Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss. Du finner også dette nyhetsbrevet, og tidligere nyhetsbrev, på mine nettsider.

Innhold denne gangen er bl.a.:

• Lagmannsretten opprettholder milliongebyr mot Grindr – delte sensitive opplysninger uten gyldig samtykke
• Overføring av personopplysninger til USA
• Digitalsikkerhetsloven og DORA trer i kraft
• Forslag til norsk KI-lov og lov om digitale tjenester
• EUs Data Act er på vei – hva betyr det for norske virksomheter?
• Datatilsynet kan ikke føre tilsyn med domstolenes behandling av personopplysninger i rettssaker
• Datatilsynet må selv vurdere behandlingsgrunnlag i barnevernssaker med helseopplysninger
• Datatilsynet anbefaler ikke bruk av BCR som grunnlag for overføring til tredjeland
• Klagerett også på Datatilsynets reaksjonsvalg
• EDPB publiserer veileder for håndtering av forespørsler om personopplysninger fra myndigheter
• EU-domstolen opprettholder EU-US Data Privacy Framework tross Trump
• Pseudonymisering fritar ikke fra informasjonsplikt ved datainnsamling
• Tap av kontroll over personopplysninger kan gi erstatning for uro og frykt
• Mer om kunstig intelligens
• Videreformidling av kontaktinfo falt utenfor GDPR
• Dom om dataangrep avklarer ansvar mellom kunde og IT-leverandør
• Informasjonskapsler (cookies)
• Og andre nyheter…

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn eller få det på epost ved å abonnere her. Følg meg også på LinkedIn: https://www.linkedin.com/in/sandtro/.  

Lagmannsretten opprettholder milliongebyr mot Grindr – delte sensitive opplysninger uten gyldig samtykke

Grindr, den amerikanske datingappen rettet mot LHBTQ-personer, ble i desember 2021 ilagt et overtredelsesgebyr på 65 millioner kroner av Datatilsynet for å ha delt brukernes lokasjonsdata og andre personopplysninger med reklamepartnere uten gyldig samtykke. Vedtaket ble stadfestet av Personvernnemnda i 2023, og deretter av Oslo tingrett i 2024.

Nå har Borgarting lagmannsrett forkastet Grindrs anke mot Personvernnemndas vedtak om overtredelsesgebyr. Retten slår fast at selskapet delte opplysninger som indirekte røper brukernes seksuelle orientering, og at samtykket som lå til grunn for delingen, ikke oppfylte kravene i personvernforordningen (GDPR). Dette er også den første domstolsbehandlingen i Norge av størrelsen på overtredelsesgebyr etter GDPR.

Indirekte avsløring av seksuell orientering

Det sentrale i saken er at Grindr delte App-ID – en identifikator som viser at opplysningene kommer fra Grindr-appen – sammen med IP-adresse, lokasjon, alder og teknisk informasjon.

Lagmannsretten konkluderer med at opplysningen om at noen bruker Grindr i seg selv er en opplysning om seksuell orientering, ettersom appen primært markedsføres mot LHBTQ-miljøet og ca. 90 % av brukerne er homofile. Selv om også heterofile kan bruke appen, og den tilbyr annet enn dating, er sannsynligheten høy nok til at opplysningen omfattes av GDPR artikkel 9 om særlige kategorier personopplysninger.

Retten viser til EU-domstolens praksis om at også indirekte avsløringer omfattes av beskyttelsen, der en opplysning gjør det mulig å trekke slutninger om seksuell orientering. Det avgjørende er risikoen for identifisering, ikke om opplysningen faktisk er brukt slik eller er korrekt.

Ugyldig samtykke

Grindr hadde anført at brukerne samtykket til deling gjennom appens samtykkebanner og personvernerklæring. Retten avviser dette og konkluderer med at samtykket ikke oppfylte kravene i artikkel 4(11) og 7:

• Ikke frivillig: Brukerne fikk ikke et reelt valg – de måtte akseptere deling for å bruke gratisversjonen av appen. Muligheten til å kjøpe betalingsversjon kom først etter at data allerede var delt. Å endre innstillinger i telefonens operativsystem utgjør ikke et samtykke.
• Ikke spesifikt: Samtykkene var generelle, innbakt i en over syv siders personvernerklæring, noe som gjorde det uklart hva man aksepterte og hvem som mottok opplysningene.
• Ikke tilstrekkelig informasjon: Informasjonen var ufullstendig og delvis misvisende. Det sto kun at «a portion of your personal information» ville deles, uten å spesifisere hva, og påstanden om at «we do not sell your personal user information to third parties for advertising purposes» var direkte misvisende når formålet var å generere annonseinntekter.
• Ikke uttrykkelig: Kravet om uttrykkelig samtykke for særlige kategorier (artikkel 9) kan ikke være oppfylt når de grunnleggende samtykkekravene ikke er møtt.

Lagmannsretten konkluderer dermed med at Grindr ikke hadde gyldig behandlingsgrunnlag.

Lagmannsretten finner at overtredelsen var grov og forsettlig, og at gebyret på 65 millioner kroner – som utgjør cirka 30 prosent av maksimalrammen – er passende.

Dette er også den første rettslige prøvingen i Norge av størrelsen på overtredelsesgebyr etter GDPR, siden tingretten behandlet ikke dette teamet, mens lagmannsretten mener at gebyrets størrelse kan behandles av retten.

Betydning av dommen

Selv om saken gjelder en spesiell app, får dommen bred betydning:

• Indirekte avsløring: Dommen klargjør at også opplysninger som indirekte kan avsløre sensitiv informasjon omfattes av artikkel 9. Det holder at bruk av en app, besøk på nettsteder, eller kjøp av produkter gjør det mulig å trekke slutninger om seksuell orientering, helse eller religion. Flere virksomheter kan dermed behandle sensitive opplysninger uten å være klar over det.
• Strengere krav til samtykke: Samtykke er ikke frivillig hvis brukeren må velge mellom å gi fra seg personopplysninger (som ikke er nødvendige for tjenesten) eller ikke få tilgang. Dette utfordrer samtykkebannere der man må «akseptere alt» for å bruke tjenesten.
• Dokumentasjonskrav: For særlige kategorier kreves uttrykkelig, spesifikt og dokumenterbart samtykke for hvert formål. Generelle samtykker i lange brukervilkår holder ikke mål.

Dommen signaliserer at samtykke sjelden vil være et realistisk behandlingsgrunnlag i kommersielle digitale tjenester, fordi maktforholdet mellom virksomhet og bruker gjør det vanskelig å oppfylle frivillighetskriteriet. Så spørs det om alternative grunnlag, som berettiget interesse eller avtale, vil holde i alle tilfeller.

Dommen er ikke rettskraftig, og kan ankes til Høyesterett. Så får vi se om det skjer.

Overføring av personopplysninger til USA

Det er mye frem og tilbake for situasjonen med overføring av personopplysninger til USA og bruk av amerikanske leverandører. Her er et øyeblikksbilde:

Kan ikke garantere databeskyttelse: Amerikanske tech-giganter erkjenner begrensninger i europeisk dataoverføring

Microsoft bekreftet i det franske parlamentet at selskapet ikke kan garantere at personopplysninger fra europeiske offentlige myndigheter beskyttes mot utlevering til amerikanske myndigheter – selv om dataene lagres i europeiske datasentre. Erkjennelsen kommer samtidig som Trump-administrasjonen svekker tilsynsmekanismene under Data Privacy Framework, og europeiske aktører søker alternativer til amerikanske skyleverandører. Usikkerheten øker, men DPF er fortsatt et gyldig overføringsgrunnlag.

Under en høring om digital suverenitet i det franske parlamentet 10. juni 2025 stilte kommisjonslederen Dany Wattebled et direkte spørsmål til representanter fra Microsoft: Kunne de garantere at data tilhørende franske offentlige myndigheter, som behandles i Microsofts europeiske datasentre, aldri ville bli tilgjengelige for amerikanske myndigheter?

Svaret var klart: «Nei, det kan jeg ikke garantere» sa Anton Carniaux, direktør for offentlige og juridiske spørsmål hos Microsoft France. «Vi har etablert svært strenge juridiske prosedyrer for å motsette oss eller bestride enhver ubegrunnet forespørsel om tilgang til data. Men dersom en amerikansk domstol utsteder en rettslig bindende ordre i samsvar med loven, kan Microsoft bli pålagt å etterkomme en slik beslutning.»

Carniaux forklarte at Microsoft alltid gjør en juridisk vurdering og forsøker å få forespørsler avvist eller omdirigert til kunden. Men den endelige garantien – at data aldri kan utleveres – kunne han ikke gi.

Cloud Act overtrumfer geografiske grenser

Bakgrunnen for Microsofts begrensning ligger bl.a. i Cloud Act, en amerikansk lov fra 2018 som gir amerikanske myndigheter rett til å kreve tilgang til data som kontrolleres av amerikanske selskaper, uavhengig av hvor dataene fysisk er lagret. Selv om dataene ligger på servere i Europa, kan en amerikansk domstol pålegge Microsoft til å utlevere dem via Microsofts amerikanske morselskap.

Dette står i merkelig kontrast til det Pierre Lagarde, Microsofts tekniske direktør, forsikret om under høringen ovenfor: Fra januar 2025 vil data fra europeiske kunder ikke forlate Europa. Se også om Microsofts Sovereign Cloud nedenfor.

Det er imidlertid en forskjell i uttalelsene: Lagarde snakket om tekniske garantier – dataene flyttes ikke fysisk. Carniaux snakket om juridiske realiteter – dataene kan likevel måtte utleveres hvis en amerikansk domstol krever det. Så her trumfer lovene de tekniske mulighetene. For europeiske virksomheter er denne forskjellen vesentlig.

Trump-administrasjonen svekker tilsynsmekanismer

Usikkerheten rundt dataoverføring til USA forsterkes av utviklingen i Trump-administrasjonen. Data Privacy Framework (DPF) som ble etablert i 2023 som erstatning for Privacy Shield skal sikre at personopplysninger får tilstrekkelig beskyttelse ved overføring til USA, blant annet gjennom uavhengige tilsynsmekanismer.

Et sentralt element i DPF er Privacy and Civil Liberties Oversight Board (PCLOB), et uavhengig tilsynsorgan som skal sikre at amerikanske etterretningsaktiviteter respekterer personvern og borgerrettigheter. Men i 2025 sparket Trump-administrasjonen ut flere medlemmer av PCLOB.

