Oppdatering personvern, GDPR og teknologirett mv. 10b.2024

Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Innhold denne gangen er bl.a.: Forpliktelser som følger av bruk av databehandlere og underdatabehandlere, veileder på berettiget interesse på høring, skal du klage til Datatilsynet må du være konkret og presis! Kan man stole på at man får erstatning fra leverandøren hvis data går tapt ved cyberangrep? Veiledning på teknisk virkeområde for ePrivacy-direktivet, kan man saksøke konkurrent for brudd på GDPR? Nye versjoner av Statens standardavtaler (SSA), endringer i andre lover med betydning for personvern, og åpenhetsloven (GDPR II?).

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer (som oppsummeres med andre nyheter i dette nyhetsbrevet).  

Leserundersøkelse om nyhetsbrev

For å gjøre nyhetsbrevet mer tilpasset og bedre for leserne trenger jeg å vite noe mer om dere og hva dere mener om nyhetsbrevet. Jeg vil derfor sette stor pris på om du tar deg tid til å svare på noen spørsmål her. Det vil ta ca. 30 sekunder. Tusen takk!

KLIKK HER FOR Å SVARE PÅ LESERUNDERSØKELSE

PS! Undersøkelsen er anonym, så det vil ikke samles inn personopplysninger fra min side, ihvertfall.

Forpliktelser som følger av bruk av databehandlere og underdatabehandlere

EUs personvernråd (EDPB) har kommet med uttalelse etter oppfordring fra det danske datatilsynet om plikter som følger av GDPR artikkel 28 for bruk av databehandler, spesielt i sammenheng med GDPR kapittel V om overføring av personopplysninger til land utenfor EØS (tredjeland).

Uttalelsen klargjør enkelte forhold knyttet til hvordan behandlingsansvarlig skal forholde seg til sine leverandører som behandler personopplysninger (databehandlere), og databehandleres bruk av underleverandører (underdatabehandlere), herunder underdatabehandleres overføring av personopplysninger til tredjeland.

Etter uttalelsen bør behandlingsansvarlig alltid ha oversikt over identiteten til alle databehandlere og underdatabehandlere som benyttes, dvs. navn, adresse og kontaktperson, for å kunne oppfylle pliktene under GDPR artikkel 28. Databehandlere bør proaktivt sørge for at behandlingsansvarlig har denne informasjonen, og aktivt informere behandlingsansvarlig om bytte av underleverandører (underdatabehandlere).

EDPB klargjør at det ikke skal ikke konkret angis i personvernerklæringen hvilke databehandlere og underdatabehandlere som benyttes. Informasjonen kan gis ved å angi type mottakere med henvisning til de kategorier behandlingsaktiviteter som utføres, type virksomhet (industri), sektor/undersektor or lokasjon av mottakere.

Etter GDPR artikkel 15 (registrertes krav på innsyn) informasjon ved videreføring av opplysninger etter artikkel 19, andre setning skal imidlertid den konkrete databehandler angis.

En behandlingsansvarlig kan kun benytte en databehandler som gir «tilstrekkelige garantier» for at denne vil sikre personopplysningene i tilstrekkelig grad knyttet til de registrertes rettigheter og overholdelse av GDPR, se artikkel 28(1). I uttalelsen presiseres det at databehandler har plikt til å sørge for at underdatabehandlere også «gir tilstrekkelige garantier». Behandlingsansvarlig skal kunne stole på informasjon fra databehandleren, men – om behandlingen medfører høy risiko – bør det gjøres ytterligere undersøkelser som skal kunne dokumenteres. Kontroller av databehandlere og databehandleravtaler, også for underdatabehandlere, skal gjentas i passende intervaller, avhengig av risiko ved behandlingen.

Uttalelsen omfatter også overføring mellom underdatabehandlere til tredjeland, unntak fra retten til å etterkomme instruksjoner for databehandler og enkelte andre spørsmål.

Her er en oppsummering og gjennomgang av uttalelsen.

