Oppdatering personvern, GDPR og teknologirett mv. 04.2025

Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Innhold denne gangen er bl.a.: GDPR er 7 år! Kan man stole på amerikanske leverandører? Storbritannia har fremdeles et tilstrekkelig beskyttelsesnivå, Nytt kurs i GDPR, Revisjon av GDPR for små og mellomstore virksomheter, Går GDPR for langt? Endring av prosedyrereglene for mer effektiv håndheving av GDPR, Datatilsynet gjør opp regnskapet for 2024, Barns personvern under press, Årsrapport fra EUs personvernråd (EDPB), Oversikt over rettspraksis fra EU-domstolen, Rammene for domstolers godkjenning av utlevering av personopplysninger for tilsynsorgan, Oppsigelse av personvernombud i offentlig sektor i EFTA-domstolen, Kan man kreve innsyn i sine personopplysninger i lukket Facebook-gruppe? Lovlig å utlevere personopplysninger til Utlendingsnemnda? Innsyn i helsepersonells navn i journalnotat, Fradømt retten til å inneha og benytte brukerkontoer på TikTok og Facebook, Oppdatert veileder på dataportabilitet, Rapporter om kunstig intelligens, Nytt om vurderinger av personvernkonsekvenser (DPIA), Hallusinering i Høyesterett

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer: https://www.linkedin.com/in/sandtro/.  

GDPR er 7 år!

Den 25. mai var det 7 år siden personvernforordningen (GDPR) trådte i kraft innenfor EU (selve forordningen kom for 9 år siden). I Norge ble forordningen norsk lov gjennom personopplysningsloven som trådte i kraft 20. juli 2018.

GDPR har ført til et gjennomgripende skifte i personvernlovgivningen, og som har styrket individets rettigheter for personvern, skjerpet ansvar og etterlevelse for virksomheter, styrket datatilsynenes rolle og påvirket global rettsutvikling ved å bli en eksportartikkel som regelverk og pålagt andre land lang strengere personvernlovgivning og begrensning i bruk av personopplysninger om EU-borgere. Sosiale medier og annonseplattformer har også måtte innrette sin virksomhet, og er i stadig press for å tilpasse seg regelverket.

Men GDPR har også vist seg å være krevende i praksis og skapt behov for presisering og modernisering, særlig i møte med ny teknologi som AI og datadrevne tjenester. Etter 7 år kan det være påpasselig med en fot i bakken for å se om deler av regelverket bør fjernes, forenkles eller utbygges. Så en revisjon, som er på trappene (se nedenfor) kan være hensiktsmessig nå.

Og kanskje bursdagen til GDPR kan være påminnelse for enkelte til å gå gjennom hva som skal være på plass for å følge regelverket (rutiner, vurderinger, implementering, kontroll, revisjon mv.)? Eller kanskje for enkelte til å endelig starte på arbeidet…

Kan man stole på amerikanske leverandører?

Om man ikke er lei av Trump i media for øvrig, så påvirker han også personvernområdet i Europa. En sak som har fått mye oppmerksomhet i det siste, er at Microsoft har stanset tilgangen til epost og sikkert annet i Microsoft 365-pakken for sjefanklageren i den internasjonale straffedomstolen (ICC), Karim Khan. Bakgrunnen er at ICC utstedte arrestordre for Israels statsminister Benjamin Netanyahu tidligere forsvarsminister Yoav Gallant for krigsforbrytelser og folkemord i Gaza.

Trump kom med en av sine etter hvert berømte presidentordrer, som medfører at enhver som bistår ICC finansielt, materiell eller teknologisk, vil kunne straffes. Microsoft har nå stanset tilgangen til Khan uten at det er kommet ut hvorfor tilgangen er stanset, men dette kobles til presidentordren.

Microsoft har ikke uttalt seg konkret, men har bekreftet at de har stanset tilgangen til Khan. Selskapet hevder også at de vil bruke alle rettslige midler i slike situasjoner, men det er ikke kommet frem om Microsoft har våget å trosse Trumps presidentordre.

Denne saken er imidlertid større enn den personvernmessige siden, og viser europeiske selskaps og enkeltpersoners sårbarhet knyttet til amerikanske leverandører for tilgang til tjenester som kan være av stor betydning. Den enkelte kan forestille seg hvordan det ville være å miste tilgangen til eposten uten varsel.

Dette har fått flere til å vurdere om man kan stole på USA og amerikanske leverandører, og stiller Microsofts tiltak knyttet til EU Data Boundary-prosjekt i et nytt lys. Bl.a. i Danmark har diskusjonen gått på om Trump kan iverksette tiltak for å tvinge Danmark til å gi fra seg Grønland. Som f.eks. å stenge av internett eller it-tjenester for danske myndigheter. Khan er britisk og lokalisert i Nederland, hvor leverandøren av epostjenestene er Microsoft Irland. Det må derfor være at Microsoft i USA har pålagt sitt europeiske datterselskap om å stenge tilgangen til eposten.  

Dermed har debatten om å ha en exit-strategi fra amerikanske leverandører fått fart (se forrige nyhetsbrev). Microsoft mener å ha en exit-strategi selv, ved at de har partnere som kan overta driften og oppbevarer sin kildekode hos uavhengig tredjepart i Sveits, som da ifølge Digi sier en del om situasjonen vi står i. Det er derfor visstnok et rush av kunder til europeiske leverandører av it-tjenester, men dessverre er den eneste hyperscaleren som ikke er amerikansk, kinesisk, så det begrenser mulighetene foreløpig.  

