Årets korteste måned har ikke gitt oss noe mindre nyheter på personvernfronten.
Datatilsynet konkluderer på gebyr til SATS, danskene ser på mulighetene for å betale deg rundt cookies, og brennhete nyheter om Google Analytics. 🔥
Datatilsynet opprettholder gebyr på 10 millioner til SATS
I fjor høst varslet Datatilsynet at de ville gi SATS en bot på ti millioner kroner for en rekke innklagde hendelser i perioden 2018 til 2021. Etter å ha mottatt SATS sitt tilsvar på varselet opprettholder de nå boten. Datatilsynet skriver:
"Etter å ha undersøkt alle klagene, er Datatilsynets konklusjon at Sats ikke har klart å imøtekomme de registrertes rettigheter til innsyn og til sletting på en tilfredsstillende måte. Videre har treningssenterkjeden manglet hjemmel til å behandle data om kundenes treningshistorikk."
Dette bør være en tydelig påminnelse til alle som behandler store mengder personopplysninger om at rettighetene til de registrerte må tas på alvor.
Hvordan sørger vi for personvern når AI bakes inn i appene våre? - Kunden må oppleve kontroll
Det danske datatilsynet ser på saker der man betaler for å slippe å godta cookies
I to relativt like saker har det danske datatilsynet avgjort at det kan være tillat å la brukere velge mellom å betale for en tjeneste med samtykke til cookies, eller med penger.
Forutsetningen er at tjenesten som tilbys er lik i begge tilfeller. Det kan ikke være slik at man får mer tilgang ved å gi samtykke, eller ved å betale. Det må også være slik at summen som kreves ikke kan sees på som urimelig høy, slik at denne i praksis tvinger brukeren til å velge å tillate cookies.
Dette er spennende saker, da det gjør det tydelig at det å betale med penger og personopplysninger kan sees på som likestilt. Det er ikke utenkelig at vi vil se denne typen forretningsmodell spre seg. Det største skjæret i sjøen er nok at man må få samme tilgang om man “betaler” med samtykke til cookies. For mange vil neppe inntjeningen for disse kundene være tilstrekkelig.
Kredittvurderingsselskap i Østerrike lagrer data fra innsynsbegjæringer
Det kan kanskje virke som en god ide å berike databasen sin med informasjon man mottar når man får en innsynsbegjæring.
Det er i alle fall det KSV 1870, et kredittvurderingsselskap i Østerrike, har gjort.
Datatilsynet i Østerrike slår fast at denne informasjonen kun kan brukes til det formålet den er tiltenkt, nemlig å gjennomføre innsynsbegjæringen. Etter dette må den slettes.
Advarer mot "skygge-IT": - Problematisk for både sikkerhet og effektivitet
Ekstra ekstra — Datatilsynet kommer med foreløpig konklusjon om Google Analytics
Dette hører strengt tatt inn under neste måneds nyhetsbrev, men jeg sniker det med allerede her:
Datatilsynet varsler at de vil komme med en avgjørelse som sier at bruk av Google Analytics ikke er i tråd med reglene i GDPR.
Dette er på linje med det som var forventet, ettersom flere andre datatilsyn i EU har kommet til samme konklusjon. Det er fortsatt en prosess frem til dette blir offisielt vedtatt, men det er liten grunn til å tro noe annet enn at det vil skje. De som fortsatt bruker Google Analytics bør så fort som mulig finne alternativer til dette.