Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.
Innhold denne gangen er bl.a.: Schrems gir Facebook enda et skudd for baugen, ingen plikt for datatilsyn å gi pålegg, som bøter, eller korrigerende tiltak ved brudd på GDPR, rett til erstatning etter «systemsnoking»? Er en beklagelse tilstrekkelig kompensasjon etter personvernbrudd? Er en håndskrevet signatur en personopplysning (og noen andre spørsmål)? Kan kontaktinformasjon for en stiftelse kreves utlevert etter GDPR? Slutt på å overføre informasjon om medlemmer av idrettsklubber til leverandører og sponsorer?
Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller få det på epost ved å abonnere her. Følg meg på LinkedIn for løpende oppdateringer: https://www.linkedin.com/in/sandtro/.
Schrems gir Facebook enda et skudd for baugen
Den østeriske personvernaktivisten Max Schrems har gått til søksmål og har påført Meta/Facebook et nytt tap i EU-domstolen. Saken vil nok ikke få like stor betydning for andre enn Meta som Schrems I og II-dommene fikk, men for Meta vil dommen bety mye. Meta vil måtte som følge av dommen slette data. Trolig mye data. Og kan ikke fortsette å samle inn eller behandle så mye data som de gjør i dag.
Saken domstolen behandlet gjaldt at Meta Platforms Ireland (Meta), som gjør det sosiale nettverket Facebook tilgjengelig innenfor EU, og er behandlingsansvarlig for personopplysninger som behandles i Facebook. Forretningsmodellen til Facebook er å tilby personalisert annonsering tilpasset den enkelte bruker gjennom dennes interesser, aktiviteter og personlige situasjon.
Personopplysningene i nettverket ble behandlet ved at brukere akseptere vilkårene for tjenesten når de registrerer seg og inngikk da en avtale med Meta. Vilkårene viste til nettverkets personvernerklæring om behandling av personopplysninger og bruk av informasjonskapsler (cookies) hva gjelder innsamling og behandling av opplysninger om brukere og enheter disse benyttet både i og utenfor nettverket.
Opplysninger samlet om aktiviteter utenfor nettverket kom fra besøk på tredjeparts nettsider og apper som er knyttet til nettverket, samt bruk av andre løsninger fra Meta, som Instagram og WhatsApp. Meta benyttet seg av cookies og lignende teknologier (som pixels) for å samle inn data utenfor nettverket. Dette ga Meta informasjon om bl.a. hvilke tredjeparts nettsider som var besøkt, IP-adresse, tid for besøket mv. Det omfattet også nettsider med sensitive og særlige kategorier personopplysninger, som politiske partiers nettsider, nettsider for seksuell orientering mv. Meta kunne derfor følge brukeres nettaktiviteter på tredjeparts nettsider som benyttet seg av Metas teknologi, som like-knapper og pixels.
Etter GDPR trådte i kraft ble behandlingen av personopplysninger basert på samtykke. Max Schrems, som er den registrerte i denne saken, samtykket ikke til behandling av personopplysninger med det formål å gi personaliserte annonser innhentet fra annonsører og aktiviteter utenfor Facebook. Schrems la heller ikke inn noen informasjon om sin seksuelle legning på sin Facebook-profil, kun hans «Facebook venner» kunne se hans aktiviteter og poster, «vennene» var ikke offentlig tilgjengelig, og Schrems hadde ikke akseptert at Meta kunne bruke informasjon fra hans profil til personaliserte annonser.
Til tross for dette kunne Meta identifisere Schrems’ interesser knyttet til sensitive forhold som helse, seksuell orientering [anm.: Schrems er en åpen homofil, men la aldri informasjon om dette på Facebook], etniske grupper og politiske partier. Meta leverte tilpassede annonser til Schrems basert på denne informasjonen, samt basert på tolkning av informasjon tilgjengelig om Schrems fra tredjeparts nettsteder og apper.
Schrems mente at Meta behandlet personopplysninger om han ulovlig, mens Meta på sin side mente at de behandlet personopplysningene i henhold til sine vilkår, som var i overensstemmelse med GDPR.
Spørsmålene som domstolen skulle vurdere var da om dataminimeringsprinsippet i artikkel 5(1)(c) setter grenser for om et sosiale nettverk kan behandle av personopplysninger samlet inn av nettverket fra de registrerte eller tredjeparter, innenfor eller utenfor nettverket uten begrensning til tid og type opplysninger som behandles, og om et sosialt nettverk kan behandle opplysninger om seksuell orientering som en person selv har offentliggjort etter artikkel 9(2)(e).