Veileder på berettiget interesse på høring

EUs personvernråd (EDPB) har også sendt ut veileder på bruk av berettiget interesse som behandlingsgrunnlag (GDPR artikkel 6(1)(f)) på høring. Høringsfristen er satt til 20. november 2024. Veilederen dekker bl.a. den nye dommen fra EU-domstolen om berettiget interesse som har vakt noe oppmerksomhet (les sammendrag av dommen her). Denne veilederen vil trolig ha stor betydning og bli mye omdiskutert og kommentert. Endelig versjon av veilederen vil bli dekket i nyhetsbrevet senere.

Kurs i GDPR og personvern

Kurs i GDPR

Jeg holder nå kurs for små og mellomstore virksomheter som ønsker å få et fundament innenfor GDPR og personvern. Målet med kurset er å gi en praktisk innføring i arbeidet for å overholde de grunnleggende kravene til behandling av personopplysninger, og ha nødvendig dokumentasjon til å overholde reglene.

Følgende kurs er satt opp fremover (alle er på Teams):

  • tirsdag 29. oktober kl. 0900 – 1200
  • tirsdag 12. november kl. 0900 – 1200

Se mer om kursene og andre kurs her.

PS! Siden jeg setter stor pris på at du leser mitt nyhetsbrev, får du kr 1000 i rabatt om du melder deg på kurset. Legge inn koden «NYHETSBREV» i kommentarer nederst i bestillingsfeltet for kurset ved bestilling.

Skal du klage til Datatilsynet må du være konkret og presis!

Personvernnemda har fattet enda en avgjørelse om at Datatilsynet har avvist en sak (se også tilsvarende saker i forrige utgave av nyhetsbrevet). Vedkommende som hadde bragt inn saken for Datatilsynet hadde uttrykt generell misnøye med barneverntjenestens behandling av undersøkelsessaker vedrørende omsorgssituasjonen for hennes barn. Klagene til Datatilsynet var generelle, og gjaldt forhold som Datatilsynet ikke har kompetanse til å vurdere, bl.a. om barneverntjenestens saksbehandling og behandling av personopplysninger hos Politiet

Personvernnemda fant derfor at klagen til Datatilsynet var ikke knyttet til en konkret og aktuell påstått ulovlig behandling av personopplysninger, og kan derfor ikke anses som en klage etter GDPR artikkel 77(1). I avgjørelsen fremkommer det også at saksbehandlingstiden hos Datatilsynet nå er mellom tre og 18 måneder.

I forrige nyhetsbrev var oppfordringen at man må være konkret i klager, og klagen må gjelde ens egne personopplysninger. Ellers er en klage et tips, som det er opp til Datatilsynet å vurdere om skal følges opp. Se her om avslutning av saker hos Datatilsynet. Personvernnemda er ganske tydelig på dette i sin avgjørelse:

Dersom det ikke skulle gjelde et krav om at klagen, for å utløse en handleplikt hos Datatilsynet etter artikkel 57, må knytte seg til en aktuell og konkret angitt behandling av klagerens personopplysninger, ville det være tilfeldige enkeltpersoner og deres henvendelser som ville styre hvilke undersøkelsessaker Datatilsynet skulle bruke sine ressurser på.

Advarsel IT

Kan man stole på at man får erstatning fra leverandøren hvis data går tapt ved cyberangrep?

Det korte svaret, er (delvis) nei. Man får noe, men sjelden tilstrekkelig til å dekke kostnadene eller tapet man er utsatt for.

Dette kom frem i en tingrettsdom hvor en it-leverandør var utsatt for et ransomware-angrep som gjorde at tre bedrifter tapte data som fikk alvorlige konsekvenser for virksomheten.

Jeg har omtalt denne dommen tidligere, men Kristian Foss og Fiona Skansen har skrevet en artikkel som oppsummerer dommen på en bra måte. Noe av det som kommer frem i artikkelen:

  • It-leverandøren hadde en rekke sårbarheter sikkerhetsmessig som manglende programvareoppdatering og ikke isolert backup sikker for ransomvare, og gjort en del tiltak valgfrie, som to-faktorautentisering. Men den generelle it-sikkerheten var god ifølge retten.
  • Kundene manglet også tiltak på sin side som beredskapsplaner, og kunne tegnet cyberforsikring (som var en plikt etter avtalen med it-leverandøren).
  • Ansvarsbegrensningen i avtalen var klar, og det gjorde at bedriftene fikk småtterier i erstatning mot tapet de hadde hatt (25 % av årlig vederlag). It-leverandøren var ikke å anse som grov uaktsom, derfor ble det ikke gitt mer i erstatning.
  • Retten mente at ansvarsbegrensningen var rimelig (jussisk for rettferdig) mot det kunden betalte, og for en lav pris kunne ikke kunden regne med at leverandøren tok mer av deres risiko (dvs. billig er ikke alltid best…).

