Oppdatering personvern, GDPR og teknologirett mv. 02.2025

Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Innhold denne gangen er bl.a.: Overføring av personopplysninger til USA – the saga continues…, Datatilsynet informerer om situasjonen for overføring til USA, Microsofts EU Data Boundary prosjekt er ferdigstilt, overtredelsesgebyr (bøter) skal beregnes av et konserns totale omsetning, kurs i GDPR og personvern med nye datoer, er bruk av mobilkamera brudd på personvernregelverket? Hva er «relevant informasjon» i algoritmer ved automatisert beslutning? EUs personvernråd kan instruere nasjonale tilsynsmyndigheter, første del av AI Act er i kraft i EU, gjennomføring av Digital Services Act og annet.

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer: https://www.linkedin.com/in/sandtro/.  

Overføring av personopplysninger til USA – the saga continues…

Bildet er skapt av kunstig intelligens, men muligens ikke så langt fra sannheten.

Vi er vel nå i Sesong 3 episode 2 av serien om overføring av personopplysninger til USA. Jeg uttaler meg om dette sammen med Tobias Judin fra Datatilsynet i artikkel i Kode24.

Her er en oppsummering om situasjonen akkurat nå for overføring til USA:

Grunnlag for overføring av personopplysninger til USA er bl.a. Data Privacy Framework (DPF) og EUs standard kontraktsbestemmelser (SCC). At personopplysninger for EU-borgere i USA behandles etter GDPR er en forutsetning for overføring av personopplysninger til USA og bruk av amerikanske selskaper i Europa som databehandlere, og skal sikres bl.a. av presidentordre (Executive Orders eller EO) gitt av Biden.

Trump har varslet at han vil reversere presidentordrer gitt av Biden, men den sentrale presidentordren fra Biden for DPF, EO14086, er det ikke gjort noe med foreløpig. Endrer Trump denne presidentordren eller gjør andre tiltak som gjør at DPF bortfaller, vil det da ha betydning for over 2.800 sertifiserte bedrifter, og da noen av de mest sentrale virksomhetene som leverer tjenester til Europa, som Microsoft, Google og Amazon. Det er estimert at over 90 % av europeiske selskap overfører data til USA

Det såkalte «Project 2025» som synes å være Trumps veikart, nevner ikke EO14086, men så uberegnelig som Trump er, og som er i en åpenbar konflikt med Europa (og resten verden), er det ikke utenkelig at det vil komme en presidentordre som setter DPF i fare.

Trump har bl.a. utstedt presidentordren «Ensuring Accountability for All Agencies» den 18. februar 2025 som skal sikre enhetlig reguleringspolitikk på tvers av føderale etater, inkludert FTC og minst 17 andre uavhengige tilsynsorganer. Denne krever bl.a. at alle føderale etater sender inn foreslåtte og endelige betydelige reguleringshandlinger for presidentens gjennomgang før de publiseres i «Federal Register». En potensiell bekymring med presidentordren er at den kan begrense FTCs evne til å være tilstrekkelig uavhengig til å håndheve DPFs personvernprinsipper i samsvar med GDPR artikkel 44(2)(b).

Trump har også fjernet medlemmene utnevnt av det Demokratiske parti i «Privacy and Civil Liberties Oversight Board» (PCLOB) som er et tilsynsorgan/ankeinstans for utlevering av data fra EU til USA. Da er ikke rådet er tilstrekkelig bemannet, og tidligere styremedlem i PCLOP mener da at det ikke finnes noen uavhengig kontroll på etterretningsaktiviteter i USA. PCLOBs nettsider er for øvrig ikke tilgjengelige, som sier kanskje sitt.

Trump har tidligere uttalt at han er kritisk til GDPR. Se også artikkel fra Center for Democracy & Technology for virkningene, analyse fra IAPP og grundig artikkel i Euraktiv.

EU-kommisjonen er nå under press fra politikere i EU, som opplever forholdet til USA som utrygt og vil verne om EU-borgeres data.

Dette og andre ting Trump gjør kan føre til at EU-kommisjonen mener at DPF ikke er trygt og ikke er tilstrekkelig grunnlag for overføring til USA. Da må i tilfelle bl.a. SCC benyttes som grunnlag for overføring, men dette er også et usikkert grunnlag om det ikke foreligger tilstrekkelige sikkerhetstiltak (og det er disse sikkerhetstiltakene som Trump også kan rokke ved). Det kan etableres nye løsninger for sikring, som Microsofts Data Boundary, se neste nyhet, men det er uklart hvor sikre disse vil være for overvåkning fra USA.

