Jeg prøver å løfte blikket i disse nyhetsbrevene. Det er jo et hav av småsaker – men hvilke saker har størst praktisk og prinsipiell innvirkning? I disse dager er mediene fulle av mer eller mindre gode artikler og kommentarer om DeepSeek. Det er klart at dette blir viktig fremover. Om man kan utvikle AI til en betydelig lavere kost enn tidligere, vil kanskje også Europa kunne utvikle tjenester som kan konkurrere. Det er tidlig i DeepSeeks kommersielle fase, flere lands datatilsyn har rettet spørsmål til selskapet og det blir nok en god stund til vi finner ut av hvordan de juridiske utfordringene her skal håndteres. På samme måte som det har tatt tid før datatilsynene har kommet til en konklusjon om OpenAI – noe som har skjedd nå, se omtalen under.
En beslektet sak er at overføringer til tredjeland kommer på radaren igjen. Dette gjelder både for overføringer til USA, men også til Kina. Jeg ville ikke bli forundret om også andre land utenfor EØS får økt oppmerksomhet. Trump har ikke bidratt til at vi kan ha styrket tro på at DPF vil klare en rettslig prøving. Det åpenbare rådet er å huske på at SCC’ene gjelder og at det kan godt tenkes at vi må bruke dem mer fremover. Og dette bringer meg til neste store tema: pseudonymisering.
EDPB har kommet med utkast til en veileder om pseudonymisering. Samtidig venter vi på en viktig dom fra CJEU om samme tema (C-423/23 P, EDPS v SRB) der generaladvokaten kommer med sin innstilling senere denne uken. Jeg tenker derfor at vi venter med å se nærmere på dette. Men for alle som arbeider med overføring av data til tredjeland, er disse dokumentene svært viktige ting å følge med på. Et hjertesukk er likevel at utkastet fra EDPB legger opp til at nok en risikovurdering skal gjennomføres; risikoen for reidentifisering av pseudonymiserte opplysninger. Å måtte produsere nok en risikovurdering står neppe øverst på manges ønskeliste. Men om det gjør det mulig å bruke SaaS-tjenester fra tredjeland og ha overføringer til tredjeland, så kan det være verdt innsatsen.
Under er et knippe av viktige saker fra årsskiftet. Deriblant noen betraktninger om at EU ansetter ny European Data Protection Supervisor (EDPS) i disse dager. Det kan ha større betydning enn mange er klar over.
Hilsen Eva
Pass på innholdet personvernerklæringen din og svar ordentlig på innsynsbegjæringer!
Brukere av Netflix må opprette en konto. Der må de oppgi navn, fødselsdato, epostadresse, telefonnummer og bankkontonummer. Når de så bruker tjenesten, behandler Netflix data om deres seeratferd for å tilby dem filmer og serier som kan være av interesse for dem.
NOYB ba om innsyn på vegne av to registrerte. De var ikke imponert over svaret de fikk. NOYB opptrådte som representant for de to brukerne og leverte en klage til det østerrikske datatilsynet, som overførte saken til nederlandsk datatilsyn der Netflix har sitt europeiske hovedkontor. Det nederlandske datatilsynet har gitt Netflix et betydelig gebyr på 4 750 000 euro for bruddene de fant. Det er en stor sum. I hovedsak var det fire feil.
- Rettslige grunnlag og formål med behandling av personopplysninger
I kommunikasjonen med tilsynet listet Netflix opp åtte formål, men disse skilte seg i stor grad fra det de hadde skrevet i personvernerklæringen og det de hadde skrevet som svar på innsynsbegjæringen. Datatilsynet mente at selskapet ikke formidlet hvilke data den bruker for «sine tilbud, analyse av målgrupper og forebygging av svindel«. Gjør du det i din personvernerklæring? Jeg tror det er litt ymse på etterlevelse her.
Ei heller opplyste de om hvilke personopplysninger de mottar fra tredjeparter.
- Manglende angivelse av databehandlere
Netflix bruker tjenesteleverandører som bistår dem. Imidlertid inneholdt ikke personvernerklæringen og svaret på innsynsbegjæringen navnene på slike mottakere, mens behandlingsansvarlig presenterte denne informasjonen i sine innsendelser til tilsynet.