Storbritannia har fremdeles et tilstrekkelig beskyttelsesnivå

EU-kommisjonen har besluttet å forlenge beslutningen om at Storbritannia har tilstrekkelig beskyttelsesnivå for overføring av personopplysninger etter GDPR i ytterligere seks måneder. Dette innebærer å forlenge dagens beslutning som ble vedtatt i 2021 og utløper 27. juni 2025, forlenges til 27. desember 2025. Beslutningen om forlengelse ble tidsbegrenset ettersom ny personvernlovgivning var under utarbeidelse i landet. Storbritannia har fremmet et forslag til ny lovgivning, men denne er ennå ikke vedtatt.

EUs personvernråd (EDPB) har også etter anmodning fra EU-kommisjonen vedtatt en uttalelse om kommisjonens forslag. EDPB mener det er behov for en tidsbegrenset forlengelse av beslutningen som vil gi EU-kommisjonen tilstrekkelig tid til å evaluere den oppdaterte britiske personvernlovgivningen når den foreligger.

EDPB understreker at denne forlengelsen er unntaksvis, og begrunnet i den pågående lovgivningsprosessen i Storbritannia. Det presiseres at beslutningen i utgangspunktet ikke bør forlenges ytterligere, og minner EU-kommisjonens om plikten til å overvåke enhver relevant utvikling i Storbritannia i løpet av forlengelsesperioden.

Det er imidlertid utfordringer knyttet til den endelige vurderingen av Storbritannia ved at det nylig er besluttet ny lovgivning som tar sikte på å utvide myndigheters og politiets tilgang til brukerdata. En av lovene, Investigatory Powers Act, er såkalte tekniske kapabilitetsvarsler, som kan hindre forbedringer i personvern og sikkerhet som tilrettelegger for overvåkningsoperasjoner. For litt siden ble det klart at dette ikke bare er en teoretisk trussel da det britiske innenriksdepartementet ba Apple om å bryte krypteringen av iCloud-brukerkontoer, og Apple kort tid etter fjernet denne krypteringsfunksjonen i Storbritannia.

Nytt kurs i GDPR

Jeg holder igjen kurs i GDPR og personvern den 17. juni 2025 kl 0900 – 1200.

Det vil bli gjennomgått og gitt dokumentasjon i kurset vil være dekkende for det som normalt kreves av en liten/mellomstor virksomhet.

Det har vært gode tilbakemelding på kursene, og dette er en rask og effektiv måte for å få grunnleggende kunnskap og nødvendige dokumenter.

Se mer og meld på her: https://sandtro.no/kurs/kurs-gdpr-basis/.

PS! Lesere av nyhetsbrevet får kurset for kr 3.500 (legg inn «Nyhetsbrev» etter navnet i påmeldingsskjemaet for å få tilbudet).

Revisjon av GDPR for små og mellomstore virksomheter

EU-kommisjonen har et pågående arbeid med å revidere, herunder effektivisere og forenkle, regelverket for små og mellomstore virksomheter (SME). Se mer om dette også i forrige nyhetsbrev.

Nå er EU-kommisjonens forslag til endringer klar, og for endringer knyttet til personvern og GDPR så foreslås følgende:

Færre virksomheter må føre behandlingsprotokoll. Kravet til å føre behandlingsprotokoll etter GDPR artikkel 30 skal kun gjelde for virksomheter over 750 ansatte. Grensen i dag er 250 ansatte, men fordi det er et unntak bl.a. om behandling av personopplysninger «ikke skjer leilighetsvis» (som er jussisk for «ikke skjer en gang iblant»). De fleste virksomheter behandler personopplysninger regelmessig, så bl.a. Datatilsynet mener at dette unntaket gjør at i praksis skal alle virksomheter føre protokoll. Derfor foreslår også kommisjonen at dette unntaket skal erstattes med at det ikke skal føres protokoll om de enkelte behandlingene ikke medfører en høy personvernrisiko (tilsvarende som for vurdering av personvernkonsekvenser – DPIA). At det behandles særlige kategorier personopplysninger, som helse, skal heller ikke føre til at det må føres protokoll for virksomheter under 750 ansatte. EUs personvernråd og EUs datatilsyn er positiv til endringen, men har uttalt i tilknytning til at kravet reduseres til virksomheter med færre enn 500 ansatte.

Flere har uttalt seg at dette er en endring som ikke får så stor betydning og det allikevel er nyttig å føre behandlingsprotokoll. Min erfaring er at protokoll er en lite nødvendig øvelse, som mange virksomheter ikke har gjort og som oppleves som «brysom». De fleste virksomheter behandler lite personopplysninger, og har god oversikt uansett for hvor opplysningene er lagret. Dersom grensen blir 750 ansatte, så omfatter dette 99 % av alle virksomheter i Norge som da ikke trenger å føre protokoll (om deres behandling ikke medfører høy personvernrisiko).

Utarbeidelse av atferdsnormer etter GDPR artikkel 40 og sertifiseringsordninger etter artikkel 42 skal hensynta behovet til SMEs og fører da til en utvidelse av hva bestemmelsene skal omfatte. For sistnevnte publiserte Datatilsynet krav til akkreditering av kontrollorganer for atferdsnormer i fjor.

Endringen for behandlingsprotokoll vil trolig ha betydning for en del virksomheter, men de to neste endringene vil ha minimal betydning. Det gjøres mindre endringer i de øvrige reglene, så personvernregelverket er fremdeles like streng for liten som for stor. Dette gjelder for all dokumentasjon som skal være på plass, som rutiner, policyer, erklæringer, vurderinger osv. Og det blir ingen endringer knyttet til overføring av personopplysninger til land utenfor EØS, så det blir heller ikke en enklere situasjon knyttet til bruk av amerikanske leverandører for SMEs fremover.

Forslaget skal vurderes av EU-parlamentet og gå videre i EU-systemet. I Norge må endringer gjennom prosedyrene for EØS-avtalen, så det kan ta tid før de får virkning her (men som regel kan man forholde seg til endringer som er besluttet i EU før de kommer opp på berget).