EU-kommisjonen kan altså endre vurderingen av DPF eller det kan komme en ny dom i EU-domstolen (tilsvarende som tidligere Schrems-dommer). For sistnevnte så kommer det signaler om at det er søksmål på gang, også i form av gruppesøksmål. I tillegg har den enkelte virksomhet som overfører personopplysninger, enten selv eller ved bruk av databehandler, en selvstendig plikt til å vurdere risikoen med slik overføring fortløpende. Og finner man at risikoen ikke er akseptabel, kan overføring ikke skje.

Så hva skal norske virksomheter gjøre?  Det råd som nå gis er å sitte stille, men følge situasjonen nøye og vurdere alternativer til amerikanske leverandører. Det kan eventuelt oppdateres risikovurderinger om det er behov for det, og det bør sees på alternative leverandører og ekstra sikkerhetstiltak dersom amerikanske leverandører skal benyttes. Slike tiltak kan være kryptering, pseudonymisering, minimering av data som overføres mv., men er tiltak som bør vurderes innført uavhengig av hva som skjer i USA, og da spesielt om man skal bruke SCC som overføringsgrunnlag.

Datatilsynet informerer om situasjonen for overføring til USA

Datatilsynet har i kjølvannet av den usikkerhet som nå råder pga. Trump gitt informasjon om situasjonen for overføring av personopplysninger til USA.

Tilsynet presiserer at «Privacy and Civil Liberties Oversight Board» (PCLOB) ikke er beslutningsdyktig siden Trump har avsatt flere av styremedlemmene i PCLOB, og det gjenstår kun ett styremedlem. Men Datatilsynet forstår det slik at intensjonen er å utpeke nye styremedlemmer i PCLOB, og at PCLOB kan utføre enkelte av oppgavene sine i mellomtiden selv om organet ikke er fulltallig. Derfor trenger ikke nødvendigvis en utskiftning av styremedlemmer å være et problem. Dette blir først en utfordring dersom det trekker ut i veldig lang tid å få på plass nye styremedlemmer.

Adekvansbeslutningen (dvs. DPF) for USA gjelder også fortsatt, og det gjør også de amerikanske lovene som skal sikre personopplysningene for EØS-borgere. Adekvansbeslutning fortsetter å gjelde frem til den eventuelt blir opphevet av EU-kommisjonen eller EU-domstolen, og eventuelle endringer i USA fører ikke automatisk til at adekvansbeslutningen faller bort.

MEN: Datatilsynet regner med at reglene for overføring av personopplysninger til USA før eller siden vil utfordres i EU-domstolen, og situasjonen i USA nå har også bidratt til usikkerhet.

Man må derfor ha et bevisst forhold til dette når det gjøres anskaffelser av amerikanske tjenester, og man bør ha en exit-strategi dersom det ikke lenger kan overføres personopplysninger til USA eller benyttes amerikanske skytjenester på europeisk jord.

OG: Dersom en adekvansbeslutning (som DPF) oppheves, vil det mest sannsynlig ikke bli en overgangsperiode. Da kan det bli forbudt umiddelbart å overføre personopplysninger til USA, og trolig også å bruke amerikanske leverandører i Europa. Da bør alternativene være klare.  

Det danske datatilsynet går noe lenger enn det norske, og advarer nå virksomheter om å stole på amerikanske skytjenester pga. tiltak fra Trump kan gjøre og mener at virksomhetene må ha alternativer på plass.

Microsofts EU Data Boundary prosjekt er ferdigstilt

Som en følge av Schrems II-dommen og frykten for amerikansk overvåkning av data om europeiske borgere, lanserte Microsoft «EU Data Boundary» (EUDB) i 2022.

EUDB skal gjøre at data i Microsofts skyløsninger behandles kun innenfor EØS, og prosjektet er gjennomført i tre faser:

  • Fase 1 (januar 2023): Lagring og behandling av data for Microsoft 365, Azure, Power Platform og Dynamics 365 innenfor EØS.
  • Fase 2 (januar 2024): EUDB ble utvidet til å inkludere pseudonymiserte personopplysninger.
  • Fase 3 (februar 2025): Support ytes innenfor EØS.

Nå er siste fase gjennomført, og det som ble sett på det mest problematiske ved at support – og dermed tilgang til data – skulle leveres fra land utenfor EØS, som USA, skal være på plass.

