IT-jus nr. 9/24

onsdag 2. oktober 2024 @ 14:06

Når denne introduksjonen skrives, sitter jeg i Stockholm og skal delta på Nordic Privacy Arena. Der skal jeg lede et stort panel som skal diskutere om Europa har de riktige […]
Av Eva Jarbekk

Når denne introduksjonen skrives, sitter jeg i Stockholm og skal delta på Nordic Privacy Arena. Der skal jeg lede et stort panel som skal diskutere om Europa har de riktige rammebetingelsene for å lykkes i konkurransen med andre kontinenter fremover. Ikke et lite spørsmål.

Høyt på agendaen står den såkalte Draghi-rapporten som kom tidligere i september, der EUs tidligere sentralbanksjef kommer med forslag til hvilke regulatoriske endringer EU trenger fremover. Rapporten har et eget kapittel om «computing and the AI sector». Fascinerende nok foreslås enda et regelverk som skal hjelpe med dette – en «EU Cloud and Development Act». Det anbefales å skumme gjennom rapporten.

Hva trenger våre land for å være konkurransedyktige fremover? Neppe regelverk som i Kina, selv om de enkelt kan lære opp mye KI på data. Det må være mer balansert. Men det trengs tydeligere råd fra myndighetene. Kanskje er noe av det viktige nå at tilsynsmyndigheter får ressurser nok til å gjøre den jobben på en ordentlig måte. Når myndighetene kommer med «opinions» som i praksis fungerer som lovgivning, må man opptre klokt. Mer om dette i første innlegg under.

I øvrig er det typisk at størstedelen av foredragene i Stockholm dreier seg om KI. Jeg lurer på å skifte navn på nettverket fra PrivacyTech til Privacy&Tech. Jeg opplever at vi jobber mer med tech i bred forstand for tiden enn bare personvern. Det er som vanlig mange saker under.

God lesning!

Hilsen Eva
i samarbeid med advokatfullmektig Trygve Karlstad


Demokratisk svikt hos EDPB?

Jeg heier på EU selv om institusjonen ikke er perfekt. Det må likevel være lov å peke på ting som bør gjøres bedre. Forskjellen mellom bruken av Opinions og Guidelines hos EDPB er en slik. Opinions fra EDPB blir vedtatt kjapt og uten høring (8-14 uker) – guidelines tar lengre tid og sendes på høring.

Reglene i GDPR er skjønnsmessige. Datatilsynene baserer ofte sin tolkning på ulike retningslinjer fra EU. Et eksempel er EDPBs Opinion om «pay – or consent». EDPB mener selv Opinions bør brukes på «targeted questions requiring a swift answer, while guidelines are better suited for matters with a larger scope».  

Hva som er et «targeted question» vil det jo være ulike syn på, men nevnte opinion angir en rekke kriterier for når en tjeneste må tilbys gratis (ja – helt sant), og de skriver også at kriteriene i opinionen skal «typically apply to large online platforms, but not exclusively. Some of the considerations expressed in this opinion may prove useful more generally for the application of the concept of consent in the context of ‘consent or pay’ models.»

Mange vil mene at dette ikke er spesielt «targeted» med en så stor rekkevidde. Opinionen binder dessuten datatilsynenes regeltolkning. Vi har altså en opinion om at enkelte tjenester må tilbys gratis – og det har ikke vært til avstemning i noe parlament og har ikke vært på noen høring.

På samme måte som at jeg mener at fravær av personvern er farlig for demokratiet, mener jeg denne fremgangsmåten fra EDPB er problematisk fra et demokratisk synspunkt. Og nå arbeider EDPB med en ny opinion om trening av KI. Det er ikke gitt at en slik opinion tåler å prøves for om den er blitt til på forsvarlig måte. Det er forståelig at mange har lyst å utfordre slike «Opinions» fra EDPB og jeg tror det blir flere rettssaker om dette fremover.


Taper Europa i kampen om KI?

Du har sikkert hørt det. Europa er en sinke når det gjelder utvikling av KI. Norge er kanskje aller tregest. Jeg skal ikke mene så mye om det er riktig, men det er viktig med balanserte rettslige rammer rundt KI. Som jeg nevnte i forrige nyhetsbrev har det regulatoriske landskapet blant annet ført til at Iphone ikke har åpnet for nyeste KI på sine siste modeller i Europa, og Meta lanserer ikke alle sine KI-modeller i Europa. Flere av de store KI-aktørene har skrevet et åpent brev om hvor dårlige de mener reglene er i EU.