Men det er noe bekymring for at revisjon av GDPR skal redusere personvernet, slik som 108 organisasjoner, akademikere, selskaper og personverneksperter. De oppfordrer EU-kommisjonen til å beskytte folks rettigheter og verdighet i en datadrevet verden ved å bekrefte GDPR som grunnsteinen i EUs digitale regelverk og støtte en streng håndheving av forordningen.

Går GDPR for langt?

Dette er en debatt som har pågått lenge, og som er noe av grunnen til at det ønskes en revisjon, se over. Stadig flere har argumentert for at GDPR går for langt, som bl.a. det svenske og polske datatilsynet.

Danmarks digitaliseringsminister har gått ut og mener at GDPR går på bekostning av velferd og arbeidsplasser, og at beskyttelse av personopplysninger settes høyere enn beskyttelse av personen selv.

Hun mener at borgerne fratas muligheten til å få den velferden som ny teknologi kunne ha gitt dem, og det hemmer virksomheter i å være innovative og skape arbeidsplasser. Bakgrunnen for innlegget er at ministeren ofte tilbakemelding fra virksomheter eller myndigheter at GDPR står i veien for at de kan benytte den rette løsningen eller ny teknologi.

Selv om GDPR ble til med de beste intensjoner, så mener hun at regelverket har massive negative bivirkninger som har rammet også frivillige organisasjoner, gjør at kommuner og virksomheter gir opp lovende prosjekter, koster danske virksomheter milliarder hvert år – og kostnadene er sannsynligvis enda større hvis tapt innovasjon og produktivitet omfattes. Hun viser til tall på at GDPR har medført økte kostnader og administrasjon tilsvarende 12 prosent av overskuddet til små og mellomstore bedrifter innenfor EU. Det eneste stedet vi har sett vekst som følge av GDPR, er vel blant advokater og rådgivere (!).

Så det må finnes en bedre balanse, og det er vel de fleste enige i. Det kan oppnås et godt nivå på beskyttelse av personopplysninger uten at det går ut over samfunnet og borgerne totalt sett. Så kan man heller ta de store (mis)brukerne av personopplysninger hardere, som store amerikanske sosiale mediene og annonseplattformene. 

Hun ser derfor positivt på at EU-kommisjonen åpner for en forenkling av regelverket, men dessverre er tiltakene minimale foreløpig (se ovenfor).

Endring av prosedyrereglene for mer effektiv håndheving av GDPR

EU er i trilogforhandlinger (som er forhandlinger mellom Europakommisjonen – som foreslår lovgivning, Europaparlamentet – som representerer EUs borgere, og Rådet for Den europeiske union (Ministerrådet) – som representerer medlemsstatene) om prosedyreforordninger som skal harmonisere og akselerere håndhevingen av personvernforordningen (GDPR). Forhandlingenes trolig siste møte var 21. mai.

Bakgrunnen for endringene i prosedyrereglene er å forbedre håndhevingen av GDPR gjennom å sikre smidig gjennomføring og rettidig håndhevingsprosedyrer i grenseoverskridende saker. Dette fordi Europaparlamentet og organisasjoner som NOYB, se nedenfor, har helt siden GDPR ble gjeldende i mai 2018 påpekt mangler i håndhevingen og presset på for bedre gjennomføring. EU-kommisjonen la frem allerede i juli 2023 forslag om forbedring hvor det foreslås å harmonisere partsrettigheter i prosessen, effektivisere og koordinere samarbeidet mellom tilsynsmyndighetene i tidlige faser, samt utdype GDPRs mekanisme for tvisteløsning. Det er dette forslaget som nå er i forhandlinger.

NOYB (som er Max Schrems’ organisasjon for personvern), mener at forslaget risikerer å undergrave håndhevingen av GDPR ved å innføre altfor lange frister og unødvendig kompliserte prosedyrer. NOYB forslaget strukturell diskriminering av brukere og favoriserer store teknologiselskaper, samtidig som parlamentets (dvs. folkets…) påvirkning svekkes.

NOYB går så langt at de mener at den foreslåtte forordningen truer ikke bare med å lamme håndhevingen, men kan også innebære brudd på sentrale elementer i retten til en rettferdig prosess og god forvaltningsskikk. Dette er et brudd på blant annet EU-pakten. På bakgrunn av dette vurderer NOYB nå muligheten for å reise en annullasjonssak dersom forordningen vedtas i sin nåværende form.

NOYB fremstiller de foreslåtte prosedyrene slik (som ikke er spesielt klare eller oversiktlige):

Datatilsynet gjør opp regnskapet for 2024

Datatilsynet har kommet med sin årsrapport for 2024. Her fremkommer det at det ble behandlet 4736 saker og fattet 384 vedtak i 2024 (ca. 8 %), hvor det ble klaget på 73 vedtak. Antallet ansatte i tilsynet har vært stabilt de siste fire årene, mens saksmengden har økt med ca. 37 %, og tilsynet mener at det vil bli flere og mer komplekse saker fremover som da vil kunne føre til at saksbehandlingstiden går ytterligere ned (den skal være på ca. 12 måneder i dag).

Av vedtakene som ble fattet førte 44 (under 1 % av sakene) til korrigerende tiltak (som pålegg) og sanksjoner (som overtredelsesgebyr/bøter). Det er også fattet vedtak knyttet til brudd på regelverket uten at det ble ilagt korrigerende tiltak eller sanksjoner. Fem vedtak ble omgjort av tilsynet selv og 48 vedtak ble oversendt til Personvernnemda.