Domstolen kom til:
- Dataminimeringsprinsippet i artikkel 5(1)(c) begrenser bruken av alle personopplysninger samlet inn av et sosiale nettverk fra de registrerte eller tredjeparter, samlet inn innenfor eller utenfor nettverket, fra å bli aggregert, analysert eller behandles for personalisert annonsering, uten at det er begrensning i tid for behandlingen og type opplysninger som behandles.
- Et sosiale nettverk kan ikke behandle personopplysninger med den hensikt å personalisere annonser om en persons seksuelle legning, herunder til å aggregere og analysere data, selv om denne personen har selv gjort opplysningene offentlige.
Dommen gir en påminnelse om at man ikke er fri til å behandle personopplysninger som er samlet inn fra ulike kilder uten at dette er knyttet til formålet for innsamlingen. Behandlingen er ikke ubegrenset omfang eller tid, og det er ikke fritt å behandle opplysninger som er gjort offentlig. Dette gjelder alle som behandler personopplysninger, selv om dommen er rettet konkret mot sosiale nettverk.
Se sammendrag av dommen her: C-446/21 Schrems (Communication de données au grand public).
Ingen plikt for datatilsyn å gi pålegg, som bøter, eller korrigerende tiltak ved brudd på GDPR
Datatilsynene i EØS er ikke forpliktet til å gi pålegg eller korrigerende tiltak, og spesielt ikke gi overtredelsesgebyr (“bøter”) ved brudd på GDPR. Dette følger av en dom i EU-domstolen (C‑768/21 Land Hessen).
Tilsynene har muligheten til å ikke gi pålegg og korrigerende tiltak når det anses å ikke være nødvendig med slike tiltak for å utbedre forhold som forårsaket bruddet på regelverket og eller sørge for at personvernregelverket følges. Dette kan være når behandlingsansvarlig selv har gjort nødvendige tiltak for å sikre at bruddet har opphørt og ikke vil kunne skje igjen, så snart bruddet er blitt avdekket.
Tilsynsmyndighetene skal altså kunne vurdere selv etter eget skjønn om det skal gis sanksjoner som bøter, men dette skjønnet er begrenset av behovet for å sikre enhetlig og konsistent, og høyt nivå, beskyttelse av personvernet gjennom håndheving av GDPR.
Dommen er i tråd med flere avgjørelser i Personvernnemda i Norge og praksis i Datatilsynet i Norge, så det vil ikke gjøre så stor forskjeller her, men det er bra med en klargjøring fra EU-domstolen.
Rett til erstatning etter «systemsnoking»?
Har man rett til erstatning etter “systemsnoking” i ens personopplysninger, dvs. at noen som er autorisert til å bruke et system aksesserer opplysninger uten at denne har en grunn til dette? Og selv om man ikke kan bevise at det har vært snoking?
Dette skal den europeiske menneskerettsdomstolen (EMD) behandle i en sak mot Norge. Slike saker i EMD direkte knyttet til GDPR er sjeldne, og spesielt mot Norge.
Spørsmål om Norge har brutt den europeiske menneskerettighetskonvensjons (EMK) artikkel 8 (rett til personvern) ved å ikke ha beskyttet konfidensialiteten til personopplysninger i NAVs systemer. Og om personen utsatt for «snoking» har hatt tilstrekkelige rettsmidler til å kreve erstatning for et eventuelt brudd etter EMK artikkel 13 (rett til rettsmidler).
Mer konkret gjelder det personopplysningslovens § 30. Denne bestemmelsen gir rett til erstatning for skade av ikke-økonomisk art (oppreisning) “som synes rimelig” dersom det foreligger erstatningsansvarlig etter GDPR artikkel 82.
Bakgrunnen for saken er en dom fra mars 2023 hvor lagmannsretten vurderte krav om ikke-økonomisk skade etter personopplysningsloven § 30. Det var en NAV-ansatt som hadde blitt utsatt for en ulykke og fått arbeidsavklaringspenger. Den ansatte fikk mistanke om at kollegaer hos NAV hadde vært inne på opplysninger om henne i NAVs systemer, som ble bekreftet av tilgangslogger i systemet.
Datatilsynet fant at NAV ikke hadde tilstrekkelige rutiner eller tekniske løsninger for tilgangsstyring, som er brudd på GDPR artikkel 5 og 32. Dette var også lagmannsretten enig i.
Men i spørsmålet om personen skulle få erstatning for ikke-økonomisk tap, mente lagmannsretten at det ikke forelå «skade», siden det kunne ikke bevises at ansatte hos NAV hadde «snoket» på opplysningene. Retten mente (noe forenklet) at erstatning ikke var rimelig, det var andre sanksjoner og bruddet på GDPR var ikke rettet direkte mot vedkommende.
