Teknologi og digitalisering: Høstens personvern-nyheter
«I’m lucky to have been involved with the PC revolution and the Internet revolution. I’m just as excited about this moment. This new technology can help people everywhere improve their lives…The Age of AI is filled with opportunities and responsibilities.»
Dette skrev Bill Gates nylig i en blogg på LinkedIn. For de som ikke har lest bloggen, så er den verdt å ta en titt. Men på et punkt tenker jeg at i en teknologisk eufori så glemmes utviklingen av personvernet. For jeg er også takknemlig for at jeg har fått oppleve den akselererende utviklingen av personvernet fra et litt bortgjemt fagfelt som personregisterloven frem til den allmenngyldige tilstedeværelse med GDPR. Derfor er det viktig, med jevne mellomrom å ta titt på det siste innen personvern. Her er noen punkter jeg tar med meg inn i helgen.
Personvernet og Datatilsynets rolle i samfunnet.
De fleste har fått med seg at Meta tapte i tingretten i saken om midlertidig forføyning mot Datatilsynet. Som jeg skrev i tidligere IT-Gruk, er det positivt at flere saker innen personvern får sitt etterspill i rettssystemet for å sikre demokratiet og maktfordelingsprinsippet. Samtidig er det verdt å merke seg at Datatilsynet denne uken reiste problemstillingen om at økonomisk så er Meta for en Goliat å regne, ved at de har økonomisk råd til å saksøke og klage på alt og alle. Datatilsynet har til nå brukt over 1100 timer på Meta, og ankefristen for saken går ut 6. oktober. Her er det behov for bedre finansiering av Datatilsynet for å sikre flere ressurser. Datatilsynet er i dag i overkant av 60 ressurser som skal dekke alle områder, og det er åpenbart behov for flere skal Datatilsynet møte behovet for beskyttelse av personvernet. For personvernet kommer ikke til å bli mindre viktig med fremveksten av AI.
TAKE AWAY: Datatilsynet trenger mer midler!
TikTok brøt GDPR i 2020 og får bot på 345 MEUR
Den irske datatilsynsmyndigheten (DPC) kom 1. september til at TikTok har brutt flere bestemmelser i GDPR i forbindelse med behandling av personopplysninger tilhørende barn og unge brukere. Dette gjaldt visse standardinnstillinger knyttet til familiedelingsfunksjoner med aldersverifisering i registreringsprosessen. Bruddet var relatert til GDPR art. 5 om formålsbegrensning, dataminimering og prinsippet om rettferdighet og åpenhet, samt art. 13 om informasjon til barn, art. 24 om ansvarlighet m.fl. Dette gjaldt for et brudd tilbake i annen halvdel av 2020 som TikTok mener er rettet, og DPC gav pålegg om retting innen 3 måneder samt en bot på 345 millioner euro.
Starten på Schrems III (eller blir det Latombe I)?
I det vi endelig satt oss ned og kunne noe lettere overføre personopplysninger til USA etter Data Protection Framework (DPF), så blir rammeverket for overføring av personopplysninger til USA utfordret. Den franske EU-parlamentsrepresentanten Philippe Latombe kunngjorde nemlig torsdag at han utfordrer DPF som tillater selskaper å overføre personopplysninger mellom EU og USA i EU-domstolens General Court. Han krever både umiddelbar stans i overføring av personopplysninger til USA og han utfordrer rammeverket og adekvansbeslutningen. Trekket kommer mindre enn to måneder etter at EU-kommisjonen og den amerikanske regjeringen avsluttet årevis med juridisk limbo for selskaper som ønsker å overføre personopplysninger til USA.
TAKE-AWAY: Det kan være en ide ved inngåelse av skytjenesteavtaler å sikre seg en god exitmulighet eller alternativ løsning hvis DPF faller.
Kan du få tilgang til personopplysninger etter offentleglova og bruke dem?