Det ble gitt sanksjoner i følgende saker:

  1. Arbeids- og velferdsetaten (NAV): Overtredelsesgebyr kr 20 000 000 (opphevet av Personvernnemda)
  2. Eidskog kommune: Overtredelsesgebyr kr 85 000 (påklaget til Personvernnemda)
  3. Eidskog kommune: Overtredelsesgebyr kr 250 000 (påklaget til Personvernnemda)
  4. Universitetet i Agder: Overtredelsesgebyr kr 150 000
  5. Grue kommune: Overtredelsesgebyr kr 250 000
  6. Ringo Askim AS: Tvangsmulkt (Ikke endelig avsluttet/pågår)

Se fullstendig oversikt over vedtak fra Datatilsynet her.

Det ble meldt inn 3191 avvik (8 per dag) og gjennomført 18 tilsyn initert av Datatilsynet selv. Det ble meldt inn 902 klager på mulig personvernbrudd fra enkeltpersoner (opp 53 % fra 2023).

Tilsynet ser for seg et økt press på ressursene fremover, til tross for prosjekter for å arbeide mer effektivt, og at flere regler fra EU vil også medføre mer arbeid. Det digitale trusselbildet er også i endring, og personopplysninger brukes blant annet i storskala cyberoperasjoner, i manipulering av innhold og til bruk i inngripende overvåking. Politiske skifter, som i USA, skaper også utfordringer (se ovenfor) og tilsynet følger med på utviklingen i andre land. For USA kan det være at EU-kommisjonen opphever beslutningen om at det kan overføres personopplysninger til USA, og bruk av amerikanske skytjenester på europeisk jord vil da påvirkes negativt.

Barns personvern under press

Et område som Datatilsynet fremhever i sin årsrapport som blir ytterligere aktuelt, er barns personvern. Barns personvern er stadig i press etter hvert som samfunnet blir mer digitaliser, og det også på arenaer hvor det tilsynelatende skal være kontroll, som i skolen.

Datatilsynet har derfor gjennomført et tilsyn med 50 norske kommuner knyttet til digitale læringsverktøy, hvor konklusjonen er at personvernet til barn er utsatt. Det er skoleeier som er ansvarlig for behandlingen, dvs. kommunen, men mange kommuner overlater beslutninger om digitale verktøy til lærere og rektorer, uten at det gjøres nødvendige vurderinger av personvernet. Kommunene forstår ikke fullt ut hva som regnes som personopplysninger, og mange mangler rutiner for å sikre elevenes rettigheter, ifølge Datatilsynet. I tillegg foreligger det ikke rutiner, man stoler på at Feide-innlogging er godkjenning av løsningen, ukvalifiserte personer foretar vurderinger, hva som behandles av personopplysninger er ikke kartlagt osv.

Kommunene ønsker selv at det etableres en sentralisert støttetjeneste for vurdering av personvernet i digitale læringsverktøy, og de etterlyser veiledning, retningslinjer, praktiske eksempler og maler for å styrke deres eget vurderingsarbeid i kommunen. Både Datatilsynet og andre (som Personvernkommisjonen) har etterlyst sentral koordinering og en nasjonal støttetjeneste i mange år, siden det ikke kan overlates til den enkelte kommune med begrensede ressurser å foreta vurderinger. Slike vurderinger er også stor sett de samme for de fleste kommuner, så det bør ikke foretas hundrevis av vurderinger over hele landet for samme løsning.

Datatilsynet anbefaler derfor en nasjonal samordning og etablering av en sentral tjenestekatalog over godkjente, personvernvennlige verktøy, hvilket er et arbeid som Utdanningsdirektoratet skal ha iverksatt. Så får vi se når noe slikt kommer…

Knyttet til barns personvern presser nå Spania, Hellas og Frankrike EU-kommisjonen for at sosiale medier skal ha effektiv kontroll av alder for brukere.

Årsrapport fra EUs personvernråd (EDPB)

EDPB har også publisert sin årsrapport for 2024 hvor viktige aktiviteter og publikasjoner var:

  • Januar: Publisering av rapport fra koordinert håndhevelsesaksjon om personvernombudets rolle (DPO).
  • Februar: Oppstart av koordinert håndhevelsesaksjon om retten til innsyn.
  • April: Uttalelse om begrepet «hovedetablering» for behandlingsansvarlige, om «consent or pay»-modeller på store nettplattformer, og vedtak av strategi for perioden 2024–2027.
  • Mai: Publisering av retningslinjer om berettiget interesse og møte mellom EDPB og datatilsynsmyndigheter fra land med adekvansbeslutning.
  • Juni: Uttalelse om visse forpliktelser knyttet til bruk av databehandlere og underdatabehandlere.
  • Oktober: Avholdelse av arrangementer for interessenter om kunstig intelligens-modeller og «consent or pay»-modeller.
  • November: Uttalelse om bruk av ansiktsgjenkjenningsteknologi for å effektivisere passasjerflyt på flyplasser.
  • Desember: Uttalelse om kunstig intelligens-modeller.

Oversikt over veiledere fra EDPB finnes her.  

Oversikt over rettspraksis fra EU-domstolen

EU-domstolen har kommet med en oversikt («Fact Sheet») over rettspraksis fra domstolen knyttet til de personvernreglene, som følge av tolkningen av GDPR og sektorspesifikke regler, særlig innenfor elektronisk kommunikasjon og strafferett.

Dette er nyttig siden det etter hvert er omfattende rettspraksis fra EU-domstolen og i oversikten presenteres det et utvalg av grunnleggende avgjørelser, samt avgjørelser som har hatt en vesentlig betydning for utviklingen av rettspraksis, med særlig vekt på dommer avsagt av domstolens store avdeling.

I tillegg presenteres det i oversikten et utvalg av avgjørelser som omhandler regler som får anvendelse på tvers av ulike sektorer.