Sparkingen ble senere kjent ugyldig av amerikanske domstoler, men Trump-administrasjonen har varslet anke. Situasjonen skaper betydelig usikkerhet om hvorvidt de tilsynsmekanismene som DPF bygger på, faktisk fungerer og vil fungere som forutsatt.

Men hvor lenge denne situasjonen varer, er usikkert. Dersom tilsynsmekanismene i realiteten blir uthulet, kan grunnlaget for DPF svekkes – slik det skjedde med Safe Harbor i 2015 og Privacy Shield i 2020.

EU-domstolen holder fast – foreløpig

Til tross for utviklingen har EU-domstolen i nylige avgjørelser opprettholdt at DPF fortsatt er et gyldig overføringsgrunnlag, se om avgjørelse fra EU-domstolen lenger ned.

Danske kommuner kutter Microsoft

Parallelt med den juridiske usikkerheten ser man en tydelig trend: Europeiske virksomheter søker aktivt alternativer til amerikanske teknologileverandører, dersom det foreligger alternativer.

Flere danske kommuner har besluttet å kutte ut tjenester fra Microsoft. Begrunnelsen er både de politiske forholdene i USA og økonomiske hensyn. Kommunene søker nå etter europeiske alternativer som kan gi bedre kontroll over personopplysninger.

Beslutningen illustrerer en økende skepsis i offentlig sektor mot avhengighet av amerikanske teknologigiganter, særlig når det gjelder behandling av sensitive personopplysninger om innbyggere.

Men mange mener at europeiske virksomheter er låst til amerikanske leverandører, og må derfor søke å påvirke disse så lenge det ikke finnes reelle alternativer.

EU-kommisjonen gjør endringer for å sikre bruk av Microsoft 365 i overensstemmelse med GDPR

EUs datatilsyn for EU-organer (EDPS) konstaterte i 2024 flere brudd av Kommisjonen ved bruk av Microsoft 365, blant annet knyttet til formålsbegrensning, overføring til tredjeland og manglende garantier for utlevering.  EDPS mener nå at Kommisjonens tiltak bringer bruken i samsvar med personvernforordningen for EU-institusjoner.

De viktigste forbedringene er kontraktsmessige, som tydeligere formålsbeskrivelser, begrensninger på dataoverføringer, instruksjonskontroll og restriksjoner på utlevering. Men beslutningen omtaler ikke tekniske tiltak, og kontraktene kan uansett ikke oppheve rekkevidden av amerikansk lovgivning.

Selv om Microsoft da bekrefter at selskapet ikke kan garantere at EU-data aldri utleveres ved rettskjennelse fra USA, så har EDPS likevel akseptert Kommisjonens tiltak som tilstrekkelige, trolig som et pragmatisk kompromiss snarere enn en reell løsning. Saken viser da at selv med full GDPR-etterlevelse på papiret, forblir risikoen for amerikansk myndighetsinnsyn uløst for europeiske brukere av skytjenester. Da er det ikke enkelt for oss andre «vanlige».

EDPS omtaler imidlertid saken som et betydelig fremskritt for beskyttelse av personopplysninger i EU-institusjonene, og berømmer både Kommisjonen og Microsoft for samarbeidet. De forbedrede kontraktsvilkårene er gjort tilgjengelige, men gjelder da for andre EU-institusjoner som bruker Microsoft 365. Det kan være interessant om tilsvarende tiltak også kan gjøres for andre som bruker Microsoft 365 og som er omfattet av GDPR.

Og noe godt har det ført til for andre: Microsoft har oppdatert sine databehandlervilkår som en følge av gjennomgangen med Kommisjonen. Se en god analyse av saken her.

Små fremskritt i kundekontroll

På et mer praktisk plan har noen europeiske kunder også oppnådd konkrete forbedringer i avtalene med Microsoft ved at Microsoft skal varsle kunden før nye funksjoner implementeres i Microsoft 365.

Dette kan virke som en liten detalj, men løser et kjent problem: Microsofts automatiske oppdateringer har gjentatte ganger fjernet kunders personverninnstillinger når nye funksjoner rulles ut. Med den nye avtalebestemmelsen kan kunder deaktivere funksjoner før de implementeres, og dermed beholde kontrollen over egne personverninnstillinger.

Det er et lite, men konkret skritt mot større kundekontroll i et marked der leverandørene tradisjonelt har hatt overtaket.

Amazon Web Services etablerer tysk struktur

Amerikanske leverandører søker også å tilpasse seg situasjonen for å sikre sin europeiske virksomhet. Amazon Web Services (AWS) er i ferd med å etablere et nytt (europeisk) morselskap i Tyskland. Formålet er å sikre at selskapets skyløsninger ikke omfattes av amerikansk overvåkningslovgivning gjennom en juridisk struktur der det tyske selskapet har full kontroll over dataene. Om strukturen vil gi tilstrekkelig beskyttelse, gjenstår å se, og juridiske eksperter er delte i vurderingen av om et tysk morselskap kan skjerme AWS i Europa fullstendig fra amerikanske krav.

Microsoft utvider sin Sovereign Cloud

Microsoft har også lansert en utvidelse av sin Sovereign Cloud-portefølje i Europa («sovereign» må her heller forstås som «kontrollert og jurisdiksjonsmessig avgrenset» enn «suveren».)

Dette er et nytt forsøk på å imøtekomme de regulatoriske utfordringene knyttet til bruk av amerikanske skyleverandører og amerikanske myndigheters tilgang til europeiske kunders personopplysninger etter amerikanske overvåkningslover.

Løsningen går ut på en løsning for Public Sovereign Cloud hvor data lagres og behandles innenfor EØS, underlagt europeisk lovgivning. Operasjonell drift og tilgang er begrenset til europeisk personell, og kryptering styres av kunden (kundestyrt nøkkelforvaltning). Dersom ressurser utenfor EØS involveres, skal kontrollmekanismer sikre databeskyttelsen.

I tillegg kommer det en løsning for Private Sovereign Cloud med mulighet for tjenester som Microsoft 365 på kundens eget datasenter eller via leverandører innenfor EØS. Drift og support kan holdes innenfor EØS og en løsning for National Cloud, som er skyløsninger levert gjennom selskaper med europeisk eierskap og kontroll, som dermed i større grad unntas fra amerikansk jurisdiksjon. Foreløpig tilgjengelig i Tyskland og Frankrike.

Mye av dette minner om Microsoft Germany Cloud fra 2015, som da ikke ble kommersielt bærekraftig. Denne gangen er både regulatoriske forventninger og markedets modenhet annerledes. Det gjenstår å se om dette blir kommersielt vellykket denne gangen.

Hva bør så norske virksomheter gjøre i dag?

Situasjonen er kompleks og i endring, men noen holdepunkter foreligger:

• DPF er fortsatt gyldig. Virksomheter kan juridisk sett fortsatt basere dataoverføringer til USA på grunnlag av DPF, noe som Datatilsynet bekrefter. Virksomheter som bruker amerikanske leverandører, må følge med på utviklingen og vurdere alternativer til amerikanske leverandører. Det er for øvrig mye snakk om exitstrategi fra amerikanske tjenester, og for å sikre seg mot innlåsingseffekt, som også Datatilsynet anbefaler. Samtidig er nok ikke dette så enkelt, og det er spørsmål om hvor reelt en slik exitstrategi vil kunne være for enkelte løsninger.
• Alternative grunnlag bør vurderes. Standardavtaler for dataoverføring (Standard Contractual Clauses – SCC) er alternativt overføringsgrunnlag som kan muligens gi større juridisk sikkerhet. Dette krever imidlertid at de rette forholdene er på plass, som bl.a. tekniske sikkerhetstiltak for å forhindre at sikre at amerikanske myndigheter får tilgang til opplysningene.
• Ha sikringstiltak. Selv om DPF er lovlig, så bør man uansett se på sikkerhetstiltak i tilfelle SCC må brukes. Om data som overføres kan reduseres (minimeres) eller sikres på god måte, som gjennom pseudonymisering eller anonymisering, så bør det gjøres. Dette er bra personvernmessig uansett.
• Kontraktuelle garantier må ettergås. Microsofts erkjennelse i det franske parlamentet viser at leverandørenes juridiske og tekniske garantier ikke nødvendigvis er sammenfallende, se ovenfor. Virksomheter bør stille kritiske spørsmål og se om de kan sikre seg i avtalene med leverandørene, hvis mulig.

Følg med på utviklingen. PCLOB-situasjonen, eventuelle nye EU-domsavgjørelser, og utviklingen i amerikansk overvåkningslovgivning kan alle endre rammene raskt. Det som er lovlig i dag, kan være problematisk i morgen.

Nytt kurs i GDPR

Jeg holder kurs i GDPR og personvern tirsdag 11. november 2025 kl. 09.00 – 12.00.

Kurset gir deg grunnleggende kunnskap om personvernregelverket og de viktigste pliktene din virksomhet har. Du får også ferdige maler og dokumenter som dekker det som normalt kreves av små og mellomstore virksomheter – en rask og effektiv måte å komme i gang med GDPR-arbeidet på.

Se tilbakemeldinger fra tidligere deltakere.

Se mer og meld på her: https://sandtro.no/kurs/kurs-gdpr-basis/.

Nytt regelverk

Digitalsikkerhetsloven trer i kraft – nye krav til virksomheter med samfunnskritisk betydning

Fra 1. oktober 2025 gjelder Norges første helhetlige lov om digital sikkerhet. Digitalsikkerhetsloven skal styrke motstandsdyktigheten i virksomheter som er avgjørende for samfunnet, som energi, transport, helse, vannforsyning, bank og digital infrastruktur.

Loven pålegger virksomheter å iverksette tekniske og organisatoriske sikkerhetstiltak basert på risiko, og å varsle myndighetene ved alvorlige digitale hendelser. Ansvaret for digital sikkerhet plasseres tydelig hos virksomhetenes øverste ledelse. Formålet er å sikre et felles høyt sikkerhetsnivå i nettverks- og informasjonssystemer i Norge, og å gjøre digital sikkerhet til en integrert del av virksomhetenes daglige drift.

Digitalsikkerhetsloven gjennomfører EUs NIS-direktiv, og innebærer at virksomheter som omfattes må kunne dokumentere tilstrekkelig sikkerhetsstyring fra dag én – det er ingen overgangsperiode.

