Nyhetsbrev 01.2025

Oppdatering personvern, GDPR og teknologirett mv. 1.2025

Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Innhold denne gangen er bl.a.: 

  • Personvernåret 2024 – en oversikt med hva som skjer (muligens) i 2025
  • Trump 2.0 – hva med overføring av personopplysninger til USA og bruk av amerikanske leverandører
  • EU-domstolen bekrefter streng praksis om generell behandling og lagring av kommunikasjonsdata
  • Avslag på behandling av datatilsyn pga. mangler ved klage
  • EU-kommisjonen må betale erstatning for overføring av personopplysninger til USA
  • Behandling av opplysninger om kjønn ved oppfyllelse av avtale eller som berettiget interesse
  • Behandling av personopplysninger om ansattes personopplysninger etter kollektiv avtale
  • Nye kurs i GDPR
  • Klargjøring av konkursbos deling av opplysninger med fordringshaverne, herunder om straffbare forhold
  • Er bilder biometriske opplysninger eller andre særlige kategorier (sensitive) personopplysninger?
  • Leverandørers bruk av kunders data til utvikling
  • Mer om cookies
  • Nytt fra EUs personvernråd
  • Og til slutt og som vanlig forskjellige nyheter.

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer (som oppsummeres med andre nyheter i dette nyhetsbrevet).

Gratulerer med Personverndagen

I dag er det den årlige Personverndagen, så det er bare å finne frem bunaden. Gratulerer med dagen til alle personverninteresserte 🥳

Personvernåret 2024

Her er en oversikt over noen hovedpunkter som skjedde innenfor personvern i 2024 slik vi har sett det i/fra Norge:

1. kvartal (januar, februar og mars)

  • Bruk av Meta pixel på helsenettsider ble omtalt i NRK i 2024 over til 2025, som skapte overskrifter og diskusjon, og at mange leverandører av helseprodukter og -tjenester måtte se på nettsidene sine igjen. Mange har imidlertid ikke gjort dette ennå, og bør nå ta en titt med tanke på de nye reglene om cookies fra 1. januar, se nedenfor.
  • Datatilsynet ba EUs personvernråd om en uttalelse for lovligheten av bruken av såkalte «pay or okey»-løsninger for store plattformvirksomheter sammen med andre datatilsyn. Og personvernrådet svarte at «pay or okey» ikke vil være gyldig samtykke etter GDPR.  
  • Overtredelsesgebyr til NAV. Datatilsynet ga overtredelsesgebyr på kr 20 millioner og andre pålegg til NAV. Dette vedtaket ble senere overprøvd av Personvernnemda, se 4. kvartal nedenfor.
  • Datatilsynets årsrapport viste en økning i saker og hvor det ble varslet at det skal gjennomføres tilsyn både på privat og offentlig sektor i 2024.
  • Personvernnemdas årsrapport viste en økning av saker for nemda og at saksbehandlingstiden er i snitt 5,5 måneder.
  • Datatilsynet kan avvise saker om klager ikke hadde tilstrekkelig beskrivelse og dokumentasjon i klagen ifølge Personvernnemda. Dette var en trend i saker fra nemda utover 2024.
  • Det kan ikke klages over type av reaksjon Datatilsynet velger ved personvernbrudd ifølge Personvernnemda. Se også sak i EU-domstolen om det samme nedenfor.
  • Det om veileder fra Datatilsynet om digitale angrep, og spesielt hvordan hendelsen skal håndteres når den først er oppstått.
  • EU-kommisjonen har begått personvernbrudd ved å bruke Microsoft 365 og amerikanske skyleverandører mener EUs datatilsyn (EDPS).
  • Sjekkliste for personvernerklæring og informasjon til registrerte ble lagt ut på mine nettsider. Last ned!

2. kvartal (april, mai og juni)

  • Oversikt over personvernombud i Norge ble gjort tilgjengelig av Datatilsynet. Men oversikten viser at mange virksomheter har ombud uten at det er et krav (og muligens uten at det er lovlig).
  • Oslo tingrett opprettholder overtredelsesgebyr i Grindr-saken med overtredelsesgebyr på kr 65 millioner. Saken er anket og kommer kanskje opp i 2025, se nedenfor.
  • Personvernnemnda overprøvde Datatilsynet i Meta-saken om dagbøter til Meta. Det underliggende vedtaket om forbud mot adferdsbasert markedsføring på Facebook og Instagram blir imidlertid stående.
  • Rett til erstatning ved personopplysninger på avveie var tema i flere dommer fra EU-domstolen.
  • Oversikt over hvordan overholde personvernregelverket skal overholdes ble lagt ut på mine nettsider. Last ned!

3. kvartal (juli, august og september)

  • Veileder om bruk av EU-US Data Privacy Framework kom fra EDPB.
  • Direktoratet for forvaltning og økonomistyring (DFØ) gjennomførte evaluering av Datatilsynet og pekte på behov for å styrke Datatilsynet ressursmessig og effektivisere arbeidet.
  • Personvernet går ofte foran rettighetene (og sikkerheten) til pasienter, viste rapport om personvern og pasientrettigheter fra Bouvet, som skapte en del diskusjon.
  • Det kom oppdaterte veiledere om overvåking av ansattes bruk av elektronisk utstyr, rett til sletting og rett til å protestere fra Datatilsynet.
  • Brudd på informasjonssikkerhet ved manglende tilgangsstyring i Microsoft Teams førte til overtredelsesgebyr til Universitet i Agder (UiA).
  • Utsendelse av epost om politisk reklame til foreldre etter å ha hentet ut klasselister førte til irettesettelse av Stavanger Ap, på vegne av MDG, R, Sp, SV og FrP.
  • Datatilsynene har ingen plikt til å gi pålegg, bøter, eller korrigerende tiltak ved brudd på GDPR, ifølge EU-domstolen.
  • Flere avgjørelser fra Personvernnemda, som avgjorde bl.a.:
  • Det kan ikke kreves tilgang til egne personopplysninger på en spesifikk elektronisk måte.
  • Det kan ikke kreves innsyn i logger som viser hvem som har lest ens personopplysninger og hvor lenge opplysningene var lest. Som også var tema i EU-dom.
  • Hva som skal til for at Datatilsynet kan avslutte en sak eller må behandle klagen.