Selv mener jeg dommen er ganske tøff mot selskapene som ble rammet og skulle ønske den var anket så den ble prøvet i høyere rettsinstanser. I dette tilfellet var det snakk om ett byggefirma med ca. 20 ansatte, ett malerfirma med rundt 12 ansatte og et selskap med to ansatte som selger medisinsk utstyr. Det er ikke tenkelig at de skal iverksette egne tiltak for it-sikkerhet, og derfor går de nettopp til en profesjonell leverandør.

Her ville trolig ransomware sikker backup og tvungen to-faktorautentisering ha forhindret eller redusert konsekvensene av hendelsen, og at en it-leverandør ikke har dette, bør kunne vær grovt uaktsomt. Henvisningen til cyberforsikring er også merkelig, siden her får man sjelden tilstrekkelig dekning, og dommeren kan ikke satt seg inn i vilkårene for slike forsikringer.

Men ut fra denne dommen, så bør man 1. Vurdere leverandøren godt om denne er å stole på (som også er et krav etter GDPR artikkel 28(1)) , 2. Se på om man kan forhandle seg til bedre ansvarsdekning i kontrakten (spoiler: Glem det i de flest tilfelle), 3. Vurdere cyberforsikring (normalt ikke tilstrekkelig dekkende), og 4. Se på egne tiltak for å sikre seg (som da er vanskelig for mange om man ikke leier inn ytterligere kompetanse). Og så gå tilbake til punkt 1.

Les artikkelen her, og dommen finnes her.

Veiledning på teknisk virkeområde for ePrivacy-direktivet

EUs personvernråd (EDPB) har kommet med veileder på hvilke tekniske innretninger som ePrivacy-direktivet, og da artikkel 5(3) i direktivet, omfatter. Dette gjelder ulike sporingsløsninger, som bl.a. informasjonskapsler (cookies) og siden nevnte artikkel er kortfattet, kan veiledningen være nyttig.

Det er kommet forslag til ny ekomlov som trolig skal behandles i Stortinget i november. Her er cookies regulert i § 3-15 hvor det kreves samtykke og informering av brukeren ved bruk av cookies, eller som det står:   

(… ) lagre eller å skaffe seg tilgang til opplysninger i sluttbrukers eller brukers kommunikasjonsutstyr (…).

Dette er (så godt som) samme ordlyd som i ePrivacy-direktivets artikkel 5(3) som da veilederen fra EDPB omhandler. I fortalepunkt 24 i ePrivacy-direktivet står det at denne bestemmelsen har til hensikt «å beskytte brukerens utstyr» som er en del av privatsfæren til brukeren, og derfor er det ikke bare cookies som omfattes, men også «tilsvarende teknologi», som kan være bl.a. pixels, fingerprinting mv. (og det som måtte komme i fremtiden).

Veilederen går gjennom de sentrale begrepene «informasjon» (dvs. som ikke bare omfatter personopplysninger), «kommunikasjonsutstyr» (alt som er eller kan kobles til et nettverk…) og «lagring»/«tilgang» (som også er det at det genereres data på utstyret og at data som allerede finnes på utstyret aksesseres, men informasjon må «forlate» utstyret).

Ellers er veilederen ganske teknisk og går gjennom ulike måter å samle data, selv om EDPB mener at ePrivacy-direktivet og artikkel 5(3) må forstås veldig vidt for tekniske løsninger. Veilederen går gjennom en del eksempler, som URL og pixler, data generert på utstyret av programvare, informasjon fra enheter knyttet til internett (IoT) og unike identifikatorer.

