Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.
Innhold denne gangen er bl.a.: Er du klar til å bytte leverandør med Trump bak roret i USA? Utfordringer med å kreve identifikasjon ved krav om innsyn. Beskyttelse av barns forbrukervern i digitale medier. Endring av aldersgrensen på sosiale medier. Irettesettelse etter ulovlig behandling av personopplysninger fra cookies. Manglende internkontroll førte til personvernbrudd (og bot). Oversikt over behandling på grunnlag av berettiget interesse. Oversikter over EU-lovgivning under EUs strategi for data, som vanlig Kort & Godt.
Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer (som oppsummeres med andre nyheter i dette nyhetsbrevet).
Er du klar til å bytte leverandør med Trump bak roret i USA?
De fleste husker situasjonen etter Schrems II-dommen og før Data Privacy Framework (DPF) kom på plass. Da var det i praksis ikke lov å bruke amerikanske leverandører. Så kom DPF som sikret at man kan bruke sertifiserte leverandører i USA, og mange trakk et lettelsens sukk.
Nå er det klart at Trump vant (😱), og han har tidligere varslet at han vil se på overvåkningslogivningen, og spesielt Executive Order 14086 som Biden innførte for å få gjennom DPF.
Det ble nettopp gjort en gjennomgang av DPF, se mer nedenfor, hvor konklusjonen var at USA etterlever DPF, og ny (ordinær) vurdering skal skje om tre år. Men EU-kommisjonen er forpliktet til å overvåke utviklingen i USA kontinuerlig og vurdere denne mot bl.a. DPF (GDPR art. 45(4)).
Dersom et land ikke har tilstrekkelig beskyttelsesnivå for personvern knyttet til EU-borgere, så kan ikke personopplysninger overføres til det landet når overføring er basert på vurdering gjort av EU-kommisjonen. DPF er en slik vurdering, og DPF kan dermed opphøre om beskyttelsesnivået ikke er tilstrekkelig (GDPR artikkel 45(5)). Bruken av standard kontraktsbestemmelser (SCC) kan også påvirkes, og da er det ingen andre praktiske grunnlag for å overføre personopplysninger til USA.
At lover etterleves er et av hovedprinsippene i DPF (GDPR art. 45(2)(a)), og Trump har varslet at han ikke nødvendigvis vil følge lover som er vedtatt. Executive Order 14086 kan derfor oppheves eller endres, og/eller det kan komme nye regler for overvåking. Trump kan oppheve eller endre reglene etter egen vurdering gjennom Executive Orders.
Dette kan påvirke DPF, SCC og overføring til USA (GDPR artikkel 45(3)). Ethvert datatilsyn kan også utfordre kommisjonens beslutning, som det følger av Schrems II-dommen, som kan gjøre at DPF og SCC revurderes. Max Schrems skal visstnok ha uttalt at han ikke kommer til å bringe DPF inn for EU-domstolen, men det kan kanskje endre seg under Trump.
Etter uttalelsen som kom fra EUs personvernråd (EDPB) her om dagen, skal både behandlingsansvarlig og databehandlere fortløpende vurdere sine leverandører/databehandlere (se mitt forrige nyhetsbrev). Utgjør bruken av databehandler «høy risiko» skal bruken av databehandler revurderes. Skjer det endringer i DPF eller SCC, så kan en slik vurdering måtte gjøres.
Det vil også ha betydning for amerikanske leverandører og leverandører eid av selskap i USA, selv om personopplysningene behandles innenfor EØS. Det følger av en forskningsartikkel går gjennom bakgrunnen for overføringskrav og om overføring bryter med GDPR.
Så det kan kanskje være greit å se på om man heller skal ha leverandører lokalisert innenfor EØS i fremtiden, om mulig.
Utfordringer med å kreve identifikasjon ved krav om innsyn
Flyselskapet Norwegian har fått irettesettelse fra Datatilsynet for å kreve bilde som identifikasjon ved krav om innsyn i egne personopplysninger, skriver Digi.
I denne saken krevde en finsk borger innsyn i sine personopplysninger hos Norwegian. Bakgrunnen var at vedkommende hadde fått markedsføring på epost. (Dette er noe som ofte fører til innsynskrav når noen mener de ikke har mottatt markedsføring lovlig. Så pass at markedsføring sendes ut lovlig. Både etter markedsføringsloven og personvernlovgivningen!).