4. kvartal (oktober, november og desember)

  • Bruk av databehandlere og underdatabehandlere, spesielt ved overføring av personopplysninger til land utenfor EØS (tredjeland) var tema i uttalelse fra EUs personvernråd.
  • Det teknisk virkeområde for ePrivacy-direktivet i veileder fra EUs personvernråd som gjelder ulike sporingsløsninger, som bl.a. informasjonskapsler (cookies).
  • Manglende internkontroll førte til personvernbrudd ved publisering av taushetsbelagt informasjon i Grue kommunes nettbaserte postjournal som ga overtredelsesgebyr.
  • Ulovlig dataskraping, også for AI, var tema i uttalelse fra Datatilsynet og flere datatilsynsmyndigheter internasjonalt.
  • Rapport om bruk av Microsofts KI-verktøy M365 Copilot kom fra NTNU i Datatilsynets sandkasseprosjekt for AI.
  • Behandling av særlige kategorier personopplysninger og dataminimeringsprinsippet i sosiale medier knyttet til personalisert annonsering var tema i enda en Schrems-dom.
  • En rekke dommer fra EU-domstolen som bl.a. fastslo:
  • Brudd på personvernet og GDPR er ikke – i seg selv – tilstrekkelig for at det skal foreligge «skade» som gjør at en registrert har krav på kompensasjon.
  • Å gi en beklagelse kan være tilstrekkelig kompensasjon for ikke-materiell skade ved personvernbrudd.
  • Grensene for berettiget interesse som behandlingsgrunnlag, som at kommersiell virksomhet er en berettiget interesse, og overføring av opplysninger kan kun gjøres i enkelte tilfelle om det er strengt nødvendig for å oppfylle de berettigede interessene.
  • Man kan saksøke en konkurrent for brudd på GDPR, siden brudd kan gi et konkurransefortrinn. Saken klargjorde også mer om hva helseopplysninger kan være.
  • Og en håndskrevet signatur er en personopplysning (!) samt andre avklaringer om erstatning etter personvernbrudd.
  • Begrensning av identifiseringen av barn i videoer ble pålagt Familiekanalen.
  • Ulovlig behandling av personopplysninger fra cookies og utlevering personopplysninger om registrerte til tredjeland uten rettslig grunnlag ble grunnlag for en irettesettelse av Disqus.
  • Personvernnemda opphever Datatilsynets vedtak for NAV (som ble fattet i 1. kvartal, se ovenfor). NAV slipper derfor overtredelsesgebyr på kr 20 millioner. Datatilsynet skal visstnok vurdere saken på nytt med eventuelt nytt vedtak.
  • Ikrafttredelse av nye regler for informasjonskapsler (cookies) i ekomloven ble vedtatt fra 1. januar 2025.
  • Bruk av personopplysninger for utvikling/trening og implementering av kunstig intelligens og kravene til GDPR var tema for uttalelse fra EUs personvernråd.
  • EU-kommisjonens standard databehandleravtale på norsk ble lagt ut på mine nettsider. Last ned! Disse er også på oversiktssiden over databehandleravtaler og standard kontraktsbestemmelser.

Hva skjer (muligens) i 2025?

  • Mange må arbeide med å få på plass samtykkeløsninger for cookies. Datatilsynet og Nkom vil gjøre tilsyn, og det kan komme pålegg og kanskje bøter.
  • Nye standard kontraktsbestemmelser (SCC) for overføring av personopplysninger utenfor EØS (tredjeland) fra EU-kommisjonen skal komme i 2. kvartal 2025.
  • Rett til erstatning etter «systemsnoking» i NAV skal behandles i Den europeiske menneskerettighetsdomstolen.
  • Lagmannsretten vil trolig behandle om Grindr skal få overtredelsesgebyr, se 2. kvartal ovenfor.
  • Det kommer enda flere regler fra EU, og disse blir trolig norsk rett, som AI Act, NIS2, DORA osv.
  • Trump har lovet å endre overvåkningslovgivningen. Kanskje blir overføring av personopplysninger og bruk av amerikanske leverandører igjen forbudt? Er du klar for det?
  • Nye regler om beskyttelse av barns forbrukervern i digitale medier samt (nye) regler om aldersgrense for bruk av sosiale medier kommer.
  • Avgjørelse i EU-domstolen om EU-kommisjonens bruk av Microsoft 365 er ulovlig overføring av personopplysninger til USA, se 1. kvartal ovenfor.
  • Mer om kunstig intelligens. Mye mer om kunstig intelligens. Enda mer om kunstig intelligens.
  • Det kommer flere nyhetsbrev som oppdaterer deg på det over, så abonner her: https://sandtro.no/nyhetsbrev/.

Trump 2.0 – hva med overføring av personopplysninger til USA og bruk av amerikanske leverandører?