- Manglende presisjon på lagringstid
I personvernerklæringen og i svaret på innsynsbegjæringen oppga Netflix at de vil beholde de registrertes personopplysninger som «tillatt av lover og forskrifter«, uten å spesifisere varigheten av slik lagring i sin personvernerklæring og i svaret på innsynsbegjæringen.
- Manglende informasjon om overføringer til tredjeland
Netflix spesifiserte ikke hvilke rettigheter de registrerte har når deres personopplysninger overføres utenfor EØS. Det ble ikke gjort noen referanse til de spesifikke landene utenfor EØS, og det ble ikke gjort noen referanse til verken tilstrekkelighetsbeslutninger eller passende garantier.
Kommentar: Det er MYE å lære av denne saken. En ting er at den sikkert allerede er påklaget, men den viser at tilsynsmyndigheter snart ikke lenger akseptererat selskaper forholder seg omtrentlig til hva som står i personvernerklæringer.
Jeg har ikke tall på antall ganger jeg har sagt til en klient at – ja, du skriver at du oppbevarer kundeopplysningene så lenge det er nødvendig – men det er jo ikke sikkert at Datatilsynet vil akseptere det dersom de blir spurt – selv om «alle» andre gjør det samme. Jeg har ventet på at dette vil bli håndhevet strengere og det kan se ut som om det kommer nå. Det samme gjelder presisjon på hvilke personopplysninger som brukes til hvilke formål og mye annet.
Så les personvernerklæringen din som NOYB ville gjort det. Det kan tenkes den faktisk blir tatt på alvor en dag – og det trenger ikke å ta mye tid å rette heller.
Nytt gebyr til OpenAI fra Italia – og noen tanker om one-stop-shop
I mars 2023 forårsaket en teknisk feil i ChatGPT at brukere i en periode kunne se chatthistorikken til andre brukere. Det gjaldt navn, etternavn, e-postadresser og de siste fire sifrene og utløpsdatoene på kredittkort for å betale for tjenesten. OpenAI bekreftet forholdet.
Det italienske datatilsynet, Garante, innledet undersøkelser som gikk langt ut over det konkrete bruddet.
- Om One stop shop – og hvem man skal varsle til
Det ble blant annet tatt stilling til on one-stop-shop skulle gjelde. Som for en rekke selskapet, er OpenAIs europeiske hovedkontor i Irland. Samtidig mener mange at Irland behandler klager for tregt og involverer andre EU-land i for liten grad. Det er jo ikke tilfredsstillende for et datatilsyn å bli satt på sidelinjen. For tilsynsmyndigheten i et land (utenfor Irland) mistenker jeg noen ganger at man prøver å unngå at en sak havner i Irland. For selskaper som underlegges tilsyn, er det ofte en fordel å kunne bruke one-stop-shop. Hvis ikke risikerer de samtidig tilsyn og gransking i flere EU-land, noe som både øker risikoen for store bøter og gir mye administrativt arbeid og ekstrakostnader. Derfor blir det noen ganger en diskusjon om one-stop-shop gjelder eller ikke.
I denne saken kom Garante til at OpenAI hadde aktivitet i EU fra 30. november 2022, men etablerte kontor i Irland først 15. februar 2024. Derfor hadde Garante myndighet over brudd før 15. februar 2024 og one-stop-shop gjaldt ikke.
OpenAI forklarte at de varslet databruddet til det irske datatilsynet da det var i ferd med å etablere sitt irske registrerte kontor da bruddet skjedde. Garante kom imidlertid til at da bruddet skjedde var behandlingsansvarlig basert i USA, og da gjelder ikke one-stop-shop. De kunne heller ikke overføre saken til det irske datatilsynet ettersom bruddene skjedde før etableringen i Irland. Dette betød at OpenAI ikke hadde varslet rettidig. For utenlandske selskaper er det altså viktig å forstå hvordan one-stop-shop fungerer. Min erfaring er at mange selskaper utenfra ikke alltid gjør det.
- Brudd på artiklene 5(2) og 6 GDPR
Garante mente at OpenAI ikke hadde identifisert behandlingsgrunnlag for treningen av modellen. Helt konkret mente de at selve behandlingen av personopplysninger begynte på et tidligere tidspunkt enn selve tjenesten. Dette tenker jeg er en påminnelse om å være grundig når man kartlegger sine behandlinger, slik at man ikke overser ganske sentrale deler av en behandlingsrekke. Selv i dag opplever jeg at virksomheter «glemmer» at hjemmel for trening av en AI er noe annet enn selve bruken av AI’en. Det er ikke så lurt. For OpenAI ble dette ansett som brudd på artikkel 5 og 6.