Så er det spørsmålet om EUDB er tilstrekkelig for å sikre data for EU-borgere. Det er fremdeles en usikkerhet knyttet til om leverandører med morselskap i USA er underlagt amerikansk overvåkningslovgivning, og må dermed utlevere data til amerikanske myndigheter om de pålegges dette.

Så får vi se om Microsoft fjerner retten de har forbeholdt seg til å overføre data til land utenfor EØS i sine databehandleravtaler, og tar ut av avtalene at de har rett til å overlevere data til myndigheter etter lov eller etter myndighetspålegg. Først da viser de at de «put their money where their mouth is», som de sier «over there».

Overtredelsesgebyr (bøter) skal beregnes av et konserns totale omsetning

EU-domstolen har nå fastslått at overtredelsesgebyr skal fastslås på grunnlag av et konserns totale omsetning. Dette var en veldig lite overraskende dom, siden dette har vært praksis stort sett siden GDPR kom og som følger rimelig klart av GDPR. Men nå har vi det altså svart på hvitt med EU-domstolens stempel.

Bakgrunnen for saken var at et dansk selskap ble tiltalt for brudd på GDPR knyttet til håndtering av personopplysninger om tidligere kunder. Selskapet er en del av en større konsernstruktur, og spørsmålet var om bøtene skulle beregnes basert på selskapets egen omsetning eller konsernets samlede omsetning. Siden Danmark ikke har overtredelsesgebyr, men må ilegge strafferettslige sanksjoner, kan det forklare noe om hvorfor dette ble en sak for domstolen.

Etter GDPR artikkel 83(4) til (6) er størrelsen på et overtredelsesgebyr til et foretak avhengig av foretakets «samlede globale årsomsetningen i forutgående regnskapsår». Spørsmålet for domstolen var da hva et «foretak» er når man skal vurdere gebyrets størrelse.

Domstolen definerte et foretak generelt som et begrep for anvendelse av konkurranseregler og mer spesifikt som en økonomisk enhet, uavhengig av om det juridisk består av flere juridiske enheter. Dvs. at det er et konsern. Dette var for så vidt bekreftet til tidligere praksis fra domstolen, om enn indirekte. Se også GDPR artikkel 4 nr. 18 og 19 og fortalepunkt 37.

EU-domstolen presiserte at gebyret skal være effektivt og ha tilstrekkelig funksjon, bør dette omfatte den samlede forretningsenhet. Forståelsen av «foretak» går dermed mer på økonomisk enhet snarere enn juridisk struktur og vurderer de organisatoriske, økonomiske og juridiske båndene mellom enhetene som utgjør foretaket. Dette kan også ha betydning i andre saker. 

Kurs i GDPR og personvern – NYE DATOER

Jeg holdt kurs i GDPR i 2024, og starter nå opp 2025 med kurs i grunnleggende krav etter GDPR og hvordan kravene skal overholdes. Det vil bli gjennomgått og gitt dokumentasjon i kurset vil være dekkende for det som normalt kreves av en liten/mellomstor virksomhet.

Kursene vil bli avholdt:

  • Torsdag 6. mars 2025
  • Tirsdag 18. mars 2025

For lesere av nyhetsbrevet som melder seg på, så kan man melde seg på kurset 6. mars 2025 til kun kr 3.000. Det er da tre timer kurs (eller så lenge man vil være med) og dekkende dokumentasjon for GDPR for en mindre virksomhet.

Les mer og meld på her.

Er bruk av mobilkamera brudd på personvernregelverket?

Personvernnemda har avgjort en sak som gjaldt bruk av kameraovervåking og om bruk av mobilkamera i en nabokonflikt, og hvor også Datatilsynets veiledningsplikt og forhåndsgodkjenning var tema.

Saken gjaldt en person som ble filmet av nabo, også utenfor naboens private område. Vedkommende klaget inn saken for Datatilsynet, og i denne forbindelse ba om veiledning på om det er nødvendig med skilting ved kameraovervåking av egen andel i borettslag siden vedkommende hadde selv ønsket å sette opp kameraovervåking for å dokumentere naboens filming. Vedkommende ba også om å få en redegjørelse for rammene for kameraovervåking av eiendommen som kunne legges frem for borettslaget, hvilket tilsynet ikke ga.