I EU er NIS-direktivet erstattet av NIS2, som er en videreutvikling og utvidelse av det første NIS-direktivet. NIS2 skal etter hvert innføres i norsk rett sammen med CER-direktivet (Critical Entities Resilience) som fokuserer på motstandsdyktighet i samfunnsviktige virksomheter utenom cybersikkerhet. Lov som implementerer NIS2-direktivet vil trolig komme i løpet av 2026.

Samtidig med loven trer også digitalsikkerhetsforskriften i kraft som utfyller loven og presiserer blant annet hvilke virksomheter som omfattes, hvordan risikovurderinger og sikkerhetstiltak skal gjennomføres, og hvordan varsling av digitale hendelser skal skje.

Med loven skal både myndigheter og virksomheter få klarere ansvar, sterkere tilsyn og mulighet for sanksjoner som overtredelsesgebyr, som skal markere et viktig steg mot bedre digital beredskap og større motstandskraft i kritisk infrastruktur i Norge.

Selv om det skrives mye om loven, som kan gi et inntrykk at alle må innrette seg etter den, så er det viktig at den omfatter bare virksomheter som har særlig betydning for samfunnet, nærmere bestemt:

• tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, og
• tilbydere av digitale tjenester som skytjenester, digitale markedsplasser og søkemotorer.

Forskriften til loven presiserer virkeområdet nærmere og omfatter totalt 28 kategorier av virksomheter som anses å ha særlig betydning for samfunnets funksjonsevne og sikkerhet. Virksomheter utenfor disse sektorene omfattes ikke av loven, med mindre de senere blir utpekt av myndighetene eller omfattes indirekte som leverandører til virksomheter som er underlagt loven (leverandørkjeden). NSM har også gitt ut en veileder til loven og forskriften. Ulike sektorer har egne tilsynsmyndigheter, og NSM fører tilsyn med virksomheter som ikke har en sektortilsynsmyndighet.

DORA-loven i kraft fra 1. juli 2025

Lov om digital operasjonell motstandsdyktighet i finanssektoren har trådt i kraft. Som skrevet om i tidligere nyhetsbrev, implementerer loven EU-forordningen Digital Operational Resilience Act (DORA). Loven har som formål å styrke finansforetakenes evne til å håndtere og beskytte seg mot IKT-risiko og digitale trusler for å sikre finansiell stabilitet. Det stilles krav i DORA til foretakenes risikostyring, avtaler om bruk av IKT-tjenester, felleseuropeisk overvåking av kritiske IKT-leverandører og tilsyn og tilsynsarbeid.

DORA vil gjøre at kravene til foretakene i den norske finanssektoren styrkes, selv om det norske regelverket ellers og tilsynsmessige oppfølging (da spesielt knyttet til IKT-forskriften) bygger på de samme prinsippene som de nye kravene. Selve loven består av bare fem paragrafer – hvor den viktigste viser til at DORA-forordningen er norsk rett, men åtte andre lover endres som følge av loven. Det er Finanstilsynet som er tilsynsorgan.

Forslag til norsk KI-lov

Digitaliserings- og forvaltningsdepartementet har gjort tilgjengelig forslag til ny norsk KI-lov på høring. Høringsfristen gikk ut 30. september, og loven forventes å tre i kraft sensommeren 2026.

Loven gjennomfører EUs KI-forordning (AI Act) i norsk rett med et risikobasert regime som ligner GDPR. Den gjelder på tvers av verdikjeden – fra leverandører og importører til idriftssettere og distributører – og får virkning over landegrensene i EØS uavhengig av hvor løsningen er etablert.

Fire risikonivåer styrer kravene, se illustrasjon nedenfor. Forbudte praksiser omfatter manipulerende KI-teknikker og «social scoring» av borgere, og trådte i kraft i EU allerede 2. februar i år. Høyrisikosystemer – som KI brukt innen helse, utdanning, ansettelser og rettspleie – må registreres/sertifiseres og møte strenge krav til risikovurdering, dokumentasjon, sikkerhet, transparens og menneskelig kontroll. Systemer med begrenset risiko, som chatboter og KI-generert innhold, får primært åpenhetskrav. De fleste KI-systemer faller i kategorien minimal risiko uten særlige krav, men frivillige ordninger. Store språkmodeller (som ChatGPT og Claude) reguleres særskilt med krav til åpenhet om treningsdata og overholdelse av opphavsrett.

Unntak fra loven gjelder blant annet rent personlige aktiviteter, ren forskning før markedsføring, militære formål og visse løsninger med åpen kildekode. Berørte personer får rett til informasjon, forklaring og klage på automatiserte avgjørelser.

Nkom foreslås som koordinerende tilsynsmyndighet, med Datatilsynet og andre sektormyndigheter på sine områder. Sanksjoner kan nå opptil 35 millioner euro eller 7 % av global omsetning ved de mest alvorlige bruddene – også offentlig sektor kan ilegges overtredelsesgebyr. Altså enda strengere enn GDPR.

Forslaget innebærer også etablering av en nasjonal regulatorisk sandkasse for trygg utprøving av nye løsninger, driftet av Digitaliseringsdirektoratet i samarbeid med Nkom og Datatilsynet.

EU arbeider også med «Cloud and AI Development Act» som kan bli en forordning for å styrke EUs kapasitet på skytjenester og KI-infrastruktur, samt øke sikkerhet hos europeiske skyleverandører. Så dette er regelverk som er i bevegelse.

Hva bør virksomheter gjøre? De som omfattes av loven bør kartlegge egen bruk av KI i løsninger og produkter, vurdere leverandørkjeden, klassifisere risikokategori, oppdatere internkontroll og innkjøpsprosesser, samt innføre rutiner for dokumentasjon og merking av KI-bruk. Men merk at det er ulike rollene innenfor loven som pålegger ulike plikter, som leverandører (providers), idriftssettere (deployers), distributører og produkttilvirkere. Så det er stor forskjell på hvor mye man påvirkes av loven.

Forslag til lov om digitale tjenester

Regjeringen har sendt ut forslag til lov om digitale tjenester på høring. Høringsfristen gikk ut 1. oktober, og loven forventes å tre i kraft sommeren 2026. Loven gjennomfører EUs forordning om digitale tjenester (DSA) i norsk rett – et regelverk som allerede gjelder i EU fra 2024.

DSA skal gjøre internett tryggere og gi sterkere beskyttelse for brukere, særlig barn som beskyttes mot målrettet reklame og manipulerende design. Loven stiller strengere krav til store teknologiselskaper som Google, Meta, TikTok og Amazon.

Konkrete forbud og krav i loven:

• Slutt på overvåkingsbasert markedsføring mot barn: Plattformer som Meta, Google, TikTok og Amazon får ikke lenger lov til å vise målrettet reklame til mindreårige.
• Beskyttelse av sensitive personopplysninger: Forbud mot målrettet reklame basert på legning, etnisitet og religion.
• Forbud mot manipulativt design: Dark patterns som «lurer» brukere til å samtykke blir forbudt.
• Transparens: Reklame skal være gjenkjennelig, med informasjon om hvem som står bak og hvorfor du blir vist den.
• Enklere varsling: Lettere å melde fra om ulovlig innhold.

De største plattformene må gjennomføre risikovurderinger for spredning av ulovlig innhold, valgmanipulasjon, desinformasjon og brukernes fysiske og psykiske helse.

Nkom blir nasjonal koordinator, mens Datatilsynet, Medietilsynet og Forbrukertilsynet får ansvar på sine fagområder. Datatilsynet skal føre tilsyn med personverndelen, inkludert overvåkingsbasert markedsføring og beskyttelse av barn.

For de største plattformene (med over 45 millioner europeiske brukere) vil håndhevingen skje på EU-nivå, ikke av norske myndigheter. Norske myndigheter får dermed en koordinerende, men ikke sanksjonsrett overfor de største aktørene.

Lovgivning for å styrke barns trygghet på nett

Regjeringen har sendt ut to lovforslag på høring for å styrke barns trygghet på nett. Høringsfristen gikk ut 7. oktober, og lovene forventes å tre i kraft i løpet av 2026. Forslagene fikk massiv respons – over 8 000 høringssvar, noe som gjør det til den femte mest kommenterte høringen i norsk historie.

Det første forslaget innfører en absolutt aldersgrense på 15 år for bruk av sosiale medier. Tilbyderne får ansvar for å verifisere at brukere er over 15 år gjennom effektiv alderskontroll. Loven definerer sosiale medier som tjenester der brukere kan opprette profiler, knytte seg til nettverk og dele innhold uten redaksjonell kontroll.

Viktige unntak gjelder for dataspill, kommunikasjonstjenester knyttet til skole og fritidsaktiviteter, meldingstjenester (som primært brukes til privat kommunikasjon, og ikke offentlig innholdsdeling), og handelsplattformer som Finn.no og Tise. Regjeringen vurderer også om algoritmestyrt innholdsstrøm skal inngå i definisjonen av sosiale medier.

Det andre forslaget hever aldersgrensen for når barn selv kan samtykke til behandling av personopplysninger fra 13 til 15 år. Dette får konsekvenser for alle digitale tjenester som samler inn data fra brukere, ikke bare sosiale medier. Under 15 år må derfor foreldre samtykke til behandling av barnets personopplysninger ved bruk av slike tjenester.

Krav til aldersverifisering er det mest omdiskuterte elementet i forslagene. Regjeringen stiller krav til teknologiselskapene om å sikre effektiv aldersverifisering, men ønsker ikke at Norge utvikler en egen løsning. Datatilsynet støtter intensjonen bak forslaget, men er kritisk til at konsekvensene ved aldersverifisering ikke er grundig nok utredet – særlig personvernimplikasjoner for alle brukere, ikke bare barn. De peker også på manglende utredning av hvilke tekniske løsninger som finnes, og risikoen for at barn omgår nasjonale regler.

Det er foreløpig ikke avklart hvilken myndighet som skal føre tilsyn med reglene. Ved overtredelser kan tilbyderne ilegges overtredelsesgebyr og tvangsmulkt. Regjeringen jobber nå med å gjennomgå høringssvarene før endelig lovforslag fremmes for Stortinget.

Ny lov om personopplysninger i idretten

Det er også kommet en lov som gir Norges idrettsforbund og deres organisasjonsledd mulighet til å behandle sensitive personopplysninger og opplysninger om straffedommer når det er nødvendig for å forebygge, avdekke eller reagere mot seksuelle overgrep, trakassering eller vold i idretten. Loven trådte i kraft 1. juli og skal sikre trygge rammer for barn og unge som deltar i idretten.