I gjennomgangen av selskapets personvernerklæring fant Garante to typer databehandling: selve det å kunne bruke tjenesten samt bruk av ikke-brukeres data for å trene modellene. De kom til at OpenAI ikke hadde overholdt informasjonsplikten for disse. Ikke-brukere fikk ingen informasjon. For brukere av tjenesten var personvernerklæringen vanskelig tilgjengelig – og den var på engelsk.
Dessuten manglet det mekanismer for å verifisere alderen til brukere, selv om vilkårene krevde foreldrenes samtykke for brukere mellom 13 og 18 år. Det ble også funnet flere andre brudd som vi ikke kommer inn på her.
Garante ila et overtredelsesgebyr på hele 15 000 000 euro. Det er sannsynlig at dette blir påklaget. Garante påla også OpenAI å gjennomføre en informasjonskampanje over seks måneder for å øke åpenheten rundt behandlingen av personopplysninger. Kampanjen skal gå på radio, TV, i aviser og på internett, med fokus på hvordan ChatGPT bruker personopplysninger, spesielt innsamling av data fra både brukere og ikke-brukere for AI-modelltrening. Innholdet i kampanjen skal avtales nærmere med Garante og skal styrke enkeltpersoners kunnskap om deres rettigheter, herunder retten til å protestere, rette og slette personopplysninger.
Nok en stor bot – har du med det nødvendige i avviksmeldingen din?
Meta hadde et avvik som berørte ca 29 millioner Facebook-kontoer globalt, hvorav omtrent 3 millioner i EØS. Uvedkommende fikk se facebookprofilen til de registrerte og informasjonen omfattet navn, e-postadresse, telefonnummer, lokasjon, arbeidssted, fødselsdato, religion, kjønn, innlegg på tidslinjer, grupper som en bruker var medlem av og barns personopplysninger. Bruddet ble utbedret etter kort tid.
Det irske datatilsynet, DPC, behandlet saken og har ilagt omfattende bøter. De har koordinert med andre lands tilsyn som (denne gangen) ikke hadde innvendinger mot DPCs forslag til reaksjon.
Foreløpig har vi kun en pressemelding om denne saken og jeg ser frem til at selv beslutningen publiseres, for det er noen fakta her som er interessante. Bland annet skulle jeg gjerne visst hva DPC mener Meta tilbakeholdt av informasjon i avviksmeldingen, selv om noe av dette fremkommer i pressemeldingen.
DPC ila for det første Meta en bot på 8 000 000 euro fordi avviksmeldingen ikke inneholdt all informasjon den skulle. Det er en veldig stor bot for å ikke ha med alt i en avviksmelding. Det blir interessant å se hva som faktisk var tilbakeholdt av informasjon.
DPC ila Meta også en bot på 3 millioner euro for at avviksmeldingen ikke dokumenterte fakta knyttet til hvert brudd, trinnene som ble tatt for å utbedre dem, og å gjøre dette på en måte som gjorde det mulig for DPC å verifisere samsvar. Også her blir det relevant å se på hva som manglet.
DPC ga videre Meta en bot på 130 000 000 euro for manglende privacy by design. Meta fikk også en bot på 110 000 000 Euro for brudd på minimumsprinsippet.
I kommentaren i pressemeldingen fra en av de nye direktørene i DPC er det tydelig at et sentralt element er at deler av dette dreier seg om sensitive personopplysninger:
«Denne håndhevelsesaksjonen fremhever hvordan manglende innarbeiding av krav til databeskyttelse gjennom hele design- og utviklingssyklusen kan utsette enkeltpersoner for svært alvorlige risikoer og skader, inkludert risiko for grunnleggende rettigheter og friheter for enkeltpersoner. Facebook-profiler kan, og inneholder ofte, informasjon om saker som religiøse eller politiske overbevisninger, seksualliv eller orientering, og lignende saker som en bruker kanskje ønsker å avsløre bare under bestemte omstendigheter. Ved å tillate uautorisert eksponering av profilinformasjon, forårsaket sårbarhetene bak dette bruddet en alvorlig risiko for misbruk av disse typer data.«
Vi kommer tilbake til saken!