Rett etter denne dommen kom EU-domstolen til (i sak C-300/21) at ved erstatning for ikke-økonomisk skade etter artikkel 82 skal «skade» tolkes vidt, og at artikkel 82 må gå foran nasjonal lovgivning. Lagmannsretten hadde vurdert om det var «rimelig» etter § 30 at vedkommende skulle ha erstatning, og lot da nasjonal lov få forrang for GDPR.
Formålet med § 30 var – etter lovens forarbeider – bare å gi hjemmel for erstatning etter norsk rett, som egentlig ikke skulle gå lenger enn GDPR. Men ved å kreve rimelighet, kan det være et brudd på menneskerettighetene (og for så vidt EU-retten).
Dette spørsmålet skal derfor nå inn for EMD, men det kan være at – uavhengig av utfallet av saken i EMD – at § 30 vil bli endret. Se også nedenfor om at det er høring på endringer i personopplysningsloven.
Se om saken hos NRK og Bjørn Aslak Juliussens gode artikkel om bakgrunnen for saken.
Er en beklagelse tilstrekkelig kompensasjon etter personvernbrudd?
Dette og andre spørsmål ble vurdert av EU-domstolen i en ny dom.
Bakgrunnen for saken var at det latviske forbrukerombudet (!) lagde og gjorde tilgjengelig online en video som imiterte en latvisk journalist. Journalisten hadde ikke samtykket til videoen og krevde den fjernet, samt krevde kompensasjon for skaden videoen hadde gjort på hans omdømme. Forbrukerombudet avslo å fjerne videoen og tilbakeviste at det var skjedd brudd på personvernlovgivningen, og derfor også å gi kompensasjon.
Saken ble bragt inn for latviske domstoler som fant at videoen og publiseringen av denne var ulovlig, men avslo kravet om kompensasjon og påla ombudet å beklage forholdet.
Spørsmålene som EU-domstolen skulle vurdere var om et brudd på GDPR er tilstrekkelig til at det foreligger «skade» som gir rett til kompensasjon etter artikkel 82, om en beklagelse er tilstrekkelig kompensasjon, og om holdningen og motivasjonen til den som påførte skaden har betydning for kompensasjonens størrelse.
Domstolen fant at:
- Brudd på personvernet og GDPR er ikke – i seg selv – tilstrekkelig for at det skal foreligge «skade» som gjør at en registrert har krav på kompensasjon etter artikkel 82 (1).
- Å gi en beklagelse kan være tilstrekkelig kompensasjon for ikke-materiell skade etter nasjonal lov, som i situasjoner hvor det ikke er mulig å gjenopprette situasjonen før skaden oppsto, forutsatt at slik beklagelse er tilstrekkelig til å gi full kompensasjon for skaden den registrerte er påført.
- Holdningen og motivasjonen til den som påfører skaden har ikke betydning for om kompensasjon skal ilegges og dennes størrelse, selv om kompensasjonen er mindre enn skaden som den registrerte har reelt blitt påført.
Se sammendrag av dommen her: C‑507/23 Patērētāju tiesību aizsardzības centrs.
PS! Domstolen ga ingen føringer på hvordan beklagelsen skal gis, så om det kan være en «Valla-unnskyldning» eller om man må ta en puddel, er uklart.
Er en håndskrevet signatur en personopplysning (og noen andre spørsmål)?
Dette spørsmålet ble behandlet i en ny dom fra EU-domstolen, og er kanskje litt for åpenbart spørsmål til å behandles for EU-domstolen. Domstolen kom også – ikke overraskende – til at en håndskrevet signatur er en personopplysning.
Men det var heldigvis noen andre spørsmål som var noe mer utfordrende og spennende for domstolen i saken.
Bakgrunnen for saken som var til behandling for domstolen var at en person var med på å stifte et aksjeselskap i Bulgaria, og i den forbindelse ble det utstedt stiftelsesdokumenter som inneholdt til dels sensitive personopplysninger. Dokumentet, og dermed opplysningene, ble gjort offentlige av foretaksregisteret. Personen krevde sletting av opplysningene, siden disse var basert på hennes samtykke som hun senere hadde trukket.
Foretaksregisteret krevde imidlertid at det skulle sendes ny bekreftet versjon av stiftelsesdokumentet til registeret hvor alle opplysninger som ikke var påkrevet etter lov var fjernet. Den registrerte motsatte seg dette, og krevde slettet opplysningene samt erstatning. Foretaksregisteret hadde da imidlertid slettet alle opplysninger foruten de som var nødvendige å behandle etter lov.