USA EU

Som kjent ble Trump valgt til president i USA. Det begynner allerede å komme signaler som gjør at fundamentet for overføring til USA og bruk av amerikanske it-leverandører begynner å vakle. Grunnlag for overføring er som kjent Data Privacy Framework (DPF) og EUs standard kontraktsbestemmelser (SCC), som er basert på/sikret gjennom bl.a. presidentordre gitt av Biden.

Trump endret Bidens presidentordrer på sin første dag, men det er usikkert hvor mye det påvirker tiltakene som ble etablert som følge av DPF. Samtidig så er det ikke utenkelig at Trump kommer med andre krumspring (Trumpspring, beklager 🫣), som kan gjøre at EU finner at det ikke er sikkert med overføring til/bruk av leverandører fra USA.

Bl.a. har Trump fjernet medlemmer i «Privacy and Civil Liberties Oversight Board» (PCLOB) som er et råd som skal kontrollere amerikanske myndigheters bruk av overvåkningslovene. Dette vil gjøre at antall medlemmer i rådet ikke er tilstrekkelig bemannet. Ikke uventet var det medlemmene fra det Demokratiske partiet som Trump fjernet.

Følgene av dette og andre ting Trump gjør, kan være at EU-kommisjonen finner selv at det ikke er trygt? De har en plikt til å vurdere dette fortløpende. Eller kanskje kommer det en Schrems III-dom? Kanskje må man som data eksportør finne at risikoen er for stor, så det kan ikke skje en overføring?

Uansett lurt å se på alternativer i andre land eller gjøre de nødvendige tiltak for sikring av personopplysningene dersom man overfører til USA eller gir amerikanske leverandører tilgang til personopplysninger.

Se også artikkel i Digi.no om ovennevnte, samt post jeg la ut pre-Trump som gir noe mer bakgrunn. Se også god artikkel om konsekvensene av at Trump gjør endringer i overvåkningslovgivningen.

EU-domstolen bekrefter streng praksis om generell behandling og lagring av kommunikasjonsdata

I en nylig sak (C-394/23 Mousse) vurderte EU-domstolen spørsmålet om lovligheten av et statlig initiativ som tillot omfattende innsamling og lagring av data for å ivareta blant annet offentlig sikkerhet. Saken kan sammenlignes med saken om Smittestopp-appen som vi hadde i Norge under koronaen, samt også andre tiltak knyttet til kommunikasjonsovervåkning. I denne saken innebar behandlingen at myndighetene fikk tilgang til et bredt spekter av borgernes elektroniske kommunikasjonsdata, uten klare begrensninger på varighet og formål. Dette reiste spørsmål om tiltaket sto i samsvar med GDPR, særlig prinsippene om nødvendighet og proporsjonalitet.

Domstolen poengterte at all behandling av personopplysninger må ha et klart rettslig grunnlag, og at det må kunne dokumenteres hvorfor det aktuelle tiltaket er nødvendig for å oppnå formålet. Dommen fremhever at generelle og vidtrekkende tiltak, som innebærer masseinnhenting av data, kun kan forsvares dersom de er strengt nødvendige og tilstrekkelig begrenset i omfang, tid og tilgang. Domstolen la også vekt på at nasjonale myndigheter må ivareta krav til gjennomsiktighet og ha en robust prosess for å vurdere inngrepets forholdsmessighet.

Ved behandling av personopplysninger med nasjonal lov som behandlingsgrunnlag, må det sikres at behandlingen er forenlige med GDPR selv om behandlingen skjer med grunnlag i lov. Spesielt skjerpes plikten til å vurdere og begrunne omfanget av opplysninger som innhentes, samt varigheten av behandlingen. Dommen bekrefter en allerede tydelig, og streng, linje i EU-domstolens praksis: Generell og udifferensiert lagring av elektroniske kommunikasjonsdata er normalt i strid med EU-retten.

Avslag på behandling av datatilsyn pga. mangler ved klage

EU-domstolen har også behandlet en sak (C-416/23 Österreichische Datenschutzbehörde) hvor en person hadde krevd innsyn i sine personopplysninger. Da vedkommende ikke fikk dette, ble det sendt klage til det østerrikske datatilsynet.

Tilsynet vurderte klagen, men avslo å gå til videre tiltak, siden de mente at klagen ikke var tilstrekkelig begrunnet og var en del av en serie av gjentatte henvendelser fra klageren som de betraktet som overdrevne, grunnløse og manglende konkrete nye forhold, noe som ble vurdert som et misbruk av prosessrettigheter.

Klageren mente derimot at tilsynsmyndigheten hadde plikt til å håndtere saken fullt ut, uavhengig av deres vurdering av grunnløsheten eller overdrivelsen i forespørslene.

Domstolen vurderte begrepene «forespørsel» og «overdrevne forespørsler» og konkluderte med at tilsynsmyndigheter har rett til å kreve et rimelig gebyr eller avslå å handle på forespørsler som er åpenbart grunnløse eller overdrevne. Videre ble det understreket at enkeltpersoner har rett til å inngi klage til tilsynsmyndigheten dersom de mener deres rettigheter under GDPR er krenket.

Avgjørelsen bekrefter tilsynsmyndighetenes skjønnsfrihet i håndteringen av forespørsler og klager, samt kriteriene for å vurdere når en forespørsel kan anses som overdreven eller åpenbart grunnløs som viser at tilsynsmyndigheten kan vurdere individers rettigheter og mot tilsynsmyndighetenes ressurshåndtering.

Dommen er også i overensstemmelse med de prinsipper som vårt Datatilsyn og Personvernnemd har fulgt.