Nok en (streng) sak om ansiktsgjenkjenning
En fotballsupporter i Spania klaget til det spanske datatilsynet (AEPD) og hevdet at fotballklubben Club Atlético Osasuna hadde brutt personvernreglene. Klubben hadde implementert et ansiktsgjenkjenningssystem på flere av stadionens innganger, men det var fremdeles mulig å benytte innganger uten dette systemet. Fansen kunne frivillig registrere seg i systemet ved å sende inn et selvportrett, en ID-kortskanning og samtykke til vilkårene. Formålet med systemet var å gjøre det raskere å komme inn, ikke å bedre sikkerheten. Klager mente at den store lagringen av biometriske data var uproporsjonal – selv om den var basert på samtykke.
AEPD mente at samtykket var gyldig og informert. Det var ingen negative virkninger ved å ikke samtykke. Men de mente at det var et så vidt bredt omfang av biometri som ble registrert (ID-kort, bilde, ansiktsgjenkjenningsprosedyre) at det ble for omfattende når man like gjerne kunne brukt QR-koder eller digitale billetter for å gi like rask inngang til stadioen.
Det resulterte i et gebyr på hele 200 000 euro. Saken er spesiell fordi den viser at samtykke ikke trumfer alt. Skal man bruke ansiktsgjenkjenning må man sørge for å ha riktige begrunnelser.
Å be om tittel – eller ikke…
Det er ikke så vanlig å be kunder her til lands å angi om de er Herr eller Fru lenger – men det er vanlig i mange andre land fremdeles. Selv føler jeg meg som en evigung frøken og ville gladelig krysset av i den rubrikken uten å klage! Denne saken illustrerer uansett at det faktisk er viktig å tenke på hva som egentlig er nødvendig overfor ens kunder.
Etter min mening viser saken at minimumsprinsippet står sterkt, og kanskje sterkere enn hvorvidt det skjer en personvernkrenkelse eller ikke. Selv om noen nok er uenige, synes jeg ikke det er en stor personvernfare å måtte oppgi tittel – men i tråd med minimumsprinsippet er det altså ikke.
Foreningen Mousse klaget på praksisen til det franske jernbaneselskapet SNCF til det franske datatilsynet (CNIL). SNCF krevde at kundene skulle oppgi sin tittel (‘Monsieur’ eller ‘Madame’) når de kjøpte transportbilletter på nett. Mousse mener at dette bryter med prinsippet om dataminimering, fordi det ikke er nødvendig for kjøp av en jernbanebillett.
I 2021 avviste CNIL klagen (overraskende nok, synes jeg) og fant at dette ikke utgjorde et brudd på GDPR. Mousse var uenig og brakte saken inn for domstolene som igjen brakte den inn for CJEU.
CJEU avgjorde saken i januar 2025 og skriver at i samsvar med prinsippet om dataminimering, som gir uttrykk for proporsjonalitetsprinsippet, må de innsamlede dataene være tilstrekkelige, relevante og begrenset til det som er nødvendig i lys av formålene som disse dataene behandles for. Domstolen skriver at for at databehandling skal anses som nødvendig for oppfyllelsen av en kontrakt, må denne behandlingen være objektivt uunnværlig for å muliggjøre riktig oppfyllelse av den kontrakten. Dette er ikke overraskende, men det er mange som ikke har en praksis i tråd med dette.
Videre understreker domstolen at personalisering av kommersiell kommunikasjon basert på antatt kjønnsidentitet, ikke er objektivt uunnværlig i en transportavtale. SNCF kunne velge å kommunisere basert på generiske, inkluderende uttrykk mot kundene, uten sammenheng med antatt kjønnsidentiteten. Dette mente de ville være både gjennomførbart og mindre inngripende.
Imy slår ned på feil cookiebannere
En person klaget på Aktiebolaget Trav och Galopp, et av de største svenske spillselskapene. Klagen gjaldt at det var vanskeligere å nekte cookies enn å godta dem og at fargene, kontrasten og lenkene på cookie-banneret var villedende.
