Her kommer en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss. Du finner også nyhetsbrevet på nettsidene her.

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller på mine nettsider.

Følg meg på LinkedIn for løpende oppdateringer: https://www.linkedin.com/in/sandtro/, men oppdateringene samles også stort sett i nyhetsbrevet for å sikre at abonnentene får med seg alt.

GDPR-kurs for små og mellomstore virksomheter

Etter forespørsel vil jeg holde kurs for små og mellomstore virksomheter som ønsker å få et fundament innenfor GDPR og personvern.

Målet med kurset er at virksomhetene skal overholde de grunnleggende kravene til behandling av personopplysninger, og ha nødvendig dokumentasjon til å overholde reglene.

Kurset vil være praktisk og rettet mot å arbeide og etterleve GDPR og regelverket på en effektiv måte som er tilpasset den virksomhet man driver, basert på mine erfaringer i arbeid med slike virksomheter og kursene/foredragene jeg har holdt. Målet er at GDPR skal være til hjelp og støtte, og ikke begrense eller ta for mye av fokus fra den egentlige virksomheten.

Som en del av kurset vil deltakerne få dokumentasjon til å bruke i sin virksomhet, som vil bli gjennomgått grundig. Se mer om kurset her: https://sandtro.no/kurs-gdpr-basis-for-sma-og-mellomstore-virksomheter/.

Det vil også bli satt opp andre kurs, se mer her: https://sandtro.no/kurs/. Du kan også foreslå kurs og melde din interesse for kurs, slik at du blir varslet om det settes opp senere: https://sandtro.no/interesse-for-kurs/.

Avgjørelser fra Datatilsynet viser krav til aktiviteter og viktigheten av dokumentasjon

Datatilsynet har offentliggjort ett par avgjørelser i dag som viser de strenge kravene til tiltak og dokumentasjon etter GDPR. Sakene er ikke overraskende, men kan kanskje være nyttig som en påminnelse for enkelte om at det bør gjøres noen tiltak og sørges for dokumentasjon.

Den første saken gjelder utsendelse av epost til privatpersoner (foreldre med barn i barnehager og skoler) med politisk reklame fra en del politiske partier i Stavanger, som mange sikkert kjenner til. Det ble gitt irettesettelse (ikke bot, men «dask på lanken») fra Datatilsynet, som er alvorlig nok, bl.a. siden bruddet ble godt kjent.

Både utlevering av klasselistene og utsendelsen av reklamen hadde lovlig grunnlag, men partiene:
❌ Hadde dokumentert vurdering av rettslig grunnlag. Det forelå rettslig grunnlag etter GDPR artikkel 6 (1) bokstav f, men partiene hadde altså ikke dokumentert (skrevet ned) vurderingen av om det forelå berettiget interesse.
❌ Hadde ikke informert mottakerne (foreldrene) om behandlingen av deres personopplysninger. Her forelå det ikke informasjon som kunne dokumenteres, som ved en personvernerklæring.

I den andre saken fikk Universitet i Agder bot (overtredelsesgebyr) på kr 150.000 for å:
❌ Ikke ha tilstrekkelig tilgangsstyring for dokumenter og informasjon i Teams, som gjorde at samtlige ansatte og studenter hadde tilgang til opplysninger, også sensitive.
❌ Ikke aktivert loggføring av aktiviteter i Teams (i tilstrekkelig lang tid), som ville vist hvem som aksesserte nevnte dokumenter, og etterfølgende kontroll som ville kunne avdekke avvik.
❌ Ikke hatt dokumenterbare rutiner og opplæring for lagring og skjerming av informasjon i Teams.

Ovennevnte er brudd på kravene til informasjonssikkerhet og internkontroll etter GDPR artikkel 24 og 32.

Sakene viser at man må gjøre tiltak, og sørge for at tiltak er dokumenter. Ellers er det vanskelig å vise at tiltakene er gjort i ettertid, samt så blir tiltakene mindre effektive – og dermed personvernet dårligere.

På den andre siden har Datatilsynet hatt tilsyn med den norske ambassaden i Londons bruk av felleseuropeiske informasjonssystemer etter krav i Schengen-regelverket. Her ble konklusjonen at det var etablert et tilstrekkelig, og de øvrige krav etter personvernregelverket ble overholdt. Det ble allikevel gitt visse anbefalinger.  

Ingen endringer i GDPR med det første

Det er mange meninger om GDPR, men perfekt kan man ikke si at regelverket er. Bestemmelsene er vanskelig å forstå, mange er veldig strenge så det er vanskelig med å gjennomføre en rekke aktiviteter – som også er av stor betydning for samfunnet – på den måten regelverket praktiseres, enkelte bestemmelser praktiseres på en måte som torlig ikke er intensjonen med bestemmelsene, deler av regelverket praktiseres ulikt i EØS-statene, flere bestemmelser blir ikke benyttet, osv.

Det er derfor mange som snakker om at det bør være en revisjon av GDPR, bl.a. for å gjøre regelverket mer praktisk og i tråd med hvordan verden fungerer i dag (regelverket er tross alt 8 år gammelt, og enormt mye er skjedd siden da).