EU-kommisjonen må betale erstatning for overføring av personopplysninger til USA

Dette følger av en dom fra EU-domstolen (T-354/22 Bindl), hvor da EU-kommisjonen skal betale en privatperson EUR 400 knyttet til ulovlige overføringer av hans personopplysninger fra EU til USA. Overføringene skjedde i en periode hvor det ikke fantes noen adekvansvurdering for USA, dvs. under Schrems II-perioden. Dette er den første EU-dommen som pålegger erstatning for overføring av personopplysninger til «ikke-godkjent» land og uten tilstrekkelig overføringsgrunnlag.  

Ifølge domstolen begikk EU-kommisjonen et tilstrekkelig alvorlig brudd på rettighetene til vedkommende etter EUDPR (GDPR for EU-institusjoner) som førte til ikke-økonomisk skade, og ved at vedkommende hadde en uklar situasjon knyttet til sine personopplysninger. Domstolen fant at det var en tilstrekkelig direkte årsakssammenheng mellom EU-kommisjonens brudd og skaden som var påført og idømte erstatning. Her satt domstolen størrelsen på beløpet, men i saker etter GDPR, så vil domstolen overlate til nasjonale domstoler til å utmåle beløpet (som i C-300/21 Österreichische Post).   

Den registrerte fikk imidlertid ikke erstatning for manglende overholdelse av retten til innsyn, siden det ikke kunne bli påvist noen ikke-økonomisk skade som følge av at fristen for innsyn ikke ble overhold.

Selv om beløpet er beskjedent, vil en slik erstatning for mange skadelidte, f.eks. som følge av klassesøksmål (om det er anledning til det etter lokal rett, som det bl.a. kan være i Norge etter rettens godkjenning) medføre store totalbeløp. Det kan dermed gi langt større konsekvenser for manglende overholdelse av personvernreglene enn overtredelsesgebyr.

Behandling av opplysninger om kjønn ved oppfyllelse av avtale eller som berettiget interesse

Det er kommet en dom fra EU-domstolen ((C‑394/23 Mousse) som gjaldt en klage fra en organisasjon som arbeider mot kjønnsdiskriminering, Mousse, om det franske jernbaneselskapet SNCF Connect. Jernbaneselskapet krevde at kundene oppga kjønn («Monsieur» eller «Madame») når de kjøpte billetter på nettet. Foreningen mente at denne plikten brøt med GDPR, spesielt prinsippene om dataminimering og nødvendighet, og at det ikke finnes noe rettslig grunnlag for innsamlingen. Organisasjonen mente at det bør minimum være anledning til å velge «nøytral» eller «annet» som alternativ.

EU-domstolen fant at etter prinsippet om dataminimering, GDPR artikkel 5(1)(c), skal personopplysninger som samles inn være relevante, tilstrekkelige og begrenset til det som er nødvendig ut fra formålet med behandlingen. Jernbaneselskapet benyttet oppfyllelse av avtale som grunnlag for behandlingen av opplysningene (GDPR artikkel 6(1)(b)), og for å kunne benytte dette grunnlaget for behandlingen være «nødvendig for oppfyllelse av en kontrakt med kontraktsforpliktelser ment for den registrerte». Man må altså vurdere hver enkelt kontraktsforpliktelse separat om dette er nødvendig.

Dette innebærer at behandlingen være objektivt uunnværlig for å muliggjøre riktig gjennomføring av den aktuelle kontrakten. Domstolen fant da at det ikke er nødvendig å behandle disse opplysningene om kjønn. Jernbaneselskapet kunne i stedet velge å bruke generiske, inkluderende tiltaleformer som ikke har noen sammenheng med passasjerenes antatte kjønnsidentitet, da dette vil være en gjennomførbar og mindre inngripende løsning. Hensikten med betegnelsene på kjønn var i dette tilfelle å personalisere kommunikasjonen med kundene, i tråd med det som var vanlig i Frankrike. Domstolen kom til at slik personalisering var ikke nødvendig, og derfor ikke lovlig. Det var alternative måter å adressere kundene på som var mindre inngripende.

Dersom formålet med den behandlingen var å tilpasse tjenester for nattog (som har vogner reservert for personer med samme kjønnsidentitet) og å assistere passasjerer med nedsatt funksjonsevne, kan allikevel ikke disse formålene begrunne behandlingen. Behandlingen er derfor uforholdsmessig og i strid med prinsippet om dataminimering.

Domstolen vurderte så om behandling kan skje på grunnlag av berettigede interesse (GDPR artikkel 6(1)(f)). Dette grunnlaget krever som kjent at det må foreligge en berettiget interesse for den behandlingsansvarlige eller en tredjepart, at det er nødvendig å behandle personopplysninger for de berettigede interessene og at de grunnleggende frihetene og rettighetene til den registrerte ikke har forrang over den berettigede interessen (også kalt «balansetesten»).

For vurderingen av nødvendighet, så må denne også omfatte om det finnes andre alternative behandlingsmåter som er like effektive, men mindre inngripende. Her kommer dataminimeringsprinsippet inn, samt at personopplysningene som behandles må være adekvate, relevante og begrenset til det som er nødvendig for behandlingen. Det bør her være tilstrekkelig med fornavn og etternavn mener domstolen.

At jernbaneselskapet viste til at bruken av «Monsieur» eller «Madame» og annet som er vanlig praksis og sosiale konvensjoner særegne for hver medlemsstat, særlig for å bevare det språklige og kulturelle mangfoldet. GDPR åpner ikke for å ta slike hensyn, mener domstolen, og artikkel 6(1)(f) må tolkes restriktivt.