Selskapet svarte at det var mulig å nekte cookies og trekke tilbake samtykke i et sekundært lag med samtykke. Fra oktober 2021 hadde de lagt til en tydelig «nekt» knapp i stedet for en lenke til et annet lag der cookies kunne avvises. Samtidig endret de fargene og kontrasten på knappene for aksept og avvisning.
Datatilsynet la til grunn at cookie-banneret kom opp med en gang når en bruker besøkte nettsiden. For å akseptere cookies, kunne brukeren klikke på en grønn knapp. Men for å trekke tilbake samtykke måtte man gå til selskapets cookie-policy i bunnteksten. Tilsynet mente at prosessen for å trekke tilbake samtykke var mye mer komplisert enn å godta cookies. De mente også at lenken for å nekte cookies var mindre fremtredende enn den grønne knappen for å akseptere. Tilsynet konkluderte med at samtykket ikke var uttrykk for en tydelig vilje.
Selskapet fikk ikke en bot, men en reprimande. Tiden er nok likevel kommet for å se over cookie-bannerne rundt omkring.
Bortsett fra en del saker i Danmark, tror jeg dette er den første strenge saken om cookies i Skandinavia. Jeg tror neppe den blir den siste.
En prinsipiell dom om klagerett
Det er nylig kommer en ny dom fra CJEU om «overdrevne» anmodninger fra den registrerte, jf artikkel 57 i GDPR. Artikkel 57 angir at overdrevne henvendelser kan nektes besvart eller at tilsynet kan kreve vederlag. I sak C-416/23 ble CJEU bedt om å mene noe om dette i lys av at det østerrikske datatilsynet («DSB») avslo å behandle klager fra en person fordi det var fremsatt så veldig mange henvendelser. Flere av klagene gikk på at vedkommendes henvendelser om innsyn ikke var besvart av behandlingsansvarlig innen en måned.
Den registrerte hadde sendt 77 lignende klager til DSB rettet mot forskjellige behandlingsansvarlige innenfor ca 20 måneder. Vedkommende var uenig i at DSP avslo å behandle klagene og saken havnet etter hvert i CJEU som skulle avklare:
- Gjelder unntaket for «anmodninger» i artikkel 57 også gjelder for «klager» etter GDPR art 77?
- Er det tilstrekkelig for at en henvendelse skal være «overdreven», at en registrert har sendt et visst antall forespørsler til en tilsynsmyndighet innenfor en viss tidsperiode, uavhengig av om fakta er forskjellige og/eller om forespørslene gjelder forskjellige behandlingsansvarlige, eller om en misbrukende intensjon fra den registrertes side er nødvendig i tillegg?
- Kan tilsynet i tilfelle av «åpenbart grunnløse» eller «overdrevne» forespørsler, velge mellom å kreve et rimelig gebyr eller nekte å behandle forespørselen?
Avgjørelsen er interessant rent juridisk og har nok stor praktisk betydning for mange datatilsyn. Dessuten har den en viss overføringsverdi til den lignende bestemmelsen som gjelder behandlingsansvarliges rett til å avslå eller kreve betalt for f eks innsynsbegjæringer.
CJEU fastslo at begrepet «forespørsel» skal inkludere klager. Noen vil nok mene at det er en innskrenkning av klageretten
Når det gjelder om det kan settes en kvantitativ grense for at antall klager skal anses overdrevne, så svarer CJEU nei. Begrepet «overdrevne» er ikke definert i GDPR. Men CJEU mener at en tallgrense kan innsnevre individets rett for mye, og skriver at tilsynet også må fastslå at den aktuelle personen har en intensjon om å misbruke rettigheten. Et stort antall klager fra samme person kan indikere dette hvis de ikke er objektivt begrunnet i personvernhensyn.
Alt i alt virker avgjørelse fra CJEU fornuftig, selv om det kan virke underlig at en forvaltningsinstitusjon avslår å behandle en klage. Flere av elementene som tillegges vekt, vil også ha verdi for behandlingsansvarlige som vurderer å avslå anmodninger om ulike rettigheter etter artikkel 12.
