EDPB har kommet med en ny veileder for ePrivacy Directive
Den europeiske personvernmyndigheten (EDPB) har publisert en ny retningslinje om teknisk anvendelse av ePrivacy-direktivet. Retningslinjene klargjør hvordan nye sporingsmetoder, som sporing basert på fingeravtrykk og IP-sporing, reguleres.
Retningslinjene understreker at all lagring og tilgang til informasjon krever brukers samtykke, med mindre det er nødvendig for tjenestens funksjon. Spesielt er nye sporingsmetoder som URL- og pikselsporing, samt bruk av unike identifikatorer analysert for å sikre at de oppfyller kravene.
Europeiske Datatilsyn med en felles uttalelse mot ulovlig dataskraping
En internasjonal arbeidsgruppe av Europeiske datatilsyn har utgitt en felles uttalelse om at det kreves strengere tiltak mot ulovlig dataskraping. Datatilsynene anbefaler at selskaper implementerermer robuste tekniske tiltak og rutiner for å beskytte offentlig tilgjengelig data mot uautorisert innsamling.
Uttalelsen peker på at selv aktører som tillater dataskraping gjennom avtaler, må sikre at dette skjer i samsvar med gjeldende personvernlover. AI-verktøy, som både kan brukes til ulovlig skraping og for å oppdage slike handlinger, er et sentralt tema i uttalelsen.
Meta tar steg mot en annonsesfri plattform (for de som ønsker å betale)
Facebook- og Instagrambrukere står i dag overfor valget mellom å akseptere profilering for adferdsbasert markedsføring eller betale en månedlig avgift for å unngå slik markedsføring. Bedre kjentsom«consent or pay»eller«pay or okay». Denne modellen har vært gjenstand for mye kritikk, da den oppleves som en begrensning av brukernes reelle valgfrihet.
Adferdsbasert markedsføring, som innebærer sporing og analyse av brukeres aktiviteter på nett, utfordrer personvernet og har skapt bekymring hos både forbrukere og myndigheter. Meta har nå valgt å endre sin tilnærming etter press fra europeiske datatilsyn og EU-kommisjonens gjennomgang av modellen under "Digital Markets Act".
Ifølge Meta vil det nye alternativet redusere detaljert sporing, men fortsatt inkludere kontekstuell markedsføring basert på alder, kjønn, lokasjon og innhold brukeren ser på. Likevel påpekes det at profilering kan foregå i bakgrunnen for å tilpasse opplevelsen, noe som skaper uklarhet rundt i hvor stor grad personvernet tilbrukerne faktiskstyrkes.
Overtredelsesgebyrer fra Datatilsynet
De siste overtredelsesgebyrene ilagt av Datatilsynet viser at de har sterkt fokus på personopplysningssikkerhet. Nylig ble både Universitetet i Agder og Grue kommune ilagt overtredelsesgebyrer for alvorlige brudd på personopplysningssikkerheten.
Universitetet i Agder ilegges gebyr for brudd på personvernsikkerhet
Datatilsynet har ilagt Universitetet i Agder et overtredelsesgebyr på 150 000 NOK etter avdekkingen av omfattende brudd på personvernsikkerheten. Over 14 000 personopplysninger lå tilgjengelig i åpne mapper i Microsoft Teams. Blant informasjonen som ble eksponert, var sensitive opplysninger som helseopplysninger og personnumre. Universitetet har siden innført strengere tilgangskontroller, men Datatilsynet har påpekt mangler i både opplæring og rutiner som ledet til bruddet.
Grue kommune ilagt gebyr for alvorlig brudd på personvernsikkerhet
Grue kommune er ilagt et overtredelsesgebyr på 250 000 kroner av Datatilsynet etter brudd på personopplysningssikkerheten. Saken gjelder publisering av sensitive personopplysninger i kommunens offentlige postjournal, inkludert informasjon om skolemiljø, 9A-vedtak og personnummer til elever. Bruddet, som ble forårsaket av systemsvakheter og manglende rutiner, berørte 14 elever, deres foresatte, og ytterligere registrerte. Kommunen har iverksatt tiltak som revisjon av rutiner og opplæring for å forhindre lignende brudd. Datatilsynet vurderte overtredelsen som alvorlig, men tok hensyn til kommunens begrensede ressurser og raske tiltak for å redusere gebyrets størrelse.