For balansetesten, så er det av betydning om personopplysningene som ble samlet inn blir behandlet på en måte som den registrerte med rimelighet kunne forutsette på tidspunkt for innsamlingen av opplysningene. Da er det av betydning om den behandlingsansvarlige har informert de registrerte (kundene) om den berettigede interessen på det tidspunkt da opplysningene ble samlet inn. Domstolen sier det så kategorisk at om ikke de registrerte er informert om den berettigede interessen, kan ikke artikkel 6(1)(f) benyttes som grunnlag. I tillegg kan ikke en reisende med et jernbaneselskap regne med at selskapet vil registrere kjønn når en reise bestilles.

Behandlingen var derfor ikke utelukkende i den grad det er strengt nødvendig for å oppfylle den berettigede interesse til jernbaneselskapet, som er å personalisere dialogen ved kjøpet, og den berettigede interessen kan ikke gå før frihetene og rettighetene til de registrerte, alle omstendigheter tatt i betraktning, kan det ikke sies at berettiget interesse kan anses som grunnlag. Dette gjelder spesielt når det foreligger en risiko for diskriminering pga. kjønnsidentitet.

Domstolen behandlet også om den registrertes rett til å protestere for behandlingen etter GDPR artikkel 21(1) har betydning for vurderingen av om det er grunnlag etter artikkel 6(1)(f). Domstolen presisert her at retten til å protestere forutsetter at behandlingen allerede er lovlig, og denne retten kan ikke vektlegges når det vurderes om behandlingen av personopplysninger er lovlig og, særlig, om den er nødvendig etter artikkel 6(1)(f). Enhver annen fortolkning ville svekke kravene i artikkel 6(1)(f) ved å utvide grunnlaget for lovligheten av den aktuelle behandlingen, til tross for at denne bestemmelsen må tolkes restriktivt for å ivareta de registrertes rettigheter etter GDPR.

Derfor la retten til grunn at artikkel 6(1)(f) må forstås slik at det, ved vurderingen av hvorvidt personopplysninger er nødvendige å behandle etter denne bestemmelsen, ikke er nødvendig å ta hensyn til en eventuell rett for den registrerte til å protestere.

Behandling av personopplysninger om ansattes personopplysninger etter kollektiv avtale

EU-domstolen har også avsagt en dom (C-65/23 MK v. K Gmbh) som gjaldt behandling av ansattes personopplysninger og overføring av opplysningene til en skybasert løsning i USA tilhørende selskapets morselskap. De ansatte aksepterte overføring basert på en avtale med de ansatte (kollektiv avtale), men det ble overført opplysninger som var mer omfattende enn det som var avtalt.

Etter nasjonal rett kan behandling, og da overføring, skje for formål knyttet til et arbeidsforhold når dette er nødvendig for bestemte formål knyttet til arbeidsforholdet, herunder knyttet til kollektiv avtale. Etter GDPR artikkel 88(1) kan slik lovgivning gis, og behandling kan skje etter kollektive avtaler.

Domstolen understreket at selv om medlemsstatene har en viss skjønnsmargin til å spesifisere GDPRs regler, må slike nasjonale bestemmelser være i samsvar med forordningens grunnleggende prinsipper, spesielt de som er nedfelt i artikkel 5, 6(1) og 9. Videre påpekte domstolen at partene i en kollektivavtale ikke har ubegrenset skjønn når det gjelder nødvendigheten av å behandle personopplysninger som er fastsatt i avtalen. Behandlingen må være nødvendig og proporsjonal i forhold til formålet, og underlagt rettslig prøving.

Avgjørelsen klargjør at arbeidsgivere må utvise forsiktighet ved behandling av ansattes personopplysninger, selv når slik behandling er basert på kollektive avtaler, og GDPR må uansett følges selv om tariffavtale eller nasjonale lovgivning gir grunnlag for behandlingen.

I Norge har vi imidlertid ikke de samme reglene som de har i Tyskland, som dommen ovenfor gjelder. Avgjørelsen viser dermed at personvernet er en individrettighet og at heller ikke kollektive mekanismer står fritt til å avtale svakere vern. I Norge har vi ikke de samme nasjonale reglene for behandling av personopplysninger basert på kollektive avtaler (tariffavtaler) så arbeidsgivere og fagforeninger må benytte berettiget interesse for å oppfylle plikter som følger av avtalene.

Dette har vært tema i flere høringssvar til etterkontroll av personopplysningsloven, og det blir spennende om disse hensyntas av Justisdepartementet og det blir endringer i loven som følge av dette.

Nye kurs i GDPR og personvern

Jeg holdt kurs i GDPR i 2024, og starter nå opp 2025 med kurs i grunnleggende krav etter GDPR og hvordan kravene skal overholdes. Det vil bli gjennomgått og gitt dokumentasjon i kurset vil være dekkende for det som normalt kreves av en liten/mellomstor virksomhet.

Kursene vil bli avholdt:

  • Tirsdag 18. februar 2025
  • Onsdag 26. februar 2025
  • Torsdag 6. mars 2025

Les mer og meld på her.

Klargjøring av konkursbos deling av opplysninger med fordringshaverne, herunder om straffbare forhold

Dette var tema i en sak fra Personvernnemda (PVN-2024-11). Nemda kom til at konkursboet må ha et gyldig rettslig grunnlag for å behandle og eventuelt videreformidle personopplysninger, herunder til fordringshaverne. Gyldig rettslig grunnlag vil være GDPR artikkel 6(1)(c) (nødvendig for å oppfylle en rettslig forpliktelse), jf. artikkel 6(3) hvor forpliktelsen følger konkurslovens bestemmelser om bostyrers plikter.