En rekke av de store teknologiselskapene uttrykker i dette brevet bred bekymring for at Europas reguleringer ikke bare er fragmenterte, men også at de står i veien for innovasjon og økonomisk vekst. Dette synet støttes av iPhone og Meta, som begge har måttet tilpasse seg de strenge europeiske personvernreglene, og i noen tilfeller valgt å ikke lansere visse produkter eller tjenester.

På den andre siden må man opprettholde sterke personvernstandarder. Uten disse reguleringene, kan bruk av persondata for å trene KI-modeller føre til alvorlige inngrep i individets privatliv og autonomi. Dette synet er spesielt relevant i lys av EDPBs kommende opinion om trening av KI, som har potensial til å påvirke hvordan persondata kan og bør brukes i fremtiden.

Det er sikkert mye å utsette på tilnærmingen til reguleringen av KI i Europa, både med tanke på GDPR og AI Act. EDPB sitt arbeid med den nye opinionen er derfor kritisk. Det er viktig at denne prosessen ikke blir forhastet, men at den tar hensyn til de ulike synspunktene og bekymringene som er uttrykt av både industrien og personvernforkjemperne.

En veloverveid og informert tilnærming fra EDPB vil være avgjørende for hvilke aktører som kan utvikle KI-modeller i Europa. Dermed er ikke EDPBs Opinion bare interessant fra et personverns-synspunkt, men vil også påvirke hvorvidt Europa kan konkurrere på den globale arenaen uten å ofre sine personvernsprinsipper. Det er avgjørende at man finner en middelvei som tillater Europa å dra nytte av KI-innovasjon, samtidig som man beskytter individer i en verden der data er en stadig mer verdifull ressurs.

Les mer her:

Open letter: Europe needs regulatory certainty on AI

Fortune: Mark Zuckerberg says Europe needs more consistent AI regulation—and even his privacy nemesis agrees


Digitalsikkerhetsloven og Norge

Så over til noe håndfast og praktisk. Selv om det er mye fokus for tiden på NIS 2 direktivet, som skal gjennomføres i hvert av EUs medlemsland innen 17. oktober i år, så vil ikke dette direktivet treffe norske virksomheter direkte ennå. I Norge henger vi litt etter resten av Europa, så vi gjennomfører NIS 1 direktivet ved digitalsikkerhetsloven.

Digitalsikkerhetsloven gjelder for tilbydere av samfunnsviktige tjenester innenfor enkelte sektorer, nemlig energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.  Det kom helt nylig forslag til forskrift om hvem som rammes. Det er tre vesentlige forskjeller mellom NIS og NIS 2. Den første knytter seg til virkeområdet, hvor NIS 2 omfatter mange flere sektorer enn det første NIS direktivet.

I tillegg oppstiller NIS 2 krav til risikostyring og sikkerhetstiltak, deriblant at man skal håndtere risiko hos sine leverandører.

Sist, men ikke minst, så oppstiller NIS 2 strengere sanksjonsmuligheter både økonomisk, men også for styre- og ledelsesansvar i virksomheter.

På kort sikt vil det for norske virksomheter flest være viktigst å sette seg inn i de kravene man finner i digitalsikkerhetsloven, mens det på lengre sikt vil være viktig å tilpasse seg NIS 2, som trolig vil bli en del av norsk rett på et tidspunkt.  

Her finner  du forslaget til forskrift om hvem som omfattes:

Regjeringen: Høring – forslag til forskrift til digitalsikkerhetsloven


Ansiktsgjenkjenning – nå også i Danmark

Den siste tiden har jeg ofte skrevet om at ansiktsgjenkjenning synes å bli mer akseptert i ulike sammenhenger. Nå har det også skjedd i Danmark.

Den danske regjeringen har besluttet å utvide politiets muligheter til å bruke ansiktsgjenkjenningsteknologi i etterforskningen av alvorlige kriminalsaker som drap, grov vold og voldtekt. Dette tiltaket er en del av en større strategi for å effektivisere politiets arbeid og øke sikkerheten.