Men EU-kommisjonen har besluttet at GDPR skal ikke oppdateres, men det skal heller gjøres mer innsats i å håndheve regelverket. Som for så vidt får da den rare effekten at man forsterker et regelverk som mange mener bør oppdateres. Styrkingen av håndhevingen skal gjøres ved å øke ressursene til datatilsynene – som er en diskusjon og anbefaling fra DFØ i Norge (se siste nyhetsbrev) – og bedre samarbeidet mellom tilsynene. I tillegg skal det bli bedre opplæring om GDPR for innbyggere og bedrifter.

Til tross for dette erkjenner kommisjonen at GDPR trenger en oppdatering.

Dette følger av en rapport som nyhetstjenesten Euractiv har fått tak i, som går på nettopp utfordringer med GDPR. Ifølge rapporten tolkes GDPR ulikt i landene siden mange land har problemer med å implementere og håndheve GDPR effektivt.

Nye standard kontraktsbestemmelser for overføring til virksomheter underlagt GDPR lokalisert i tredjeland

EU-kommisjonen har varslet at det vil komme nye standard kontraktsbestemmelser (SCC) for overføring av personopplysninger til land utenfor EØS (såkalte «tredjeland») for behandlingsansvarlige og databehandlere underlagt GDPR.

SCCer er kontraktsbestemmelser for å sikre at personopplysninger som overføres til tredjeland gis samme beskyttelse som under GDPR i det landet hvor personopplysninger overføres til og behandles. I juni 2021 kom kommisjonen med SCCer for overføring av personopplysninger fra behandlingsansvarlige og databehandlere etablert innenfor EØS, som overfører til behandlingsansvarlige og databehandlere etablert utenfor EØS (hvor sistnevnte ikke er omfattet av GDPR).  

De tidligere SCCene dekket altså ikke situasjoner hvor både data-eksportør og data-importør er underlagt GDPR. At dette var en mangel kom frem i bl.a. veileder fra EUs personvernråd (EDPB) om forholdet mellom GDPR artikkel 3 (GDPRs geografiske virkeområde) og GDPR kapittel V, som gjelder lovlige grunnlag for overføring av personopplysninger til tredjeland. EDPB oppfordret kommisjonen med å komme med nye SCCer, siden det var en uklar situasjon for data-importører i tredjeland underlagt GDPR. Men det har altså tatt fire år før nye SCCer kommer.

Det er ikke klart hvordan SCCene vil være, men de vil trolig rette seg mer mot risiko knyttet til behandling i tredjeland og da mot lovgivningen i tredjelandet, enn å overføre kravene fra GDPR på virksomheten. SCCene vil gjelde både for virksomheter underlagt GDPR og for EU-insitusjoner som overfører personopplysninger til tredjeland direkte.

SCCene vil bli tilgjengelig senere, og skal på høring i fjerde kvartal 2024, og bli klare for bruk i andre kvartal 2025.

Bruk av kunstig intelligens til å analysere samtaler for kundeservice

Det danske datatilsynet har i en avgjørelse kommet til at talegjenkjenning ved bruk av kunstig intelligens (KI) kan benyttes for kundeservice.

Bakgrunnen for saken er et forsikringsselskap som brukte KI til å analysere telefonsamtaler hos kundeservice. KI ble kun benyttet til å gjøre tale til tekst for så å gjøre teksten søkbar med den hensikt å forbedre service og tjenester til kundene, sikre kvalitet ved kundeservice og opplæring for ansatte, i tillegg til å dokumentere hva innholdet i samtalen hadde vært i tilfelle det ble diskusjon om dette senere.

Datatilsynet fant imidlertid at måten det ble innhentet samtykke fra kunder som ringte inn til kundeservice var ikke tilfredsstillende. Et samtykke skal som kjent være avgift frivillig, men hvis det ikke er mulig å avgi samtykke til de ulike formålene som personopplysningene skal behandles for. Samtykket må derfor deles opp (granuleres) slik at det er mulig å samtykke til de enkelte formål isolert.

I dette tilfellet ble det innhentet samtykke både til dokumentasjon og kvalitetssikring (opplæring), og innringeren kunne ikke velge ett av formålene. Kravene gjelder også ved telefonisk henvendelse, så da må det tilrettelegges for dette. Samtykke kan da eksempelvis gjøres i to trinn, hvor det samtykkes/ikke til dokumentasjonsformål, så samtykkes det ikke til opplæringsformål.

Siden dette var en ny problemstilling for tilsynet, ble det ikke noen reaksjon på praksisen. Men forsikringsselskapet må endre sin praksis i tråd med tilsynets avgjørelse.

Ansattes deltakelse i samtalene hadde sitt grunnlag i berettiget interesse, som tilsynet var enig i. (Red. anm.: Skulle kanskje vært mulig at dokumentasjon også ble behandlet under berettiget interesse, slik at kun ett samtykke var nødvendig, men det ser ikke ut til å være en del av saken).