Idrettslag og forbund kan nå systematisk følge opp varsler og domfellelser mot trenere og tillitspersoner, og dele informasjon mellom organisasjonsledd for å forhindre at overgripere beveger seg mellom ulike idrettslag. Loven tydeliggjør at idrettens håndtering skal supplere, ikke erstatte, politiets arbeid. I forbindelse med behandlingen ba Stortinget også regjeringen utrede om hele frivilligheten skal få tilsvarende mulighet, ikke bare idretten.

Styrket sikkerhet for helsedata

Regjeringen har fremmet forslag til endringer i pasientjournalloven, helseregisterloven og helsepersonelloven for å styrke sikkerheten og personvernet i helse- og omsorgstjenesten. Endringene er nødvendige for å møte en skjerpet sikkerhetspolitisk situasjon og den teknologiske utviklingen, inkludert bruk av kunstig intelligens.

Den teknologiske utviklingen har gjort det mulig for trusselaktører å utnytte store datasett med helsedata som tidligere ble ansett som ufarlige. Forslaget innfører derfor strengere krav til sikkerhetstiltak. Virksomheter som leverer helsetjenester må gjennomføre risikovurderinger av sine nettverks- og informasjonssystemer, og vurderingen av forsvarlig sikkerhetsnivå skal ta hensyn til både teknologisk utvikling og samfunnskritiske funksjoner.

Høringsinstansene deler i hovedsak departementets syn på risikobildet og sikkerhetsutfordringene helse- og omsorgstjenesten står overfor, og det er bred enighet om behovet for oppdaterte og effektive sikkerhetstiltak.

EUs Data Act er på vei – hva betyr det for norske virksomheter?

EUs dataforordning (Data Act) ble vedtatt i desember 2023 og gjelder i EU fra 12. september 2025. Forordningen er ikke innlemmet i EØS-avtalen ennå, men anses som EØS-relevant og forventes å bli norsk lov. Norske virksomheter som opererer i EU, må uansett forholde seg til regelverket allerede nå.

Data Act er EUs svar på at enorme mengder verdifulle data låses inne i tilkoblede produkter – fra smarte kjøleskap og biler til industrielle sensorer og maskiner. Der GDPR ga enkeltpersoner kontroll over egne personopplysninger, gir Data Act brukere rett til å få tilgang til og dele data som produktene deres genererer.

Sentrale elementer i Data Act:

• Brukerrettigheter: Både privatpersoner og virksomheter kan kreve ut og dele data fra tilkoblede produkter de bruker. Dette er noe tilsvarende som portabilitetsrettighetene etter GDPR artikkel 20.
• Krav til produsenter: Nye produkter må fra september 2026 designes slik at data enkelt kan deles.
• Rettferdige avtaler: Regler mot urimelige kontraktsvilkår i datadeling mellom virksomheter gjelder fra september 2027. Deling skal skje på rettferdige, rimelige og ikke-diskriminerende vilkår.
• Skyportabilitet: Leverandører av skytjenester må legge til rette for leverandørbytte, og gebyrer for bytte må fjernes innen januar 2027.
• Myndigheters tilgang: Offentlige organer kan i ekstraordinære tilfeller (kriser, naturkatastrofer) kreve tilgang til data fra private aktører.
• Beskyttelse mot tredjeland: Reglene skal hindre uautorisert datatilgang fra land utenfor EU.

Hvert EU-land skal utpeke tilsynsmyndigheter. I Norge er Nasjonal kommunikasjonsmyndighet (Nkom) aktuell som tilsynsmyndighet.

Norske virksomheter bør forberede seg nå. IoT-produsenter må kartlegge hvilke data produktene genererer og etablere rutiner for utlevering. Leverandører må tilrettelegge for portabilitet for data i løsningene. Kontrakter må gjennomgås for å sikre vilkår i overensstemmelse med regelverket, og her vil EU-kommisjonen publiserer veiledende bestemmelser til avtaler i løpet av 2025.

Datatilsynet og Personvernnemda

Datatilsynet kan ikke føre tilsyn med domstolenes behandling av personopplysninger i rettssaker

Personvernnemnda har stadfestet at Datatilsynet ikke har myndighet til å føre tilsyn med hvordan domstolene behandler personopplysninger i sivile rettssaker. Dette betyr at man ikke kan klage til Datatilsynet dersom man mener en domstol har behandlet personopplysninger feil i en pågående eller avsluttet rettssak.

Saken gjaldt en kvinne som hadde reist en sivil sak ved Oslo tingrett og senere ba om innsyn i personopplysningene tingretten hadde om henne, i tråd med GDPR. Hun mente dokumentasjon i saken hadde kommet bort, og at dommen ble avsagt på feilaktig grunnlag. Da tingretten ikke ga henne innsyn, klaget hun til Datatilsynet. Datatilsynet avviste klagen fordi saker etter tvisteloven omfattes av rettspleielovunntaket i personopplysningsloven § 2(2)(b), som sier at personopplysningsloven ikke gjelder for behandling av personopplysninger som ledd i domstolers virksomhet. Personvernnemnda bekreftet Datatilsynets avgjørelse.

Personvernnemnda påpeker at det ikke er helt klart om GDPR i det hele tatt gjelder for domstolenes virksomhet. Personvernforordningens fortalepunkt 20 sier uttrykkelig at forordningen får anvendelse på domstolers virksomhet, og flere av forordningens bestemmelser forutsetter dette. Samtidig la norske lovforarbeider til grunn at EØS-retten ikke forplikter Norge til å la GDPR gjelde for rettspleien, og personopplysningsloven § 2(2)(b) unntar saker som behandles etter rettspleielovene.

Nemnda fant det imidlertid ikke nødvendig å ta stilling til dette spørsmålet. Uavhengig av om domstolene er bundet av GDPR i sin virksomhet, er Datatilsynets tilsynskompetanse begrenset når det gjelder domstolenes behandlingsaktiviteter innenfor deres domsmyndighet. Dette følger av GDPR artikkel 55(3). Et eventuelt tilsyn med domstolenes etterlevelse av personvernreglene må i så fall skje på annen måte.

I praksis betyr avgjørelsen at Datatilsynet ikke kan behandle klager på domstolenes behandling av personopplysninger i rettssaker. Den som mener personopplysninger er brukt feil i en rettssak, kan ta kontakt med Personvernombudet i Norges domstoler for veiledning. Rettssikkerheten ivaretas primært gjennom prosessreglene i tvisteloven og domstolenes egne kontrollordninger.

Datatilsynet må selv vurdere behandlingsgrunnlag i barnevernssaker med helseopplysninger

Personvernnemnda har opphevet et vedtak fra Datatilsynet som avsluttet en klagesak om barnevernstjenestens behandling av helseopplysninger. Nemnda slår fast at Datatilsynet ikke kan henvise til manglende barnevernfaglig kompetanse for å unnlate å vurdere om kommunen hadde behandlingsgrunnlag etter personvernforordningen.

Saken gjaldt en kvinne som fikk sine helseopplysninger, inkludert informasjon om en diagnose, utlevert av barnevernet til ektemannens ekskone. Barnevernstjenesten innhentet først opplysningene fra kvinnens fastlege i forbindelse med to parallelle undersøkelsessaker – én om hennes eget barn og én om ektemannens barn fra tidligere ekteskap. Opplysningene ble deretter overført mellom de to sakene før utlevering til ekskonen. Barnevernet la til grunn at opplysningene var av «vesentlig betydning» for at moren kunne ivareta sitt foreldreansvar og vurdere samvær. Fastlegen ba flere ganger om at opplysningene ikke skulle utleveres og var ikke bekymret for omsorgsevnen.

Kvinnen klaget så til Datatilsynet i juli 2023, og Datatilsynet avsluttet saken i april 2024 med at det ikke var sannsynliggjort brudd på GDPR. Tilsynet begrunnet dette med manglende barnevernfaglig kompetanse til å overprøve kommunens skjønnsmessige vurderinger. For både overføringen mellom sakene og utleveringen til ekskonen konkluderte Datatilsynet med at kommunens vurdering «anses forsvarlig».

Personvernnemnda kritiserer begrunnelsen som mangelfull på begge punkter og understreker at den «etterlater tvil om Datatilsynet har tatt stilling til de spørsmål saken reiser på selvstendig grunnlag». Henvisning til barnevernfaglig skjønn fritar ikke tilsynet fra å gjøre en personvernrettslig vurdering. Datatilsynet har plikt til å føre tilsyn etter GDPR artikkel 57(1)(a) og må selv ta standpunkt til behandlingsgrunnlaget.

For all behandling må kommunen påvise grunnlag i GDPR artikkel 6(1)(c) eller (e), støttet av supplerende hjemmel i nasjonal rett, herunder barnevernsloven. For helseopplysninger må vilkårene i GDPR artikkel 9(2) være oppfylt. Ved overføring mellom saker må Datatilsynet vurdere nødvendighet, formålsbegrensning og dataminimering etter artikkel 5(1)(b) og (d), samt eventuelt artikkel 6(4) ved formålsendring. Ved utlevering til tredjeperson må tilsynet vurdere om behandlingen faktisk er nødvendig eller om formålet kan oppfylles på en mindre inngripende måte. EU-domstolen har vurdert nødvendighetskravet strengt. Selv om forvaltningsloven §§ 18 og 19 regulerer partsinnsyn i barnevernssaker, gjelder personvernreglene samtidig når opplysninger deles.

I praksis må kommuner dokumentere konkret hvorfor helseopplysninger er nødvendige, hvilket rettsgrunnlag som bærer behandlingen, og om det finnes mindre inngripende alternativer. For Datatilsynet innebærer avgjørelsen at saker ikke kan avsluttes med henvisning til manglende fagkompetanse, men må følges opp med selvstendig vurdering og eventuelt pålegg eller reaksjoner. Saken er returnert til Datatilsynet for ny behandling.

Datatilsynet anbefaler ikke bruk av BCR som grunnlag for overføring til tredjeland

Datatilsynet skal ha uttalt på et personvernkurs at bindende virksomhetsregler (Binding Corporate Rules – BCR) etter GDPR artikkel 47, som er et avtaleverk mellom konsernselskaper for å gi sikkerhet og grunnlag for overføring av personopplysninger til land utenfor EØS (tredjeland) i konsernet, ikke er anbefalt.

Å få på plass BCR er meget ressurskrevende både for konsernet og for datatilsynene. Det er en tung og krevende prosess som innebærer mange tiltak i konsernet og godkjenning fra Datatilsynet og i EUs personvernråd. Det er heller ikke mange konsern som har gått gjennom denne prosessen, og nytteverdien er tvilsom siden de alternative overføringsgrunnlagene som DPF og SCC kan være vel så effektive. Personlig har jeg aldri anbefalt å gå gjennom denne prosessen, og heller se på alternativer.