Personvernnemda fant at Datatilsynet hadde gitt tilstrekkelig veiledning, bl.a. ved å vise til sin veileder for kameraovervåkning på sine nettsider. Tilsynet presiserte også at Datatilsynet har ikke som del av sine oppgaver å gi forhåndsgodkjenning av kameraovervåkning, se GDPR artikkel 57.

Naboen hadde filmet med håndholdt mobilkamera, og det var da spørsmål om sporadiske bilder og video som er tatt med håndholdt mobilkamera (som da ikke er «kameraovervåkning», siden kameraet er ikke fastmontert) omfattes av unntaket for «rent personlige eller familiemessige aktiviteter» i GDPR artikkel 2(2)(c) og personopplysningsloven § 2. Nemda viste her til at dette unntaket tolkes strengt, men i dette tilfelle var ikke opptakene lagt ut på internett eller delt offentlig. Opptakene var bare tatt og brukt i sammenheng med konflikten med naboene i samme borettslag. Filmingen ble derfor ansett å være til personlig bruk, og filmingen var ikke brudd på personvernregelverket.

Se oversikt over avgjørelser i Personvernnemda her.

Hva er «relevant informasjon» i algoritmer ved automatisert beslutning?

I en nylig dom fra EU-domstolen er det klarlagt mer hvilken rett en registrert har til å få informasjon om algoritmer når disse ligger til grunn for avgjørelser som fattes om den registrerte.

I denne saken så var bakgrunnen en kredittsjekk for mobilabonnement (på 10 euro!) ble avslått basert på en automatisk generert kredittscore. Personen som fikk avslag på mobilabonnementet kreve innsyn i og sletting av kredittopplysningene fra selskapet som foretok kredittscoren. Dette mye fordi scoringen var feil, og personen var kredittverdig. Det ble derfor spørsmål om hva det kan kreves innsyn i av logikken (algoritmen) som ligger til grunn for den automatiske behandlingen.

GDPR artikkel 15(1) gir den som personopplysninger knytter seg til (den registrerte) rett til å få informasjon om personopplysninger som behandles om vedkommende. Bl.a. kan vedkommende kreve å få informasjon om følgende etter bokstav h:

… forekomsten av automatiserte avgjørelser, herunder profilering, (…) , og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

Domstolen tolket GDPR artikkel 15(1)(h) vidt og slo fast at den omfatter all relevant informasjon om prosedyren og prinsippene for bruk av automatiserte metoder for behandling av personopplysninger med sikte på å oppnå et spesifikt resultat. Informasjonen skal etter GDPR artikkel 12(1) være: «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk» som setter krav til informasjonen.

Domstolen slo derfor fast at den registrerte hadde rett til å få relevant informasjon (i den engelske versjonen av GDPR står det «meaningful information») om logikken bak automatisert beslutningstaking, og dette må innebære rett til forklaring av den faktiske prosedyren og prinsippene som er brukt for å oppnå et spesifikt resultat, slik som kredittrating. Informasjonen må altså sette vedkommende i stand til å vurdere om algoritmen har fattet en korrekt avgjørelse slik at avgjørelsen kan bestrides og vedkommende kan benytte seg av sine rettigheter.

Virksomheten kan derfor ikke bare oppgi algoritmen eller gi en detaljert beskrivelse av trinnene i den automatiserte beslutningsprosessen, men må forklare på en enkel og forståelig måte rasjonale bak og kriteriene for den automatiserte beslutningen. Så må det informeres om logikken i algoritmen knyttet til beslutningen, men ikke en komplisert forklaring av algoritmen eller vise hele algoritmen. Og det på en måte slik at personen kan forstå hvilke av dennes personopplysninger som er benyttet i beslutningen. Ganske strengt altså.

En mulig måte å oppfylle dette kravet på er å informere den registrerte om i hvilken grad endringer i de vurderte personopplysningene ville ha ført til et annet resultat, spesielt om det er et stort avvik mellom formålet med beslutningen og resultatet (som her for avslag på kreditt på 10 euro).  Dette kan altså være en måte å kunne informere på en god måte, og samtidig ikke oppgi for mye av innholdet i algoritmen.

Det var også et spørsmål om det skal gis informasjon som inneholder opplysninger om tredjeparter, herunder forretningshemmeligheter, og her mente domstolen at det må være en balanse mellom den registrertes rett til fullstendig og omfattende innsyn i egne personopplysninger, og rettighetene til tredjeparter. Om det kan foreligge slik informasjon, skal den behandlingsansvarlig gi den påstått beskyttede informasjonen til den kompetente tilsynsmyndigheten eller en domstol, som må foreta en balansering av de berørte rettighetene og interessene. Behandlingsansvarlig kan derfor ikke som utgangspunkt nekte tilgang til opplysningene på slikt grunnlag.