De registrertes rettigheter ved de ulike behandlingsgrunnlagene

Det danske datatilsynet har laget en fin oversikt over hvilke rettigheter for de som personopplysninger gjelder (de registrerte) etter hvilke behandlingsgrunnlag som er benyttet for behandlingen av personopplysningene.

It-kontrakter og -leveranser

Skytjenester avtalereguleres som de er fleksible, men det er de ikke i virkeligheten. Lars Folkvard Giske har en interessant artikkel i Computerworld om motsetningen i vilkårene til skytjenester mot realiteten ved leveransen av skytjenester. Mens kontraktene legger opp til fleksibilitet, er det en omfattende og komplisert jobb å skifte fra en skytjenesteleverandør til en annen. Vilkårene for skytjenestene gir derfor lite forutberegnelighet for kundene, og mange er ikke tilstrekkelig kritiske til innholdet i vilkårene.

Se også

Grindr anker dom. Sjekkeappen Grindr anker dommen som opprettholdt Datatilsynets bot på kr 65 mill. Saken er omtalt i forrige utgave av nyhetsbrevet, men en liten recap: Datatilsynet ila selskapet bak sjekkeappen Grindr et overtredelsesgebyr («bot») på kr 65 millioner i 2022. Vedtaket ble klaget inn til Personvernnemnda som i september 2023 opprettholdt Datatilsynets vedtak. I oktober 2023 stevnet Grindr Staten ved Personvernnemnda for Oslo tingrett med påstand om at nemdas vedtak bl.a. er ugyldig. Oslo tingrett opprettholdt vedtaket fra Personvernnemda, som da nå er anket til lagmannsretten.

Veileder om personvern for små bedrifter. EUs personvernråd (EDPB) har kommet med en veileder for små bedrifter om overholdelse av personvernregelverket som også inneholder informasjonsvideoer, sjekklister og annet materiell. Datatilsynet har oversatt veilederen til norsk.

Digitalsikkerhetsforskriften er på høring. Digitalsikkerhetsloven ble vedtatt i desember 2023. Nå er forskrift basert på loven sendt på høring. Høringsnotatet er omfattende og klargjør en del av det som – den relativt kortfattede loven – ikke dekker. Når digitalsikkerhetsforskriften blir vedtatt, som da blir en stund etter høringen, vil også loven tre i kraft. Frist for høringssvar er 11. desember 2024, og loven kommer da trolig ikke til å tre i kraft før et stykke inn i 2025. Samtidig arbeides det med implementering av NIS2-direktivet (digitalsikkerhetsloven implementerte NIS1) og forskriften ser ut til å nærme seg kravene i NIS2 på visse områder, så overgangen kanskje blir mindre.

Hvilke tjenester/systemer omfattes av AI Act? Vebjørn Søndersrød m.fl. har laget en oversikt med noen praktiske eksempler på tjenester/systemer om omfattes av de like kategoriene med krav etter AI Act og bruk av kunstig intelligens.

Har behandlingsgrunnlaget betydning for hvorvidt en registrert skal få gjennomslag for retten til å protestere? Ida Thorsrud og Ingrid Hestnes går gjennom retten til å protestere etter GDPR artikkel 21 – en rettighet ikke så mange er borte i det daglige. Det er spesielt spørsmålet om det er forskjell på vurderingen av om det foreligger «tvingende berettigede grunner» i artikkel 21 ved de to behandlingsgrunnlag som gir rett til å protestere, nemlig uføre oppgave for allmenhetens interesse/offentlig myndighet og berettiget interesse (herunder profilering på dette grunnlaget). Rettigheten til å protestere er en rimelig sterk rett etter GDPR, og artikkelen går også inn på hva som ligger i denne rettigheten for de registrerte.

Hva kan du gjøre som arbeidsgiver eller som tjenesteleverandør for å overvåke ansatte? Er spørsmålet Ove Vanebo og Ann-Helen Sveino Schøyen stiller i en artikkel. Utfordringen med å løse dette spørsmålet juridisk, er at lovverket er fragmentert og til tider motstridende siden det er mange hensyn som står i konflikt med hverandre. Og en rekke formelle krav som må være oppfylt om man skal bruke it-løsninger for å kontrollere ansatte. Konsekvensene av brudd kan også bli alvorlige, som flere saker har vist.

Kreves det nytt rettslig grunnlag for behandling av personopplysninger for nye og forenelige formål? Det er en diskusjon om det kreves et nytt rettslig grunnlag etter GDPR artikkel 6 (1) når det foretas en ny behandling for nytt formål etter GDPR artikkel 6 (4). Dette kan være spesielt praktisk ved bruk av KI, men også i andre sammenhenger. Bakgrunnen er en avgjørelse fra Datatilsynet hvor tilsynet mener at det er et krav at det foreligger et nytt behandlingsgrunnlag for den nye behandlingen med nytt formål. Det er stilt spørsmål om tilsynet har rett i dette, mens det er andre som mener at tilsynets vurdering er riktig.

* * * *

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.