Datatilsynet skal derfor nå ikke anbefale bruk av BCR, som er spesielt siden dette er en mulighet under GDPR, men samtidig så er erfaringen at alle deler av GDPR er ikke så praktiske. Kanskje dette tas tak i den fremtidige revisjonen av GDPR, når den kommer.

Klagerett også på Datatilsynets reaksjonsvalg

Sivilombudet har slått fast at personer som klager til Datatilsynet har rett til å få overprøvd hele tilsynets avgjørelse – inkludert valget av reaksjon mot virksomheten som har begått bruddet.

Avgjørelsen kom etter at Personvernnemnda tidligere hadde avvist en klage på Datatilsynets valg av reaksjon. Saken gjaldt en arbeidsgiver som hadde gjennomført innsyn i en ansatts e-postkasse etter mistanke om underslag. Datatilsynet konkluderte med at arbeidsgiveren hadde brutt flere bestemmelser i GDPR – inkludert ansvarlighet, åpenhet, forhåndsvarsling og dataminimering – men valgte å gi irettesettelse fremfor overtredelsesgebyr. Den ansatte ville klage på at arbeidsgiveren ikke fikk strengere reaksjon.

Personvernnemnda avviste først klagen med den begrunnelse at den ansatte ikke hadde klagerett over reaksjonsvalget, siden irettesettelsen ikke hadde rettslige virkninger for henne personlig. Sivilombudet kom imidlertid til motsatt konklusjon. Ombudet la til grunn at klageretten etter forvaltningsloven ikke kan være snevrere enn retten til domstolsprøving etter GDPR. Siden GDPR gir rett til full domstolsprøving av tilsynets avgjørelse – inkludert valget av reaksjon – må også klageadgangen omfatte dette. Saken ble derfor sendt tilbake til Personvernnemnda for ny behandling.

Konsekvensene av Sivilombudets uttalelse er at enkeltpersoner som klager til Datatilsynet har i utgangspunktet rett til å få vurdert hele tilsynets avgjørelse – ikke bare om det foreligger regelbrudd, men også om valget av reaksjon. Dette styrker den enkeltes mulighet til å sikre effektiv håndheving av personvernreglene.

EDPB publiserer veileder for håndtering av forespørsler om personopplysninger fra myndigheter

Det europeiske personvernrådet (EDPB) har publisert nye retningslinjer for hvordan virksomheter skal håndtere forespørsler fra myndigheter i tredjeland om utlevering av personopplysninger.

Retningslinjene konkretiserer anvendelsen av GDPR artikkel 48, som fastslår at dommer eller vedtak fra myndigheter utenfor EØS ikke automatisk kan anerkjennes eller håndheves i EU. Et slikt vedtak kan bare legges til grunn dersom det bygger på en internasjonal avtale mellom det aktuelle tredjelandet og EU eller en medlemsstat.

Hvis myndigheter i land utenfor EØS ber en europeisk virksomhet om å utlevere personopplysninger, kan ikke bedriften bare etterkomme forespørselen uten videre.

EDPB presiserer at all utlevering av personopplysninger til myndigheter utenfor EØS regnes som en overføring. Dette innebærer at virksomheten må ha både et behandlingsgrunnlag etter GDPR artikkel 6 og et overføringsgrunnlag etter GDPR kapittel V.

En internasjonal avtale mellom EØS-staten og det aktuelle landet kan dekke begge disse kravene. Dersom slik avtale mangler eller ikke gir tilstrekkelige garantier (GDPR artikkel 46), må virksomheten vurdere andre løsninger, for eksempel unntaksbestemmelsene i GDPR artikkel 49.

Retningslinjene er særlig relevante for virksomheter med internasjonal virksomhet, teknologiselskaper, skylagringstjenester og konsernselskaper med datterselskaper utenfor EØS.

EU-domstolen

EU-domstolen opprettholder EU-US Data Privacy Framework tross Trump-administrasjonens inngrep i tilsynsmekanismer

EU-domstolens førsteinstans har avvist et søksmål som utfordrer EU-kommisjonens adekvansbeslutning for EU-US Data Privacy Framework (DPF). Søksmålet ble fremmet under Biden-administrasjonen, men dommen er avsagt etter de kontroversielle inngrep som Trump-administrasjonen har gjort overfor de uavhengige tilsynsmekanismene som skulle sikre DPFs legitimitet, se ovenfor i nyhetsbrevet.

Bakgrunn for saken er at Philippe Latombe, et fransk parlamentsmedlem, utfordret kommisjonens beslutning i juli 2023 om at USA har et tilstrekkelig beskyttelsesnivå for personopplysninger om EU-borgere. Latombe anførte at Data Protection Review Court (DPRC), etablert ved Bidens presidentordre (EO 14086), ikke er en uavhengig domstol og ikke gir effektiv rettsbeskyttelse etter EU-charteret artikkel 47 og GDPR artikkel 45(2). DPRC er et organ under justisdepartementet opprettet da ved en presidentordre, noe Latombe mente gjorde organet sårbart for politisk innblanding. Domstolen forkastet dette og konkluderte at DPRC har tilstrekkelige garantier, blant annet fordi dommere kun kan avsettes av justisministeren av saklige grunner, og at Privacy and Civil Liberties Oversight Board (PCLOB) skulle føre årlig tilsyn. Innsigelser om uforholdsmessig overvåking, utilstrekkelig vern mot automatiserte avgjørelser (GDPR artikkel 22) og manglende sikkerhet (GDPR artikkel 32) ble også avvist.

Avgjørelsen kommer imidlertid i problematisk kontekst som nevnt ved Trums grep ved å fjerne alle tre demokratiske PCLOB-medlemmene, se om overføring til overføring av personopplysninger til USA ovenfor i nyhetsbrevet. Dette fratok PCLOB sin evne til å utføre den årlige oversikten av DPRC som var sentral i kommisjonens adekvansbeslutning. PCLOB er faktisk nevnt 31 ganger i beslutningen som nøkkelgaranti for DPRCs uavhengighet. Som nevnt ovenfor fant en amerikansk føderal dommer at to av oppsigelsene ulovlige, men PCLOB mangler fortsatt beslutningsdyktighet. Latombe-saken ble behandlet i muntlig høring i april 2025, etter PCLOB-hendelsene, men dommen nevner dem ikke direkte.

Max Schrems (ja, han fra Schrems I og II) har uttalt at det er «svært overraskende» at EU-domstolen finner DPRC tilstrekkelig uavhengig når Trump har fjernet uavhengige tilsynsmedlemmer, og vurderer å ta DPF inn for domstolene.

I praksis kan derfor DPF fortsatt brukes som overføringsgrunnlag, og norske virksomheter kan benytte ordningen som alternativ til standardkontrakter så lenge mottakeren er DPF-sertifisert. Datatilsynet har presisert at deres anbefaling om å tenke beredskap og å ha en strategi for alternative løsninger, gjelder fortsatt.

Pseudonymisering fritar ikke fra informasjonsplikt ved datainnsamling

EU-domstolen har i en avgjørelse slått fast at behandlingsansvarliges informasjonsplikt gjelder uavhengig av om personopplysninger pseudonymiseres før overføring til tredjepart. I henhold til Regulation 2018/1725 (IDPR), personvernforordningen for EU-institusjoner som tilsvarer GDPR, skal vurderingen av informasjonsplikten gjøres fra behandlingsansvarliges perspektiv på innsamlingstidspunktet, ikke fra mottakers perspektiv etter overføring.

Saken gjaldt Single Resolution Board (SRB) som overførte pseudonymiserte tilbakemeldinger fra aksjonærer og kreditorer til konsulentselskapet Deloitte uten å informere de berørte. SRB hevdet at pseudonymiseringen gjorde at opplysningene ikke utgjorde personopplysninger fra Deloittes perspektiv. EUs datatilsyn (EDPS) fant at SRB hadde brutt informasjonsplikten i IDPR artikkel 15(1)(d).

Domstolen slår fast at vurderingen av informasjonsplikten skal gjøres fra behandlingsansvarliges perspektiv på innsamlingstidspunktet. Samtidig bekreftet domstolen at pseudonymiserte data kan være personopplysninger for behandlingsansvarlig som har re-identifikasjonsnøkkelen, men ikke for mottakeren som mangler denne. Dette innebærer at selv om dataene ikke er personopplysninger for mottakeren, må behandlingsansvarlig oppfylle informasjonsplikten hvis dataene var personopplysninger ved innsamlingen.

Informasjonsplikten er del av rettsforholdet mellom registrert og behandlingsansvarlig, og formålet er å sette registrerte i stand til å beslutte om de vil gi fra seg personopplysningene før de innhentes og overføres. For vurdering av informasjonsplikten er det derfor irrelevant om opplysningene utgjorde personopplysninger fra mottakerens (Deloittes) perspektiv etter overføringen.

I praksis betyr avgjørelsen at behandlingsansvarlige ikke kan unngå informasjonsplikt ved å pseudonymisere personopplysninger før overføring til tredjepart. Informasjonen om mottakere må gis til registrerte på innsamlingstidspunktet, uavhengig av hvilke tekniske eller organisatoriske tiltak som iverksettes for å begrense identifiserbarhet hos mottaker. Dommen har praktisk betydning for både EU-organer og private virksomheter som bruker tredjepartsleverandører.

Dette styrker registrertes kontroll over egne personopplysninger og mulighet til å ta informerte beslutninger om utlevering. Dommen er i overensstemmelse med tidligere praksis i EU-domstolen (for GDPR), og har praktisk betydning for både EU-organer og private virksomheter som bruker tredjepartsleverandører (for sistnevnte etter GDPR).

Tap av kontroll over personopplysninger kan gi erstatning for uro og frykt

EU-domstolen har behandlet en sak der en tysk bank ved en feiltakelse sendte konfidensielle personopplysninger om en jobbsøker til en tredjepart. Den registrerte krevde både et rettslig påbud mot fremtidige brudd og erstatning for ikke-økonomisk skade fra banken, som lå i bekymringen for at personopplysningene kunne skade hans omdømme eller brukes mot ham i fremtidige jobbsøknader.

