Ah, et nytt år! Endelig kan vi legge bak oss feilene fra fjoråret, og se fremover.
Kanskje blir 2023 året der personvern er en selvfølge, året uten brudd på GDPR, og året der alle er enige om at å respektere brukernes personvern er i alles interesse.
Vi kan jo håpe!
Cookie Banner Taskforce leverer sine drøftelser
Det europeiske personvernrådet (EDPB) har nedsatt en gruppe med representanter fra alle europeiske personvernmyndigheter som ønsket, for å bli enige om en tolkning av hva som kan, og ikke kan, tillates i et cookiebanner.
Denne gruppen har nå levert sin rapport, og legger frem 9 punkter der de er enige om en minimumsstandard for hva som ikke kan tillates. Dette inkluderer å ha ferdig avsjekkede bokser og linker i stedet for knapper for å avvise cookies.
Dessverre ser det ikke ut som at man har blitt enige om praksisen med bruk av ulik farge og størrelse på knappene i cookiebannere, men vi får ta de seierne vi kan få.
For oss i Norge får dette (som vanlig) noe begrenset betydning inntil den nye ekomloven blir vedtatt, da denne vil rette opp i dagens avvikende regler for cookies og samtykke i ekomloven.
Plutselig fikk NRK.no denne cookie-stripa: - Men samtykket gir nettleseren
PostNord får pålegg om å bedre sikkerheten
Etter å ha mottatt flere klager har Datatilsynet vurdert sikkerheten i løsningen mypostnord.
Det viser seg at det har vært mulig å logge inn på andres konto i tjenesten dersom man har overtatt et tidligere brukt telefonnummer, da verifisering via SMS har vært eneste krav til å få tilgang til en konto.
PostNord får også kritikk fra Datatilsynet for at de ikke er i stand til å dokumentere når risikovurderingen for tjenesten ble gjennomført. Datatilsynet er også uenig i de vurderingene PostNord har lagt frem.
PostNord har varslet at de vil iverksette tiltak, og har til 27. februar på å forbedre sikkerheten i tjenesten, så fremt de ikke påklager avgjørelsen.
Meta får gigantbot — Kan ikke behandle persondata for målrettet annonsering
Meta har fått svimlende 400 millioner euro i bot av det irske datatilsynet for å bruke persondata til å målrette annonser, uten ha gyldig samtykke. Der Meta har ment de kan lene seg på behandlingsgrunnlaget for oppfyllelse av avtale, noe som nå er avvist.
Dette betyr Metas gigabot for deg: - Nå vet vi at tjenestene er i strid med GDPR
I denne saken har vi også fått se de store uenighetene som finnes internt i EU rundt temaet. Det irske datatilsynet har ikke ment at dette er noe som skal bøtelegges, men har blitt overkjørt av det europeiske personvernrådet.
Det er selvsagt ventet at avgjørelsen vil bli påklaget, og dratt for retten så langt det lar seg gjøre. Vi kommer nok neppe til å ha hørt det siste om dette på en lang stund, og det vil ta like lang tid før det blir etablert presedens på feltet.
Klarna må oppgi hvem de sender personinformasjon til
En domstol i Stockholm har behandlet en klage der Klarna har avvist å oppfylle en innsynsbegjæring.
En person ønsket å vite hvem Klarna hadde overført vedkommendes personopplysninger til. Klarna mente det var tilstrekkelig å oppgi hvilken type kategorier av selskaper som mottok personopplysninger.
Retten kom frem til at der den registrerte eksplisitt ber om det, så må en kontroller oppgi konkret hvem det overføres personopplysninger til, så fremt dette er informasjon kontrolleren har.
Ettersom det er en grunnleggende plikt etter GDPR å ha kontroll på overføringer av data fremstår det også vanskelig å bruke manglende kunnskap om hvem man overfører data til som forsvar i slike saker. Dermed er det tydelig at man har rett til konkret informasjon om hvor persondata overføres.