagt lovbestemt taushetsplikt. IMY mener at tap av kontroll over denne type bankinformasjon er en høy risiko for de registrertes friheter og rettigheter.

Du finner saken her https://www.imy.se/globalassets/dokument/beslut/2024/beslut-tillsyn-avanza.pdf


KONTROLL

EU utsetter omstridt forslag om bakdører i chat-kommunikasjon

Det har vært mye kritikk mot den kommende chatkontroll-lovgivningen, selv om den begrunnes med å skulle hindre seksuelle overgrep mot barn. Mange har advart om at obligatoriske “kikkehull” inn i chat-funksjoner vil bety slutten på kryptert nettbasert kommunikasjon.

Forslaget ville bety at selskaper som WhatsApp og Signal ville måtte bygge inn en bakdør i tjenestene sine som åpner for at myndigheter kan skanne meldinger for materiale relatert til seksuelle overgrep mot barn (CSAM). Dette er et aktverdig mål, selvfølgelig. Men om et slikt skanningssystem bygges inn i en applikasjon, kan det brukes til andre formål også. For eksempel overvåking av journalister eller politikere. Det er en rekke tekniske diskusjoner rundt dette, men hovedpoenget er at myndigheter kan få tilgang til informasjon som er tenkt beskyttet. Uansett om informasjonen er ulovlig eller ikke. Det kan avgjort utgjøre en nedkjølingseffekt på meningsutveksling.

EU kommisjonene skulle ha stemt over forslaget den 19. juni, men dette ble utsatt fordi det er så omstridt. Det betyr ikke at forslaget ikke kommer opp igjen.

Forslaget er nærmere omtalt her:

https://www.theverge.com/2024/6/19/24181214/eu-chat-control-law-propose-scanning-encrypted-messages-csam


ERSTATNINGSSAKER

Hva menes med identitetstyveri?

Det kom to nye avgjørelser fra ECJEU i juni om erstatning for ikke-materiell skade der det ikke er påvist faktisk misbruk av personopplysninger.  

Bare det faktum at det er såpass mange saker om dette fra CJEU, viser at dette er et område som nasjonale domstoler synes er komplisert. Her kan jeg ikke la være å kommentere at norske domstoler så langt har vært ytterst tilbakeholdne med å be om avklaring fra EFTA-domstolen i prinsipielle saker, ref Grindr-saken der tingretten på egen hånd konkluderte med hva som utgjør særlige kategorier personopplysninger. Det er kanskje typisk norsk å mene man vet best selv.

Uansett. Begge de nye sakene ligner på avgjørelsene om ” Österreichische Post” og de øvrige saker om samme tema.

I det første tilfellet hadde en applikasjon fra Scalable Capital blitt hacket og personopplysninger til brukere ble tatt. CJEU bekreftet at formålet med artikkel 82 er kompenserende og ikke straffende, og at kriteriene for å vurdere erstatningen som skal tilkjennes, bør fastsettes av rettssystemet i hver medlemsstat. Domstolen fastslo også at skade forårsaket av brudd på personopplysninger ikke er mindre betydningsfull enn fysisk skade, men at det er mulig for en nasjonal domstol å tilkjenne en mindre erstatning hvis skaden ikke er alvorlig. CJEU ble også bedt om å avklare begrepet “identitetstyveri”, som brukes i fortalens punkt 75 og 85, der dette brukes som et eksempel på en type skade. CJEU bekreftet at selve tyveriet av personopplysninger ikke utgjør identitetstyveri, men understreket at erstatning ikke kan begrenses til tilfeller der datatyveriet senere førte til identitetstyveri. Datatyveri i seg selv kan være tilstrekkelig. Dette er interessante betraktninger som står i avgjørelsens punkt 47-58.

Denne saken er relativt kort å lese gjennom og du finner den her https://curia.europa.eu/juris/document/document.jsf?text=&docid=287303&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=9875513


Velbegrunnet frykt

Den andre avgjørelsen omhandlet en skattemelding som inneholdt informasjon om funksjonshemninger og religiøs tilhørighet. Skattemeldingen ble sendt til feil adresse. Søkerne ba om erstatning på 15 000 euro for tap av kontroll over personopplysningene sine, uten at de kunne fastslå om tredjeparter hadde lest opplysningene.

