Handlingene, beslutningene og debattene som driver personvernet rundt om i verden.

Databeskyttelsesmyndighetene (DPA), som er svært aktive i Europa, ser at deres avgjørelser delvis bestrides i Belgia og Norge. På tvers av kanalen har Googles Privacy Sandbox-forpliktelser blitt ønsket velkommen, mens Meta står overfor en rekke juridiske tilbakeslag i Australia og USA.

TCF vil utvikle seg i Europa selv om IAB Europe anker avgjørelsen fra den belgiske ADP

Den 11. februar kunngjorde IAB Europe sin intensjon om å utfordre beslutningen fra det belgiske datatilsynet (DPA) om at Transparency and Consent Framework (TCF) bryter visse aspekter av den generelle databeskyttelsesforordningen (GDPR). Uenigheten til IAB Europe gjelder hovedsakelig beslutningen til DPA om å holde den ansvarlig for behandlingen av data med TCF-brukere i sammenheng med Open RTB.

For DPA er IAB Europe ansvarlig for behandlingen av «TC-strengen», som også utgjør, ifølge myndigheten, personopplysninger. Regulatoren mener at IAB Europe burde ha påtatt seg en rekke ansvar i denne forbindelse. Garantisten uttalte også i sin avgjørelse at det rettslige grunnlaget som tilbys av TCF for behandling av personopplysninger av adtechs leverandører var utilstrekkelig.

IAB Europe har to måneder på seg til å foreslå en korrigerende handlingsplan for å rette opp situasjonen. Blant disse rettelsene bør IAB Europe etablere et juridisk grunnlag for behandling og formidling av brukerpreferanser. Organisasjonen må også forby bruk av prinsippet om «legitim interesse» som grunnlag for behandling av personopplysninger av organisasjoner som deltar i TCF. Til slutt er det påkrevd å sette dem under streng kontroll for å sikre overholdelse av GDPR.

Selv om den belgiske datatilsynsmyndighetens avgjørelse ikke er bindende for utgivere eller andre deltakere i TCF, vil den utvilsomt få konsekvenser i fremtiden og spesielt på det juridiske grunnlaget man kan basere seg på for behandling av personopplysninger ved bruk av TCF.

IAB Europe har seks måneder på seg til å implementere disse tiltakene fra valideringen av handlingsplanen. Organet bemerker i en nylig uttalelse at «versjonen av TCF som kommer ut av denne prosessen vil være enda sterkere.»

I Europa driver foreninger kampanjer for sletting av data samlet inn gjennom TCF

Irish Council for Civil Liberties (ICCL) og Electronic Privacy Information Center (EPIC) har sendt brev til administrerende direktører i P&G, Unilever, Bank of America, Ford, GM, IBM og Mastercard der de ber dem slette alle innsamlede data gjennom IAB Europa TCF. Dette initiativet følger avgjørelsen fra den belgiske ADP angående IAB Europe: disse foreningene har konkludert med at dataene som samles inn gjennom TCF bør slettes.

Ikke bare for IAB Europe: Ikke bare er ingen av annonsørene (eller andre TCF-deltakere) berørt av DPAs avgjørelse, siden sistnevnte ikke har beordret IAB Europe til å slutte å bruke TCF.

Stedet for databeskyttelse av «Brexit Freedoms Bill» i Storbritannia

Den britiske statsministeren Boris Johnson har kunngjort den nært forestående ankomsten av en «Brexit Freedoms Bill», som tar sikte på å lette erstatningen av europeisk lovgivning som har blitt foreldet. Databeskyttelse er varslet som et av nøkkelområdene.

I et policypapir skisserer den britiske regjeringen planene sine for et nytt «dataregime» som «vil bidra til å drive vekst, innovasjon og konkurranse over hele landet og styrke Storbritannias globale omdømme som et knutepunkt.» for datadrevne ansvarlige selskaper «. Regjeringen indikerer også at den vil publisere sitt svar på høstens høring om databeskyttelse denne våren. Dette vil skje før innføringen av den aktuelle lovgivningen.

Denne høringen gjorde det spesielt mulig å ta opp noen spørsmål og komme med anbefalinger. Ulike alternativer utforskes som å tillate bruk av analytiske informasjonskapsler eller innsamling og lagring av informasjon uten brukerens samtykke for begrensede formål. Det er også planer om å stole på nettlesere, programvareapplikasjoner, enhetsinnstillinger og til og med pålitelige tredjeparter for å administrere individuelle samtykkepreferanser.

I sitt svar på denne konsultasjonen har imidlertid informasjonskommissærens kontor allerede indikert at implementeringen av noen regjeringsforslag (inkludert alternative samtykkemekanismer for informasjonskapsler) vil kreve internasjonalt samarbeid.

Konkurranse: poeng for Google og dens personvernsandkasse

11. februar kunngjorde UK Competition and Markets Authority (CMA) at de hadde akseptert Googles forpliktelser angående Privacy Sandbox, og dermed avsluttet denne etterforskningen. Det var andre gang at Google har fremmet forslag for å imøtekomme bekymringer uttrykt av myndigheten i saken.