Norwegian krevde identifikasjon med bilde for verifisere identiteten til den som ba om innsyn. Det er jo også et brudd på personvernreglene å la feil person få innsyn i personopplysningene, så derfor ønsker mange å være sikre på at man gir innsyn riktig. Og da krever man ofte sikker identifikasjon.
Finnen motsatte seg dette, og mente at Norwegian kunne verifisere identiteten på en mindre inngripende måte. Her måtte man gi fra seg mer personopplysninger for å kunne få innsyn i sine opplysninger, og bilde kan være vanskelig personvernmessig av flere grunner. I tillegg kunne dette virke unødvendig tungvint.
Saken ble behandlet av det norske Datatilsynet siden det er her Norwegian har hovedkontor. Datatilsynet var enig i at Norwegian hadde en vanskelig prosess for innsyn, men tok en runde med de øvrige datatilsyn i Europa for å høre deres mening. Spesielt de tyske datatilsynene har tidligere hatt mange saker og uttalelser om dette spørsmålet. Prosessen tok imidlertid hele to år, og nå foreligger resultatet. Men det gjør også at forståelsen for reglene kan bli mer likt praktisert innenfor EØS.
Konklusjonen er at prosessen Norwegian hadde for innsyn var unødvendig vanskelig. Det ble bedt om mer informasjon enn nødvendig for å kontrollere identiteten uten at Norwegian hadde ikke noen grunn til å tvile på personens identitet. Prosessen var derfor til hinder for effektiv utøvelse av rettighetene etter GDPR, og et brudd på GDPR artikkel 5(1)(c) – dataminimeringsprinsippet, og artikkel 12(2) og 12(6) – krav om innsyn og identifikasjon.
Lærdommen er dermed at behandlingsansvarlig må ha rimelig tvil om identiteten før det kreves ytterligere identifikasjon fra en som krever innsyn (eller for så vidt benytter andre rettigheter etter GDPR).
Norwegian fikk imidlertid ikke bot, men en reprimande (jussisk for kjeft) og har nå endret sine rutiner.
Beskyttelse av barns forbrukervern i digitale medier
Det er kommet forslag til endringer i markedsføringsloven om barns forbrukervern i digitale medier. I høringsnotatet foreslås det en ny § 21 a i markedsføringsloven om at markedsføring som det er grunn til å forvente at kan ses eller høres av barn i sosiale medier og spill ikke skal inneholde omtale av, film eller bilder av eller henvisninger til ytelser som er uegnet for barn. Også foreslås det at Forbrukertilsynets skal kunne ilegge overtredelsesgebyr ved brudd god markedsføringsskikk overfor barn etter dagens markedsføringslov § 21 jf. § 2, og brudd på den nye bestemmelsen om markedsføring i sosiale medier mv.
Hva som er «uegnet for» og som kan forventes å sees eller høres av barn i sosiale medier er uklart, men skal klargjøres i forskrift.
Men det er en viss motsetning i lovendringen og tiltakene for å forhindre sporing av brukere i sosiale medier, siden nettopp sporingen av brukere kan avdekke om barn skal se markedsføring, som aldersfiltre. Som Vebjørn Søndersrød skriver på LinkedIn så kan dette anses som et pålegg til å kjøpe tjenesten utplassering av markedsføring mot segmenter basert på data sosiale medier har om brukerne har fra før av. Dette er de samme data EU-domstolen og nasjonale datatilsyn en rekke ganger har slått fast at Meta har samlet inn og bruker, i strid med GDPR. Han presiserer også at Digital Services Act (DSA) artikkel 28(2) forbyr store sosiale mediers markedsføring basert på bruk av barns personopplysninger for profilering.
Endring av aldersgrensen på sosiale medier
Enda et tiltak for å sikre barn i det digitale rom er Regjerings forslag om å heve aldersgrensen på sosiale medier fra 13 år til 15 år (som sikkert de fleste har fått med seg). Det skal også innføres krav om ID-verifisering ved bruk av sosiale medier. Intensjonene er gode, men det er uklart hvordan dette skal gjennomføres.