Dersom man står overfor en overdreven forespørsel, mener CJEU at tilsynsmyndigheten kan velge mellom å kreve et rimelig gebyr basert på sine administrative kostnader eller nekte å behandle disse forespørslene. Likevel må alternativet de velger være begrunnet, i relevante omstendigheter være hensiktsmessig, nødvendig og forholdsmessig. CJEU skriver at tilsynsmyndigheten kan vurdere å først velge å kreve et rimelig gebyr for å få slutt på misbruk da de mener at dette har mindre negativ effekt på GDPR-rettighetene til den enkelte. Det kan vel spørres om individet vil oppleve det slik all den tid – (i alle fall reell) kost nok vil være betydelig.
Du kan lese flere detaljer om saken her:
GDPRHub: CJEU – C-416/23 Österreichische Datenschutzbehörde
AI Act – coming to a place near you!
Den 2. februar trådte artikkel 5 i AI Act i kraft i EU. Det gjelder jo ikke Norge, men for de som har aktivitet i EU-land er dette likevel relevant. Artikkel 5 handler om forbudt AI, hvor noe neppe er aktuelt i vestlige land, mens annet faktisk er det. Sanksjonene er betydelige – brudd på artikkel 5 kan gi gebyr på det høyeste av EUR 35 000 000 eller 7 % av global årlig omsetning.
Her er en påminnelse om noe av det som regnes som forbudt AI, nemlig bruk eller markedsføring av:
- AI-systemer for sosial poenggiving av både offentlige og private aktører
- AI-systemer for å utlede følelser på arbeidsplassen og i utdanningsinstitusjoner
- AI-systemer som skraper bilder fra nettet eller CCTV for å lage databaser for ansiktsgjenkjenning
- AI-systemer som vurderer risiko for at en person begår en kriminell handling basert på profilering eller vurdering av personlighetstrekk og egenskaper
- Biometriske systemer som sikter på å finne rase, politiske meninger, fagforeningsmedlemskap, religiøse eller filosofiske overbevisninger, sexliv eller seksuell orientering
Det er noen snevre unntak fra forbudene, blant annet kan biometrisk gjenkjenning tillates for å beskytte en betydelig offentlig interesse. Vi ser stadig flere slike situasjoner der ansiktsgjenkjenning tillates for å unngå angrep.
Som nevnt tidligere, tror jeg at det er innenfor arbeidsliv at de fleste virksomheter kan oppleve dette som en relevant utfordring. Vi ser at AI som tilbys på arbeidsplasser enkelt kan tilby analyse av «stemningsleie» hos de ansatte basert på har en analyse av f eks epostmeldinger og ordvalg i dem. Noe av det samme sees i enkelte rekrutteringssystemer. Copilot hadde også en slik funksjon en stund – det var noe av det Datatilsynet pekte på da de hadde oppe NTNUs bruk av Copilot i sandkassen. EUs AI Office skal komme med en veileder på hva som skal forstås som forbudt AI. Forhåpentligvis kommer denne snart.
Ny EDPS hvem og hva er det – og er det viktig?
EDPS – European Data Protection Supervisor – er ikke det samme som EDPB – European Data Protection Board. Mens EDPB blant annet gir ut en rekke veiledere som vi alle forholder oss til (mer eller mindre), gjør ikke EDPS det samme. EDPS er Europas eget personvernombud og har tilsyn med hvordan europeiske myndigheter bruker personopplysninger. Det kan virke som en begrenset oppgave, men EDPS har gjort mange svært grundige undersøkelser – blant annet om personvern i sentrale tjenester Microsoft tilbyr. Se mer om dette under.
Rollen er også mer sentral i europeiske personvernsammenheng enn hva som kanskje er kjent for mange og er en viktig aktør som gir innspill til nytt personvernregelverk fra EU. I Norge får jeg ofte inntrykk av at folk tror EDPS og EDPB er det samme. Det er det ikke.
Det bestemmes nå hvem som skal ha rollen de neste 5 årene. Det kan bli eksisterende ombud Wojciech Wiewiórowski, tidligere sjef i det Polske datatilsynet. Jeg tror at mange har opplevd Wojciech Wiewiórowski som en grundig personvernteoretiker, mens noen nok har ment at han både er for konservativ. Ikke en enkel rolle å ha uansett – slik det så ofte er for viktige roller. Du kan lese mer om hans rolleutøvelse her:
Euractiv: How the EU’s privacy watchdog lost the European Parliament
Rollen er såpass viktig at det er uenighet i europeiske institusjoner om hvem som blir neste EDPS. Parlamentet har stemt for Bruno Gencarelli som nå er i Kommisjonen, mens landenes ambassadører har stemt for Wojciech Wiewiórowski.