Denne utviklingen har imidlertid reist bekymringer hos Datatilsynet, og de har derfor sendt en forespørsel til politiet om å få innsikt i de vurderinger og tiltak som er gjort i forbindelse med implementeringen av ansiktsgjenkjenningsteknologien. Blant annet er det etterspurt informasjon om hvordan politiet har planlagt å utføre en konsekvensanalyse for databeskyttelse, samt hvordan de har tenkt å involvere Datatilsynet før teknologien tas i bruk.

Ansiktsgjenkjenningsteknologi representerer et kraftig verktøy for etterforskning og etterretning, men den innebærer også store risikoer for individers privatliv og rettigheter. Slik teknologi må innføres med strenge rammer og retningslinjer for å beskytte borgernes personopplysninger.

Se mer her:

Datatilsynet: Datatilsynet stiller spørgsmål til Rigspolitiet om ansigtsgenkendelse


Mer fokus på betydning av automatiserte avgjørelser

En domstol i Belgia måtte nylig ta stilling til et spørsmål omkring midlertidig begrensing (shadow banning) på sosiale medier i lys av personvernforordningen. Meta hadde redusert synligheten av innlegg fra den høyrevridde belgiske politikeren Tom Vandendriessche, uten at han var klar over det. Domstolen måtte derfor ta stilling til hvorvidt dette brøt med reglene i GDPR om automatisert individuell behandling i artikkel 22, samt kravene til informasjon og åpenhet i artikkel 13 og 14.

Den belgiske domstolen vektla at dersom man moderer innhold på denne måten så må databehandleren gjennomføre tiltak som ivaretar den registrertes rettigheter. Dette inkluderer informasjon om den automatiserte behandlingen, forklaring bak den konkrete beslutningen og en mulighet for den registrerte til å klage på beslutningen.  Konklusjonen ble derfor at Metas beslutning om å fjerne noen av Vandendriessches meldinger og innføre shadow banning var en automatisert beslutning uten «meaningful human intervention» og i strid med GDPR artikkel 13 og 14.

Dommen er særlig relevant i lys av den enorme utviklingen av AI-modeller. GDPR, men også DSA, oppstiller begrensninger i hvordan man kan benytte seg av automatiserte behandlinger i tilfeller som dette. Rettspraksis som dette er derfor særlig viktig for å kunne oppstille konkrete krav til hva man må etterleve før man benytter seg av AI-moduler. Jo mer man benytter seg av automatiserte modeller dersto mer vil kravene til å gi forklaring, og mulighet til den registrerte til å klage på beslutningen, skjerpes.

Les mer om saken her:

Lexology: Recent judicial scrutiny of the shadow banning practices


Uber-saken – hva handler den egentlig om?

Det nederlandske datatilsynet har ilagt Uber en bot på 290 millioner euro for brudd på personvernreglene i GDPR. Uber ble funnet skyldig i å ha overført personopplysninger om europeiske sjåfører til USA uten tilstrekkelige sikkerhetstiltak for å beskytte dataene. Personopplysningene som ble overført inneholdt sensitiv informasjon som kontoopplysninger, taxilisenser, lokasjonsdata, bilder, betalingsdetaljer, identitetsdokumenter og i noen tilfeller kriminelle og medisinske data. Overføringen av disse dataene til Ubers hovedkontor i USA pågikk i over to år uten bruk av standard personvernbestemmelser (SCCs) som overføringsgrunnlag.

Det som imidlertid er verdt å merke seg er at Uber besluttet å fjerne sine SCCs fordi de trodde de ikke trengte dette for sine overføringer av personopplysninger. Uber antok at Artikkel 3 i GDPR gjorde at hele virksomheten deres, inkludert den som er lokalisert i USA, var omfattet av personvernforordningen. Denne artikkelen utvider virkeområdet til behandling utenfor EU når det er relatert til tilbud av varer eller tjenester til personer innenfor EU. I tillegg støttet de seg på en uttalelse fra EU-kommisjonen som angir at SCCs ikke kan brukes for dataoverføringer til databehandlere eller prosessorer hvor behandlingen er direkte underlagt GDPR. Videre hadde Kommisjonen uttalt at de var i ferd med å utvikle nye SCCs for disse tilfellene.

Dette synet ble imidlertid ikke støttet av det nederlandske datatilsynet. Det kritiserte Uber for deres tolkning og insisterte på at Uber burde fortsatt å bruke SCCs. Det nederlandske DPA argumenterte for at Uber på ingen måte kunne ha utledet fra Kommisjonens uttalelser at SCCs eller andre overføringsgrunnlag ikke var nødvendig.

