IT-jus nr. 8/24

onsdag 4. september 2024 @ 14:06

Vi som arbeider med personvern har et stammespråk. Jeg hørte nylig meg selv si at “Fordi OpenAI foreløpig ikke står på DPF-listen, må du på grunn av SCC’ene lage en […]
Av Eva Jarbekk

Vi som arbeider med personvern har et stammespråk. Jeg hørte nylig meg selv si at “Fordi OpenAI foreløpig ikke står på DPF-listen, må du på grunn av SCC’ene lage en TIA i tillegg til DPIA, men jeg tror du slipper en FRIA.” Og mange i rommet forsto hva jeg sa. Men ikke alle – selv om de arbeider med personvern. Det er tankevekkende at personvern har blitt så komplisert.

Jeg tror det er lurt å stille krav til at de som skal jobbe med personvern i en bedrift har noen års erfaring – eller får hjelp og opplæring av en med erfaring. Og her kan jeg komme med en liten personlig gladnyhet: den grunnleggende læreboken i personvern som jeg har skrevet sammen med Simen Sommerfeldt, kom i ny utgave i forrige uke. Når vi en gang iblant får inn en nyansatt som skal jobbe med personvern, pleier jeg faktisk å be dem lese den. Mange sier at den er nyttig. Den forklarer både DPF, TIA’er, DPIA’er og mye annet. Og det er stas å holde i en bok man har skrevet.

En annen ting jeg tenker en del på for tiden, er hvor mye “case law” som er viktig for personvern. Det er egentlig en ganske fremmed situasjon for regeltolkning i Norge. Vi er vant til at man (ofte) kan lese en norsk lovtekst og forstå hvordan den skal brukes. Det er nesten ikke slik med GDPR. Tekstene er så rundt formulert at det i praksis er domsavgjørelser som best beskriver hvordan en paragraf skal forstås. Det gjør at det er vanskeligere for mange å forstå hvordan regelen skal brukes. Derfor er det helt vesentlig at vi holder oss oppdatert, vi som arbeider med dette.  Under er et knippe av siste måneds viktige avgjørelser.

God lesning!

Hilsen Eva


Senkes terskelen for hva som er automatiserte avgjørelser?

Det er i alle fall økende oppmerksomhet om hva som er en automatisert avgjørelse.

En bruker av plattformen X (tidligere kjent som Twitter), fikk kontoen sin midlertidig begrenset (shadowbanned) på grunn av en melding han postet som inneholdt et sensitivt begrep. Brukeren tok saken til retten og ba blant annet om at X skulle gi informasjon om hvordan deres automatiserte beslutningstaking fungerer. X anførte at det ikke var tale om automatisert beslutningstaking fordi systemets parametre ble bestemt av mennesker.

Retten avviste argumentet og la til grunn at det avgjørende for om det var en automatisert avgjørelse, var om det var menneskelig inngripen i selve beslutningsprosessen, noe det ikke var. Dette kan vise seg å være en ganske praktisk avgjørelse med betydning for flere.

Du kan lese mer om denne saken her:

GDPRhub: Rb. Amsterdam – 742407 / HA RK 23-366


Hva som er et relevant avvik er alltid viktig

Her er en ny avgjørelse fra Spania som (igjen) viser at det ikke alltid skal så mye til for at noe regnes som et avvik.

GEOPOST ESPAÑA, S.L. ble ilagt en bot på 45 000 euro for brudd på GDPR. Saken startet med en klage fra en kunde som oppdaget at leveringsselskapet hadde etterlatt en lapp med kundens personopplysninger på en postboks på feil adresse, der lappen var tilgjengelig for flere uvedkommende personer. Det var postbudet som gjorde dette – han trodde han var på riktig adresse og at kunden ikke var hjemme – og etterlot en lapp med informasjon.

AEPD konkluderte med at dette var brudd på konfidensialitet i henhold til GDPR art. 5 og 32. Selskapet hevdet bruddet på artikkel 32 også dekket bruddet på artikkel 5, men AEPD kom til at begge artiklene var overtrådt. Det ble også lagt til grunn at selskapets ansvar ikke kunne fraskrives på grunn av en ansatts uaktsomhet.

Dette er et eksempel på at man ikke kan vise til ansattes uaktsomhet – og antakelig heller ikke rutinebrudd – for å slippe ansvar.