I den nye ekomloven er det like strenge krav til samtykke som i GDPR, dvs. frivillig, spesifikk, informert og aktivt, osv. se GDPR artikkel 4 nr. 11 og artikkel 7, uavhengig av om personopplysninger eller behandles av cookies. Unntaket gjelder cookies som er «strengt nødvendige», som vil være cookies som er en forutsetning for å kunne levere tjenester etter bl.a. brukerens uttrykkelige forespørsel, hvor det er nok å informere om bruk av slike cookies.

Bildet er skapt av AI (som burde vært unødvendig å presisere)
Bildet er generert av AI (som burde vært unødvendig å presisere…)

Kan man saksøke konkurrent for brudd på GDPR?

Det å ikke følge lovverket kan i noen tilfeller gi et konkurransefortrinn. Kan en virksomhet da saksøke en annen virksomhet for brudd på GDPR?

Ja, sier EU-domstolen ifølge en fersk dom.

Saken var at et tysk nettapotek solgte medisiner uten å hente inn samtykke fra kundene. En konkurrent mente at her var det behandling av helseopplysninger, som krever samtykke etter GDPR. Det andre nettapoteket hentet ikke inn samtykke.

Konkurrenten gikk derfor til søksmål og mente at det andre nettapoteket brøt loven ved å ikke få samtykker, og fikk da gjennom dette et urimelig konkurransefortrinn.

EU-domstolen kom til at GDPR var ikke til hinder for at man kunne saksøke en konkurrent. Tvert imot mente domstolen at det at GDPR ikke følges kan føre til reglene om beskyttelse av forbrukere og urimelig handelspraksis får mindre virkning. Og det å redusere konkurransen er ikke akkurat i EUs ånd.

Domstolen uttalte at tilgangen til og utnyttelse av personopplysninger har stor betydning i den digitale økonomien, og dette kan være et vesentlig forhold for konkurransen mellom virksomheter. For å sikre den økonomiske utviklingen og rettferdig konkurranse kan det være nødvendig å ta hensyn til beskyttelse av personopplysninger i konkurranseretten og ved anvendelse av reglene om urimelig handelspraksis. Og dermed vil retten til å gå til søksmål for brudd på GDPR styrke formålet med GDPR.

Domstolen kom også til at det kreves samtykke både ved salg av vanlige medisiner og respektbelagte medisiner, for å fastslå dette.

Dette er EU-retten, og om en kan saksøke en konkurrent for brudd på lovverket er avhengig av nasjonal rett, og da norsk rett for oss. Det er muligheter for dette etter bl.a. markedsføringsloven, men er avhengig av den enkelte sak.

Men med EU-dommen, så er det klart at GDPR ikke er til hinder for slikt søksmål. Og dommen støtter også at det kan ikke er utenkelig med søksmål for lovbrudd på andre områder kanskje.

Les sammendrag av dommen her.

Nye versjoner av Statens standardavtaler (SSA)

Tidligere i år kom det nye versjoner av Statens standardavtaler (SSA), som nok er de mest brukte standard avtalene for it-anskaffelser i Norge. Det var Bistandsavtalen (SSA-B), Oppdragsavtalen (SSA-O), Utviklings- og tilpasningsavtalen (SSA-T), Driftsavtalen (SSA-D), Kjøpsavtalen (SSA-K), og Vedlikeholdsavtalen (SSA-V) som ble oppdatert. Spesielt SSA-D, SSA-K og SSA-V fikk en etterlengtet oppdatering siden siste oppdatering var i 2018 og i 2015.

Allikevel er ikke endringene så store i denne oppdateringen, men det er gjort noen endringer i ansvaret for leveransene mellom kunde og leverandør, herunder klargjøring av pliktene til partene.

Det er spesielt forholdet til underleverandører som er blitt justert, siden det har også vært en teknologisk utvikling for bruk av underleverandører, spesielt knyttet til SaaS og skyleveranser (selv om selve «SaaS-avtalen», SSA-L, ikke er oppdatert, og det brukes det noe utdaterte begrepet «standardprogramvare» i avtalene som ikke er definert og som er uklart om dekker tjenester, som SaaS).

