Personvernnytt — Mars
“Pay or okay” testes ut av Schibsted samtidig som Datatilsynet har løftet spørsmålet om dette til EU og Meta har foreslått å halvere prisen på sitt tilsvarende tilbud. I tillegg får de hemmelige tjenestene kritikk i EOS-utvalgets årsrapport, og en tysk domstol slår fast at det skal mye til for at du ikke kan be om innsyn i informasjon om deg.
De hemmelige tjenestene får kritikk for ulovlig innhenting og overdreven lagring
EOS-utvalget, som er Stortingets kontrollorgan for de hemmelige tjenestene, har kommet med kritikk av både E-tjenesten og PST for deres behandling av informasjon.
E-tjenesten får kritikk for å ha innhentet informasjon om to personer som har befunnet seg i Norge. Dette er forbudt etter territorialforbudet som skal beskytte de som oppholder seg i Norge mot å bli utsatt for etterretningsaktivitet. I den ene saken lente E-tjenesten seg på en rapport som tilsa at en person ville reise ut av landet for å starte innsamling. Selv om samme rapport tilsa at personen kun ville være ute av landet i 3 dager opphørte ikke innsamlingen.
PST får på sin side kritikk for å ha beholdt informasjon om 44 893 personer uten å ha hatt grunnlag for det. I det tidligere analysesystemet til PST ble det sperret for å søke opp informasjon om en person som ikke lenger var ansett som relevant, selv om informasjonen måtte fortsette å eksistere fordi den var relevant for andre saker. I det nye systemet PST innførte i 2019 videreførte man ikke denne sperren, og det ble mulig for ansatte å søke opp informasjon som det ikke lenger var grunnlag for å behandle.
EOS-utvalget sin jobb er å være de som “vokter vokterne”, og det er viktig at de påpeker denne typen feil. Så må vi se om det følges opp av de hemmelige tjenestene i arbeidet deres.
Datatilsynet skuffet over Schibsteds testing av “pay or okay”
Midt oppe i at det norske Datatilsynet har bedt det Europeiske Personvernrådet om å vurdere lovligheten av å betale for å slippe å samtykke til bruk av personopplysninger (såkalt “pay or okay”) har Schibsted startet testing av tilsvarende for noen av sine aviser. Allerede betalende abonnenter ble møtt med beskjed at Schibsted ønsker å ta ekstra betalt dersom man ikke ønsker at personopplysninger skal brukes til målretting av reklame.
Tobias Judin i Datatilsynet har uttalt at han er skuffet over at Schibsted velger dette før en avklaring om lovligheten til denne typen ordninger er på plass. Schibsted på sin side forsvarer seg med at de mener at målrettet annonsering er “helt avgjørende for å finansiere en fri og uavhengig presse”.
Om Schibsted får trøbbel med datatilsynet, eller bare trøbbel med egne abonnenter gjenstår å se.
Meta forsøker å forhandle på “pay or okay”
Mens Schibsted tester ut “pay or okay” har Meta allerede startet å forhandle på sin innføring av en tilsvarende ordning på Facebook og Instagram.
I et forsøk på å få aksept for sin modell har Meta foreslått å halvere prisen brukerne må betale for å slippe å bli gjenstand for målrettet markedsføring. Dette kommer som følge av at Meta presses ytterligere etter å ha blitt omfattet av Digital Market Act (DMA), som innfører en rekke nye krav selskapet må oppfylle.
Max Schrems har uttalt at GDPR på dette feltet er mindre streng enn det DMA er. Dersom Meta forbys å bruke “pay or okay” gjennom DMA kan vi komme i en situasjon der dette kun vil være lov for aktører som ikke er store nok til å bli regnet som “gatekeepers” etter DMA.
Det skal mye til for at en innsynsbegjæring kan utgjøre en for stor byrde
I en tysk dom har et selskap blitt beordret til å utlevere alle data de har om en person som har søkt innsyn i disse. Selskapet avviste å gi mer enn en generell oversikt over dataene, da de mente at en fullstendig utlevering ville kreve for mye arbeid. Spesifikt hevdet de at de måtte gå igjennom over 5.000 sider med dokumenter før utlevering for å sikre at de ikke inneholdt informasjon om andre personer.
Domstolen kom til at det kun er i eksepsjonelle tilfeller en kontroller kan lene seg på at det vil være en uforholdsmessig stor byrde i å utlevere informasjonen om en person, og at dette tilfellet ikke utgjorde en slik situasjon.
Mange selskaper har nok forsøkt å lene seg på unntaket der det å besvare en innsynsbegjæring blir “urimelig”, men med denne terskelen er det lite trolig at det er mange som vil vinne frem med et sånt argument.