Saken er omtalt her

GDPRhub: AEPD Spain PS/00670/2022


Ikke alle sletteanmodninger må overholdes

Det belgiske datatilsynet har behandlet en sak der spørsmålet var hvorvidt en registrert hadde rett til å få sine personopplysninger slettet. Slettingsforespørselen ble begrunnet med at opplysningene kunne medføre stor negativ innvirkning samt mulig ærekrenkelse for vedkommende. Databehandleren avslo forespørselen fordi opplysningene var nødvendig for en overordnet offentlig interesse. Avslaget ble deretter klaget inn til den belgiske datatilsynsmyndigheten.

Tilsynet mente at avslaget knyttet til slettingsforespørselen var berettiget da det ble ansett å være “reasonably plausible” at opplysningene ville trenges i retten. Slik jeg forstår saken, hadde politiet vist interesse for opplysningene i forbindelse med en sak og man hadde grunn til å tro at de ville bli relevante i en rettssak. Opplysningenes relevans for den eventuelle saken ble tillagt vekt i avgjørelsen om at opplysningene ikke måtte slettes.

Du kan lese mer om saken her:

GPRDhub: APD/GBA (Belgium) – 49/2024


Personvernombud må ikke navngis

Tysk Høyesterett (BGH) har avsagt en viktig dom som klargjør kravene til informasjon om personvernombud. Saken involverte mange faktiske forhold, hvor flere spørsmål dreide seg om hva den registrerte skulle få innsyn i.

Den registrerte ville ha tilgang til absolutt all informasjon en bank hadde om vedkommende: alle notater, vurderinger, algoritmer brukt av banken, alle databehandlere og navn på alle personer og institusjoner som hadde tilgang til dataene.

Deler av saken endte i tysk høyesterett som blant annet konkluderte med at banken ikke måtte oppgi navnet på bankens personvernombud. Retten fastslo at det under GDPR art. 13 (1) b er tilstrekkelig å gi kontaktinformasjonen til personvernombudet uten at dette nødvendigvis inkluderer navnet.

Mer om saken her:

GDPRhub: BGH-VI ZR 370/22


KUNSTIG INTELLIGENS

Lyst å lage en KI-chatbot?

Det kan være lurt å vite hva man gjør. Det nederlandske datatilsynet har gitt ut advarsel om den økte bruken av KI-drevne chatboter etter flere lekkasjer av sensitive data. Tilsynsmyndigheten påpeker at selv om digitale assistenter som ChatGPT kan spare tid, utgjør de også en risiko for i forbindelse med databeskyttelse.

Advarselen kommer etter flere saker i Nederland hvor sensitive personopplysninger har blitt lekket. I et av tilfellene førte en legeassistent privat informasjon om pasienter inn i et ChatGPT-basert program, der opplysningene ble lagret på teknologiselskapets servere og potensielt brukt til å trene programvaren.

Tilsynet understreker at selskaper må ha klare retningslinjer for ansatte om bruken av AI-drevne chatboter for å sikre at personvernet ivaretas. Selv tror jeg jo mange selskaper har slike retningslinjer, men jeg ser noen utfordringer med om de faktisk overholdes eller ikke.

Dutchnews: Dutch privacy watchdog warns firms that use AI chatbots


Diskusjonene om hjemmel for å trene KI fortsette

Det er umulig å ha gått glipp av diskusjonene om Metas trening av KI tidligere i år. Slik sett skulle det bare mangle at det ikke også kommer fokus på andre aktører som faktisk har gjort det samme som Meta ønsket å gjøre.

Den irske datatilsynsmyndigheten (DPC) har tatt rettslige skritt mot X (Twitter) på grunn av deres praksis med å bruke personopplysninger fra EU-brukere til å trene KI-modeller. DPC hevder at praksisen bryter med GDPR.

Ifølge DPC har X verken gitt tilstrekkelig informasjon om hvordan dataene brukes eller innhentet nødvendig samtykke.

Til tross for at X har innført noen avhjelpende tiltak, som en mekanisme for å velge bort slik databehandling, hevder DPC at mange brukere fortsatt ikke har fått tilstrekkelig beskyttelse. DPC har derfor bedt retten om å pålegge X å stanse, begrense eller forby behandlingen av personopplysninger for å utvikle, trene eller forbedre KI-systemer. Det er grunn til å tro at dette vil være en pågående sak i lang tid fremover.