Denne saken illustrerer utfordringene bedrifter kan møte på i tolkningen av GDPR og nødvendigheten av å være forsiktig med juridiske tolkninger, spesielt når det gjelder internasjonal dataoverføring. Til tross for at Uber hadde forsøkt å etterleve regelverket lojalt, fikk de lite gehør for dette av det nederlandske datatilsynet.

Saken er komplisert og viser hvor sammensatt regelverkene er. Beslutningen fremstår formalistisk fra datatilsynets side. Saken er naturligvis anket. Det er lett å forstå at mange kritiserer avgjørelsen og jeg er ikke sikker på at det er denne type forvaltningspraksis som bringer personvernet fremover.

Les mer om saken her:

Autoriteit persoongegevens: Dutch DPA imposes a fine of 290 million euro on Uber because of transfers of drivers’ data to the US


Flere SCC’er!

Som nevnt ovenfor, forbereder den europeiske kommisjonen en konsultasjon om nye SCCs for dataoverføringer til databehandlere og prosessorer utenfor EU som er direkte underlagt GDPR. Disse vil da gjelde parallelt med de eksisterende SCCs som regulerer forhold hvor importøren ikke er underlagt GDPR.

I lys av Uber-saken, er en sentral problemstilling som har oppstått hvorvidt SCCs fortsatt er nødvendige når overføringen skjer til en dataimportør som befinner seg utenfor EU, men som er direkte underlagt GDPR. Dette har ført til en debatt om hvorvidt SCCs kan føre til unødvendig dobling av forpliktelser og skape forvirring for bedrifter som forsøker å overholde overlappende juridiske krav.

EDPB har konkludert med at man bør kreve SCCs, selv når importøren er underlagt GDPR, ettersom SCCs vil kunne adressere mulige motsetninger mellom utenlandske lover og EU-regelverk. Som understreket kan dette ha betydelige praktiske konsekvenser, som den nylige boten på 290 millioner euro til Uber i Nederland.

De nye SCCs sikter mot å løse den forvirringen som Uber opplevde, ved tydelig å skissere forpliktelsene for importører i tredjeland som er direkte underlagt GDPR. Dette vil bidra til å sikre konsekvent overholdelse samtidig som det unngås unødvendig dobling av krav som kan belaste bedrifter. Kommisjonen planlegger å lansere en offentlig konsultasjon i løpet av fjerde kvartal 2024, med et forventet utkast innen andre kvartal 2025.

Om det reelt sett blir bedre personvern av at vi får enda et sett med SCC’er er jeg usikker på. Men det formelle blir enklere å ordne.


I en sak fra det belgiske datatilsynet ble det vurdert hvordan cookie banners på ulike nettsiders var utformet. Datatilsynet fant at det ikke var tilstrekkelig å klikke på en knapp det sto «click more» for å avvise informasjonskapsler, og det krevdes at avvis-knappen skulle presenteres sammen med akseptknappen for å gi et reelt valg om samtykke til informasjonskapsler.

Videre ble fargebruken på knappene ansett som villedende, og rent grafisk var det for komplisert å trekke tilbake samtykke sammenlignet med å gi det. Som forbruker er jeg helt enig.

Les mer om saken her:

GDPRhub: APD/GBA (Belgium) – 113/2024


Ny avgjørelse fra CJEU – Deling av kontaktinformasjon – C-17/22 og C-18/22

Saken dreier seg om hvorvidt en gruppe investeringsselskaper kunne kreve at en stiftelse utleverer kontaktinformasjon om sine deltakere med indirekte eierandeler i investeringsfond. Saksøkte, altså stiftelsen, motsatte seg å utlevere denne informasjonen, og fremholdt at avtalerettslige klausuler forbød slik deling av data til andre aksjonærer. Tyske domstoler var usikre om hvorvidt eksisterende tysk rettspraksis, som pålegger saksøkte å dele dataene med mindre det foreligger misbruk av rettigheter, er forenlig med GDPR. Derfor ble saken henvist videre til EU-domstolen.