Denne avgjørelsen kan da få betydning for bruk av algoritmer, og her også for AI, som under AI Act artikkel 86.

EUs personvernråd kan instruere nasjonale tilsynsmyndigheter

En avgjørelse fra EU-domstolen vil kunne få betydning for håndhevelsen av GDPR knyttet til de store sosiale medieplattformene. Saken kommer etter at Max Schrems’ organisasjon, NOYB, klagde Meta inn for brudd på GDPR. Det følger da av dommen at EUs personvernråd (EDBP) kan instruere nasjonale tilsynsmyndigheter (som i denne saken Irlands datatilsyn) til å utvide undersøkelser av selskapers behandling av personopplysninger.

Dette vil da styrke EDPBs rolle som den sentrale myndigheten for ensartet håndhevelse av GDPR i EØS for tidligere har nasjonale tilsynsmyndigheter hatt en viss frihet til å avgjøre omfanget av sine egne undersøkelser, men etter denne dommen må tilsynsmyndighetene følge bindende vedtak fra EDPB. Dommen kan dermed føre til mer koordinert og virkningsfull håndheving av GDPR.

Denne saken gjaldt Meta Platforms Ireland og WhatsApp Ireland, og gjennom dommen gis det et signal om at store teknologiselskaper ikke kan forvente mildere behandling fra nasjonale tilsynsmyndigheter, og at dette kan føre til mer omfattende og grundige undersøkelser av selskapenes behandling av personopplysninger.

For enkeltpersoner og organisasjoner kan dommen bety at det er sannsynlighet for at klager faktisk fører til grundige saksbehandling og tiltak fra tilsynsmyndighetene, som igjen kan føre til strengere håndhevelse av regelverket. Det kan også føre til at EDPB får en mer aktiv rolle i å pålegge utvidede undersøkelser av store selskaper som Meta, kan dermed føre til økt press på overføringer av personopplysninger mellom EU og USA, se ovenfor.

Første del av AI Act er i kraft i EU

Den 2. februar trådte første del av AI Act i kraft i EU. Dette betyr at bruk av AI på de måter som er listet opp i artikkel 5 i AI Act er forbudt, siden disse anses som uakseptable pga. deres potensielle risiko for grunnleggende verdier og rettigheter.

Bruken som er forbudt inkluderer ansiktsgjenkjenning bygget ved å hente bilder fra nettet eller via sikkerhetsopptak, biometriske systemer brukt for å fastslå en persons identitet, manipulerende teknikker for å påvirke atferd, sosial poenggivning, programvare for kriminalitetsforutsigelse, teknologi for emosjonell deteksjon i skoler og på arbeidsplassen, samt systemer som utnytter en persons alder, funksjonsnedsettelse eller sosioøkonomiske situasjon for å påvirke atferd. Det er noen unntak fra forbudet, men det er snevert og må være for å beskytte en betydelig offentlig interesse.

EU-kommisjonen har gitt en veileder på hvilken bruk av AI som nå er forbudt, en veileder på hva som skal anses å være AI-system, og en informasjonspakke for startups og små og mellomstore virksomheter som skal starte med AI.

Gjennomføring av Digital Services Act

Gjennomføringen av Digital Services Act (DSA) er påstartet av regjeringen og vil kunne bidra til å gi barn tryggere rammer på internett, blant annet med forbud mot adferdsbasert markedsføring mot mindreårige. Regelverket er allerede innført i EU, og skal da implementeres i norsk lovgivning.

Nasjonal kommunikasjonsmyndighet (NKOM) blir nasjonal koordinator under regelverket, mens Datatilsynet skal (selvsagt) ha ansvar for personvernet. Datatilsynet skal føre tilsyn med områder som atferdsbasert markedsføring, profilering av brukere og behandling av særlige kategorier personopplysninger i loven som innebærer tilsyn med områder som atferdsbasert markedsføring, profilering av brukere og behandling av særlige kategorier personopplysninger i loven. Medietilsynet og Forbrukertilsynet skal holde tilsyn på sine fagområder.