Domstolen har også laget en oversikt over samtlige saker i 2024 hvor saker om personvern finnes i Chapter 1, III, 3 (men andre avgjørelser kan også ha betydning for personvern og GDPR).

For oversikt over avgjørelser i EU-domstolen, se her: https://sandtro.no/kilder/dommer/cjeu/.

Rammene for domstolers godkjenning av utlevering av personopplysninger for tilsynsorgan

EU-domstolen har i en dom behandlet spørsmålet om tilsynsorgans rett til utlevering av bankopplysninger knyttet til undersøkelser om dommeres uavhengighet.

Bakgrunnen. Saken gjaldt om tilsynsorgan med domstolene i Bulgaria, kan be om tilgang til bankopplysninger til dommere, aktorer og deres familiemedlemmer. Bakgrunnen var at tilsynsorganet skal undersøke om dommere har interessekonflikter og om det foreligger korrupsjon, og de har rett til å be om opplysningene etter nasjonal rett. For å få utlevert opplysningene må dette godkjennes av domstolene, som reiser spørsmål om domstolen er å anse som behandlingsansvarlig, og om behandlingen er omfattet av GDPR.

Nedenfor er det noen av spørsmålene som dommen reiser og klargjør, som antas å være av mer generell interesse.

Omfattes utleveringen av GDPR? Det var et spørsmål om utleveringen av opplysningene omfattes av GDPRs virkeområde etter artikkel 2, og domstolen fant at ingen av unntakene etter artikkel 2(2), dvs. unntakene knyttet til personlige forhold, forebyggelse, etterforskning mv. av straffbare forhold eller nasjonal sikkerhet fikk virkning. Unntakene skal tolkes strengt ifølge tidligere praksis fra domstolen, og derfor fant retten at unntakene ikke kom til anvendelse. Utleveringen er derfor en «behandling» etter GDPR artikkel 4 nr. 2 og omfattes av GDPR, og dette gjelder selv om opplysningene er beskyttet av konfidensialitetsplikten for bankene.

Domstol, tilsynsorgan eller bank behandlingsansvarlig? Domstolen fant også at domstol som gir tilsynsorganet tilgang til personopplysninger beskyttet av bankers taushetsplikt på grunnlag av rettslig kompetanse til å godkjenne slik utlevering ikke er å anse som «behandlingsansvarlig» etter GDPR artikkel 4 nr. 7. Det følger etter praksis fra domstolen, skal «behandlingsansvarlig» tolkes vidt. Hvem som er behandlingsansvarlig kan følge av nasjonal rett, enten uttrykkelig eller stilltiende (forutsetningsvis). I sistnevnte tilfelle må likevel det aktuelle organets rolle, oppgaver og myndighet fremgå med tilstrekkelig klarhet.

Her er det tilsynsorganet som bestemmer formålet og hvilke opplysninger som skal utleveres, så det er organet og ikke domstolen som er behandlingsansvarlig. Selv om domstolen skal kontrollere om og i hvilken grad vilkårene for behandlingen er oppfylt i den enkelte sak, fastsetter den ikke på eget initiativ verken formålet med behandlingen eller hvilke personer og opplysninger som omfattes. Det er derfor organet som er kompetent til å oppnå formålene, som skal anses som behandlingsansvarlig i henhold til GDPR artikkel 4 nr. 7. Heller ikke banken er behandlingsansvarlig for opplysningene etter bestemmelsen.

Oppsigelse av personvernombud i offentlig sektor i EFTA-domstolen

Det er ikke ofte det kommer personvernrelevante saker for EFTA-domstolen, men nå er det varslet sak fra Liechtenstein knyttet til mulighet til å si opp personvernombudet i offentlig sektor.

Spørsmålene som skal behandles er om nasjonal lovgivning (som personvernlovgivningen i Liechtenstein i denne saken) kan gi sterkere stillingsvern enn GDPR artikkel 38(3) andre setning tillater. Etter denne bestemmelsen skal personvernombudet ikke avsettes eller straffes for å utføre sine oppgaver.

I saken ga nasjonal lov rett til oppsigelse av et personvernombud med saklig grunn, også når ombudet ikke utfører sine oppgaver etter GDPR korrekt, er forenelig med GDPR. Spørsmålet er derfor om GDPR setter grense for hvor sterkt stillingsvernet kan være, dersom det kan hindre effektiv oppfølging av et ombuds manglende utførelse av sine oppgaver.

Retten må videre vurdere om «avsettelse» etter GDPR også omfatter ordinær oppsigelse av arbeidsforholdet, ikke bare fjerning fra selve ombudsfunksjonen. Dette fordi en oppsigelse som avslutter arbeidsforholdet reelt sett hindrer ombudet i å utføre sine oppgaver – og kan dermed være en omgåelse av beskyttelse som GDPR gir.

Til slutt skal retten ta stilling til om en «avsettelse» i strid med artikkel 38(3) medfører at oppsigelsen er ugyldig, slik at arbeidsforholdet fortsatt består. Dette berører spørsmålet om hvilket rettsvern personvernombudet faktisk har.

Avgjørelse vil trolig komme senere i år.

Kan man kreve innsyn i sine personopplysninger i lukket Facebook-gruppe?

Personvernnemda har kommet til at behandlingen av personopplysninger i en Facebook-gruppe (som gjaldt «Advokater som ikke anbefales») ikke omfattes av unntaket for «rent personlige- eller familiemessige aktiviteter» i personopplysningsloven § 2(2)(a).