EU-domstolen vurderte dermed spørsmålet opp mot flere bestemmelser i personvernforordningen, spesielt artikkel 6(1) som omhandler behandlingens lovlighet. Domstolen vurderte ulike rettslige grunnlag for behandlingen:

  1. Artikkel 6(1)(a) GDPR – Samtykke: Ettersom de registrerte ikke hadde gitt samtykke, så kunne ikke dataene deles.
  2. Artikkel 6(1)(b) GDPR – Nødvendig for å oppfylle en avtale: Etter en tolkning av kontrakten som de registrerte hadde inngått, konkluderte domstolen at avtalen forbød utlevering av informasjon om deres identitet.
  3. Artikkel 6(1)(f) GDPR – Legitime interesser: EU-domstolen fant argumenter for at det forelå legitim interesse for å få tilgang til informasjonen, men domstolen presiserte at det finnes mindre inngripende måter å oppnå dette på, som for eksempel å spørre de registrerte om de ønsker å bli kontaktet. Domstolen uttrykte tvil om dette kunne være et tilstrekkelig rettslig grunnlag.
  4. Artikkel 6(1)(c) GDPR – Rettslig forpliktelse: Domstolen bemerket at selv om det ikke foreligger en lovhjemlet forpliktelse, kunne rettspraksis mulig utgjøre en rettslig forpliktelse. Imidlertid må det kunne oppstilles enkelte krav til at dersom rettspraksis skal utgjøre en rettslig forpliktelse, må den være tilstrekkelig klar og forutsigbar. Det var imidlertid opp til nasjonale domstoler å avgjøre om disse kravene er oppfylt.

Tre nye uttalelser fra generaladvokatene (AG-opinions)

Innsyn i algoritmer ved automatiserte behandlinger – C-203/22

Saken dreier seg om en mobiloperatør som nektet å inngå en kontrakt med en person på grunn av påstått utilstrekkelig kredittverdighet, vurdert ved hjelp av tjenester fra Dun & Bradstreet i Østerrike. Personen krevde innsyn i algoritmen bak den automatiserte behandlingen som ble brukt for å vurdere kredittverdigheten, noe som førte til en rekke juridiske spørsmål og til slutt en henvisning til EU-domstolen for en foreløpig avgjørelse.

Generaladvokat De La Tour publiserte nylig sin mening om saken. Først fremhevet De La Tour at den registrerte må få «meningsfull informasjon» om logikken bak automatiserte behandlingen, som ble innfortolket i artikkel 15(1) bokstav h. Videre ble det understreket at den registrerte har «rett til en forklaring» om de mekanismer som er brukt i den automatiserte beslutningsprosessen. Dette er ikke bare for å verifisere lovligheten av databehandlingsaktiviteten, men også for å muliggjøre utøvelsen av andre rettigheter den registrerte har under GDPR, spesielt de som er knyttet til Artikkel 22.

Generaladvokaten fremhevet at et individ må få informasjonen i samsvar med kravet om åpenhet, og må inneholde detaljer om konteksten og logikken bak den automatiserte behandlingen. Informasjonen skal være klar og tilgjengelig, og om nødvendig supplert med ytterligere forklaring. Kravet er imidlertid ikke så vidt at forklaringen må dekke hvordan algoritmen fungerer, på grunn av dens komplekse natur, men bør heller inneholde en klar og forståelig beskrivelse av den anvendte logikken, inkludert metoden, kriteriene som er brukt, og deres vekting. Videre bør den registrerte kunne bruke informasjonen som er gitt for å kontrollere at dataene som er brukt er riktig og vurdere om behandlingen samsvarer med disse dataene. Saken, når den blir endelig, vil antakelig gi nyttige avklaringer om forklaringsplikten for algoritmer.

C-247/23 – GDPR, retting og transrettigheter

En transperson som ble tildelt flyktningstatus i Ungarn, klaget inn det ungarske immigrasjonsmyndighetene for feilregistrering i asylregisteret. Ved søknad om flyktningstatus påpekte vedkommende at han identifiserte seg som mann og brukte sin transseksualitet som grunnlag for anerkjennelse som flyktning. Behandlingsansvarlig, altså immigrasjonsmyndighetene, registrerte vedkommende som kvinne. Senere ba den registrerte om at oppføringen i asylregistrert skulle endre navn og kjønn fra kvinne til mann, men dette ble avvist fordi den registrerte ikke kunne bevise at kjønnsbekreftende behandling var gjennomført.