Hovedpunktene i DSA er:

  • Forbud mot adferdsbasert, eller målrettet, markedsføring mot mindreårige. Det legges særlig vekt på å beskytte barn og unge mot skadelig innhold og å forebygge at barn utvikler avhengighet. Dette har også vært sentralt i Norges innspill til DSA i 2022.
  • Forbudt å vise adferdsbasert reklame basert på noens sensitive personopplysninger, f.eks. opplysninger om legning, etnisitet og religion.
  • Enklere å få fjernet ulovlig innhold, produkter og tjenester på nett.
  • Regler om at reklame skal være gjenkjennelig, og at det skal opplyses om hvorfor man blir vist akkurat den reklamen.
  • Forbud mot såkalt manipulativt design, som skal hindre at plattformer gjennom utforming av nettsider «lurer» brukerne til å samtykke til noe de egentlig ikke vil.
  • De største plattformene pålegges å gjøre risikovurderinger for spredning av ulovlig innhold og for grunnleggende rettigheter som personvern og ytringsfrihet, herunder informasjonsfrihet og pressefrihet.
  • Plattformene skal også gjøre risikovurderinger knyttet til valgmanipulasjon, spredning av desinformasjon og av brukernes fysiske og psykiske helse.

Øvrige nyheter

Kunstig intelligens utfordrer personvernet mener mange ifølge Personvernundersøkelsen 2024, men mange er samtidig positive til bruk av kunstig intelligens i mange sammenhenger som stille medisinske diagnoser og foreslå behandling (se artikkel i Forskning.no). De fleste mener at myndighetene bør ta en rolle i å regulere kunstig intelligens, som da gjennom AI Act ovenfor. De fleste EU-borgere er også positive til bruk av AI i arbeidssammenheng. Men samtidig er folk mer positive til AI desto mindre de kan om det, viser forskning. Se mer i Personvernbloggen fra Datatilsynet om Personvernundersøkelsen.

Flere datatilsyn starter undersøkelser av Deepseek, den nye kinesiske AI-løsningen. Dette gjelder bl.a. det irske, franske og italienske datatilsynet, og gjelder om tjenesten skraper data på nettet og hvor data ellers kommer fra, hvordan brukere er blitt informert, formål og behandlingsgrunnlag, og hvor data overføres, spesielt om det overføres til Kina. Pga. manglende informasjon fra Deepseek valgte det italienske datatilsynet å pålegge Deepseek å stenge for bruk i Italia.

Ny veiledning om informasjonskapsler kommer fra Datatilsynet. Det kan være nyttig med mer veiledning på informasjonskapsler, selv om det trolig ikke gjør situasjonen noe bedre: Det må samtykke til for alle cookies foruten de som ikke er strengt nødvendig. Det kommer man ikke utenom. Men det kommer kanskje veiledning på hvordan samtykke kan innhentes og informasjon gjøres klarere. Se også artikkel i Aftenposten og i Forskning.no, samt Vebjørn Søndersrøds artikkel i Computerworld, om cookies mens vi venter på veiledningen. I sistnevnte presiseres det at Datatilsynet nå får et klarere mandat til å være tilsyn for cookiereglene, og at vi kan – i motsetning til tidligere – forvente at kravet til samtykke nå faktisk blir håndhevet.

Avgjørelse fra det svenske datatilsynet på utforming av cookie-samtykke. Det svenske datatilsynet, IMY, ga en reprimande («pekefinger») til et spillselskap for at deres cookie-samtykke gjorde det vanskelig å nekte samtykke for cookies. Klagen på selskapet var gitt av NYOP i deres cookie-prosjekt. Ifølge IMY var banneret villedende, ved at samtykke måtte nektes det «andre laget», dvs. man måtte gå til neste steg i samtykkeboksen. Utformingen av samtykkeboksen ved farger (grønn knapp for å godta), kontrast og lenker var også forvirrende, og man kunne bare trekke samtykket i link i bunnteksten på nettsiden. Samtykket ble derfor ansett å ikke være gyldig.  

Standarder for sikker overføring av data er utgitt av det danske datatilsynet. Ifølge tilsynet beskriver standardene ulike metoder for å beskytte data, inkludert hvordan det er nødvendig å forstå risikoene i de enkelte delene av overføringen før man kan vurdere om datas integritet og konfidensialitet er tilstrekkelig beskyttet. Det kommes også inn på hvor den behandlingsansvarliges ansvar stopper i en dataoverføring, og inneholder henvisninger til det danske Datatilsynets praksis på området.