Dette fordi unntaket skal tolkes strengt, og at unntaket kan ikke brukes for personopplysninger som legges ut på internett ifølge personopplysningslovens forarbeider og EU-domstolens praksis. Det hjelper ikke at Facebook-gruppen var lukket, siden denne hadde 5.000 medlemmer og økende antall medlemmer. Nemda la derfor til grunn at personopplysninger som postes i denne gruppen, praktisk sett er tilgjengelige for et ubegrenset antall personer (er «offentlig»).

Nemnda mente at ytringsfriheten ikke var til hinder for å pålegge en person, som ansås å være behandlingsansvarlig siden vedkommende var administrator for gruppen, å gi innsyn etter GDPR artikkel 15 og at innsynsretten etter forordningen kan ikke begrenses. Det kan derfor ikke settes stramme tidsmessige rammer for når innsyn gis, eller å kreve legeattest dersom en slik tidsbegrensning ikke overholdes. Nemnda bekreftet derfor Datatilsynets pålegg om innsyn.

Lovlig å utlevere personopplysninger til Utlendingsnemnda?

Sivilombudet overførte personopplysninger til Utlendingsnemnda (UNE) som del av saksbehandlingen. Først vurderte nemda om den og Datatilsynet har kompetanse til å føre tilsyn med Sivilombudets etterlevelse av reglene i personvernforordningen etter personopplysningsloven § 20 og § 22. Dette kunne nemda.

Så ble det vurdert om Sivilombudet hadde rettslig grunnlag for utlevering av personopplysninger til UNE etter GDPR artikkel 6(1)(c) og (3) knyttet til sivilombudsloven § 27. Dette fant nemda at ombudet hadde grunnlag til.

Det ble også vurdert om Sivilombudet hadde plikt til å informere vedkommende om at opplysningene ble oversendt UNE etter GDRP artikkel 13, og mente at det ikke var krav til noe forhåndsvarsel og at vedkommende ble informert gjennom vedtak fra Sivilombudet og UNE. Nemda mente også at Sivilombudet hadde i sin kommunikasjon med vedkommende vært tilstrekkelig klar og tydelig som det kreves etter GDPR artikkel 12. Datatilsynets vedtak ble derfor stående.

For oversikt over avgjørelser fra Personvernnemda, se her: https://sandtro.no/kilder/dommer/personvernnemda/.

Innsyn i helsepersonells navn i journalnotat

En dom i Frostating lagmannsrett fastslår at dersom det kreves innsyn i journalnotater, så er det tilstrekkelig at det gis initialer på helsepersonellet som har skrevet notatet, og ikke vedkommendes fulle navn. Lagmannsrettens kom derfor til at innsynskrav etter pasient- og brukerrettighetsloven § 5-1 var imøtekommet fullt ut i og med personene hadde fått innsyn i journalen slik den forelå.

Fradømt retten til å inneha og benytte brukerkontoer på TikTok og Facebook

En mann ble i Høyesterett dømt til å ikke ha kontoer på TikTok og Facebook i en periode på 1,5 år etter å ha publisert flere hundre videoer hvor han omtalte flere politiadvokater, dommere og rettsoppnevnte sakkyndige, samt sin datter og tidligere ektefelle, i sterkt nedsettende ordelag.

Ifølge dommen var tapet av retten til å ha slike kontoer ikke i strid med ytringsfriheten etter Grunnloven eller Den europeiske menneskerettskonvensjon, selv om det er forhåndssensur. Terskelen for slikt forbud er imidlertid høy, og kan tillates når formålet er å avverge en ellers irreversibel skade som ikke kan kompenseres ved etterfølgende straffansvar.

Oppdatert veileder på dataportabilitet

Datatilsynet har oppdatert sin veileder på dataportabilitet. Dataportabilitet innebærer at virksomheter må sørge for at kunder eller brukere kan bruke rettighetene sine på en enkel måte ved å gi muligheten til å ta med seg personopplysninger fra én tjenesteleverandør til en annen, se GDPR artikkel 20.

Det betyr blant annet at behandlingsansvarlig må gjøre tilgjengelig personopplysninger som en bruker selv har gitt til den behandlingsansvarlige (eller databehandler), sørge for at opplysningene kan utleveres i et maskinlesbart og «vanlig» format, svare på hevendelser innen én måned og kunne sikre identiteten på personen før utlevering av opplysningene.

Veilederen er i hovedsak rettet mot enkeltpersoner, men den vil også være nyttig for behandlingsansvarlige.

Rapporter om kunstig intelligens

Rapport fra EU-parlamentet. EU-parlamentet har publisert utkast til rapport om kunstig intelligens i finanssektoren som viser at det ikke brukes mye eller grensesprengende AI innenfor finanssektoren. Det er lite bruk av AI til beslutningsstøtte eller å fatte beslutninger som har betydning for personer, mens bruk til opplæring, kundeservice, forhindre og avdekke svindel, identitetskontroller mv. er mer vanlig.

Rapporten går inn på utfordringer ved bruk av AI, som for så vidt er aktuelle for andre enn finanssektoren, som at datagrunnlaget kan gi skjevheter i resultater (bias), det er vanskelig å tilbakeføre resultatene til grunnlaget og sikre dokumentasjon for beslutninger, det er ikke enhetlighet i regulering av AI innenfor EU, og det er – også her – en stor avhengighet av amerikanske leverandører.

I rapporten menes det at finanssektoren kan bli en katalysator for innovasjon og investeringer for AI, siden det investeres mye i IT innenfor denne sektoren. Det oppfordres til klar og enhetlig regulering, og ikke spesifikk regulering av AI innenfor finanssektoren siden det er mye regulering her. Så advares det mot overregulering, her også.

Rapport fra EUs personvernråd (EDPB). Ytterligere en rapport om AI er fremlagt av EDPB. Rapporten «AI Privacy Risks & Mitigations – Large Language Models (LLMs)» gir omfattende metodikk for risikostyring i LLMer, med praktiske tiltak for å redusere vanlige personvernrisikoer knyttet til slike systemer.