Ungarske domstoler har referert saken videre til EU-domstolen hvor sakens kjerne er tolkningen av Artikkel 16 i GDPR. I den forbindelse har generaladvokat Collins foreslått at retten burde tolke Artikkel 16 i GDPR, i lys av Artikkel 5(1)(d), slik at en nasjonal myndighet som har laget et flyktningsregister, er pålagt å rette personopplysninger om kjønn som feilaktig ble registrert, dersom den registrerte ber om det. Videre bør det ikke kreves at den registrerte må bevise gjennomført kjønnsbekreftende kirurgi for å rette kjønnsdata. Artikkel 16 inneholder ikke noe krav til bevis fra den registrerte. Beviskravet for retting av data bør vurderes fra sak til sak, men det kan ikke kreves at den registrerte må påvise en spesiell interesse for rettelsen eller at den påståtte unøyaktigheten forårsaker skade.

C-383/23 – Beregning av GDPR bot

I en nylig uttalelse fra generaladvokat Medina, fremhevet han hvordan bøter for brudd på personvernforordningen bør beregnes når de pålegges en behandlingsansvarlig eller databehandler som er en del av et større foretak. Når maksimalt bøtenivå skal fastsettes, skal den totale årlige omsetningen til hele foretaket, inkludert morselskapet, tas i betraktning. Dette setter en øvre grense for hvor store bøter som kan ilegges. Dette er kanskje ikke overraskende, men en nyttig påminnelse om at det ofte er et betydelig rom for å gi store bøter. Den siste tiden har vi både sett svært store bøter – men også at det ilegges mange irettesettelser.

Det er imidlertid viktig å merke seg at dette kun er ett av flere elementer som vurderes når den faktiske boten skal fastsettes. Datatilsynet eller domstolen må også foreta en konkret vurdering basert på andre faktorer, som foretakets beslutningsmakt, omfanget av overtredelsen, og antall enheter i foretaket som er involvert.


Svensk forvirring om samtykke, avtaler og litt om fusjoner og ansvar

Det svenske datatilsynet (IMY) har foretatt et tilsyn hos Expressen Lifestyle AB og funnet at selskapet har behandlet personopplysninger uten å oppgi korrekt rettslig grunnlag. Etter innføringen av GDPR i 2018, baserte Expressen hovedsakelig behandlingen av abonnementsdata på kontraktsmessig nødvendighet og berettiget interesse, fremfor samtykke.

Det ble oppdaget en feil i personvernerklæringen til selskapets nettbutikk som ga uttrykk for at det rettslige grunnlaget var basert på samtykke, og som dermed ikke var oppdatert i tråd med selskapets faktiske praksis. Videre ble det gitt informasjon om retten til å trekke tilbake samtykket, noe som forsterket inntrykket av at samtykke var det rettslige grunnlaget for behandlingen. Etter at tilsynet startet, tok Expressen umiddelbare skritt for å korrigere informasjonen i deres nettbutikk.

IMY konkluderte med at den opprinnelige teksten i personvernavklaringen ga inntrykk av at samtykke var det juridiske grunnlaget for behandling av personopplysninger. Siden Expressen faktisk baserte sin behandling på avtale og berettiget interesse, fant IMY at Expressen hadde brutt artikkel 13(1) bokstav c ved å oppgi feilaktig rettslig grunnlag. Tilsynsmyndigheten fant at overtredelsene var mindre alvorlige, ettersom nettstedet ikke var hovedsiden som ble brukt av abonnentene for å tegne abonnementer. Antallet berørte personer var begrenset, og bruddet førte ikke til alvorlige konsekvenser for de registrerte. Derfor utstedte IMY en reprimande uten bøter.

Dette tilfellet understreker viktigheten av å sikre at all kommunikasjon om rettslig grunnlag for behandling av personopplysninger er korrekt og tydelig. Mange blander avtaler med samtykke, og grensen kan være hårfin. Hvis du bruker noen av disse som grunnlag for behandling – ta en titt på informasjonen du gir kundene dine og se om ordlyden trenger en oppfriskning.

Les mer her:

IMY: Tillsyn enligt dataskyddsförordningen – Expressen Lifestyle AB


Enkelte Datatilsyn blir også saksøkt

Som sikkert mange kjenner til har det den siste tiden vært særlig søkelys på hvorvidt såkalt «pay or okay» er i tråd med personvernforordningen. Pay or okay dreier seg om å gi brukerne et valg om sporing og profilering for markedsføringsformål eller betale en avgift for å slippe (rettet) reklame.