Dersom vilkårene fra underleverandør er tatt inn i den enkelte SSA, vil leverandøren være i mindre grad ansvarlig for ytelsene fra underleverandøren. Dette er i mange tilfelle rimelig, siden det er vanskelig for leverandøren å endre på vilkårene til underleverandør (forsøk det med skyleverandørene). Samtidig er det vanskelig for leverandøren å videreføre krav fra kunden mot underleverandør som følge av sistnevntes mislighold, pga. underleverandørens omfattende ansvarsbegrensning og ansvarsfraskrivelse i SLA. Leverandøren havner da ofte «mellom båten og brygga».

I tillegg er avtalene gjort mer like i struktur (kapitler) og i formuleringer som går igjen i avtalene. Enkelte sentrale begrep som «vesentlig mislighold» og hvem som er «utenforstående» for konfidensialitetsplikt er presisert. Det er også gjort noe språkvask av avtalene, og ny bestemmelse om lønns- og arbeidsvilkår (mest viktig for offentlig virksomhet).

Behandling av personopplysninger er også regulert gjennomgående i avtalene (med unntak av SSA-B), og databehandleravtalen går nå foran den generelle avtaleteksten og samtlige bilag når det gjelder «bestemmelser knyttet klart og utvetydig til regulering av personvern».

Fremdeles er det behov for oppdatering av SSAene. Smidigavtalen trenger trolig et løft for å tilpasse denne til det praktiske landskapet som gjelder nå. Her bør man kanskje bruke ekspertise på smidig utvikling, kanskje lage et forum? Det ser imidlertid frem til videre oppdateringer, og at avtalene blir enda bedre og praktiske.

Endringer i andre lover med betydning for personvern

Det er veldig mye fokus på personvernforordningen (GDPR), men vi må ikke glemme at det er mange andre lover i Norge som også gjelder behandling av personopplysninger. Mange glemmer til og med personopplysningsloven (som nå er den del av mine nettsider, se nedenfor), men det er enda mange lover som er viktige. Dette gjelder spesielt innenfor helse, og i september ble endringer i en rekke lover sendt på høring.

Dette gjelder pasientjournalloven, helsepersonelloven, pasient- og brukerrettighetsloven, helse- og omsorgstjenesteloven og spesialisthelsetjenesteloven. Endringene gjelder flere av bestemmelsene om taushetsplikt og tilgang til helseopplysninger, og i enkelte andre bestemmelser for å gjøre regelverket enklere å forstå.

Formålet med endringene er å gjøre at regelverket er bedre egnet til å gjøre helseopplysninger tilgjengelig for behandling av pasientene (informasjonsdeling) og mer digitaliseringsvennlig, som igjen skal bidra til bedre pasientsikkerhet, men allikevel sikre konfidensialiteten til opplysningen (forhindre «snoking»).

Høringsfristen går ut. 6. januar 2025, så endringene vil nok kommet et stykke ut i 2025. Men arbeider du innenfor helse og personvern, kan det være nyttig å se på endringene allerede nå.

Personopplysningsloven nå på sandtro.no

Nettsidene mine er nå oppdatert til å dekke personopplysningsloven. Tidligere er personvernforordningen/GDPR dekket, og målet er å ha et fullstendig oppslagsverk for bruk innenfor generelle personvern. Målet er å gjøre nettsidene til et «one-stop» løsning for de som arbeider med personvern regelmessig, og trenger et verktøy som er dekkende og enkelt.

For hver artikkel i GDPR er det nå tatt inn:

  • Sammendrag av innholdet i artikkelen
  • Kobling mot relevant paragraf i personopplysningsloven, mot andre aktuelle bestemmelser i GDPR og mot annen aktuell lovgivning eller regelverk
  • Relevante fortalepunkter for den enkelte artikkel fordelt på primære og øvrige fortalepunkter
  • Engelsk tekst knyttet til den norske teksten
  • Relevante avgjørelser, som dommer i EU-domstolen (vil bygges ut mer etter hvert)
  • Relevante veiledere fra bl.a. EUs personvernråd (EDPB) og annet relevant stoff systematisert (kommer også mer).

Jeg håper dette blir et nyttig verktøy for personvernpraktikerne og andre som er borte i personvern. Så følg med – det kommer mer nyttig informasjon og funksjoner her.