CJEU bekreftet at frykten en registrert opplever med hensyn til mulig misbruk av personopplysningene hans eller hennes, kan utgjøre “ikke-materiell skade”, og viste tilbake til tidligere avgjørelser hvor de hadde skrevet at det må vektlegges om frykten kan anses som velbegrunnet. CJEU skriver at “ a person’s fear that his or her personal data have, as a result of an infringement of that regulation, been disclosed to third parties, without it being possible to establish that that was in fact the case, is sufficient to give rise to a right to compensation, provided that that fear, with its negative consequences, is duly proven.“, se dommens punkt 36.

Også denne saken er relativt kortfattet og finnes her https://curia.europa.eu/juris/document/document.jsf?text=&docid=287305&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=9875780

I nyhetsbrevet for januar i år hadde jeg en kort oppsummering av situasjonen for å få erstatning for tort og svie – jeg tror den står seg fremdeles.


PERSONVERNOMBUDETS UAVHENGIGHET

Ny svensk gjennomgang av personvernombudets rolle

Integritetsskyddsmyndigheten (IMY) har gjennomgått uavhengigheten til personvernombud i flere offentlige og private virksomheter, se https://www.imy.se/tillsyner/dataskyddsombudens-roll-och-stallning/

Ombudene hadde andre roller i virksomheten i tillegg til å være ombud. Var de da tilstrekkelig uavhengige? Dette er ofte en vanskelig problemstilling; er det virkelig slik at en virksomhet må bekoste et ombud som ikke er delaktig i beslutninger som kan være relevant for personopplysninger? Svaret på det er jo JA.

Flere av virksomhetene unngikk kritikk eller bot selv om ombudet også hadde et visst ansvar for compliance, risiko/sikkerhet og jurist.

Region Västerbotten får kritikk for å tillate at ombudet også er jurist i ledelsen. Socialnemnden i Örebro får kritikk for å ikke gi ombudet tilstrekkelige ressurser (det var ikke ressurser nok til å kunne rapportere) og for ikke å ha rutiner som sikrer rapportering til øverste hold. Trøsten får kanskje være at ingen fikk bot.

Det er ikke enkelt å utpeke personvernombud. Men det er ganske viktig å legge rollen riktig og å åpne for rapportering helt opp til ledelsen.  Det er også ganske lurt å ha årlige rapporter fra ombudet som viser at noe gjøres. Og så må jo ledelsen følge opp avvik som rapportene angir, men det er en annen sak.


MEANWHILE, IN THE USA

Vi har så vidt vært inne på APRA tidligere

Om du ikke husker hva det står for, så er det bare å lære seg. Det står for American Privacy Rights Act. Deres GDPR. Som ikke finnes, men som skisseres opp nå og diskuteres. Innholdet ligner ganske mye på GDPR og det vekker selvsagt store protester i noen kretser.

The Association of National Advertisers og American Association of Advertising Agencies har sammen sendt brev til Representantenes hus og Senatet der de oppfordrer til endringer i forslaget fordi de mener det vil rasere den moderne reklameindustrien og ødelegge små og mellomstore bedrifter som er avhengige av reklame for å nå kundene sine. Det hevdes også at reglene vil frata enkeltpersoner tilgang til produktene, tjenestene, informasjonen og ressursene de nyter og er avhengige av. Det er nok delte meninger om dette er riktig. Heritage Foundation’s Tech Policy Center har rost APRA-utkastet for å redusere insentiver for å misbruke amerikanske forbrukere.

Det er helt sikkert et godt stykke tid før dette blir en endelig lovgivning, men det er fint at amerikanerne diskuterer det. Og når lovforslaget kommer noe lengre, skal vi se nærmere på hva konsekvensene av APRA blir.


KOMMENDE MØTER

22. august 14.00 – 17.00 Nettverksmøte i Oslo
19. sept 12.00 – 13.00 Digital drop-in
24. okt 13.00 – 16.00 Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#