I GDPR artikkel 8 og personopplysningsloven § 5 er det allerede grense på 13 år for «informasjonssamfunnstjenester», men utfordringen har vært kontrollen ved at den som leverer tjenesten/mediet skal «treffe rimelige tiltak for å kontrollere at samtykke er gitt eller godkjent av den som har foreldreansvar for barnet, idet det tas hensyn til tilgjengelig teknologi». Slike tiltak er som kjent ikke på plass (barnet kan bare lyve på alderen), og siden dette er en del av endringene til Regjeringen, er det veldig uklart hvordan slik kontroll nå skal kunne gjennomføres.
Noe av utfordringen er i tillegg at aldersgrensen i GDPR artikkel 8 og personopplysningsloven § 5 ikke er en aldersgrense for sosiale medier ifølge Datatilsynet. Skal det derfor innføres aldersgrense for sosiale medium, må det gjøres på annen måte enn gjennom personopplysningsloven.
Danmark har forsøkt med samme tiltak uten at det fungerte spesielt godt siden flere av sosiale medier beholdt grensen på 13 år (utenom Google) siden de mente at lovendringen ikke gjaldt dem.
EU ser derimot på løsninger for å beskytte barn, spesielt på porno- og gamblingsider. Spania og Italia vil lansere ID-kontroll for verifisering av brukere over 18 år basert på nasjonalt ID-kort. Frankrike ser på teknologiske løsninger med foreldrebekreftelse og AI-baserte vurderinger, mens Irland vil at nettsidene skal ta ansvar. Digital Services Act (DSA) og Audiovisual Media Services Directive (AVMSD) som trer i kraft i februar 2025 vil ha krav for beskyttelse av barn, samt at man ser på en løsning gjennom en «EU Digital Wallet» som skal inneholde bl.a. ID.
Irettesettelse etter ulovlig behandling av personopplysninger fra cookies
Det amerikanske selskapet Disqus, som leverer løsninger for kommentarfelt til nettsider har fått en irettesettelse (altså «kjeft», som for Norwegian over) fra Datatilsynet for å hentet data om brukere av løsningen, og dele disse. Det var opprinnelig NRK Beta som avdekket saken, og Datatilsynet opprettet sak for så å varsle vedtak om gebyr på kr 25 millioner.
Nå er altså gebyret frafalt og det blir en irettesettelse siden selskapet har forklart at markedsføringen var kontekstuell (avhengig av siden som kommentarfeltet var på) og ikke basert på brukeradferd. Det har også vært vanskelig å klargjøre fakta i saken, og det har vært lang saksbehandlingstid fra Datatilsynet (hvor sistnevnte ofte reduserer straffen som gebyret).
Opplysninger om brukere som Disqus samlet inn ble samlet inn gjennom bruk av cookies, og så delt med selskapets morselskap. Datatilsynet vurderte ikke om Disqus hadde brukt selve cookiene lovlig, siden det faller utenfor Datatilsynets myndighetsområde (er NKOMs ansvar). Men Datatilsynet mente at den etterfølgende behandlingen av opplysninger, som delingen med morselskapet, ble samlet uten lovlig grunnlag siden samtykket som ble benyttet var ikke et gyldig samtykke etter GDPR artikkel 6(1)(a), jf. artikkel 4 nr. 11. Disqus brukte samtykket etter ekomloven § 2-7 b, som er å benytte standardinnstillinger i nettleseren. Dette er ikke tilstrekkelig etter GDPR.
Det kommer også frem i saken at Diqus hadde basert seg på medieoppslag om at GDPR ikke gjaldt i Norge, og brukte derfor en løsning for bruk utenfor EØS i 2018 og 2019. Derfor ble ikke GDPR overholdt.
I saken er det interessant at Datatilsynet mener at «segmenteringen» som Disqus eller nettsidene selv gjør av nettsider som kommentarfeltet er plassert på, dvs. at nettstedet inndeles i kategorier (som er business, celebrity, culture, entertainment, games, living, news, tech, style og sports), er å anse som profilering etter GDPR artikkel 4 nr. 4. Men siden ingen av de norske nettsidene var segmentert, fikk ikke dette betydning for saken.
Manglende internkontroll førte til personvernbrudd (og bot)
Overtredelsesgebyr («bot») ble det derimot til Grue kommune etter at kommunen publiserte taushetsbelagt, og dermed personopplysninger, i kommunens postjournal på nettsidene. Opplysningene som ble publisert var såkalte 9A-vedtak etter opplæringsloven, som vedtak om elevers rett til et forsvarlig skolemiljø, og som inneholdt bl.a. elevers navn, fødselsdato, fødselsnummer og opplysninger om, og begrunnelse for, 9A-vedtakene. Det ble også publisert person- og kontonummer i andre tilfeller. Rimelig sensitiv informasjon altså.