Spesielt har Google gått med på å klargjøre de interne grensene for dataene de kan bruke, gi større sikkerhet til tredjeparter som utvikler alternative teknologier, og regelmessig rapportere til CMA om hvordan den tar hensyn til meninger fra tredjeparter. Google må overholde disse forpliktelsene i seks år etter å ha akseptert CMA.

Merk at selskapet kunngjorde i februar at det planlegger å bruke Privacy Sandbox på Android også. Målet er å jobbe uten identifikatorer på tvers av applikasjoner.

Norge: Grindr og det vanskelige emnet for sensitive data

Datingappen Grindr fortalte pressen at den har anket boten på € 6,3 millioner pålagt av Datatilsynet (DPA). Datatilsynet sa at tjenesten delte sensitiv informasjon med tredjeparts annonsenettverk i strid med GDPR. Grindr skal ha betinget tilgangen til gratisversjonen av tjenesten med brukerens samtykke til innsamling og deling av informasjon for reklameformål, noe som ifølge garantisten burde vært valgfritt på grunn av dataenes sensitive natur.

Grindr bestrider at dataene som deles med tredjeparter utgjør «sensitiv informasjon» under GDPR, og hevder at avgjørelsen til garantisten er basert på «ubegrunnede, kategoriske og diskriminerende antakelser» om brukerne av tjenesten og at bruken av tjenesten gjør ikke avsløre seksuell legning.

Det er uklart om sensitive slutninger utgjør sensitiv informasjon under GDPR, da det er i de fleste lover som pålegger restriksjoner på bruk av sensitiv informasjon.

Dette spørsmålet gjelder reklamebransjen utover datingsider, spesielt ettersom individer er gruppert i segmenter basert på potensielt sensitive slutninger (f.eks. individer hvis nettleserhistorie indikerer at de kan lide av visse helsemessige forhold, tilhører en bestemt etnisk opprinnelse eller har en bestemt seksuell legning eller religion).

Cambridge Analytica: Facebooks anke avvist av den australske domstolen

I et søksmål anlagt av den australske informasjonskommissæren mot Facebook Inc. etter Cambridge Analytica-skandalen, avviste en australsk domstol Facebooks anmodning om å forby ordre som ble gitt mot det i utlandet.

Retten slo fast at australsk personvernlov gjelder for Facebooks ekstraterritoriale oppførsel, ettersom Facebook samlet inn personopplysningene det ble klaget over i Australia.

Denne saken er viktig. Det beviser at australsk personvernlovgivning også gjelder for virksomheter basert utenfor Australia når de målretter mot australske forbrukere for digital annonsering.

Facebook betaler 90 millioner dollar for den gamle offline-brukersporingssaken i USA

Facebook gikk med på å betale en bot på 90 millioner dollar for å avslutte et søksmål fra 2012 for å spore brukere på nettet mens de var offline. Dette ble gjort på nettsider som inneholder Facebook «Like»-knapper og uten brukerens samtykke. Facebook har gått med på å slette de feilaktig innsamlede dataene.

Søksmålet ble anlagt i USAs føderale domstol (i Northern District of California). Hendelsene skjedde mellom 2010 og 2011. Selv om det ikke var noen omfattende personvernlovgivning som krevde frivillig samtykke, og faktisk ikke eksisterer ennå i USA, er Facebook anklaget for å ha brutt føderal avlyttingslov. Sistnevnte forbyr avlytting av elektronisk kommunikasjon uten forhåndssamtykke fra en av partene.

EU / USA «høy prioritet» dataoverføring

Margrethe Vestager, EU-kommisjonens konserndirektør for digital strategi, sa til journalister at en dataoverføringsavtale med USA er et «høyprioritert spørsmål», mens hun erkjente at det ikke ville være lett «å ikke få en Schrems-avgjørelse. III negativ » .

Kommissæren refererte til Schrems II-dommen fra EU-domstolen (CJEU) som ugyldiggjorde den tidligere avtalen for transatlantiske dataoverføringer, Privacy Shield. Ved denne anledningen avgjorde EU-domstolen at amerikanske overvåkingslover ikke var tilstrekkelig begrenset til det som er strengt nødvendig og ikke ga effektive rettsmidler til registrerte, slik det kreves av EUs charter om grunnleggende rettigheter. Domstolen indikerte også at når lovgivningen i mottakerlandet for en dataoverføring ikke gir tilstrekkelig beskyttelse, må selskaper gi ytterligere garantier eller suspendere overføringene.

USA-EU Trade and Technology Council møtes i mai.

Personvern: Regninger øker overalt i USA

Arizona, Connecticut, Iowa og Wisconsin, blant andre, introduserte nye og omfattende personvernlover i februar. Selv om lovgivningen i enkelte stater som Alaska og Hawaii har avtatt, har 23 stater pluss District of Columbia nå omfattende og aktiv personvernlovgivning.