Domstolen slo fast at GDPR ikke gir noen selvstendig rett til å få et forbud mot fremtidige overtredelser som et preventivt tiltak. Artikkel 17 (sletting) og artikkel 18 (begrensning) gir spesifikke rettigheter, men ikke generelle påbud mot fremtidig ulovlig behandling. Heller ikke retten til domstolsprøving i artikkel 79 gir grunnlag for slike påbud. Samtidig presiserte domstolen at nasjonal rett kan åpne for dette, og at GDPR ikke er til hinder for slike regler.

Når det gjelder erstatning, klargjorde domstolen at ikke-økonomisk skade etter GDPR artikkel 82(1) også kan omfatte følelser som uro, frykt eller irritasjon, dersom disse er forårsaket av tap av kontroll over egne opplysninger, risiko for misbruk eller skade på omdømme. Det er ingen nedre terskel for hvor alvorlige følelsene må være, men den registrerte må bevise at følelsene faktisk eksisterer med reelle negative konsekvenser. Erstatningen skal være rent kompenserende og dekke skaden fullt ut. Graden av skyld hos den behandlingsansvarlige spiller ingen rolle for beløpet, og et eventuelt nasjonalt påbud kan ikke redusere eller erstatte retten til økonomisk kompensasjon. EU-domstolen fastslo prinsippene for erstatning, men overlot til tyske domstoler å fastsette det konkrete beløpet.

I praksis innebærer dommen at virksomheter må være forberedt på erstatningskrav også ved mindre alvorlige feil, forutsatt at den registrerte kan bevise reelle negative følelser som følge av bruddet. Samtidig må rettslige påbud mot fremtidig ulovlig behandling forankres i nasjonale regler, da GDPR ikke gir selvstendig grunnlag for slike påbud.

Avgjørelsen understreker behovet for tydelige rutiner for tilgangsstyring og håndtering av personopplysninger, samt viktigheten av å kunne dokumentere behandlingsgrunnlag og sikkerhetstiltak for å unngå erstatningsansvar. Dommen innebærer også at selv mindre feil – som å sende en e-post til feil mottaker eller feilaktig dele kundedata – kan utløse erstatningskrav dersom mottakeren kan dokumentere bekymring, uro eller frykt som følge av tapet av kontroll over egne opplysninger.

Kunstig intelligens

Se også forslag til ny KI-lov ovenfor om nytt regelverk.

EU holder fast på tidslinjen for AI Act og avviser press om utsettelse. Det som begynte som entusiasme rundt AI Act har gradvis blitt erstattet av praktiske utfordringer og intensiv lobbying for utsettelse. Over 40 europeiske selskaper, blant dem ASML, Philips, Siemens og Mistral, sendte åpent brev til EU-kommisjonen med krav om «to-års pause» for å gi bedrifter tid til implementering. Amerikanske giganter som Alphabet og Meta støttet opp, og foreslo en «stopp-klokka»-mekanisme der frister kobles til når veiledning faktisk er klar, ikke faste kalenderdatoer. Polen foreslo pause, Tsjekkia ønsker minst to års forsinkelse, og selv EUs digitalsjef Henna Virkkunen åpnet tidligere for mulige utsettelser.

Det blir imidlertid ingen utsettelse. «La meg være så klar som mulig: Det blir ingen stopp av klokka, ingen utsettelse og ingen pause» sa kommisjonens talsmann Thomas Regnier i juli. Fristene skal følges: August 2025 for krav til general purpose AI (GPAI) og august 2026 for høyrisiko-AI. Avgjørelsen viser et ønske om å bevare EUs troverdighet som lovgiver og sikre at Europa beholder sin ledende rolle innen AI-regulering – utsettelser ville svekket denne posisjonen.

AI-selskaper som har signert EUs generative AI Code of Practice. EU-kommisjonen har publisert listen over AI-selskaper som har signert EUs generative AI Code of Practice. De fleste store leverandører har sluttet seg til den frivillige ordningen, som gir reduserte administrative byrder, men ikke erstatter pliktene under AI Act. Selskaper som ikke signerer, risikerer hyppigere kontroller fra kommisjonen.

Blant de som har signert er OpenAI, Google, Anthropic, Mistral og Microsoft. Men det er viktige fraværende: Meta har valgt å ikke signere i det hele tatt, Elon Musks xAI vil bare forplikte seg delvis, og ingen kinesiske AI-selskaper har sluttet seg til ordningen.

Veileder for bruk av kunstig intelligens på norske arbeidsplasser er kommet fra Regjeringen. Veilederen har konkrete sjekklister, eksempler fra norske organisasjoner og korte forklaringer av regelverk og teknologi, og er utarbeidet av en gruppe nedsatt av Digitaliserings- og forvaltningsdepartementet, bestående av medlemmer fra både akademia, næringsliv og offentlig sektor.

EU lanserer standardbestemmelser for anskaffelse av kunstig intelligens. EU-kommisjonens Public Buyers Community har publisert nye modellklausuler for offentlige anskaffelser av KI. Selv om bestemmelsene er laget for offentlig virksomhet, vil de kunne benyttes av private virksomheter som «best practice». Klausulene bygger på kravene til høyrisiko-systemer i KI-forordningen (AI Act) og skal bidra til ansvarlig og risikobasert bruk av KI. Det er utarbeidet to versjoner: Én for høyrisiko-KI og én «light»-versjon for systemer med lavere risiko, samt dokument med kommentarer. Begge klausulsettene dekker blant annet krav til risikohåndtering, datastyring, dokumentasjon, sikkerhet og åpenhet. Bestemmelsene kan brukes som verktøy for å sikre etterlevelse, transparens og redusert rettslig risiko, selv om bruken ikke er obligatorisk.

Advokatforeningens utvalg for advokatetikk har utarbeidet veiledning for bruk av kunstig intelligens (KI) i advokatvirksomhet. Veiledningen har til formål å veilede advokater og advokatfirmaer som ønsker å forstå og potensielt bruke KI-teknologi i advokatvirksomhet. Selv om veiledningen er for advokater, kan den trolig være av interesse for andre som skal ta i bruk KI også.

KI, biometri og nettsøk er ingrediensene i en sak fra NRK hvor ansiktsgjenkjenningsverktøyet PimEyes ble testet. Her ble det funnet barnebilder av journalisten – bilder hun aldri hadde sett før. Tjenesten bruker biometriske data og tråler nettet etter lignende ansikter, og hevder å ha milliarder av bilder i databasen. Til tross for selskapets løfter om å filtrere ut barnebilder, dukket flere slike opp. Datatilsynet omtaler tjenesten som «dypt problematisk» og peker på at den kan misbrukes til overvåking og forfølgelse. Saken illustrerer hvor lett man kan miste kontrollen over egne bilder på nettet, og at de kan dukke opp igjen med ny teknologi.

Videreformidling av kontaktinfo falt utenfor GDPR – roklubb og styremedlem frifunnet i Oslo tingrett

Oslo tingrett har frifunnet både en roklubb og et styremedlem i et erstatningssøksmål der en person som ønsket å bli medlem i roklubben krevde opp til 200.000 kroner i oppreisning for påståtte brudd på GDPR. Bakgrunnen var at styremedlemmet videreformidlet personens navn og telefonnummer til personens tidligere kjæreste og hennes nye partner.

Retten la til grunn at personen tok kontakt med styremedlemmet privat via WhatsApp om roaktiviteter, men at kommunikasjonen utviklet seg til å gjelde private forhold rundt personen og dennes tidligere kjæreste. Videreformidlingen ble derfor ansett som «rent personlige aktiviteter» etter GDPR artikkel 2(2)(c), og forordningen kom ikke til anvendelse. Det var dermed ikke grunnlag for erstatning etter artikkel 82 eller oppreisning etter personopplysningsloven § 30.

Retten avviste at styremedlemmet handlet som behandlingsansvarlig/databehandler for klubben i denne sammenhengen.

Saken viser grensene mellom GDPR og private aktiviteter, som har vært tema i flere saker i Personvernnemda, samt når styremedlemmer anses å handle som behandlingsansvarlig/databehandler.

Dom om dataangrep avklarer ansvar mellom kunde og IT-leverandør

Haugaland og Sunnhordland tingrett har avsagt dom om IT-leverandørers ansvar når kunder rammes av cyberangrep. Produksjonsbedriften Btec AS krevde 55-62 millioner kroner i erstatning fra IT-leverandøren Nordlo Haugesund AS etter et ransomware-angrep i april 2021. Nordlo ble dømt til å betale 8.280 kroner, tilsvarende tre måneders vederlag for tjenesten, mens Btec må dekke Nordlos sakskostnader på over 2 millioner kroner. Dette er den andre rettssaken mot IT-leverandøren Nordlo etter dataangrepet.

Angrepet fikk dramatiske konsekvenser for Btec. Selskapet mistet all historisk produksjonsdata, kalkyler og modeller som var grunnlaget for 70-80 % av ordrene. Bedriften måtte selge deler av maskinparken, fikk problemer med varelager, og et nytt ERP-system måtte bygges opp fra bunnen av.

Gjennom rapporter fra it-eksperter dokumenterte Btec omfattende sikkerhetssvikt hos Nordlo. Backup-servere lå i samme nettverk som produksjonsdata uten segmentering, det manglet moderne endepunktsikring og sikkerhetsovervåkning, og det var ingen skriftlige rutiner for sikkerhetskopiering. Ekspertene pekte på brudd på NSMs grunnprinsipper for IKT-sikkerhet og identifiserte 14 faser i angrepskjeden hvor Nordlo kunne ha stoppet angrepet. Nordlo oppdaget først angrepet da systemene allerede var kryptert etter angrepet.

Rettens konklusjon ble likevel at Nordlo hadde opptrådt uaktsomt, og ikke grovt uaktsomt. Dette ble avgjørende, siden i IT-kontrakter er det vanlig med ansvarsbegrensninger som kun gjelder ved vanlig uaktsomhet. Ved grov uaktsomhet faller slike begrensninger bort. Retten fant at til tross for de omfattende sviktene, var ikke terskelen for grov uaktsomhet nådd. Dermed ble Nordlos erstatningsplikt begrenset til tre måneders vederlag.

Et annet sentralt spørsmål var om partene overhodet hadde en avtale, siden det ikke forelå noen signert kontrakt. Btec argumenterte med at daglig leder aldri hadde sett standardvilkårene og at Nordlo aldri informerte om risikoen ved backup-løsningen. Nordlo hevdet at Btec trådte inn i et eksisterende avtaleforhold og ikke ønsket å delta på oppstartsmøte. Retten konkluderte med at partene var bundet av standardavtalen for leveranse av tjenester (SSA-L) med dens ansvarsbegrensninger.