Opplysningene gjaldt et tyvetalls personer, og selv om det antas å ha vært begrenset med innsyn i opplysningene av uvedkommende ble det altså gitt bot. Bruddet skyldes menneskelig svikt og systemsvakhet, sistnevnte ved at systemet ikke aktivt etterspør om dokumenter inneholder skjermingsinformasjon, men må søkes opp i en undermeny (brudd på innebygd personvern?). Det forelå heller ikke rutiner for arkivering av brev, og det var manglende kunnskap og bevissthet om arkivsystemet. Dette var brudd på GDPR artikkel 24 og 32. Offentliggjøringen av informasjonen manglet også rettslig grunnlag, og var derfor et brudd på GDPR artikkel 6(1) og artikkel 9(2).
Kommunen har nå system for informasjonssikkerhet, felles samarbeidsområde for planer, rutiner og dokumentasjon tilknyttet informasjonssikkerhet og personvern, revidert rutinene for arkivering av brev slik at disse automatisk blir merket som unntatt offentlighet, gjort revisjon av prosedyre for kontroll av postjournalen, har gjort tiltak for ytterligere opplæring av saksbehandlere som håndterer postlistene, og har kontaktet databehandler for mulige programforbedringer av funksjonalitet av arkivsystemet.
Oversikt over behandling på grunnlag av berettiget interesse
EUs personvernråd (EDPB) har kommet med en kort oversikt over kravene til behandling av personopplysninger på grunnlag av berettiget interesse (dvs. etter GDPR artikkel 6(1)(f)). Denne kommer i anledning at veileder for berettiget interesse er på høring. Mens veilederen er på 37 sider, er oversikten bare på to sider og passer fint å skrive ut for å henge på kjøleskapet. Se også skjema for vurdering av berettiget interesse som kan lastes ned her.
Oversikter over EU-lovgivning under EUs strategi for data
EU har kommer med mye lovgivning for digitalisering, og organisasjonen IAPP har laget flere oversikter over innholdet i lovgivningen som er kommet og kommer. Disse er også rimelig korte så kan også passe på kjøleskapet om man ønsker. Oversiktene omfatter AI Act, Data Act, Data Governance Act, Digital Markets Act, Digital Services Act og NIS2-direktivet.
Og Lee Bygrave har skrevet en artikkel på fremveksten av cybersikkerhetslovgivningen i EU:
Kort & Godt
Ekomloven er vedtatt i første behandling, og det avventes andre behandling. Det kan dermed se ut til at endringene i loven blir vedtatt før jul. Når loven trer i kraft er derimot mer usikkert, og mens noen hevder at den allerede vil være gjeldende før nyttår, regner de fleste med etter. Se mer om endringene i ekomloven i forrige nyhetsbrev.
Stor bot til LinkedIn. Datatilsynene i Europa fortsetter sitt tokt mot amerikanske sosiale medier, og det Irske datatilsynet (DPO) har nå gitt LinkedIn bøter på EUR 310 mill. Boten er basert på at LinkedIn har samlet inn og behandlet personopplysninger knyttet til adferdsbasert og målrettet annonsering uten lovlig behandlingsgrunnlag, herunder (tilstrekkelig) samtykke. Derfor har LinkedIn brutt kravet til lovlig behandling i GDPR artikkel 5(1)(a) og 6, samt at det ikke er gitt tilstrekkelig informasjon etter artikkel 13(1)(c) og 14(1)(c) om hvilket behandlingsgrunnlag som er benyttet, og dermed også brudd prinsippet om rettferdighet i artikkel 5(1)(a).