Datatilsynet mottok flere klager fra bekymrede privatpersoner angående uønskede e-poster fra flertallspartiene i Stavanger (Ap, MDG, R, Sp, SV og FP) i forbindelse med valget. Datatilsynet ber nå om en grundig redegjørelse fra Arbeiderpartiet i Stavanger. De omdiskuterte e-postene ble sendt ut den 20. august i forbindelse med det kommende kommunevalget. Når personopplysninger innhentes via innsyn i henhold til offentlighetsloven, må videre behandling skje i samsvar med både personopplysningsloven og GDPR. Enkelte har hevdet at art. 6 nr. 1f (berettiget interesse) kan benyttes av hensyn til politisk aktivitet. Jeg mener at det bør utvises større aktsomhet. At du har rett til innsyn etter offentleglova betyr ikke automatisk at du har rett til å bruke de samme data som du selv ønsker. Dessuten ser jeg det vanskelig at når du kommuniserer med det offentlige så skal kontaktdata i forbindelse med slik kommunikasjon kunne forventes brukt til markedsføring. Det forventer jeg ikke.
TAKE AWAY: Selv om du har tilgang til personopplysninger, så betyr ikke det at du har rett til å bruke slike opplysninger til det du ønsker. Sjekk hva ditt reelle behandlingsgrunnlag er for ellers kommer det gjerne bøter.
Det europeiske personvernombudet (EDPS) anker SRB-saken
Vi har tidligere skrevet om den såkalte SRB-saken som ble behandlet i EU-domstolens underinstans General Court. Dommen adresserte spørsmålet om pseudonymisering av personopplysninger ved overføring til tredjepart. Tredjeparten var i dette tilfellet Deloitte, som mottok data fra SRB for analyse. Deloitte kunne selv ikke re-identifisere individene i datasettet uten at «nøkkelen» til dette ble gitt fra SRB. EDPS kom til at dette var et brudd på GDPR og informasjonsplikten ved overføring. Domstolen derimot tok utgangspunkt i GDPR art. 4(1), samt EU-domstolens dom C-582/14, og kom til at EDPS ikke hadde gjennomført en risikobasert vurdering av om det var rimelig sannsynlig at man kunne re-identifisere individene. Nå har EDPS anket dommen fra i sommer til EU-domstolen (ECJ). Vår vurdering er at denne type vurderinger er positive for å sikre en mer risikobasert tilnærming, men vi ser utfordringen med at begrepet personopplysninger risikerer å bli mer subjektivt definert.
TAKE AWAY: En vridning til en mer risikobasert tilnærming vil kunne innebære en oppmykning av strenge krav til personvern for virksomheter, og kanskje et dårligere personvern for de registrerte.
Ryanairs bruk av ansiktsgjenkjenning klaget inn av NOYB
Vi registrerer at Ryanair har blitt klaget inn av personvernorganisasjonen noyb til det spanske datatilsynet. Bakgrunnen er at Ryanair krever bruk av ansiktsgjenkjenning for verifisering ved ombordstigning. Alternativet er en manuell prosess som krever oppmøte minimum 2 timer før avgang og betaling av en avgift. Noyb mener dette strider med GDPR art. 5.1 a, b og c, samt art. 9 da dette er biometriske data. Basert på omsetningen til Ryanair i 2022 på 4,8 milliarder euro gir det et potensiale på 192 MEUR i overtredelsesgebyr.
Datatilsynet følger med overfor Yango!
Datatilsynet har vurdert å bruke hastebestemmelsen i GDPR artikkel 66 på nytt, nå overfor «taxi-selskapet» Yango, etter at det ble avdekket at Yango med russisk eierskap i form av Yandex ville kunne medføre overføring av personopplysninger til Russland. Derfor ble det gitt et varsel om forbud mot overføring av personopplysninger til Russland. Yango har siden varselet ble sendt gitt Datatilsynet mer informasjon om den nye russiske taxiloven. Informasjonen tyder på at norske brukeres data ikke er omfattet av denne loven. Datatilsynet besluttet derfor å ikke fatte hastevedtak, men de har samtidig avdekket og fått bekreftet at norske Yango-brukeres personopplysninger faktisk blir sendt til og lagret i Russland. Datatilsynet vurdere at det kan finnes andre problematiske lover og praksiser i Russland som kan gi russiske myndigheter tilgang til norske brukeres personopplysninger og undersøker nå saken videre.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE:
Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.