Gencarelli ledet forhandlingene med USA for DPF – muligens kan det tyde på en mer pragmatisk og mindre teoretisk tilnærming. Etter hva jeg forstår vil den endelige beslutningen fattes bak lukkede dører.
Litt mer om hvorfor EDPS er viktig
EU er ingen liten organisasjon. Når EDPS påpeker at EU selv ikke behandler personopplysninger i tråd med GDPR, så kan det få store konsekvenser. EDPS har gjort flere analyser av hvordan Microsofts produkter brukes. De har offentliggjort flere rapporter om dette – og de er kritiske. Rapportene finner du på hjemmesiden til EDPS, se blant annet her
Spesielt er de kritiske til at Microsoft definerer seg som behandlingsansvarlig for en del av opplysningene som genereres når f eks 365 Microsoft er i bruk.
Dette er en «gammel» diskusjon i personvernkretser – men det berører også arbeidsretten. Har virkelig en arbeidsgiver rett til å gi en it-leverandør rett til for eksempel å «eie» opplysninger om når og hvorfra vi bruker it-systemer som arbeidsgiver pålegger oss å benytte? En tilsvarende problemstilling var opp i den danske saken om hvorvidt en skole kan gi Google behandlingsansvar for deler av informasjonen som skapes når en elev bruker et system skolen tilgjengeliggjør.
EDPS har pålagt kommisjonen å bringe bruken av MS365 og kontrakten med Microsoft i samsvar med regelverket. Saken illustrerer forskjellen mellom Europas ønske om autonomi og den faktiske avhengigheten av amerikansk teknologi. «Det finnes ingen kjente troverdige tilbud fra europeiske leverandører,» står det i et internt kommisjonsdokument Euractiv har sett – og det er lett å være enig i at det mangler alternativer. Franske myndigheter uttrykker spesiell bekymring for «de potensielle risikoene forbundet med bruk av amerikansk-baserte løsninger».
I en nylig rapport fra EUs direktorat for Digital Services skrives det om bekymringer om «overdreven makt i hendene på noen få ikke-europeiske selskaper, risikoer forbundet med en enkelt leverandør (prisøkninger, migrasjonsvansker)» – selv om dette ikke sies offentlig. Der står også at man er positiv til at EU-landene utvikler alternativer til Microsoft, selv om de vedgår at «på dette tidspunktet er det ikke identifisert noen funksjonelt likeverdige alternativer til en plattform som Microsoft365.» Det er lett å skjønne dette.
Litt oppsiktsvekkende er det at det står at EU ikke har godkjent MS365 for sensitive data – og fordi det ikke finnes et alternativ – så hender det at dokumenter ikke klassifiseres så sensitivt som de burde. Det høres ikke bra ut.
I mars 2024 påla EDPS kommisjonen å gjennomgå sin nåværende kontrakt med Microsoft for å sikre samsvar med EUs institusjonelle databeskyttelsesregler (EUDPR). EDPS mener den ikke gir tilstrekkelige garantier for å hindre ulovlige overføringer til land med utilstrekkelig personvernlovgivning og uautorisert avsløring av personopplysninger. Kommisjonen var ikke fornøyd og svarte med å saksøke EDPS. Kommisjonen kalte ordren en «feilaktig tolkning og anvendelse» av EUDPR. Den 6. desember, tre dager før beslutningen trådte i kraft, sendte kommisjonen likevel dokumentasjon til EDPS for å vise at de er i samsvar. EDPS gjennomgår for tiden dokumentene, men gjentok i en pressemelding 10. desember at «beslutningen av 8. mars 2024 forblir fullt ut gjeldende.»
Hva blir løsningen på dette? I alle fall at EDPS går foran i å «tvinge» Microsoft til å endre praksis. Om de lykkes gjenstår å se. Jeg tviler på at mange andre har kapasitet eller evne til å få Microsoft til å endre praksis eller kontraktsvilkår. To be continued…
Euractiv har skrevet en opplysende artikkel om saken, se her
EURACTIV: Internal documents reveal Commission fears over Microsoft dependency – Euractiv
NOYB – nå også mot Kina
Som mange vet, har NOYB faktisk ikke selv rettet nye saker om overføringer av personopplysninger til USA med grunnlag i DPF. Så langt er det andre som har gjort det. Men det er interessant at NOYB nå retter kritikk mot overføring av personopplysninger til Kina. Den 16. januar leverte NOYB seks klager i ulike europeiske land for ulovlig overføring av personopplysninger til Kina. NOYB peker på at det ikke finnes en adekvansbeslutning for Kina og at dataimportører i Kina ikke kan garantere samme nivå av personvern som i EU.