Nordlos argument om at angrepet var force majeure ble avvist. Retten var enig med Btec i at NSM hadde gitt gjentatte varsler om slike trusler, at den type ransomware som Btec ble rammet av hadde vært aktiv siden 2018, og at cyberangrep av denne typen er kjente risikoer i bransjen som ikke kvalifiserer som force majeure.

Dommen viser at ansvarsbegrensninger i IT-kontrakter har enorm praktisk betydning og må vurderes nøye mot verdien av egne data. Kunder kan bli bundet av leverandørens standardvilkår selv uten å være klar over det (som er veldig spesielt, og blir forhåpentligvis grundig behandlet i lagmannsretten), og må derfor aktivt ta ansvar for avtaleprosessen. For IT-leverandører viser saken at selv omfattende sikkerhetssvikt kan falle innenfor vanlig uaktsomhet, men også at force majeure-argumentet ikke holder for kjente cyberrisikoer.

Saken er anket til lagmannsretten, hvor spørsmålet om avtaleinngåelsen og grensen for grov uaktsomhet hos IT-leverandører trolig vil bli nærmere avklart. Utfallet vil kunne få stor betydning for hvordan risiko fordeles mellom IT-leverandører og deres kunder fremover.

Informasjonskapsler (cookies)

EU vil gjøre noe med «cookie-kaoset». EU-kommisjonen vurderer å endre eller fjerne dagens regler som krever samtykke til informasjonskapsler (cookies) på nettsider. Målet er å redusere byråkratiet og fjerne de utallige samtykkebannerne som har blitt en fast del av nettopplevelsen. Kommisjonen mener at cookie-samtykker har ført til «samtykketretthet» og at brukere klikker seg forbi uten reelt valg. Nå vurderes det å gi flere unntak, eller å la brukeren angi sine preferanser i nettleseren én gang i stedet for på hvert nettsted. Et alternativ som diskuteres er å flytte cookie-reguleringen inn under GDPR, som har et mer risikobasert system og åpner for andre behandlingsgrunnlag enn samtykke, for eksempel berettiget interesse. Dette møter motstand fra personvernmiljøer, som frykter at en slik endring vil svekke beskyttelsen mot overvåkingsbasert annonsering.

Datatilsynet er positivt til endringer forutsatt at det gjøres riktig. Bl.a. bør det ikke være nødvendig med samtykke ved bruk av cookies som ikke er spesielt personverninngripende, som statistikkløsninger, men det er viktig at unntakene fra samtykke ikke blir omfattende eller kan unngås/uthules. 

Frankrike slår hardt ned på cookies

Det franske datatilsynet (CNIL) har ilagt klesgiganten SHEIN en bot på 150 millioner euro for brudd på ePrivacy-regelverket og den franske personvernloven for manglende samtykke på shein.com. I tillegg til at det ble satt cookies før brukerne hadde samtykket, var informasjonen om cookies og tredjeparter mangelfull og forvirrende. Dessuten ble det brukt cookies selv etter at brukerne avviste eller trakk samtykket sitt tilbake. SHEIN hevdet at det irske datatilsynet var kompetent etter GDPRs «one-stop-shop»-mekanisme, men CNIL slo fast at saken falt inn under ePrivacy-direktivet og dermed innenfor fransk myndighet. Boten reflekterer både de alvorlige bruddene og SHEINs sentrale posisjon i netthandelsmarkedet, med om lag 12 millioner franske brukere hver måned.

CNIL slo også til med bot på 325 millioner euro til Google for å vise annonser mellom Gmail-brukeres e-poster uten deres samtykke, og for å plassere informasjonskapsler ved opprettelse av Google-kontoer uten gyldig samtykke.

Tilsyn med ulovlig deling av personopplysninger gjennom sporingspiksler. Datatilsynet har gjennomført tilsyn med seks norske nettsteder som bruker sporingspiksler – og konkluderer med at alle delte besøkendes personopplysninger ulovlig med tredjeparter. I flere tilfeller gjaldt det opplysninger om helse, religion, sexliv eller barn i sårbare situasjoner. Ett nettsted, den offentlige tjenesten 116111.no for barn utsatt for vold eller overgrep, ble ilagt et overtredelsesgebyr på 250.000 kroner.

Alle nettstedene manglet rettslig grunnlag for deling, og flere av nettsidene ga uriktig eller mangelfull informasjon til brukerne. Tilsynet omfattet, i tillegg til 116111.no, nettstedene apotekfordeg.no, bibel.no, drdropin.no, ifengsel.no og nhi.no.

Datatilsynet påpeker at mange virksomheter ikke er klar over hvordan sporingspiksler faktisk fungerer, og at personopplysninger kan bli delt uten intensjon. I motsetning til Grindr, se ovenfor, fikk ikke nettstedene betalt for å videreformidle data, men brukte sporingsteknologien til egen markedsføring. I denne runden fikk altså de fleste virksomhetene irettesettelse og veiledning, men tilsynet varsler at reaksjonene kan bli strengere fremover.

Datatilsynet har derfor utarbeidet en egen veiledning om bruk av sporingsverktøy bl.a. basert på erfaringene fra disse tilsynene, som har som mål å bidra til økt bevissthet og bedre etterlevelse av personvernregelverket på norske nettsteder. Men det er ennå mange som er lite bevisst på hva de deler på sine nettsider, spesielt innenfor helse.

Øvrige nyheter

Microsoft innfører nytt samtykke for ansiktsgjenkjenning i OneDrive. Samtykke er gitt per default (opt-out) for ansiktsgjenkjenning ved bruk av AI (som er interessant i og for seg mot AI Act), og brukeren kan kun skru av, dvs. «opte-ut» tre ganger i året. Dette er en ganske ny måte å behandle samtykke på, og reiser en del spørsmål personvernmessig. Det er uklart hvor lenge innstillingen er skrudd av etter man opter-ut. Microsoft gir heller ikke noen forklaring eller teknisk begrunnelse for begrensningen.

Nasjonal sikkerhetsmyndighet lanserer løsningen Cybersjekk som skal gi virksomheter et overblikk over egen digitale sikkerhet og gi forslag til konkrete, prioriterte tiltak tilpasset virksomheten som vil kunne bedre sikkerhetsnivået ytterligere. Verktøyet er gratis og gir mulighet til å måle status på sikkerhetsarbeidet over tid, og gi mulighet til å videreutvikle arbeidet gjennom tekniske tiltak og som sikrer ledelsesforankring. Løsning er sikker, så det kommer ingen informasjon man legger igjen til andre (inkludert NSM får vi regne med).  Det skal ta 30 minutter å gjennomføre undersøkelse i løsningen, og den har fått gode tilbakemeldinger hos sikkerhetseksperter.

GDPR har kostet – men gir også fordeler for virksomheter. Det franske datatilsynet (CNIL) har vurdert de økonomiske virkningene av GDPR fem år etter innføringen. Selv om mange studier har pekt på kostnader, viser CNIL til flere praktiske fordeler for virksomheter som har jobbet systematisk med personvern. Etterlevelse har gitt bedre oversikt over egne data, færre sikkerhetshendelser og mer effektiv intern styring. Flere selskaper rapporterer om enklere prosesser ved kunderevisjoner, raskere håndtering av sikkerhetsavvik og økt tillit fra kunder og samarbeidspartnere. For datadrevne virksomheter har reglene krevd tilpasninger, men for mange andre har GDPR gitt mer robuste rutiner og et konkurransefortrinn gjennom økt troverdighet. CNIL konkluderer med at GDPR har hatt en kostnad, men også fungert som et løft for profesjonalisering, sikkerhet og tillit i næringslivet.

Tidligere direktør for det irske datatilsynet stiller kritiske spørsmål. Tidligere direktør for det irske datatilsynet Helen Dixon, spør i en artikkel om GDPR faktisk virker etter hensikten. Regelverket har som kjent ført til massiv aktivitet med flere tilsyn, hundrevis av dommer og milliarder i bøter, men det fortsatt usikkert om folks rettigheter faktisk er bedre beskyttet. Dixon peker på tre hovedutfordringer:

• Effektivitet: Det finnes ingen enhetlig metode for å måle om GDPR når sine mål. Selv grunnleggende tall for håndheving, klager og dommer mangler på EU-nivå.
• Effektiv bruk av ressurser: Den såkalte «one-stop-shop»-mekanismen gjør grenseoverskridende saker tunge og langsomme, med mange myndigheter involvert og lite harmoniserte prosesser.
• Legitimitet: Oppfatningen av GDPR varierer mellom myndigheter, virksomheter og enkeltpersoner – noen ser loven som et nødvendig vern, andre som et byråkratisk hinder.

Hun advarer derfor mot forenkling av GDPR (se ovenfor) uten at det finnes grunnlag for hvilke deler som fungerer eller ikke, og etterlyser derfor et systematisk, faglig fundert evalueringsarbeid før man endrer regelverket.

EDPB lover enklere GDPR-etterlevelse med konkrete verktøy. EDPB ønsker å gjøre det enklere å etterleve GDPR, og har besluttet en felles erklæring («Helsinki-erklæringen») med en rekke tiltak for å gjøre GDPR-etterlevelse enklere, særlig for små og mellomstore virksomheter. Erklæringen anerkjenner at personvern er essensielt for grunnleggende rettigheter, men at regelverket må bli mer tilgjengelig og praktisk anvendbart.

• Konkrete verktøy på vei: EDPB skal utvikle klare-til-bruk maler for virksomheter, felles mal for varsling av databrudd, samt sjekklister, how-tos og FAQ-er. I tillegg vil rådet publisere samlinger av praksis som viser konkrete posisjoner datatilsyn har tatt, slik at virksomheter lettere kan forstå hva som faktisk kreves i praksis.
• Mer harmonisering: EDPB skal samle inn posisjoner fra nasjonale datatilsyn, justere nasjonal og europeisk veiledning der det er motstridende, og utvikle felles håndhevingspraksis. Rådet vil også styrke samarbeidet med andre regulatorer (som AI-myndigheter) for å unngå motstridende krav på tvers av regelverk.

Helsinki-erklæringen bygger videre på Wien-erklæringen fra 2022 og signaliserer et skifte mot mer proaktiv dialog med interessenter og praktisk støtte fremfor kun prinsipielle retningslinjer.