Bobestyrer og eventuelle nye behandlingsansvarlige har plikt til å informere de registrerte (personene opplysningene gjelder) om at personopplysninger kan bli overført som del av konkursbehandlingen, som boinnberetningen.

Er bilder biometriske opplysninger eller andre særlige kategorier (sensitive) personopplysninger?

I en annen sak for Personvernnemda (PVN-2024-12) var det tema om en bank kan kreve identifikasjon med bilde av kunde. Bilder kan som kjent omfatte biometriske opplysninger, som da er særlig kategorier personopplysninger etter GDPR artikkel 9.

Nemda fant at banken har plikter etter lovverket om hvitvasking, og at banken har hjemmel til å behandle personopplysninger knyttet til bilde etter GDPR artikkel 6(1)(c) (oppfyllelse av rettslig forpliktelse), jf. artikkel 6(3).

Nemda fant imidlertid at et bilde er ikke en særlig kategori personopplysning, siden bildet ikke er gjenstand for en «særskilt teknisk behandling». Nemda var dermed enig med Datatilsynet, som anførte, og som også er bekreftet av EUs personvernråd:

Ethvert ansiktsbilde av en person er ikke å anse som en biometrisk opplysning. Det er først dersom ansiktet leses av digitalt og gjøres om til bestemte data, at det er tale om behandling av biometriske opplysninger, jf. vilkåret «en særskilt teknisk behandling» i personvernforordningen artikkel 4 nr. 14, jf. fortalepunkt 51. En alminnelig kopi av et legitimasjonsdokument med ansiktsbilde, vil i utgangspunktet ikke være en biometrisk opplysning. Den elektroniske brikken i passet inneholder imidlertid biometriske opplysninger om passets innehaver.

Banken mener for øvrig at kvaliteten på bildet er så dårlig at det ikke er mulig å utlede biometriske opplysninger av det. På nivå med det gjennomsnittlige passbilde altså…

Nemda mente også at et fotografi er ikke behandling av etnisk eller rasemessig opprinnelse og viste til fortalepunkt 51 i GDPR, Personvernrådets veileder og forarbeidene til personopplysningsloven.

Bilde som vedkommende hevder er verdens verste passfoto (som kanskje mange vil hevde om sine egne bilder). Vedkommende har for øvrig gjort bildet offentlig selv. Bildekreditt: Chelsey Ramos.

Leverandørers bruk av kunders data til utvikling

Er it-leverandørers bruk av kunder data og personopplysninger til utvikling av egen løsning lovlig? Nei, det er det ikke de i fleste tilfeller. Og da bryter kundene personvernlovgivningen. Ofte uten å være klar over det.

De fleste kunder oppdager ikke at leverandøren tar seg denne friheten. Dette fordi databehandleravtalen eller leverandørens vilkår ikke gjennomgås grundig nok. Da brytes personvernlovgivningen, og det er kunden som vil være ansvarlig.

I en sak om Helseplattformen i NRK, går det frem at leverandøren av Helseplattformen vil bruke data, og da personopplysninger, til å utvikle sitt eget it-system.

Personvernombudet for Helseplattformen sier at problemstillingen er juridisk vanskelig. Og det er den, siden slik overføring til leverandøren fører til at man mister kontroll på personopplysningene. Det positive med denne saken er at problemstillingen er kommet til overflaten og vurderes. Men det vanlige er at kjøper kunden it-systemer uten å være klar over at leverandøren vil bruke data og personopplysninger til å utvikle løsningen.

Leverandørens bruk av personopplysninger til utvikling mv. er bruk av opplysningene til nytt formål enn opplysningene ble samlet inn for. Leverandøren blir da behandlingsansvarlig for opplysningene, selv om kunden tror at leverandøren bare er databehandler. Da må det vurderes om behandling kan gjøres til nytt formål. Det må også informeres om overføringen i personvernerklæringen til kunden, noe som ofte ikke gjøres siden kunden tror at leverandøren bare er databehandler. Og de andre reglene for overføring av personopplysninger i GDPR må følges.

Siden selve overføringen av personopplysningene fra kunden til leverandøren er en egen behandling, må kunden ha et lovlig grunnlag for overføringen. Slikt behandlingsgrunnlag kan noen ganger være en berettiget interesse for kunden, men ofte kan ikke dette brukes som grunnlag. Det avhenger av den enkelte it-løsning og avtalen mellom kunden og leverandøren.

Og uten et lovlig grunnlag, er overføringen av personopplysninger ulovlig med de følger det kan ha.

Tips: Bruk standardmalene for databehandleravtale, og ikke leverandørens egen databehandleravtale, så unngås denne risikoen. Se oversikt over maler her. Og gå gjennom leverandørens vilkår grundig. Leverandørene kan være tydelig på denne behandlingen, og legge opp til det på en åpen og lovlig måte overfor kundene. Så slipper begge risikoen av behandling på ulovlig grunnlag.

Mer om cookies

Datatilsynet har kommet med informasjon om de nye ekomreglene for cookies på sine nettsider. Her gjennomgås kravene til samtykke overordnet, og det minnes om at kravene til et gyldig samtykke innebærer blant annet at det skal være like lett å si nei som å si ja til å samtykke, hvor Datatilsynet skriver:

Dersom det er mer komplisert å si nei, eller nei-alternativet ikke gis sammenlignbar oppmerksomhet som ja-alternativet, får ikke brukeren et rettferdig valg. Brukeren må også få lett tilgjengelig og forståelig informasjon som gjør at de enkelt kan forstå konsekvensene av et eventuelt samtykke.