Les mer her:

Euractiv: Irish privacy watchdog takes X to court over data processing for AI training

I sammenheng med saken i Irland har også personvernorganisasjonen NOYB levert flere andre klager mot X i Østerrike, Belgia, Frankrike, Hellas, Italia, Nederland, Spania og Portugal. Klagen går, som i Irland, ut på at X bruker personopplysninger fra over 60 millioner brukere ulovlig for å trene sine KI-teknologier. NOYB mener samtykke skulle vært innhentet. NOYB håper at involveringen av flere europeiske datatilsynsmyndigheter vil øke presset på den irske DPC og X for å overholde EU-lovgivningen.

NOYB: Twitter’s AI plans hit with 9 more GDPR complaints


Samtykke til ansiktsgjenkjenning på treningssenter var gyldig – hvis…

Det danske Datatilsynet har nylig behandlet en klage angående bruk av ansiktsgjenkjenning for å kunne komme inn på et treningssenter.

En bruker klaget til Datatilsynet og hevdet at samtykket til ansiktsgjenkjenning var ugyldig fordi det ikke var andre alternativer. Det viste seg at det fantes alternativer, men de var ikke kommunisert.

Brukere av treningssenteret som ikke ønsker å samtykke til ansiktsgjenkjenning, kunne bli sluppet inn av resepsjonen i den bemannede åpningstiden.  Utenfor bemannet åpningstid kunne de kontakte en døgnstøtte som enten kunne fjernåpne døren eller generere en kode til døren.

Datatilsynet konkluderte med at SHC kunne innhente gyldig samtykke for bruk av ansiktsgjenkjenning, forutsatt at samtykket var informert og korrekt innhentet. Dette innebærer at medlemmene må få klar og tydelig informasjon om hvordan deres biometriske data vil bli brukt, og at de frivillig gir sitt samtykke uten press.

Treningssenteret fikk kritikk for å ha informert klageren om at det ikke var andre alternativer enn ansiktsgjenkjenning. Dette medførte at et eventuelt samtykke ble innhentet under press.

Senteret ble pålagt å tilby et annet adgangsalternativ for de som ikke ønsket å bruke teknologien.

Hvis du vurderer å begynne å bruke ansiktsgjenkjenning, er det lurt å lese avgjørelsen som er tilgjengelig her:

Datatilsynet: Samtykke til ansigtsgenkendelse i fitnesscenter var gyldigt


Lojalitetsprogrammer blir bare vanligere – og er ikke alltid enkle å få gjort riktig

Den greske supermarkedkjeden Alfa Vita har et lojalitetskortprogram kalt “AB Plus” som samler inn personopplysninger fra kundene sine. NOYB hevder at de ikke overholder grunnleggende GDPR-regler og viser til et tilfelle der en kunde ba om tilgang de til personopplysninger selskapet hadde registrert, men kun fikk innsyn i noen få opplysninger. AB behandler kundenes kjøpsvaner, hyppigheten av deres besøk i en AB-butikk, bruken av tilbud som kommuniseres til dem, deres hjemmeadresse og den totale kostnaden for deres kjøp. Formålet er profilering. Kunden som krevde innsyn, fikk kun en liste over foretatte kjøp og kontaktinformasjon. Det er tydelig at selskapet har flere opplysninger enn bare det.

I tillegg krever supermarkedkjeden at kunder oppgraderer til “AB Plus Unique” samt samtykker til deling av data med tredjeparter for å få vite hvor mange penger kunden har spart opp i programmet.  Det virker ikke bare utfordrende i forhold til GDPR, men også som ganske dårlig kundebehandling.

I lys av dette har NOYB levert en klage til den greske datatilsynsmyndigheten. Jeg tipper at kjeden får ryddet opp i dette ganske raskt.

NOYB skriver om saken her:

NOYB: 8 Years of GDPR: Greek supermarket’s Loyalty Card still not compliant


Informasjon delt som privatperson eller behandlingsansvarlig?

Det italienske datatilsynet behandlet nylig en sak hvor en ordfører var anklaget for å ha delt informasjon ulovlig.

