Boka kurs

Norge: Datatilsynet har granskar sex webbplatsers användning av spårningspixlar

Linkedin Facebook X-twitter Envelope

Datatilsynet har granskat sex webbplatsers användning av spårningspixlar. Samtliga webbplatser gjorde personuppgifter om sina besökare tillgängliga för tredje part utan rättslig grund och i flera av fallen rör det sig om skyddsvärda uppgifter. I ett av fallen utdömde Datatilsynet en sanktionsavgift på 250 000 norska kronor.

Spårningspixlar är en teknik som automatiskt skickar information om besökare på en webbplats eller app till en tredje part. Det kan handla om information om vilka webbplatser man besöker, vilka åtgärder man vidtar eller vad man lägger i sin varukorg.

De webbplatser som granskades var:

  • 116111.no – en offentlig tjänst för barn som befinner sig i en utsatt situation, till exempel som har utsatts för våld eller övergrepp, och som behöver prata med en trygg vuxen. Tjänsten drivs av Kristiansand kommun.
  • apotekfordeg.no – ett apotek på nätet.
  • bibel.no – en kristen webbplats som publicerar bibeltexter, säljer biblar och tar emot donationer till det norska bibelsällskapet.
  • drdropin.no – en webbplats som erbjuder medicinska tjänster.
  • ifengsel.no – en rådgivningstjänst från Kirkens Bymisjon för barn som har en förälder i fängelse.
  • nhi.no – en webbplats som erbjuder information om olika sjukdomar, tillstånd och diagnoser.

En persons surfhistorik, i sig eller genom att kombinera uppgifter från olika källor, gör det ofta möjligt att dra slutsatser om privata eller känsliga personuppgifter. I granskningarna såg Datatilsynet exempel på webbplatser som delade information som indirekt kunde avslöja något om besökarnas hälsa, sexliv och religion. Datatilsynet såg också att flera webbplatser delade personuppgifter om barn i utsatta situationer.

När det gäller webbplatsen 116111.no har Datatilsynet beslutat att utdöma en sanktionsavgift på 250 000 norska kronor. Anledningen till detta är att det har framkommit att det är en offentlig webbplats som behandlar barns personuppgifter på ett olagligt sätt. Spårningspixlar har automatiskt skickat information om de som besöker webbplatsen till en tredje part, utan att de lagstadgade kraven på rättslig grund eller information till användarna har uppfyllts. Avgiften är dock lägre än vad som aviserats eftersom Kristiansand kommun har samarbetat väl och effektivt samt genomfört ett antal åtgärder för att städa upp och förhindra liknande överträdelser i framtiden.

Syftet med granskningarna är främst att öka medvetenheten om användningen av spårningspixlar på webbplatser, och vi inser att det finns ett stort behov av vägledning. I den här omgången var reaktionerna därför i stort sett milda och Datatilsynet utfärdade endast reprimander till de andra webbplatserna. Det är första gången som Datatilsynet genomför den här typen av granskningar, och huvudsyftet med granskningarna är att öka medvetenheten. I framtiden kan sanktionerna bli mycket strängare.

Gällande webbplatsernas integritetsmeddelanden visade granskningarna bland annat att:

  • Besökare fick felaktig information om att de var anonyma när de inte var det.
  • Särskilda kategorier av besökares personuppgifter gjordes olagligen tillgängliga för tredje part.
  • Personuppgifter om barn har olagligen lämnats ut till tredje part.
  • Besökare har ”tvingats” att ge sitt samtycke.
  • Besökare fick information som var vilseledande, svår att förstå eller som inte förklarade konsekvenserna av att ge sitt samtycke.

Datatilsynet har tagit fram en vägledning som bygger på erfarenheterna från granskningarna. I vägledningen kan man läsa mer om resultat, de rättsliga kraven för användning av spårningsverktyg och vad Datatilsynet förväntar sig av webbplatser i framtiden.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Nederländerna: Företag får 100 miljoner euro i sanktionsavgift för otillåten överföring av personuppgifter till Ryssland

Italien: Företag får totalt 12 501 000 euro i sanktionsavgift för olaglig behandling av personuppgifter via antifraudapplikation

Sverige: IMY inleder tillsyn mot en region avseende AI-baserad transkribering

EU: Europaparlamentet och rådet eniga om förenklingar av AI-förordningen

EU: EDPB antar riktlinjer för personuppgiftsbehandling inom vetenskaplig forskning

Italien: Bank får 17 628 000 euro i sanktionsavgift för otillåten profilering och kontoöverföring utan rättslig grund

Spanien: Transportföretag får 200 000 euro i sanktionsavgift för otillåten spårning av anställda via appar på privata mobiltelefoner

Danmark: Datatilsynet godtar arbetsgivares utlämnande av personuppgifter till rådgivare i arbetsrättslig tvist

Spanien: Elleverantör får 30 000 euro i sanktionsavgift för felaktig behandling av personuppgifter och avsaknad av rättslig grund

Italien: Kommun får 3 000 euro i sanktionsavgift för publicering av känsliga uppgifter på kommunens webbplats

Fler nyheter

Kostnadsfritt webbinarium om förslag till ändringar i AI-förordningen

Vi går igenom EU-kommissionens föreslagna ändringar i
AI-förordningen och vad de kan innebära i praktiken för organisationer som omfattas av regelverket.

Till webbinaret