Åpenhetsloven (GDPR II?)

Åpenhetsloven kom i juni 2022, og skal bidra til at virksomheter følger grunnleggende menneskerettigheter og anstendige arbeidsforhold i forbindelse med produksjon av varer og levering av tjenester. Loven skal også bidra til at det gis informasjon om hvordan virksomhetene håndterer negative konsekvenser på disse områdene.

Åpenhetsloven har mange fellestrekk med GDPR, selv om den dekker andre områder. Noen klarere fellestrekk er:

  • Virksomheten man må forholde seg til informasjonskrav. Alle kan kreve informasjon, og ikke bare de registrerte, som gjelderetter GDPR.
  • Informasjonskravet kan rettes til alle ansatte (holder ikke med en apenhetsloven@virksomhet.no-adresse), så man må ha interne rutiner og prosedyrer for å overholde reglene som må være kjent, følges og kontrolleres.
  • Det gis overtredelsesgebyr («bot») dersom loven ikke overholdes (ja, likt som GDPR), men noe begrensninger i hvordan dette gebyret kan ilegges, som at boten kan kun gis ved gjentatte brudd.

Apropos det siste, så er nå den første boten gitt etter åpenhetsloven. Boten var på kr 450.000 og ble gitt til et selskap som ikke hadde oppfylte informasjonsplikten. Forbrukertilsynet åpnet sak basert på tips basert på at selskapet ikke hadde gitt informasjonen etter forespørsel fra en organisasjon og en privatperson. Selskapet forsvarte seg med at forespørslene var sendt til feil adresse, personene som mottok forespørslene var ikke klar over regelverket og at bruddene ikke var så alvorlig.

Dette forsvaret førte (selvsagt) ikke frem, siden det er ikke krav om hvor kravene sendes, uvitenhet om lov er aldri fritagende, og informasjonsplikten er en sentral plikt i loven, som gir grunn til å gi bot. Selskapet har klaget på vedtaket, så det er ikke endelig.

Loven gjelder imidlertid bare virksomheter av en viss størrelse, men det er allikevel veldig mange virksomheter i Norge som omfattes av lovens krav. Så her er det bare å sette seg inn i reglene og brette opp ermene om det ikke er gjort allerede. Eller om man har gjort noe, se om det må gjøres mer, ref. saken over.

Se veileder på hvordan forholde seg til åpenhetsloven hos Forbrukertilsynet.

Nytt verktøy viser store mangler for AI-løsningers overholdelse av regelverket

Et nytt verktøy, COMPL-AI, for å kontrollere AI-løsningers overholdelse av EU-regelverket, viser at modellene har store mangler. Verktøyet, som er tatt godt imot av EU-representanter, tester generative AI-modeller mot AI Act, som trer i kraft trinnvis over de neste to årene.

Det er et sveitsisk oppstartsselskap og to forskningsinstitusjoner som står bak modellen som rangerer AI-modellene på en skala mellom 0 og 1 i en rekke kategorier, som bl.a. teknisk robusthet og sikkerhet. De største modellene scorer i snitt 0,75, men scorer lavt på f.eks. diskriminering (en modell er nede på 0,37) og sikkerhet (en modell er nede på 0,38). Googles Claude 3 Opus fikk den høyeste scoren med 0,89 i snitt.

Verktøyet er laget for å teste mot AI Act, men vil utvides mot senere krav som kommer. EU-kommisjonen er positive til verktøyet og ser på dette som et første steg for å overføre AI Act til tekniske krav.

Smått & Godt

Fokus på rett til sletting. Neste års koordinerte tiltak fra EUs personvernråd (EDPB) skal være registrertes rett til å bli slettet (GDPR artikkel 17). Dette er det fjerde koordinerte tiltaket fra EDPB hvor tidligere tiltak har vært bruk av skytjenester i offentlig sektor, utnevnelse og stillingen til personvernombud og retten til utlevering av personopplysninger for registrerte. Det er kommet rapporter på de to første tiltakene, men det siste tiltaket kommer i starten av 2025. Hensikten med tiltakene nå er å evaluere om rettigheten praktiseres, identifisere tiltak fra behandlingsansvarlige for å etterkommer rettigheten og kunne gi en oversikt over beste praksis.