EU foreslår lettere protokollplikt i GDPR for små bedrifter. EU-kommisjonen har lagt frem forslag for å gjøre praktisering av GDPR enklere for små og mellomstore bedrifter, hvor det konkret er forslag om å lempe på behandlingsprotokollplikten i GDPR etter artikkel 30. Den viktigste endringen er at bedrifter under 750 ansatte får unntak fra protokollplikten (grensen er 250 i dag), med mindre behandlingen innebærer «høy risiko» for de registrertes rettigheter. Dette betyr at behandling av særlige kategorier personopplysninger ikke lenger automatisk utløser protokollplikt – det er risikovurderingen som avgjør.

Selv om flere virksomheter får unntak fra selve protokollføringsplikten, må informasjonen som vanligvis står i behandlingsprotokollen fortsatt fremgå av personvernerklæringer, internkontroll og databehandleravtaler. Det blir altså fortsatt et praktisk behov for å ha oversikt over denne informasjonen – bare ikke nødvendigvis i form av en formell behandlingsprotokoll. Bedrifter som driver storstilt ansattovervåking, behandler helseopplysninger eller har annen høyrisikobehandling vil fortsatt måtte føre protokoll.

Forslaget inkluderer også at mellomstore bedrifter (mid-cap enterprises) skal få tilgang til bransjespesifikke atferdskoder og sertifiseringsordninger. Disse ordningene eksisterer allerede i GDPR, men har primært vært rettet mot små og mellomstore bedrifter (SMB). Nå foreslås det at også større mellomstore bedrifter skal omfattes.

EDPB og EDPS støtter det generelle målet om å redusere byråkrati, men ønsker avklaringer. De understreker også at behandlingsprotokollen er et nyttig verktøy for å overholde andre GDPR-plikter som transparens og ivareta datasubjekters rettigheter. Forslaget må gjennom EUs lovgivningsprosess og implementeres i nasjonal rett, noe som kan ta tid.

IKEA fanget opp PIN-koder på kamera – må betale millionbot. Det østerrikske forvaltningsdomstolen (BVwG) har opprettholdt et gebyr på 1,5 millioner euro mot IKEA for brudd på GDPR ved bruk av omfattende videoovervåking i og rundt et varehus i Wien. Saken illustrerer hvor strengt prinsippene om dataminimering og lovlighet vurderes i praksis når virksomheter bruker kameraer til sikkerhetsformål, som vi har sett i tilsvarende avgjørelser i Norge. Det som gjorde denne saken delvis spesiell, var at kameraene i utgangpunktet var lovlig, men fanget opp unødvendig mye informasjon, inkludert kunder som tastet inn PIN-koder ved betaling. Dette viser at selv «vanlig» sikkerhetsovervåking kan medføre betydelig risiko dersom den fanger opp unødvendige områder eller sensitive situasjoner som betalingstransaksjoner.

Bot i Sverige på 12 millioner SEK for bruk av Google Analytics. Kammarrätten (svensk forvaltningsappelldomstol) har gitt det svenske datatilsynet, Integritetsskyddsmyndigheten (IMY), medhold i en sak mot Tele2, som må betale 12 millioner SEK i sanksjon for brudd på GDPR.

Dette gjaldt bruk av Google Analytics i perioden august 2020 til mai 2023, og da overføring av personopplysninger til USA uten tilstrekkelig beskyttelse. IMY, som fattet sitt opprinnelige vedtak i juni 2023, vurderte at data som overføres via Google Analytics er personopplysninger fordi de kan kobles sammen med annen informasjon Google besitter, og dermed gjøre det mulig å identifisere enkeltpersoner. De tekniske tiltakene Tele2 hadde iverksatt ble ansett utilstrekkelige for å sikre beskyttelsesnivå for behandlingen i USA. Tele2 har anket saken to ganger uten hell – først til förvaltningsrätten, deretter til Kammarrätten.

Selv om overtredelsen skjedde før Data Privacy Framework (DPF) trådte i kraft (hvor Google er sertifisert), så er det verdt å merke seg at dersom noe skjer med DPF kan det ha betydning for videre bruk av Google Analytics på grunn av overføring av data til Google i USA.

Nå kan virksomheter sertifiseres for styring av personvernprogrammer (ISO 27701). For første gang siden lanseringen 2019 har den internasjonale standardiseringsorganisasjonen (ISO) oppdatert standarden for styring av personvernprogrammer, ISO 27701:2025. Standarden beskriver krav og veiledning for etablering, drift og forbedring av et Privacy Information Management System (PIMS). Den viktigste nyheten er at ISO 27701 nå er en selvstendig standard, og virksomheter trenger dermed ikke lenger å være sertifisert etter ISO 27001 (informasjonssikkerhet) for å kunne oppnå personvernsertifisering, men standardene kan fortsatt integreres for de som ønsker en felles løsning. Den oppdaterte versjonen tydeliggjør krav til ledelsesforankring, risikovurdering, internkontroll, og kontinuerlig forbedring. Standarden er fortsatt tett tilpasset GDPR og kan gi en nyttig metode for å dokumentere etterlevelse, særlig for internasjonale virksomheter som ønsker et felles, sertifiserbart system for personvern.

EDPB samordner europeisk tilsyn om åpenhet og informasjon i 2026. Det europeiske personvernrådet (EDPB) har besluttet at temaet for sin samordnede håndhevingsaksjon i 2026 skal være virksomheters oppfyllelse av informasjons- og åpenhetspliktene etter GDPR (artiklene 12, 13 og 14). Tidligere har EDPB hatt samordnet aksjoner knyttet til bruk av skytjenester i offentlig sektor (2022), utnevnelse av og rollen til personvernombud (2023), innsynsretten (2024), og retten til sletting (2025).

Dette betyr at nasjonale datatilsyn i EØS – inkludert Datatilsynet i Norge – neste år vil gjennomføre parallelle tilsyn for å undersøke hvordan virksomheter informerer personer om hvordan deres personopplysninger behandles. Målet er å sikre at retten til å bli informert fungerer som en reell garanti for kontroll og tillit. Resultatene fra de nasjonale tilsynene vil samles og analyseres på europeisk nivå, slik at EDPB kan følge opp felles utfordringer og behov for veiledning eller tiltak. Så det er bare å oppdatere personvernerklæringene med en gang!

Nye veiledere fra det britiske datatilsynet (ICO). ICO har publisert flere oppdaterte veiledere som kan være nyttige også for norske virksomheter, til tross for Brexit:

• Håndtering av klager fra registrerte – Gir praktiske steg-for-steg-prosedyrer for hvordan virksomheter bør behandle henvendelser og klager, inkludert tidsfrister og dokumentasjonskrav.
• Redigering av dokumenter før offentliggjøring – Viser hvordan man fjerner personopplysninger fra dokumenter som skal publiseres, med konkrete eksempler på redaksjonsteknikker.
• Kryptering av personopplysninger – Forklarer når kryptering er nødvendig, hvilke typer kryptering som egner seg for ulike formål, og praktisk implementering.

Selv om veilederne er basert på UK GDPR, er de stort sett i tråd med EU GDPR og gir praktiske råd som er overførbare til norsk kontekst.

Politisk SMS lovlig? Frp sendte ut SMS til 430.000 menn i alderen 18 til 45 år på valgdagen i år. Mottakerne av SMSene hadde ikke samtykket, og Frp baserte behandling av personopplysninger på at partiet hadde en berettiget interesse til å sende ut meldingene, ved at Frp mente at budskapet i meldingene var viktigere enn personvernet til mottakerne. Nå skal Datatilsynet se på saken etter å ha mottatt klager og tips.

I Sverige har det svenske datatilsynet, IMY, sett på tilsvarende utsendelse av SMSer og eposter av Moderatarna og Sveridemokraterna som ble gjort i 2022 og 2024. Også her var utsendelsene basert på berettiget interesse, men IMY mener at mottakerens rett til privatliv veier tyngre enn partienes interesse i å spre informasjon. Partiene har derfor brutt personvernregelverket ifølge IMY, men får en reprimande og ikke bøter. Så blir det interessant å se om vårt datatilsyn kommer til den samme konklusjonen.

EDPB støtter forlengelse av Storbritannias adekvansbeslutning til 2031. Det europeiske personvernrådet (EDPB) støtter EU-kommisjonens forslag om å forlenge Storbritannias adekvansbeslutninger under GDPR. Det kan derfor fortsatt overføres personopplysninger til Storbritannia uten tilleggsgarantier, som bruk av EUs standard kontraktsbestemmelser (SCC).

EDPB påpeker imidlertid flere risikoområder som krever tett oppfølging:

• Den britiske regjeringen kan lettere endre personvernregler uten full parlamentsgodkjenning
• Det er svakere krav når data overføres videre fra Storbritannia til andre land
• Britiske myndigheter kan potensielt pålegge selskaper å svekke kryptering
• Det har vært endringer i det britiske datatilsynets (ICO) uavhengighet og myndighet

EDPB oppfordrer Kommisjonen til effektiv overvåkning for å sikre fortsatt robusthet og rettsikkerhet.

Og til slutt…

Slutt å skrive klager med AI, ber det danske datatilsynet om. Datatilsynet opplever en økning i klager og henvendelser som er skrevet ved hjelp av kunstig intelligens. Dette gir grunn til bekymring for tilsynet siden personopplysninger kan behandles i AI-løsninger, og det oppleves at AI-løsningen ikke gjengir korrekt sakens fakta og gjør fremstillingen av saken og jussen unødvendig komplisert. Løsningene har også ikke tilgang til oppdatert materiale, og kan derfor gi klager som ikke er basert på oppdatert informasjon (som manglende rettskilder). Tilsynet skriver også:

Datatilsynet kan også konstatere at noen klagere bruker KI-verktøy (kunstig intelligens) til å forutsi utfallet av sin sak. Dette kan gi klagerne en forutinntatt oppfatning av hvordan sakene deres vil bli vurdert, før de faktisk er behandlet. Når Datatilsynets saksbehandling er ferdig og tilsynet deretter sender et svar til klagerne, viser enkelte klagere til KI-verktøyets «vurdering» og innleder diskusjoner med tilsynet på det grunnlaget om utfallet av saken.

Det er viktig å understreke at KI-verktøy ikke kan forutsi Datatilsynets avgjørelser. Svarene som slike verktøy gir, bygger utelukkende på mønstre i tilgjengelige data og vil ofte være ufullstendige eller direkte misvisende. Datatilsynets avgjørelser bygger alltid på en konkret og faglig vurdering av det enkelte forholdet.

Vedtak fra Datatilsynet som ikke stemmer overens med hva ChatGPT eller Copilot har sagt, er altså ikke klagegrunn.

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.