Bakgrunnen er at sommeren 2021 la en person inn en klage mot Der Spiegels «pay or okay»-banner. Etter nesten tre års vurdering, konkluderte datatilsynet i Hamburg med at dette i prinsippet er tillatt. Beslutningen er imidlertid svært kontroversiell. Kritikken går på at fakta i saken er lettvint behandlet, og det stilles spørsmål ved om brukernes samtykke virkelig kan anses som frivillig når over 99,9% av brukerne aksepterer sporing under slike omstendigheter.

I forlengelsen av dette har NOYB reist søksmål mot datatilsynet angående deres håndtering av «pay or okay»-banneret. Særlig reiser søksmålet spørsmål omkring datatilsynets partiskhet. Det fremheves blant annet at datatilsynet hadde vært i tett dialog med Der Spiegel gjennom hele prosessen og at de hadde gitt råd om foreslåtte endringer. Datatilsynet har også fakturert Der Spiegel for de administrative kostnadene i prosedyren, men denne summen ansees å være betydelig lavere enn hva juridiske rådgivninger normalt ville kostet.

Les mer om saken her:

NOYB: ‘Pay or OK’ at DER SPIEGEL: noyb sues Hamburg DPA


NOYB fortsetter å klage på EUs institusjoner

Det er ingenting som tyder på at NOYB har tenkt til å gi seg med det første. I tillegg til to saker der de har klaget på EDPS, klager de nå inn selve EU-parlamentet.

I mai 2024 avslørte EU-Parlamentet en omfattende datalekkasje på deres rekrutteringsplattform, PEOPLE, som berører personopplysningene til over 8.000 nåværende og tidligere ansatte. Lekkasjen inkluderer sensitive data som ID-kort, pass, kriminelle rulleblad, bostedsdokumenter og ekteskapsattester, som kan avsløre en persons seksuelle orientering. Det er fortsatt uklart når og hvordan bruddet skjedde, og det ble først oppdaget flere måneder i etterkant.

I kjølvannet av dette datainnbruddet har NOYB klaget inn EU-parlamentet til EDPS. Klagen peker på manglende etterlevelse av grunnleggende prinsipper som dataminimering og lagringskrav. Mange av disse opplysningene har EU-parlamentet lagret i 10 år, langt utover det som anses som nødvendig. Dessuten har EU-parlamentet lenge vært kjent med sårbarheter i sitt datasikkerhetssystem, og de har vært utsatt for lignende cyberangrep tidligere. Noyb ønsker dermed at EDPS skal sikre at EU-Parlamentet overholder personvernforordningen.

Les mer om klagen her:

NOYB: Noyb files two complaints against EU Parliament over massive data breach


Nok en sak om innsyn, blant annet i informasjon i epost

Denne saken dreier seg om en tidligere ansatt og kunde hos det svenske togoperatørselskapet SJ som hadde bedt om tilgang til sine personopplysninger. SJ kunne imidlertid ikke gi dette på grunn av tekniske problemer med bank-ID-verifisering i selskapets kundeportal. SJ ba derfor om ytterligere informasjon for manuell identifikasjon, som ble verifisert av den registrerte tre måneder senere ved hjelp av bank-ID på mobil.

Først mottok den registrerte informasjon om behandlingen av personopplysninger relatert til den registrertes arbeidsforhold, men informasjonen dekket kun perioden fra 2008 og utelot tekniske data. Deretter fikk den registrerte mangelfull informasjon om kundeforholdet. Selskapet hevdet at all informasjon var tilgjengelig på deres nettside, men den registrerte ble ikke informert om hvordan man kunne få tilgang til den informasjon som manglet.

Den registrerte klaget så til det svenske Datatilsynet (IMY). IMY konkluderte med at fristen for å svare på forespørselen i utgangspunktet begynte allerede ved den første forespørselen fra den registrerte, men denne fristen ble skjøvet ut til databehandleren mottok den identifikasjonsinformasjon de etterspurte. SJ hadde uansett ikke gitt rett til innsyn innen fristen, eller informert om en forlengelse av fristen, noe som brøt med Artikkel 12(3). Videre fastslo Datatilsynet at mangelen på fullstendig informasjon var et brudd på GDPR Artikkel 15. Ettersom dette bare var et mindre brudd på personvernforordningen fikk selskapet bare en irettesettelse.