EU-domstolen behandlet spørsmålene om et nasjonalt foretaksregister er «mottaker» og «behandlingsansvarlig», om foretaksregisteret er forpliktet til å slette personopplysninger om disse er behandlet uten lovlig grunnlag, om en skriftlig signatur å regne som «personopplysning» og om det kan kreves erstatning som følge av at foretaksregisteret publiserte opplysninger som ikke var hadde lovlig grunnlag.
Domstolen kom til at den som er ansvarlig for et nasjonalt foretaksregister er å anse som «mottaker» etter GDPR artikkel 4(7) og «behandlingsansvarlig» etter artikkel 4(9) for opplysninger som registeret mottar som følge av lovgivningen, men også for opplysninger som mottas uten at det er hensikten og/eller følger av lovgivningen.
Den registrerte kan kreve sletting av personopplysninger som behandles uten lovlig grunnlag etter artikkel 17(1)(d), men ikke for opplysninger som er unntatt etter artikkel 17(3)(b), dvs. nødvendig for å oppfylle rettslig forpliktelse/utføre en oppgave i allmennhetens interesse/utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
Tap av kontroll over personopplysninger, for en begrenset periode, ved at personopplysningene gjøres tilgjengelig online for allmennheten av et nasjonalt foretaksregister kan medføre «ikke-materiell skade» som gi grunnlag for erstatning forutsatt at den registrerte påviser at denne er påført skade uten at det er krav om at det foreligger andre negative konsekvenser.
Det som var noe spesielt i denne saken var at det bulgarske datatilsynet hadde gitt en uttalelse om at registeret ikke var ansvarlig, men dette var ikke nok til at registeret var fritatt for erstatning.
Se sammendrag av dommen her: C-200/23 Agentsia po vpisvaniyata.
Kan kontaktinformasjon for en stiftelse kreves utlevert etter GDPR?
Enda en ny dom fra EU-domstolen avklarer om man kan kreve utlevert kontaktinformasjon (som er personopplysninger) fra en stiftelse på grunnlag av GDPR.
Her var det en stiftelse som det ble krevd kontaktinformasjon om sine deltakere med indirekte eierandeler i investeringsfond. Det er ikke noe forbud etter nasjonal (tysk) rett om å utlevere slik informasjon, og så er spørsmålet om det er anledning til å utlevere opplysningene etter GDPR, dvs. om utleveringen som behandling har lovlig grunnlag.
Artikkel 6 gir ikke noen rett til å kreve utlevert opplysninger, men kun en rett til å behandle opplysninger i forbindelse med selve utleveringen (som for så vidt er ganske selvsagt).
Det var derfor spørsmål om de øvrige grunnlag etter GDPR artikkel 6(1) kan gi grunnlag for å behandle personopplysningene i form av utlevering. Det var behandling som følge av berettiget interesse etter artikkel 6(1)(f) som var det mest aktuelle grunnlaget. Her presiserte domstolen at et bredt spekter av interesser vil kunne være berettigede, men behandlingen må ikke kunne med rimelighet oppnås like effektivt på andre måter som er mindre inngripende og må være strengt nødvendige.
Som kjent må følgende være oppfylt for å bruke berettiget interesse som grunnlag: (1) Det foreligger en berettiget interesse, (2) behovet for å behandle personopplysninger er i henhold til formålet med de berettigede interessene, og (3) interessene eller personvernet til de registrerte må ikke gå foran de berettigede interessene.
Hva gjelder det siste punktet, så presiserte domstolen at interessene og personvernet til de registrerte kan spesielt gå foran den behandlingsansvarliges berettigede interessene dersom personopplysningene behandles på måte som registrerte ikke med rimelighet kan forvente på tidspunkt for innsamling av opplysningene.
Omfanget av behandlingen, virkningen av behandlingen på de registrerte og forholdet mellom de registrerte og behandlingsansvarlig har betydning for vurderingen av om personvernet skal gå foran de berettigede interessene.
De berettigede interessene må ikke rimeligvis kunne oppnås like effektiv med andre midler som er mindre inngripende i de registrertes personvern, se også dataminimeringsprinsippet i artikkel 5(1)(c).
Domstolen kom også med bemerkninger om andre grunnlag for behandling:
For behandling for å oppfylle kontrakt (artikkel 6(1)(b)) kreves det at behandlingen er være objektivt nødvendig for et formål som er integrert i kontraktsforpliktelsen beregnet på den registrerte. Det kan påvises hvordan hovedgjenstanden i kontrakten ikke kan oppnås uten behandlingen. Behandlingen er sentral for oppfyllelse av avtalen, og det foreligger ikke mindre inngripende alternative behandlinger.
For behandling som følge av rettslig forpliktelse (artikkel 6(1)(c) så kom det frem at behandling kan skje på grunnlag av rettspraksis, men denne må være «tydelig og presist», og proporsjonalt til formålet med behandlingen som kun kan skje så langt det er strengt nødvendig.