I tillegg gir rapporten eksempler på bruksområder som illustrerer anvendelsen av rammeverket for risikohåndtering i reelle scenarier, som virtuell assistent (chatbot) for kundespørsmål, LLM for å overvåke og støtte elevers læringsprogresjon og AI-assistent for reise- og tidsplanlegging.

Rapporten skal gi tilsynsmyndigheter innsikt i hvordan LLMer fungerer og hvilke personvernrisikoer som er forbundet med dem, men er også nyttig for andre enn tilsyn.

Risikostyringsmetodikken i rapporten er utviklet for å hjelpe utviklere og brukere med å identifisere, vurdere og redusere personvern- og databeskyttelsesrisikoer på en systematisk måte, og slik støtte en ansvarlig utvikling og implementering av LLMer. Veiledningen i rapporten skal også støtte kravene i GDPR artikkel 25 om innebygd personvern og artikkel 32 om sikkerhet ved behandling ved å tilby tekniske og organisatoriske tiltak for å bidra til et hensiktsmessig nivå av sikkerhet og databeskyttelse.

Veiledningen er imidlertid ikke ment å erstatte en personvernkonsekvensvurdering (DPIA) etter GDPR artikkel 35, men skal i stedet utfylle DPIA-prosessen ved å adressere personvernrisikoer som er spesifikke for LLMer, og dermed styrke grundigheten og kvaliteten i slike vurderinger.

Nytt om vurderinger av personvernkonsekvenser (DPIA)

DPIA for Office 365 for offentlig sektor. Microsoft har laget en mal for DPIA (vurdering av personvernkonsekvenser etter GDPR artikkel 35). Ifølge beskrivelsen fra Microsoft så er malen tilpassbar og illustrativ med veiledning, og med referanse til Microsofts produktvilkår og tilleggsavtale for personvern (Data Protection Addendum – DPA). Veiledningen er utformet for å hjelpe organisasjoner i offentlig sektor med systematisk å identifisere, vurdere og håndtere potensielle personvernrisikoer, og dermed gjøre det enklere å vurdere etterlevelse av GDPR. Dokumentet vil kontinuerlig forbedres og videreutvikles i tråd med teknologisk utvikling, og basert på tilbakemeldinger fra kunder.

DPIA for Microsoft 365 for statlig virksomhet i Danmark. Økonomistyrelsen og Statens IT i Danmark har laget en DPIA for bruken av M365 i staten som har involvert mange aktører som Udviklings- og Forenklingsstyrelsen, Rigspolitiet og ikke minst Microsoft.

Dokumentene er nå gjort tilgjengelig, og omfatter DPIA (Data Protection Impact Assessment) for M365, TIA (Transfer Impact Assessment), oversikt over behandlingsaktiviteter (som skal utfylles av de behandlingsansvarlige), vilkår for Microsoft mv.

Det anbefales at det i tillegg utarbeides risikovurdering for den restrisiko som følger av DPIAen (i forhold til egen risikotoleranse og forretningsmessig risikoappetitt), rutiner for tilsyn med Microsoft (leverandøren) og eventuell stikkprøvekontroll, exit-strategi og -plan, informasjon til de registrerte og rutiner for sletting.

Det er interessant at Økonomistyrelsen har fått inn følgende i databehandleravtalen med Microsoft:

In all cases without exception, Microsoft will adhere to EU law in the event that Microsoft receives a legal request for Processed Data from a non-EU government authority.

Dette vil medføre at om Microsoft overfører personopplysninger til USA, f.eks. etter pålegg fra amerikanske myndigheter, uten at dette er godkjent eller avtalt med kunden, vil Microsoft gjøre det som behandlingsansvarlig og dermed være ansvarlig etter GDPR. Så får man se hvilken virkning det vil kunne få…

Øvrige nyheter

Overlever Data Privacy Framework? Som skrevet om i siste nyhetsbrev så vakler overføringsgrunnlaget mellom EU og USA, Data Privacy Framework. Nå har amerikansk høyesterett opprettholdt Trump-administrasjonens vedtak om å fjerne medlemmer fra enkelte føderale organer, men det er uklart om avgjørelsen fra retten har betydning for organene som er etablert under Data Privacy Framework, som Federal Trade Commission og Privacy and Civil Liberties Oversight Board. Avgjørelsen er uansett ikke godt nytt for personvernet i USA.

Øvelse gjør mester! Også innenfor personvern og GDPR. Direktoratet for samfunnssikkerhet og beredskap (DSB) har laget en rekke praktiske øvelser som er knyttet til it-sikkerhet og personvern. Eksempelvis hvordan forholde seg til at personopplysninger er på avveie som følge av phishing, feilsendt epost, outsourcing (diskusjonsøvelse om sikring av sensitiv informasjon), osv. Nyttig både for å øve på scenarier og for diskusjon i workshop mv.  

Innføringskurs i personvern og GDPR. Digital Norway har i samarbeid med Datatilsynet laget et innføringskurs i personvern og GDPR. Kurset skal gi innføring i hva personvern er, herunder GDPR og personopplysninger, nøkkelbegreper innen personvern, gode rutiner og beste praksis for hva virksomheter må gjøre for å følge regelverket og rettigheter du har som privatperson.

Digital Markets Act (DMA) skal bli norsk lov. DMA retter seg mot digitale plattformselskaper med en særlig dominerende markedsposisjon, og vil bety at norske bedrifter får bedre tilgang til egne brukerdata fra de store plattformene slik at de kan konkurrere mer på like vilkår, tredjepartsløsninger må i større grad kunne fungere med de store plattformeiernes systemer, store aktører kan ikke lenger favorisere egne tjenester framfor andres på egne plattformer, det skal bli enklere for forbrukere å velge bort standardapper og -tjenester fra tech-gigantene, og man skal få bedre kontroll på egne data ved at man får rett til å overføre egne data fra en plattform til en annen. Regjeringen tar sikte på å sende et lovutkast på høring allerede i år.

