Artikkel

Sommerens personvernsaker kort oppsummert

Brudd på personvernregelverket kan medføre store økonomiske tap og omdømmetap. I sommer har det vært flere viktige personvernsaker med varsler om høye bøter. I denne artikkelen fra Deloitte oppsummerer våre eksperter de viktigste sakene, som i stor grad gjelder problemstillinger som de fleste virksomheter må ta stilling til.

British Airways og Mariott International

8. juli varslet det britiske datatilsynet, ICO, et overtredelsesgebyr på 183 millioner pund til British Airways for brudd på General Data Protection Regulation (GDPR). Bakgrunnen for overtredelsesgebyret var et hackerangrep på flyselskapets hjemmesider høsten 2018. Angrepet pågikk i 6 uker, og eksponerte personopplysninger som navn, adresse og finansiell informasjon for rundt 500 000 kunder. ICO gjennomførte en etterforskning i etterkant av sikkerhetsbruddet, og konkluderte med at British Airways ikke hadde hatt tilstrekkelige sikkerhetstiltak.

British Airways samarbeidet med ICO etter at sikkerhetsbruddet ble kjent, og flyselskapet var raskt ute med tiltak overfor berørte kunder. Til tross for den etterfølgende oppfølgingen og at det ikke er påvist at kunder har blitt rammet av bedrageri som følge av hackerangrepet, tilsvarer det varslede overtredelsesgebyret 1,5% av selskapets globale omsetning.

9. juli, dagen etter ICO varslet overtredelsesgebyr til British Airways, varslet ICO et overtredelsesgebyr på over 99 millioner pund til hotellkjeden Marriott International. Varselet kom som følge av et sikkerhetsbrudd oppdaget november 2018, hvor personopplysningene til rundt 339 millioner gjester, hvorav 30 millioner var gjester fra EØS-området, ble eksponert.

Det er antatt at sårbarheten oppsto i systemene til hotellkjeden Starwood i 2014. Marriott International kjøpte opp Starwood i 2016, men eksponeringen av personopplysninger ble likevel ikke oppdaget før i 2018. I etterkant av dette har ICO gjennomført en undersøkelse, hvor det ble avdekket at Marriott International ikke hadde foretatt tilstrekkelig due diligence ved oppkjøpet i 2016. Det ble også påpekt at selskapet burde iverksatt ytterligere tiltak for å sikre systemene.

Det er enda ikke fattet et endelig vedtak i saken om Marriott International og British Airways. Sakene sender imidlertid et viktig signal om at tilsynsmyndighetene vil kunne slå kraftig ned på selskap som ikke har hatt på plass tilstrekkelige sikkerhetstiltak for å forhindre sikkerhetsbrudd. Saken vedrørende Marriott International belyser også hvor viktig det er at selskaper gjennomfører due diligence tilknyttet sikkerhet og personvern ved oppkjøp.

 

Facebook - Cambridge Analytica

24. juli varslet amerikanske Federal Trade Commission (FTC) at det hadde inngått forlik med Facebook. Forliket ble vedtatt med tre mot to stemmer, hvor de republikanske representantene stemte for og de demokratiske representantene stemte mot.

Bakgrunnen for forliket er en etterforskning startet av FTC etter Cambridge Analytica-skandalen, hvor opplysninger om rundt 87 millioner Facebook-brukere ble delt, analysert og solgt videre, blant annet til Donald Trumps valgkampstab. FTC har funnet grunn til å tro at personopplysninger om både brukeren selv og vedkommende Facebook-venner har blitt delt når Facebook-brukeren lastet ned enkelte tredjepartsapper, uten at det forelå samtykke eller informasjon om delingen slik at brukeren kunne velge å ikke dele opplysningene.

I tillegg har FTC hevdet at Facebook har brutt personvernreguleringer ved bruk av ansiktsgjenkjenningsteknologi og innsamling av telefonnummer. På denne bakgrunn har FTC hevdet at Facebook ikke har klart å ivareta personvernet til brukerne sine og at selskapet har hatt utilstrekkelige tiltak ved bruk av tredjepartsapper som de var klar over at brøt med selskapets personvernpolicy.

Utover boten på 5 milliarder dollar innebærer forliket en endret personvernstuktur i Facebook, som blant annet innebærer at CEO Mark Zuckerberg vil ha mindre selvstendig innflytelse over selskapets personvernarbeid. Det er imidlertid verdt å merke seg at det har vært en uenighet om i hvilken grad forliket vil medføre en endret personvernkultur i Facebook i praksis.

Fashion ID/Facebook - sak C-40/17

29. juli avsa EU-domstolen en dom i sak C-40/17, som ga avklaringer om felles behandlingsansvar ved bruk av plugins. Kort oppsummert gjaldt saken Fashion ID, et selskap som selger klær via egen nettside. Fashion ID har integrert Like-knappen til Facebook, som er en plugin, på denne nettsiden. Det fremgår av EU-domstolens avgjørelse at data, som for eksempel informasjon ønsket innhold og IP-adresse, sendes til Facebook når nettsiden besøkes, uavhengig av om den besøkende har klikket på Like-knappen eller er medlem av Facebook. Fashion ID har ingen innflytelse over eller tilgang til dataene som oversendes Facebook.

EU-domstolen tok blant annet stilling til hvilket ansvar Fashion ID har for denne behandlingsaktiviteten etter det opphevede personverndirektivet. Domstolen konkluderte med at Fashion ID og Facebook er felles behandlingsansvarlig for innsamlingen og overføringen av dataene, men at Fashion ID ikke er behandlingsansvarlig for den etterfølgende behandlingen som Facebook gjør.

Dommen fra 29. juli gir noen avklaringer av når felles behandlingsansvar kan oppstå, og vil være veiledende for norske nettsteder med lignende plugins. Selv om avgjørelsen gjelder det opphevede personvernregelverket, er den også relevant for tolkningen av GDPR. EU-domstolen tok ikke konkret stilling til hvilket behandlingsgrunnlag som gjelder i slike tilfeller, men det norske Datatilsynet har i ettertid uttalt at det ikke er «usannsynlig at […] private nettsteder må ha forutgående samtykke».

 

Sakenes betydning for norske virksomheter

Deloittes personvernadvokater erfarer at det er stor etterspørsel etter tjenester som ville fanget opp noen av problemene i sommerens viktigste personvernsaker. Personverngruppen i Deloitte har spisskompetanse på revisjon av både små og store virksomheters personvernarbeid, og har bred erfaring med rådgivning på personopplysningssikkerhet og tredjepartsrisiko. I tillegg bistår personvernadvokatene med due diligence av virksomheters sikkerhets- og personvernarbeid i forbindelse med transaksjoner, som Marriott-saken har belyst viktigheten av.

Var denne siden nyttig?