Se sammendrag av dommen her: C‑17/22 og C‑18/22 HTB Neunte Immobilien Portfolio.
Slutt på å overføre informasjon om medlemmer av idrettsklubber til leverandører og sponsorer?
En annen dom fra EU-domstolen i forrige uke kan kanskje gjøre endringer i hvordan idrettsklubber forholder seg til leverandører og sponsorer (og for andre som overfører personopplysninger til tredjeparter).
I følge dommen så kan en idrettsklubb (eller andre organisasjoner) ikke overføre opplysninger om medlemmene til andre, som leverandører og sponsorer om dette ikke er strengt nødvendig for å oppfylle interessene til idrettsklubben. Annet kan gjelde om det er samtykke til overføring, men det forelå ikke i denne saken.
Nødvendigheten sees ut fra av hensyn til de interessene, som må være berettigede ut fra organisasjonens virksomhet. Overføringen må også være noe som medlemmene kunne forvente da opplysningene ble samlet inn, som da medlemmene registrerte seg i organisasjonen (klubben).
Man må også se på hvor mange og hvor omfattende opplysninger som overføres, virkningen av overføringen på medlemmene, og forholdet mellom medlemmene og den det overføres til.
Det må også vurderes om organisasjonens (klubbens) berettigede interesser kan oppnås på like effektiv måte med andre midler som er mindre inngripende for personvernet. Her mener domstolen at det å informere før overføringen skjer og spørre medlemmene om deres opplysninger kan overføres, er like effektivt.
Skal en organisasjon, som en idrettsklubb, overføre opplysninger om medlemmer til tredjepart, som en sponsor eller for at medlemmene skal få rabatter, så er rådet: Enten ha samtykke for overføring, eller informere medlemmene om at opplysningene vil kunne overføres, og hvem de vil overføres til, og spørre om slik overføring kan gjøres.
Og: Selv om denne saken gjaldt en idrettsklubb så gjelder disse reglene for alle behandlingsansvarlige. Det kan derfor være at man må ha samtykke til overføring, eller ihvertfall sørge for informasjon om overføringen, og eventuelt spørre medlemmene om overføring kan gjøres.
Se sammendrag av dommen her: C‑621/22 Koninklijke Nederlandse Lawn Tennisbond (KNBLT).
Noen avgjørelser fra Personvernnemda
Om rett til innsyn i egne personopplysninger
Personvernnemda har kommet med noen saker som går på innsyn i egne personopplysninger.
Den første saken gjaldt en pasient som krevde innsyn i sin journal hos tannlegen gjennom tilgang til det elektroniske pasientjournalsystemet med egen bruker. GDPR er i utgangspunktet teknologinøytral, og man kan derfor ikke kreve tilgang til sine personopplysninger på en spesifikk elektronisk måte, som en brukertilgang om dette ikke er gjort tilgjengelig. Nemda avviste derfor retten til innsyn på denne måten.
I den andre saken var det krav om innsyn i logger hos Nasjonalt klageorgan for helsetjenesten (Helseklage) som viser hvem som har lest vedkommende pasientjournal og hvor lenge opplysningene var lest. Dette trolig for at vedkommende skulle se hvor godt dennes sak var behandlet ifølge avgjørelsen til nemda. Informasjon om hvor lenge opplysninger var lest var det ikke mulig å gi tilgang til, for dette ble ikke logget (se nedenfor).
For logger om hvem som har gjort oppslag i opplysningene, så ble det presisert at logger er først og fremst er et verktøy for den behandlingsansvarlige og for tilsynsmyndigheten i vurderingen av om kravene til personopplysningssikkerhet er brutt. Logg over ansattes oppslag er som utgangspunkt ikke ment å være tilgjengelig for de registrerte. Dette følger også av avgjørelse fra EU-domstolen, og derfor fant nemda at det kan ikke kreves innsyn i disse opplysningene.
Om tilstrekkelig logging er påkrevet ut fra krav til informasjonssikkerhet
Det var også en påstand i sistnevnte sak ovenfor om det å ikke ha logger som viser hvor lenge dokumenter eller opplysninger leses (aksesseres) er et brudd på kravene til informasjonssikkerhet etter GDPR artikkel 32.
Logging er ikke nevnt eksplisitt som et sikkerhetstiltak etter artikkel 32, men kan likevel være viktig for informasjonssikkerheten, se ovenfor, siden de bidrar til å oppdage og forebygge urettmessige oppslag og til å kontrollere om sikkerhetstiltakene knyttet til tilgangsstyring har ønsket effekt. Det foreligger ikke krav om at logger viser hvor lenge dokumenter eller opplysninger leses, og dette ble nemdas konklusjon.