Et parlamentsmedlem hadde mottatt flere fartsbøter fra en kommune og mente disse var “unfair”. Medlemmet tok opp saken i en parlamentssesjon og diskuterte den i media. En avis intervjuet i den forbindelse ordføreren i kommunen som utstedte de aktuelle bøtene. Ordføreren bekreftet antall bøter og at førerkortet til parlamentsmedlemmet ikke var inndratt.

Parlamentsmedlemmet likte dette dårlig og klaget til datatilsynet, og mente ordførerens avsløring av slik informasjon var ulovlig.

Ordføreren hevdet at informasjonen var delt som privatperson og ikke som kommunens representant. Videre anførte ordføreren at parlamentsmedlemmet selv hadde offentliggjort informasjonen, slik at det ikke egentlig var snakk om ny informasjon.

Datatilsynet konkluderte imidlertid med at ordføreren handlet som en representant for kommunen, som dermed kan betraktes som behandlingsansvarlig. De sa at den italienske personvernloven kun tillater offentlig administrasjon å dele opplysninger med tredjeparter når deling er autorisert ved lov. Det var derfor irrelevant om informasjonen allerede var offentligjort eller ikke. Tilsynet fant derfor at det brudd på en rekke GDPR-artikler.

En litt uvanlig sak, på mange måter, men den kan bli viktig for de som representerer offentlig sektor.

GDPRhub:Garante per la protezione dei dati personali (Italy) – 10039570


Nok en kjempebot

Den nederlandske datatilsynsmyndigheten (DPA) har nylig ilagt Uber en bot på 290 millioner euro. Årsaken er at tilsynet fant at Uber, over en periode på to år, hadde overført og lagret sensitive data om europeiske taxisjåfører i USA. Dette ble gjort uten å overholde overføringskravene som stilles av personvernforordningen for sikring av slik data. Opplysningene om sjåførene var blant annet betalignsinformasjon, id-informasjon, men i noen tilfeller også informasjon om straff og helsedata. I en periode på 2 år ble ikke riktig overføringsverktøy brukt.

Etterforskningen ble startet etter at over 170 franske sjåfører sendte inn klage til den franske menneskerettslige interesseorganisasjonen Ligue des droits de l’Homme (LDH), som tok videre kontakt med det franske datatilsynet. Fordi Ubers hovedkvarter er i Nederland var det det nederlandske datatilsynet som ila sanksjonen, men etterforskningen ble utført i nært samarbeid med det franske datatilsynet og i koordinasjon med andre tilsynsmyndigheter i Europa.

Uber har allerede varslet at saken vil bli anket. På den ene siden er det tankevekkende at GDPR gjentatte ganger gir meget store bøter for aktiviteter som er avsluttet. På en annen side vil selvfølgelig prevensjonseffekten være mindre om overtredelser gjort av store aktører ikke ble sanksjonert i betydelig grad.

Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers’ data to the US


Opptak skal slettes når de skal

Det danske datatilsynet har gitt alvorlig kritikk til en nattklubb for manglende innsikt i, og sletting av, video-overvåkningsopptak. Saken starten ved at en borger klaget over at nattklubben ikke ga ham tilgang til de opptak hvor han var avbildet. Nattklubben nektet innsyn fordi de mente at det kunne kompromittere sikkerheten og kriminalitetsbekjempelsen på utestedet, samt at de ikke kunne anonymisere andre personer på opptakene uten å også anonymisere klageren, fordi folk sto tett inntil hverandre. Før saken var ferdigbehandlet hadde nattklubben også slettet videoen på grunn av en menneskelig feil.

Datatilsynet konkluderte med at nattklubben ikke kunne avvise innsyn med henvisning til offentlige interesser uten støtte fra politiet. Videre ble det kritisert at opptakene ble slettet før tilsynet hadde ferdigbehandlet saken, da dette brøt med prinsippene om lovlighet, rimelighet og gjennomsiktighet.

Datatilsynet: Natklub får alvorlig kritik: Manglende indsigt i og sletning af tv-overvågningsoptagelser


Ansatte på vei ut? Epostkassen skal slettes

Det belgiske datatilsynet (APD/GBA) har ilagt en betydelig bot til et selskap for flere alvorlige brudd på GDPR-regelverket.