DORA-loven er ferdig behandlet i Stortinget og vil ganske sikkert endelig vedtatt før sommeren. Ikrafttredelse vil bli senere, og trolig til nyttår. Dette vil gjennomføre DORA-forordningen i Norge, som innfører nye og langt mer detaljerte regler om IT risikostyring for regulerte foretak i finanssektoren. Reglene gjelder allerede i EU, men det er rundt halvpartene av landene i EU som har implementert DORA i egen lovgivning etter fristen gikk ut i januar. Se mer om loven i forrige nyhetsbrev.

Veileder for informasjonskapsler (cookies) er kommet fra det danske Datatilsynet og Digitaliseringsstyrelsen. Veilederen retter seg mot eiere og tilbydere av for eksempel nettsider og apper og skal gjennomgå de viktigste reglene i den danske cookieforskriften og GDPR). Den inneholder praktiske råd og eksempler som skal gjøre det lettere å etterleve kravene. I tillegg omtaler veiledningen vanlige fallgruver som en virksomhet bør være oppmerksom på. Formålet med veiledningen er derfor å skape en enhetlig forståelse av regelverket og å gjøre det enklere å implementere en lovlig samtykkeløsning. Veilederen er ganske lik den norske veilederen som kom for litt siden, se tidligere nyhetsbrev, men er noe mer omfattende.

Overføring av personopplysninger til India. EUs datatilsyn har avslått en forespørsel fra European Investment Bank (EIB) for overføring av personopplysninger til India, pga. manglende sikkerhet for personopplysninger ved at det ikke er tilstrekkelig personvernlovgivning i India. Overføring etter EUs standardbestemmelser (SCC) ble visstnok også avslått.

Digitaliseringen truer personvernet, spesielt knyttet til overvåkning av innbyggere, advarer Datatilsynet ved direktør Line Coll og juridisk spesialrådgiver Jan Henrik Mjønes Nielsen. De påpeker at utenlandske aktører som USA og Kina utgjør en trussel, men det kan også vårt eget lands behandling av omfattende omfang av personopplysninger. Verdt å lese. Det er også greit å ha med seg at vinden kan snu også i Norge, med det klassiske eksempelet med «Statistisk Sentralbyrås personregister», som inneholdt omfattende informasjon om norske borgere, inkludert navn, adresser, yrker og familiære relasjoner og som nazistene brukte til å identifisere og overvåke personer de anså som en trussel mot regimet under krigen.

Viktigheten av å reklamere ved it-leveranser. Det er kommet en ny dom fra Oslo tingrett som viser viktigheten av at kunden sørger for rettidig og tydelig reklamasjon ved it-leveranser. Det er etter hvert mange slike saker hvor kundene ikke når frem med krav fordi de ikke har reklamert riktig, og oppfordringen må være at man bør si ifra og det i rett tid – selv om det kan «ødelegge den gode stemningen» i prosjektet…

Oppdatering av veileder om personvernbrudd. Det danske Datatilsynet har oppdatert sin veileder om personvernbrudd bl.a. ved å ta inn flere eksempler på hva som er brudd. Her – som i andre veiledere – presiseres det at personopplysninger kan være på avveie, men om opplysningene er sikret som ved kryptering, så foreligger det ikke noe personvernbrudd siden det er ikke brudd på konfidensialitet. Det har vært flere eksempler hvor Datatilsynet varsles til tross for at det ikke har vært forhold som har truet personvernet. Men man må naturligvis melde andre brudd som medfører at sikkerhet og personvern ikke er overhold. Det er også interessante eksempler på sårbarheter i systemer som bare kan utnyttes av personer med spesielt god kompetanse i veilederen.

Og til slutt… Hallusinering i Høyesterett

Vi har knegget noe her oppe på berget av amerikanske advokater som er blitt tatt i å bruke AI i rettssaker. Men det var bare et tidsspørsmål får dette ville skje i Norge også.

Nå har vi fått det første tilfelle av hallusinering i rettsdokumenter i Norge. Høyesterett har avslørt at de har mottatt prosesskrift som inneholdt oppdiktet informasjon, som da trolig kommer fra AI som har hallusinert. Det var både lover og forarbeider til lover med sitater som var oppdiktet.

I saken for Høyesterett ble det ikke gitt sanksjoner overfor advokaten, men det kan ikke utelukkes i fremtiden ifølge Høyesterett. Høyesterett har kommet med en oppdatert versjon av veilederen for advokater, nå med eget punkt om bruk av AI, som kan være nyttig for flere enn advokater:

Rettslige rammer og advokatens plikter: KI er et nyttig og tidsbesparende verktøy for mange. Advokatens plikter er de samme ved bruk av KI-verktøy som ellers. Advokaten er personlig ansvarlig for alle opplysninger som brukes, også opplysninger av rettslig art.

Utfordringer: Det er kjent at KI kan hallusinere og finne opp blant annet rettskilder. Kilder og andre opplysninger KI oppgir, må kvalitetssikres. KI bør bare brukes på områder hvor advokaten har god nok kompetanse til å kontrollere innholdet.

Advokaten må på vanlig måte forsikre seg om at sentrale kilder ikke er oversett. Prosesskriv og prosedyre bør ikke ha unødige kilder, og advokaten må kunne løfte blikket og konsentrere seg om det sentrale.

Bildet er AI-generert med relativt lite hallusinasjon

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.

Kurs grunnleggende GDPR