Organisasjonen IAPP melder at personvernlovgivning er i kraft i 144 land, og har en oversikt over lovgivningen i det enkelte land.

Uttalelse om alderskontroll er kommet fra EUs personvernråd (EDPB). I uttalelsen listes det opp ti prinsipper det må tas høyde for å overholde behandling av personopplysninger når alder må avklares.

EU-kommisjonen skroter forslaget til ePrivacy-forordningen fra sitt arbeidsprogram for 2025. Dette omfatter da den foreslåtte regulering av tredjepartscookies og kommer etter at EU-institusjonene ikke har gjort fremgang i forhandlingene om reguleringen de siste årene. Da er det kanskje spikeren i kisten for ePrivacy-forordningen.

Forslag til ny lov om arkiv (arkivloven) er fremlagt av regjeringen. I denne er selvsagt personvern sentralt behandlet siden arkivloven skal sikre et supplerende behandlingsgrunnlag etter GDPR artikkel 6(1)(c) og (e), og dermed gi et lovgrunnlag for behandling av personopplysninger til arkivformål.

Forslag til lov om behandling av personopplysninger for å forebygge, avdekke og reagere mot seksuelle overgrep, trakassering og vold mv. i idretten er også fremlagt av regjeringen. Det blir her foreslått å gi adgang til å behandle særlige kategorier av personopplysninger og personopplysninger om straffedommer og lovovertredelser når det er nødvendig for å forebygge, avdekke eller reagere mot seksuelle overgrep, trakassering eller vold mv. i idretten. Det er også bestemmelser deling av personopplysninger innad i idretten, og for å ivareta hensynet til informasjonssikkerhet foreslås det også bestemmelser om tilgangsstyring og taushetsplikt. 

Veileder for styring av IKT-tredjepartsrisiko i finansnæringen er kommet fra Finans Norge med formål å hjelpe virksomheter i finansnæringen med å styre tredjepartsrisiko på en systematisk og effektiv måte, i tråd med kravene i Digital Operational Resilience Act (DORA). DORA trådte i kraft i EU den 17. januar 2025, og det forventes at regelverket trer i kraft i Norge i løpet av første halvdel av 2025.

Veileder for personvernkonsekvensvurderinger (DPIA) er kommet fra det svenske datatilsynet, IMY. Formålet med veiledningen skal være å forenkle arbeidet med konsekvensvurderinger og redusere usikkerhet rundt hvordan de ulike trinnene gjennomføres og hvordan regelverket skal forstås. Veilederen er hovedsakelig utarbeidet for de som har lite eller ingen erfaring med konsekvensvurderinger, og IMY har derfor laget en prosess i ti steg som kan leses separat eller sammen med maler fra IMY.

Ikke DPIA for all bruk av AI. I veilederen fra IMY ovenfor så fremkommer det at IMY mener ikke at AI uten videre skal anses å være «innovativ bruk» og dermed omfattes av kravet til DPIA. Det står i veilederen (oversatt til norsk):

Et generativt AI-system som har blitt trent på store mengder data og hvis atferd ikke har blitt analysert i større grad, vil sannsynligvis omfattes av kriteriet «bruk av ny teknologi». Et system som benytter AI-teknikker som er kjente, godt utprøvde og som har blitt analysert tidligere, kan derimot falle utenfor dette kriteriet.

Det danske datatilsynet advarer mot bruk av Microsoft Copilot (men bruker M365 da trolig selv, hvor alle data som er grunnlag for Copilot behandles…).

Og Copilot fikk tilgang til NTNU-ansattes sensitive opplysninger gjennom Copilot som del av nettleseren Edge. Avviket er meldt til Datatilsynet. Det er altså viktig å sjekke tilganger for alle deler av Copilot før den benyttes.

EU-kommisjonen trekker forslag til regulering av ansvar for skader forårsaket av kunstig intelligens, KI-ansvarsdirektivet. Det er riktignok delte meninger om dette er positivt eller negativt.

Rettslige utfordringer ved bruk av kunstig intelligens i helsesektoren skriver Lana Bubalo om i denne artikkelen som gir en god gjennomgang av regelverket og hvilke rettslige problemer som kan oppstå ved bruk av KI innenfor helsesektoren. Se gode eksempler på praktiske saker i fotnotene.  