Les mer her:

IMY: Beslut efter tillsyn enligt dataskyddsförordningen – SJ AB


Offentlighetslov og GDPR – ikke bare enkelt

Datatilsynet har ilagt Stavanger Arbeiderparti en irettesettelse for behandling av personopplysninger på vegne av flertallspartiene i Stavanger. Dette skjer etter klager fra flere privatpersoner som mottok politisk reklame via e-post i forbindelse med kommunevalget den 20. august 2023. E-postene ble sendt til foreldre til barn i barnehager og skoler i Stavanger, hvor kontaktinformasjonen var utlevert av kommunen under offentlighetsloven.

Klagene til Datatilsynet omhandlet spørsmål som gjelder lovligheten av både kommunens og partienes håndtering av personopplysningene. Datatilsynet ba derfor om en redegjørelse fra Stavanger Arbeiderparti for å klargjøre formålet med og det rettslige grunnlaget for e-postutsendelsen.

I sitt vedtak konkluderte Datatilsynet med at Stavanger Arbeiderparti ikke hadde utført nødvendige vurderinger av hjemmelen for behandlingen av personopplysningene, og at de heller ikke hadde informert de registrerte om denne behandlingen på en tilfredsstillende måte. På grunn av disse manglene ble partiet ilagt en irettesettelse. Datatilsynet har nå avsluttet saken.

GDPRhub: Datatilsynet (Norway) – 23/03206


Kommer CSAM likevel?

I forrige nyhetsbrev skrev jeg at CSAM-forslaget ble trukket. Nå har det ungarske formannsskapet sagt at de vil få gjennomført loven likevel og at man sikter mot en enighet i Rådets møte i oktober. Selv om det gjøres endringer i hvordan overvåkning, søk og oppslag i chatter skal gjøres, vil det antakelig ikke svekke kritikerne som mener at tiltaket er for inngripende. Politico har offentliggjort interne dokumenter om prosessen, som kan leses her av interesserte: an internal document published by Politico


Bøter er ikke så spennende lenger, men noen er interessante

Det nederlandske datatilsynet har ilagt det amerikanske selskapet Clearview AI en bot på 30,5 millioner euro for ulovlig innsamling av data til ansiktsgjenkjenning.

Clearview AI har bygget en database med over 30 milliarder bilder, inkludert bilder av nederlandske borgere, uten deres viten eller samtykke. Disse bildene er skrapt fra internett og konvertert til unike biometriske koder. Clearview sine tjenester er mye brukt av etterretnings- og etterforskningsorganer utenfor EU, ved at man laster opp et bilde som sammenlignes til Clearviews sin enorme database.

Det var særlig to forhold som utgjorde et brudd på personvernforordningen. For det første anså det nederlandske datatilsynet ansiktsgjenkjenningsteknologien til Clearview som svært inngripende for rettighetene til de registrerte. Databasen lagret særlige kategorier av personopplysninger, og datatilsynet fant ingen av unntakene i Artikkel 9 oppfylt. Det andre forholdet var at Clearview ikke var tilstrekkelig åpne om bruken av bildene og de biometriske dataene, og har ikke samarbeidet med forespørsler om innsyn i dataene.

Det er også noe bekymringsverdig at dette vedtaket føyer seg i rekken av andre europeiske datatilsyn som har gitt bot til Clearview for lignende overtredelser, med liten vilje for Clearview til å endre sin praksis.

Les mer her

Autoriteit persoongegevens: Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition


En kjent sak om dataskraping har fått en avslutning

Det har nå blitt inngått et forlik i en kjent sak om dataskraping. Staten Texas hadde saksøkt Meta for å ha brukt ansiktsgjenkjenningsteknologi ulovlig for å skrape biometriske data til millioner av innbyggere i Texas uten samtykke.  Ifølge Texas hadde Meta skrapt denne informasjonen fra bilder og videoer som brukere lastet opp på Facebook. Partene har nå blitt enige om et forlik, som går ut på at Meta skal betale 1,4 milliarder dollar til Texas.

Les mer her:

Reuters: Meta to pay $1.4 billion to settle Texas facial recognition data lawsuit


KOMMENDE MØTER

24. okt 14.00 – 16.00 Digitalt nettverksmøte
14. november 12.00 – 13.00 Digital drop-in
12. des 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#