Om avgjørelse om avslutning av sak hos Datatilsynet
Det er mange saker for Datatilsynet om avslutning av saker, dvs. om Datatilsynet skal avslutte saker eller undersøke disse videre med konsekvenser i tilfelle brudd. Datatilsynet har begrenset med ressurser og kapasitet, og må derfor behandle saker effektivt. Samtidig er det krav til hvordan en sak kan fremmes for Datatilsynet. Blir ikke en klage fremmet riktig, vil den være å anse som et tips til Datatilsynet i beste fall. Da har ikke Datatilsynet noen plikt til å følge opp saken.
Personvernnemda har behandlet en sak hvor en person klaget inn om en app ga tilgang til administrasjonsrettigheter på telefonen den var installert på. Imidlertid brukte ikke vedkommende appen, og ville heller ikke bruke denne.
Enhver har rett til å klage til Datatilsynet for behandling som kan bryte med GDPR hva gjelder personopplysninger om vedkommende (også representanter for personer kan klage i visse tilfeller). Det må altså være ens egne personopplysninger det gjelder. Og så skal Datatilsynet behandle og undersøke klagen i den grad det er hensiktsmessig.
Personvernnemnda har i flere saker lagt til grunn at det i utgangspunktet er klagers oppgave å redegjøre for saken og legge fram dokumentasjon for det forholdet som påklages. Den som klager må derfor vise, og konkretisere, at det som vedkommende mener er et brudd, og bruddet må ramme klagere selv. Nemda uttaler:
Framsettelser av mer eller mindre ubegrunnede mistanker eller påstander uten at dette er knyttet til en konkret og aktuell behandling av klagerens personopplysninger, kan ikke utløse en plikt for Datatilsynet til å iverksette undersøkelser med sikte på å klarlegge om det har skjedd en behandling av personopplysninger i strid med forordningen.
Saken ovenfor om Helseklage gjelder også avslutning av Datatilsynets sak, og her hadde Datatilsynet gjort undersøkelser knyttet til logger og loggføring. Vedkommende hadde også en generell oppfordring til å undersøke informasjonssikkerheten hos Helseklage, som nemda fant heller ikke var tilstrekkelig konkretisert og viste at forholdet gjaldt vedkommendes personopplysninger. Klagen for nemda førte derfor ikke frem på dette punktet heller.
Man må altså være konkret i klager, og klagen må gjelde ens egne personopplysninger. Ellers er en klage et tips, som det er opp til Datatilsynet å vurdere om skal følges opp.
Og om det kan klages på hvilke reaksjon som Datatilsynet kommer med ved personvernbrudd
I en annen sak hadde Human-Etisk Forbund (HEF) på vegne av medlemmer og tre enkeltpersoner klaget til nemda på grunnlag av at Datatilsynet hadde avvist klage over tilsynets irettesettelse av Den norske kirke for overtredelse av GDPR.
Bakgrunnen var at kirken hadde innhentet fødselsmeldinger for medlemmers barn fra Folkeregisteret i en periode i 2018, og lagret disse opplysningene uten gyldig rettslig grunnlag (brudd på artikkel 6(1)). I tillegg hadde ikke kirken informert de registrerte om innsamlingen av fødselsmeldingene (brudd på artikkel 14(1), jf. artikkel 12(1)).
Datatilsynet irettesatte kirken for dette forholdet (dvs. «kjeftet», selv om dette er en reaksjon med formål å markere kritikk, og at en irettesettelse kan få betydning ved senere overtredelsesgebyr). Klagerne mente imidlertid at det burde vært gitt overtredelsesgebyr («bot») siden forholdet var alvorlig. Klagen ble avvist av tilsynet, siden de mente at klagerne ikke hadde klagerett etter forvaltningsloven.
Saken ble bragt inn for Personvernnemda, hvor nemda kom til at registrerte ikke har klageinteresse (dvs. kan ikke klage) på hvilke tiltak/sanksjoner som Datatilsynet ilegger ved personvernbrudd. Registrerte kan imidlertid ha klageinteresse for andre forhold knyttet til tilsynets behandling.
Se også om EU-dom ovenfor som avgjør at det ikke er noen plikt for tilsynene til å komme med sanksjoner.
Oversikt over databehandleravtaler og standard kontraktsbestemmelser
På mine nettsider er det nå en oversikt over de ulike standard/maler for databehandleravtaler som er offentlig tilgjengelig, samt oversikt over de standard kontraktsbestemmelser som er tilgjengelig fra EUs personvernråd (EDPB) og EU-kommisjonen. Dette for at det skal være raskere å finne de ulike avtalene og malene. Oversikten finnes her.