Oppsummering av saken fra DPO:
Rapport om overholdelse av Data Privacy Framework (DPF) av EDPB. Som nevnt i forrige nyhetsbrev, så har EU-kommisjonen vurdert og avgitt rapport om gjennomføringen av DPF. Nå har EUs personvernråd (EDPB) også kommet med sin rapport om vurdering av DPF, samt gitt veileder om tilgang til personopplysninger for påtale- og politimyndigheter. EDPB er stort sett positive til gjennomføringen av DPF, men oppfordrer amerikanske myndigheter til å veilede amerikanske selskap som mottar personopplysninger fra EØS om kravene til videre overføring ut av USA, samt se nærmere på noe av lovgivningen i USA som FISA Section 702. EDPB presisere også viktigheten av å ha gode løsninger for kryptering på plass. Enkelte mener imidlertid at det et er feil å «friskmelde» DPF, bl.a. fordi det er ingen endringer i FISA Section 702, det er ingen effektive tiltak for å overprøve krav (brudd på EMK artikkel 47), og det er ikke noe tilsyn for personvern i USA (brudd på EMK artikkel 8).
Kenya første land i Afrika som «godkjent tredjeland»? Det er samtaler mellom EU-kommisjonen og Kenya om at landet anses å ha et tilstrekkelig beskyttelsesnivå av EU-kommisjonen etter GDPR artikkel 45 og dermed kunne bli det første afrikanske landet som det kan overføres personopplysninger uten at det kreves særskilte garantier for overføring som standard kontraktsbestemmelser (SCC).
Uttalelse om dataskraping fra datatilsyn. Datatilsynet har sammen med flere tilsynsmyndigheter internasjonalt har kommet med en uttalelse om dataskraping, som også omfatter skraping knyttet til AI. Dataskraping er at programvare, som AI-modeller, tråler nettet for å samle inn informasjon, som kan utgjøre en personvernutfordring hvis personopplysninger omfattes av det som skrapes. Uttalelsen presiserer at personvernreglene gjelder også for opplysninger på nett, som at man bl.a. trenger et lovlig grunnlag for behandlingen av opplysninger som samles inn, og gir anbefaling til tiltak for virksomhetene som skraper data.
Mens i Storbritannia vil regjerningen tillate AI-selskaper til å skrape innhold i bl.a. nyhetsmedier, som skaper dårlig stemning.
Rapport på AI ved rekruttering. Det britiske datatilsynet, ICO, har kommet med en rapport om bruk av AI-verktøy ved rekruttering og i rekrutteringsløsninger. Rapporten er laget i samarbeid med utviklere og leverandører av slike løsninger. Rapporten inneholder praktiske råd og eksempler for utvikling av løsningene.
Endringsregler i kontrakter under offentlig anskaffelse ulovlig? Det svenske Konkurrensverket har funnet i en analyse at det ikke er tilstrekkelig at en endringsbestemmelse er avtalerettslig lovlig. Den må også være konkurranserettslig lovlig, som i enkelte tilfelle kan være usikkert. Tilsvarende gjelder i Norge, og det kan ha betydning for norske kontrakter, som Statens standardavtaler.
Gjennomføringsbestemmelser for NIS2 fra EU-kommisjonen. EU-kommisjonen har kommet med en såkalt gjennomføringsforordning om fastsettelse av regler for gjennomføring av NIS2-direktivet om krav til risikostyringstiltak for cybersikkerhet mv. Forordningen gir detaljerte kriterier for rapportering av hendelser, mer detaljerte tekniske sikkerhetskrav, mv. Det er allikevel nok en stund til disse kravene vil gjelde direkte etter norsk lov, selv om noen kommer gjennom digitalsikkerhetsforskriften, se tidligere nyhetsbrev, hvor høringsfristen går ut 11. desember.
Og en god illustrasjon på ulike former for cyberangrep (fungerer ikke animasjonene her, så klikk på bildet):
Forskning på helseopplysninger uten samtykke? Forslag til endret helseforskningslov mv. er på høring, og hensikten med forslaget er å legge til rette for mer og bedre forskning, styrke forskningsdeltakeres rettsvern og sikkerhet, og forenkle formelle prosesser knyttet til forskning. En del av dette er å tydeliggjøre samtykkereglene til deltakelse i forskning knyttet til samtykkekompetanse, som barn og unge. Høringsnotatet er interessant for alle som arbeider med forskning, og da samtykker. Det foreslås utvidet bruk av «brede samtykker» som betyr at det samtykkes til et overordnet forskningsformål hvor det ikke er spesifikt informert om alle detaljer og alle delprosjekter. Det er hevdet at det nå vil kunne skje forskning på personopplysninger uten at det foreligger samtykke. Eksempel på passivt samtykke ved forskning følger også av en ny avgjørelse i Personvernnemda.
Og til slutt
Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.
For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.
Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.