Bot etter åpenhetsloven omgjort. Som tidligere meldt i nyhetsbrevet fikk kleskjeden Lager 157 den første boten (overtredelsesgebyret) for brudd på åpenhetsloven av Forbrukertilsynet. Nå har Markedsrådet omgjort boten og ifølge avgjørelsen mener rådet at «gjentatte overtredelser» må bety at det må være mer enn to brudd for at det skal kunne gis overtredelsesgebyr. Siden overtredelsesgebyret er en straff, mente Markedsrådet at loven må tolkes snevert, dvs. strengt, for om det skal gis gebyr, og at gebyr er ment å ilegges når Forbrukertilsynet kan håndheve reglene på annen måte eller det foreligger gjentatte brudd på lovens § 6. Forbrukertilsynet har imidlertid varslet flere selskaper om overtredelse av åpenhetsloven, men avgjørelsen fra Markedsrådet får da virkning på plikten til å redegjøre for aktsomhetsvurderinger under åpenhetsloven.

Utredning av bruk av digitale virkemidler for å følge opp seriøsitetsbestemmelser i offentlige anskaffelser knyttet til GDPR. Arbeids- og inkluderingsdepartementet har fått utredet bruk av digitale virkemidler for å følge opp seriøsitetsbestemmelser i offentlige anskaffelser i et GDPR-perspektiv. Utredningen er gjort av advokatfirmaet Wiersholm. Seriøsitetsbestemmelsene flytter ansvaret for overholdelse av regelverket for bekjempelse av sosial dumping og arbeidslivskriminalitet på leverandørene, og krever at offentlige oppdragsgivere inntar forpliktelser om dette i sine kontrakter med leverandørene og følger opp at kontraktsbestemmelsene overholdes. Med reglene om seriøsitetskrav er det sett behov for å styrke bruken av digitale styringsverktøy, som et tiltak for å sikre at seriøsitetskravene faktisk overholdes i kontraktsgjennomføringen. I denne forbindelse har det blitt stilt spørsmål ved om personvernlovgivningen setter grenser for bruk av digitale styringsverktøy i kontraktsoppfølgingen og om det er behov for å regelfeste bruk av slike verktøy.

Veileder for bruk av AI i forvaltningen. Integritetsskyddsmyndigheten (IMY) og Myndigheten för digital förvaltning (Digg) har laget veileder for bruk av kunstig intelligens (generativ AI) innenfor forvaltningen.

Kun 1,3 % sakene som europeiske datatilsyn behandler resulterer i bøter melder organisasjonen NOYB. Dette bør ikke i utgangspunktet være noe negativt, siden det avhenger av sakene om det skal gis bøter. Men NYOB hadde vel sett at det var flere bøter for å styrke håndhevelsen av GDPR, som kan trolig bli bedre på noen områder/land.

Beste praksis for behandling av personopplysninger for privatetterforskere. Ikke det mest praktiske her til lands, men interessant lesning i veileder for britiske privatetterforskere. Kan nytes til et glass whisky i et røkfullt og mørkt kontor.  

Og ellers…

I en nylig dom fra lagmannsretten mener lagmannsretten at en nettside (som ikke skriver akkurat flatterende om en kjent tidligere advokat) ikke er å anse som «automatisert behandling» og er (trolig) laget som del av rent personlige eller familiemessige aktiviteter, og dermed ikke er omfattet av GDPR. Retten skriver:  

… kan C nettside etter lagmannsrettens vurdering mer oppfattes som en «blogg» forfattet av en tidligere og misfornøyd klient av de ankende parter. Nettsiden kan ikke betegnes som noe register og det er ikke holdepunkter for å anta at eventuelle personopplysninger som legges ut på C side helt eller delvis behandles automatisert. Lagmannsretten legger til grunn at det er C personlig som forfatter hvert eneste innlegg på nettsiden, og at han personlig beslutter hva som skal legges ut …

Bruken av begrepet «automatisert» er ikke enkelt i GDPR, verken språklig eller juridisk, men her bommer lagmannsretten (og tingretten som kom til samme resultat) ved å mene at det ikke er en automatisert prosess siden alt på nettsiden legges inn for «hånd» (er det bare AI som automatisk legger ting ut, som da er «automatisert»?). Og det er sikker rett at det som gjøres offentlig på en nettside er ikke «personlig aktivitet» (se også avgjørelse i Personvernnemda ovenfor til illustrasjon). En mer juss-kledd analyse står Håvard Sveier Ottemo for her.

Skapt med AI, siden dommere har fem fingre, stort sett.

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.

Kurs grunnleggende GDPR