Kurs i GDPR og personvern
Jeg holder nå kurs for små og mellomstore virksomheter som ønsker å få et fundament innenfor GDPR og personvern. Målet med kurset er at virksomhetene skal overholde de grunnleggende kravene til behandling av personopplysninger, og ha nødvendig dokumentasjon til å overholde reglene.
Kurset vil være praktisk og rettet mot å arbeide og etterleve GDPR og regelverket på en effektiv måte som er tilpasset den virksomhet man driver, basert på mine erfaringer i arbeid med slike virksomheter og kursene/foredragene jeg har holdt. Målet er at GDPR skal være til hjelp og støtte, og ikke begrense eller ta for mye av fokus fra den egentlige virksomheten. Som en del av kurset vil deltakerne få dokumentasjon til å bruke i sin virksomhet, som vil bli gjennomgått grundig.
Det er satt opp kurs (alle er på Teams):
- tirdag 15. oktober kl 0900 – 1200
- tirsdag 29. oktober kl 0900 – 1200
- tirsdag 12. november kl 0900 – 1200
Se mer om kursene og andre kurs her.
Smått & Godt
EU-rett og prosesser. Mange glemmer at GDPR, AI Act og mye annet som kommer fra EU har betydning for hvordan det norske lovverket skal forstås. Man kan derfor ikke bare se på norske lover og regler, eller bare se på regelverket fra EU uten å vite hvordan dette virker inn på norsk rett. Man må også forstå prosessene bak reglene når de kommer fra EU, og et bra sted å starte er Lovdatas sider om Europalov, se her: https://europalov.no/laer-mer.
Innsynskrav gjelder også sikkerhetskopier (backup)? Nei, mener det Irske datatilsynet. Dette på bakgrunn av at sikkerhetskopier tas for det begrensede formål å erstatte data i tilfelle de opprinnelige dataene går tapt, blir ødelagt eller skadet. For data som behandles av andre formål, som arkivering, vil det imidlertid kunne kreves innsyn i. Praktisk sett er også innsyn i sikkerhetskopier en komplisert affære, så dette er et godt råd.
Ny strategi for digitalisering av Norge. Det er kommet en digitaliseringsstrategi for Norge som har også betydning for personvern. Regjeringen vil sikre personvernet i all digitalisering frem mot 2030, som betyr blant annet at alle relevante IT-løsninger i offentlig sektor skal ha innebygd personvern, og at innbyggernes personvern ivaretas overfor de store teknologiselskapene.
Liten økning i midler til Datatilsynet i statsbudsjettet. Som nevnt i tidligere nyhetsbrev har Datatilsynet utfordringer med kapasitet og ressurser. Det er dermed ikke oppløftende at tilsynet får en økning på kun 3,3 % i årets statsbudsjett fra ca. kr 81 mill., til ca. kr 85 mill. Personvernnemda får en økning på 2,9 %. Dette til tross for at det erkjennes behovet for kontroll av personvernet og at det har vært en økning i saker fra 4204 i 2023 mot 3519 saker i 2022 (økning på ca. 19,5 %), se tidligere nyhetsbrev. Datatilsynet har også sørget for inntekter til statskassa på ca. kr 98 mill. gjennom tvangsgebyr («bøter»), så man kan si at tilsynet «går i pluss».
Mer til sikring av barn på digitale flater. En bedre nyhet er at det settes av syv mill. i statsbudsjettet for å beskytte barn og unge bedre på digitale flater. Her går kr 1,5 mill. til Datatilsynet, kr 2,5 mill. til Forbrukertilsynet, samt kr 0,5 mil. til Barnevakten. Datatilsynet skal arbeide med å styrke arbeidet med barn og aldersgrenser på sosiale medium, siden undersøkelser fra Medietilsynet viser at halvparten av ni-åringer bruker sosiale medium. Aldersgrensen for dette er som kjent 13 år.
Bot på kr 8000 for å legge ut informasjon om eget barn på nett. Apropos ovennevnte, så la en far ut opplysninger om sin sønn på sin private YouTube-kanal som førte til at han ble siktet, og nå pådømt, for å krenke sin egen sønns privatliv. Opplysninger som ble lagt ut var blant annet inneholdt dialog med barnevernet, og informasjon om sønnens psykiske helse. Retten skriver i dommen at «straffen begrunnes med menneskers rett til privatliv. Dette gjelder særlig personlige og sensitive opplysninger om barn, ettersom de ofte ikke vil forstå konsekvensene eller ha kontroll med hvem de eksponeres for. Det er et økende problem at barn blir eksponert på internett i forbindelse med omsorgskonflikter.»