Dette stiller krav til utformingen av samtykkeløsning som velges, og tilsynet anbefaler at «nei-alternativet ikke gjemmes bort». Dette kan f.eks. være at man viser til «innstillinger» for å foreta avvisning av cookies.

Det informeres også om at Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) vil komme med mer veiledning om de nye reglene på nyåret, samt vil det muligens komme forskrift som dekker informasjonskapsler.

Datatilsynet har også uttalt at de nye cookiereglene gjaldt fra 1. januar 2025 og det er ingen overgangsordning eller tid til å få løsninger på plass. Men både Nkom og Datatilsynet har forståelse for at det er kort tid til å omstille seg for virksomheter før ikrafttredelsen, og vil den første tiden vil være å gi virksomheter veiledning om regelendringene. I tillegg må de behandle eventuelle klager som mottas, og kan da foreta tilsyn.

I artikkel i Kode24 fremgår det at 2 av 3 i det offentlige ber ikke om samtykke. Digi.no har også undersøkt om de største nettsidene i Norge etterlever kravene om samtykke til bruk av cookies. Konklusjonen er at en drøy uke etter at nye og strengere regler trådte i kraft, er det få som har endret praksis og fått på plass samtykker. Også offentlig sektor er bakpå. De fleste nettsidene sier at de arbeider med å få på plass løsninger for å overholde reglene.

Se også gode refleksjoner av Rune Opdahl om at de nye reglene for cookies vil virke mot sin innsikt pga. bruker vanskelig kan gi gyldige samtykker.

Og jeg er intervjuet av leverandøren av samtykkeløsning for cookies, Cookie Information, om den nye ekomloven.

For mer om de nye reglene, se forrige nyhetsbrev hvor det også er kommet spørsmål om en presisering:

  • Alltid samtykke når det brukes cookies mv. (med unntak av «strengt nødvendige cookies). Dette følger av ekomloven.
  • Behandles det personopplysninger som følge av cookies mv.: Samtykke (om det er lovlig) og berettiget interesse kan benyttes som grunnlag – avhengig av hva og hvordan opplysningene behandles. Dette følger av GDPR.
  • Håper det er mer klart nå.   
Samtykkeboks

Nytt fra EUs personvernråd

EUs personvernråd (EDPB) som består av representanter fra datatilsynene i EU (og observatører fra EFTA-landene) kommer stadig med veiledninger og uttalelser. Disse er samlet her, og nytt fra Personvernrådet den siste tiden er:

Veileder om pseudonymisering. Det er kommet veiledning på pseudonymisering, som er på høring inntil 28. februar 2025. Pseudonymisering er en beskyttelse som kan være hensiktsmessig og effektiv for å oppfylle forpliktelsene knyttet til personvern, og i veilederen klargjøres det definisjonen og bruken av pseudonymisering og pseudonymiserte data, samt fordelene ved pseudonymisering.

Selv om pseudonymiserte opplysninger er å anse som personopplysninger, kan pseudonymisering redusere risiko og gjøre det enklere å bruke berettiget interesse som behandlingsgrunnlag, så lenge alle andre krav i GDPR er oppfylt. På samme måte kan pseudonymisering bidra til å sikre kompatibilitet med det opprinnelige formålet i tilfelle behandling skal skje etter nytt formål.

Veilederen gir også innspill til hvordan pseudonymisering kan hjelpe organisasjoner med å oppfylle sine forpliktelser knyttet til implementering av personvernprinsippene etter GDPR artikkel 5, innebygd personvern og personvern som standard (GDPR artikkel 25) og sikkerhetstiltak (GDPR artikkel 32). I tilknytning til sistnevnte analyserer veilederen tekniske tiltak og beskyttelser som kan brukes ved pseudonymisering for å sikre konfidensialitet og forhindre uautorisert identifisering av enkeltpersoner.

Mer om veilederen kommer når høringen er ferdig, slik at alle endringer som kommer inn gjennom høringen er med.

Forholdet mellom konkurranserett og personvern er tema i uttalelse fra Personvernrådet hvor det forklares hvordan personvern- og konkurranselovgivning skal samhandle, og det foreslås tiltak for å integrere markeds- og konkurransefaktorer i personvernet, samt for at personvernregler skal vurderes i konkurranseanalyser. Det gis anbefalinger for å forbedre samarbeidet mellom reguleringsmyndigheter – for eksempel bør myndighetene vurdere å opprette et enkelt kontaktpunkt for å håndtere koordineringen med andre tilsynsmyndigheter. Det skal gi bedre forståelsen av forholdet mellom begreper som brukes i personvern- og konkurranselovgivningen, for å styrke myndighetenes evne til å ta hensyn til den økonomiske konteksten, samt konkurransemyndighetenes evne til å inkludere potensielt relevante personvernhensyn i sitt arbeid og tilsyn.

Rapport om retten til innsyn. Personvernrådet har også publiserer en rapport om hvordan behandlingsansvarlige etterlever retten til innsyn etter GDPR artikkel 15. Rapporten oppsummerer resultatene fra en koordinert europeisk kontroll i 2024 overfor 1.185 behandlingsansvarlige og identifiserer utfordringer og gir anbefalinger for å hjelpe behandlingsansvarlige med å oppfylle sine forpliktelser knyttet til retten til innsyn. 

Rapporten viser syv hovedutfordringer, inkludert manglende interne rutiner for behandling av innsynsbegjæringer og overdreven bruk av unntak for å avslå slike forespørsler. Barriere som formelle krav eller krav om unødvendig identifikasjon ble også identifisert som utfordringer. Rapporten gir anbefalinger for å adressere disse utfordringene. 