Selskapene som er klaget på, er TikTok (klage levert i Hellas), Xiaomi (klage levert i Hellas), Shein (klage levert i Italia), AliExpress (klage levert i Belgia), WeChat (klage levert i Nederland) og Temu (klage levert i Østerrike).
Det er ikke klart for meg hvorfor de har levert klager i nettopp disse landene. Meg bekjent er det europeiske etableringsstedet for mange av disse plattformene i Irland (noen av dem i andre land), men ikke der klagen er levert. Muligens er det en måte å engasjere flere lands tilsyn på.
NOYB ber også datatilsynene om å beordre umiddelbar stans av overføringer til Kina samt at selskapene ilegges overtredelsesgebyr.
Alle klagene er tilgjengelige på NOYBs hjemmeside her:
NOYB: TikTok, AliExpress, SHEIN & Co surrender Europeans’ data to authoritarian China
Litt mer om overføring til tredjeland
Den 3. desember 2024 publiserte EDPB et utkast til retningslinjer for artikkel 48, som omhandler hvordan en behandlingsansvarlig skal handle når vedkommende pålegges en dom eller administrativ beslutning som krever overføring eller utlevering av personopplysninger til en offentlig myndighet i et tredjeland.
Det er neppe overraskende, men det er likevel greit å få slått fast at slike overføringer kun kan gjennomføres dersom de er basert på en internasjonal avtale, for eksempel en gjensidig rettshjelpsavtale, som er i kraft mellom det forespørrende tredjelandet og EU eller en EU-medlemsstat.
Dokumentet klargjør at artikkel 48 ikke er en overføringsmekanisme i seg selv. Organisasjoner som bruker denne bestemmelsen, må derfor fortsatt finne både et rettslig grunnlag i henhold til artikkel 6 og et grunnlag for overføringer i kapittel V. Avhengig av den internasjonale avtalen som er i kraft med det forespørrende landet, kan det potensielle rettslige grunnlaget for eksempel være rettslig forpliktelse, allmenn interesse eller samtykke. Her er det spennende å se at EDPB også skriver – at gitt at nødvendige avveininger gjøres – så kan til og med berettigede interesser brukes som behandlingsgrunnlag.
Retningslinjene er på høring til slutten av januar 2025. Du finner dem her:
EDPB: Guidelines 02/2024 on Article 48 GDPR | European Data Protection Board
I Østerrike har det kommet en litt pussig sak som er relevant for advokater
En bruker klaget på et treningssenter, og hevdet at hennes personopplysninger ble ulovlig videregitt til en advokat og brukt i en rettssak mellom henne og treningssenteret. Da hun meldte seg inn i treningssenteret, hadde hun krysset av for at hun ikke samtykket til videre behandling av hennes opplysninger. Tvisten oppsto da treningssenteret øket medlemsavgiftene uten samtykke, og e-postkorrespondanse mellom den registrerte og treningssenteret ble brukt som bevis. Den østerrikske personvernmyndigheten konkluderte med at treningssenteret hadde krenket personvernet ved å dele unødvendige personopplysninger. Treningssenteret anket til den østerrikske føderale administrasjonsdomstolen (BVwG) og argumenterte med at delingen var avgjørende for å bevise faktum i retten.
BVwG avgjorde at det var treningssenterets advokat som selvstendig behandlingsansvarlig, ikke treningssenteret, som hadde delt dataene i rettssaken. DSB hadde således plassert ansvaret feil. BVwG skrev også at den registrertes manglende samtykke kun gjaldt markedsføringsformål, ikke rettssaker og sendte saken tilbake til DSB.
KOMMENDE MØTER
20. februar 12.00 – 13. 00 Digital drop in |
27. mars 14.00 – 16.00 Digitalt nettverksmøte |
24. april 12.00 – 13.00 Digital drop in |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.