Men kanskje bedring av barns personvern i vente? Barnelovutvalget foreslo i 2020 å innføre en bestemmelse om at foreldre må ta hensyn til barnas privatliv før de samtykker til å dele personopplysninger om barnet (med denne saken som bakgrunn). Forslaget fra 2020 er ennå ikke fulgt opp, men Barne- og familiedepartementet opplyste nylig at de har ambisjon om å legge frem en lovproposisjon om en helt ny barnelov våren 2025.
FN ferdigstiller ny konvensjon om cyberkriminalitet. Konvensjonen er ventet å bli vedtatt av FNs generalforsamling senere i år og vil være den første multilaterale konvensjonen til bekjempelse av kriminalitet på 20 år og den første konvensjonen knyttet til cyberkriminalitet. Så får vi håpe at medlemslandene følger denne…
Klage på databrudd hos EU-parlamentet. Max Schrems organisasjon, NOYB, har klagd inn selve EU-parlamentet til EUs datatilsyn (EDPS). Bakgrunnen var et databrudd i mai 2024 i EU-parlamentets rekrutteringssystem, PEOPLE, som hadde konsekvenser for mer enn 8000 ansatte og omfattet omfattende og sensitive opplysninger, som identifikasjonskort, straffbare forhold, seksuell orientering mv. Det er uklart hva bruddet går ut på, men kan ha vært et cyberangrep. Klagen går på manglende informasjonssikkerhetstiltak, og at EU-parlamentet har vært klar over sikkerhetsbrister uten å gjøre noe med det, samt manglende dataminimering og sletting av personopplysninger. NOYB har bedt om at parlamentet bøtelegges, og har også en annen klage inne mot parlamentet.
Meta får bot på EUR 91 mill. for lagring av passord i klartekst. Det irske datatilsynet (DPC) har ilagt Meta en bot på EUR 91 mill. for brudd på informasjonssikkerhet ved at Meta lagre passordet til brukere av Facebook i klartekst, dvs. uten å være kryptert eller sikret på andre måter. Boten gjelder brudd på artiklene 5(1)(f), 32(1), 33(1) og 33(5). DPC oppsummerer saken på god måte her:
Søksmål grunnet det svenske datatilsynets avslutning av saker. NYOB har også tatt ut søksmål mot det svenske datatilsynet (IMY) på bakgrunn av at NYOB mener at tilsynet ikke undersøker forhold knyttet til klager fra registrerte tilstrekkelig. NYOB mener at det følger av GDPR at tilsynet må ikke bare undersøke forhold bak klage, men også utbedre forholdet. Som det følger ovenfor er det kommet dom fra EU-domstolen som imidlertid åpner for at det ikke må gis pålegg, som da kan ha betydning for søksmålet fra NYOB.
Brudd fra Datatilsynet ved avslutning av saker. Også for det norske Datatilsynet har det vært sak om tilsynets avslutning av saker. Tilsynet skal ha avsluttet saker uten nærmere undersøkelser er blitt påtalt av Personvernombudet, og Datatilsynet har endret sin praksis etter dette. Juridisk ekspertise har uttalt at tilsynets praksis var i henhold til lovverket, men tilsynet har altså valgt å endre praksis. Klagere som har vært omfattet av den tidligere praksis, kan imidlertid sende saken til Datatilsynet for ny behandling.
Innspill til etterkontroll av personopplysningsloven. Regjeringen ber om innspill til endringer av personopplysningsloven (endringer i § 30 kan vurderes som følge av saken som er omtalt ovenfor). Innspillene kan gis innen 1. november 2024, og det kan gis innspill på alle områder (innenfor personopplysningsloven da…). De deler av GDPR som ikke kan endres eller utdypes etter nasjonal lovgivning kan det imidlertid ikke gis innspill på.
Ingen endringer av GDPR da. GDPR blir det ingen høring på, for her vil ikke EU-kommisjonen åpne for endringer. I stedet skal det fokuseres på håndheving, spesielt knyttet til kunstig intelligens. Se også EU-kommisjonens andre rapport om GDPR.
Vurdering av Data Privacy Framework (DPF). Også DPF som gjelder overføring av personopplysninger til USA til erstatning for Privacy Shield, som ble ansett som ugyldig av EU-domstolen, skal vurderes, som en del av rutinemessige vurderinger som skal gjøres. Etter DPF trådte i kraft juli 2023 har mer enn 2800 virksomheter selvsertifisert seg under rammeverket, og det skal være overført data og tjenester for mer enn 1 trillion dollar (trillion er en million millioner, dvs. 1 tall med 12 nuller, om noen lurer). DPF har derfor en viss betydning i USA må man tro.
Og til slutt
En kommende DPO?
Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.
For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.
Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.