En ansatt i et selskap som hadde ansvar for å administrere flere boligeiendommer, ble oppsagt. Etter oppsigelsen beholdt arbeidsgiveren den ansattes e-postadresse aktiv, med den begrunnelse at det var nødvendig for å sikre en sømløs overføring av arbeidsoppgaver til en ny ansatt. Arbeidsgiveren viste til sin berettigede interesse. De verken etterkom eller besvarte den ansattes anmodning om å slette kontoen.

Tilsynet la til grunn at epostadressen til den tidligere ansatte var personopplysninger som må lukkes når vedkommende slutter i jobben, og at man skal legge inn en automatisk svarmelding. Det fremheves at unntak kan gjøres for visse roller, men i dette tilfelle hadde innboksen vært aktiv i over 5 måneder, noe som brøt med GDPR. Arbeidsgiveren kunne ikke bruke berettiget interesse som rettslig grunnlag og brøt også GDPR ved å ikke svare på slettingsforespørselen.

I Norge har vi jo spesialregler om sletting av epostkasser når noen slutter, men det er interessant å se at tilsynsmyndigheter kommer til omtrent samme resultat uten slike spesialregler. Dette kan være viktig for selskaper som opererer i mange ulike europeiske land.

GDPRhub: APD/GBA (Belgium) – 97/2024


Vi er kanskje ikke helt ferdig med overføringsproblematikk likevel

Den franske datatilsynsmyndigheten (CNIL) har uttrykt bekymring fordi den nåværende europeiske sertifiseringsordningen for skytjenester (EUCS) ikke lenger gir leverandører muligheten til å vise at de beskytter lagrede data mot tilgang fra utenlandske myndigheter.

Dette medfører ifølge CNIL økt risiko for at data lagret av skytjenesteleverandører med ikke-europeiske morselskaper kan bli utlevert til utenlandske myndigheter. Det understrekes at det er nødvendig med strengere sikkerhetstiltak for å opprettholde et høyt nivå av databeskyttelse for europeiske borgere. De anbefaler å innføre “immunitetskriterier” i EUCS-sertifiseringen, for å sikre at sensitive data ikke blir utsatt for juridisk press fra ikke-europeiske land.

Nå vil jo alltid GDPRs krav gjelde i bakgrunnen som en sikkerhet, og dersom en leverandør påstår at de er “compliant” med andre krav til skytjenester, må man sjekke at det faktisk stemmer med kravene i GDPR.

CNIL:Cloud: the risks of a European certification allowing foreign authorities access to sensitive data

Lexology: CNIL Highlights Concerns Over EU Cloud Certification and Data Protection


GDPR blir neppe endret med det første selv om regelverket ikke er perfekt

GDPR er ikke perfekt. Langt fra, faktisk, og mange er enige om det. EU-kommisjonen har likevel besluttet å ikke endre GDPR, men heller fokusere på å styrke håndhevingen av regelverket. Avgjørelsen kommer som følge av en rapport fra juli 2024, som beskrev betydelige utfordringer med håndhevingen av GDPR. Rapporten fremhevet at mange medlemsland sliter med å implementere og håndheve reglene effektivt, noe som fører til inkonsekvent beskyttelse av persondata på tvers av EU. Ingen overraskelse der.  

For å styrke håndhevingen av reglene er det foreslått å øke ressursene til nasjonale datatilsynsmyndigheter og forbedre samarbeidet mellom dem. Kommisjonen vil også fokusere på å forbedre opplæringen og bevisstheten rundt GDPR blant borgere og bedrifter. Dette inkluderer kampanjer for å øke forståelsen av personvernrettigheter og plikter, samt veiledning for bedrifter om hvordan de kan overholde regelverket.

Kommisjonen understreker at selv om GDPR har vært effektivt i å sette standarder for databeskyttelse globalt, er det fremdeles behov for forbedring og tilpasning for å imøtekomme nye utfordringer i den digitale tidsalderen.

Rapporten er for så vidt interessant lesning, selv om problemstillingene er ganske overordnede. Men for de som liker de store linjene, finnes den her:

Euractiv: European Commission opposes amending GDPR, focusing on enforcement instead


KOMMENDE MØTER

19. sept 12.00 – 13.00 Digital drop-in
24. okt 13.00 – 16.00 Digitalt nettverksmøte
14. november – 12.00 – 13.00 Digital drop-in

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#