EUs datatilsyn (EDPS) har også laget en rapport om retten til innsyn i EU-institusjonene.

I 2025 vil Personvernrådets neste koordinerte aksjon fokusere på gjennomføringen av retten til sletting. 

Effektiv kontroll på personvern ved komplekse algoritmer ved kunstig intelligens er et prosjekt for å forstå og vurdere skjevheter og implementering av registrertes rettigheter i AI-sammenheng. Spesielt kan det hjelpe datatilsyn ved å klargjøre metoder eller verktøy for skjevhetsvurdering og implementering av registrertes rettigheter. Nå foreligger det rapporter fra prosjektet.

Litt kortere nyheter

Kontroll med personvern og informasjonssikkerhet i skolene. Datatilsynet har satt i gang med et større tilsyn av 50 kommuners ivaretakelse av personvern og personopplysningssikkerhet i digitale læringsverktøy for opplæringsformål. Tilsynet innebærer først brevkontroll, der kommunene skal svare på en rekke spørsmål om bruk av digitale verktøy og etterlevelse av plikter etter personvernregelverket. Så vil tilsynet på bakgrunn av svarene som mottas gjennomføre et mindre antall stedlige tilsyn.

EU-kommisjonens bruk av Microsoft 365 bekymrer kommisjonens ansatte også. EU-kommisjonen er som kjent pålagt av EUs datatilsyn (EDPS) pålagt å sørge for at kommisjonens bruk av Microsoft 365 er i overensstemmelse med personvernlovgivningen. Nå kommer det frem at selv ansatte i EU-kommisjonen er bekymret over kommisjonens bruk og avhengighet av Microsoft. Men kommisjonen erkjenner at det ikke er noen reelle alternative europeiske leverandører, og siden høyt graderte dokumenter ikke kan brukes i Microsofts løsninger fører det til lavere gradering av dokumenter enn regelverket tilsier for å kunne bruke Microsofts løsninger.

Veiledere for sikker overføring av data. Det danske datatilsynet har laget to veiledere for sikker overføring av data. Den ene gjelder sikker overføring generelt, og den andre gjelder sikker overføring med validert avsender, mottaker og innhold.

Er registrertes rettigheter relevante ved trening av AI? Dette er tema i en artikkel, og som ikke er helt ukontroversiell i personvernkretser. Men meget interessante betraktninger i grenselandet mellom personvern og kunstig intelligens.

Råd fra Datatilsynet om bruk av kunstig intelligens i Personvernbloggen. Nyttige punkter å ta med seg før man drar i gang med nyttige løsninger som dukker opp. Alltid nyttig å vurdere, tenke og så handle (eller ikke).

Microsofts løsninger vil overholde AI Act. Microsoft har for øvrig bekreftet at de vil utvikle sine løsninger i overholdelse med AI Act. I den forbindelse har de gjort en del tiltak, og vil oppdatere sine kontrakter for å begrense hvilken bruk som kan gjøres med Microsofts AI-løsninger.

Totale bøter under GDPR i 2024 var EUR 1,2 mrd. Det tilsvarer ca. NOK 14.172 mrd., og er første gang det er en årlig nedgang i bøter siden GDPR trådte i kraft. Boten som ble gitt til Meta i 2023 alene tilsvarer alle bøtene i 2024. Se mer i DLA Pipers rapport om GDPR bøter og databrudd, som oversikten over bøter per land nedenfor er hentet fra.

Bot for tilgjengeliggjøring av nettleser-plugin. Det franske datatilsynet (CNIL) har gitt en leverandør av en plugin (funksjonelt tillegg) til nettleser bot på EUR 240.000 siden pluginen gjordet det mulig å skrape data fra LinkedIn av brukere som har begrenset sin synlighet på plattformen. Greit å huske at selv bruk av løsninger som er allment tilgjengelig kan være ulovlig, og at selv om opplysninger er på internett eller offentlig, så betyr ikke det at det er lovlig å bruke opplysningene.

Databrudd medførte lekkasje av lokasjonsdata for bl.a. 146.000 nordmenn. Denne lekkasjen er en påminnelse om hvor mye og hvor sensitive opplysninger enkelte virksomheter samler om oss, og hvor sårbare de opplysningene er, siden vi kan ikke stole på at slike virksomheter sikrer dataene godt nok. Blir spennende om Datatilsynet følger opp saken og hva konsekvensene blir for virksomheten.  

Bør man ha sanksjoner knyttet til SLA-brudd, spør Kirill Miazine i dette innlegget. Bruk heller tiden på å forstå tjenesten, stille riktige spørsmål ved egenskapene av tjenesten, og ikke spille ut to tall, hvor det ene er oppetidsprosenten og det andre prosentandelen av prisen som skal kunne brukes til å sanksjonere brudd på tilgjengelighet, råder han.

Og til slutt

De har litt annet forhold til offentlighet i Storbritannia, også når det kommer til datatilsynet over der – Information Commissioner’s Office (ICO). I en sak hvor en ansatt i et forsikringsselskap skal ha aksessert personopplysninger går ICO ut på sine nettsider med mannens fulle navn, by og alder og at mannen ble dømt for ulovlig tilgang til opplysningene med seks måneders fengsel og 150 timer samfunnstjeneste. Jeg har ikke tatt med link til ICOs artikkel her for å ikke spre opplysningene ytterligere. Det skal da ikke mange klikkene til før man også finner fullt bilde av mannen (her anonymisert) i media:

Heldigvis ganske utenkelig opptreden av vårt eget Datatilsyn ❤️

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.

Kurs grunnleggende GDPR