Dataetisk råd for prinsipielle spørsmål. Regjeringen vurderer å opprette et dataetisk råd som skal vurdere prinsipielle spørsmål i avveiningen mellom personvern og samfunnsinteresser. Målet er å sikre en mer enhetlig lov- og forskriftsregulering av personvern, samt styrke veiledning og håndheving av personvernregelverket. Danmark har et tilsvarende råd. Ofte står personvernlovgivningen mot samfunnsinteresser, selv om det kanskje er oftere det synes å være en konflikt uten at det reelt er det.

Retten til å vite uautorisert mottaker av personopplysninger. Det danske datatilsynet har i en avgjørelse kommet til at den registrerte har rett til å vite hvem som har mottatt dennes personopplysninger uautorisert. Saken gjaldt at en revisor hadde feilaktig fått innsyn skatteopplysninger om registrerte. De registrerte krevde å få vite hvilken revisor som hadde fått innsyn, og det danske datatilsynet ga dem altså medhold i dette med begrunnelse av revisorene var «mottakere». 

Vurdering av EU-US Data Privacy Framework (DPF). Som nevnt i forrige nyhetsbrev, så har implementeringen av DPF blitt vurdert av EU-kommisjonen. Rapporten fra vurderingen er nå klar (finnes nederst på denne siden). Kommisjonen har konkludert med at amerikanske myndigheter har på plass den nødvendige struktur og prosedyrer for at DPF skal fungere effektivt. Det er imidlertid ikke alt som er på plass, bl.a. at ankedomstolens (the Data Protection Review Court – DPRC) beslutninger er ikke bindende for etterretningsmyndighetene. Men nå er det heller ikke kommet noen klager på bruk av amerikansk overvåkningslovgivning mot EU-borgere ennå. Så da er det bare å fortsette å overføre personopplysninger til (sertifiserte virksomheter) i USA. Neste vurdering er om tre år. Så får vi se om det kommer en Schrems III-dom innen den tid, eller om Trump blir valgt til president (😱) at lovendringene Biden gjorde for at DPF skulle komme på plass blir reversert (som Trump har varslet, men sier mye da…). 

Møte med tilsynsmyndigheter i godkjente tredjeland. EUs personvernråd (EDPB) hadde et møte 8. oktober 2024 med representanter for tilsynsmyndighetene i de 15 land som er godkjent av EU-kommisjonen (gjennom en såkalt «adekvansbeslutning» etter GDPR artikkel 45) for å ha et tilstrekkelig beskyttelsesnivå for personopplysninger. Det kan da overføres personopplysninger til disse landene (noe avhengig av hva godkjenningen omfatter) uten at det foreligger overføringsgrunnlag som bl.a. standard kontraktsbestemmelser (SCC). Dette er Andorra, Argentina, Canada, Færøyene, Guernsey, Israel, Isle of Man, Japan, Jersey, New Zealand, Sør-Korea, Sveits, Storbritannia, Uruguay og USA. I møtet ble det diskutert aktiviteter mellom landene og samarbeid med å håndheve regelverket.

Her er status for overføring til tredjeland per i dag:

Bot som følge av manglende rettslig grunnlag for innsyn. Eidskog kommune har fått et overtredelsesgebyr (bot) for å gitt to personer innsyn i et varsel fra en tidligere kollega. Opplysningene som ble gitt tilgang til var knyttet til helse og økonomiske forhold. Bruddet skyldtes trolig feil forståelse av offentlighetsloven. Boten var opprinnelig på kr 500.000, men ble redusert til kr 250.000 pga. lang behandlingstid.

Rådet har besluttet forordning om cybersikkerhetskrav (Cyber Resilience Act). Forordningen gjelder regulering av cybersikkerhet i produkter med digitale elementer og programvare, så produkter som dekkes av forordningen er svært bredt og vil gjelde alt fra f.eks. smartklokker og leketøy til rutere og brannmurer samt programvare som benyttes i produktene. Hensikten med forordningen er å redusere sårbarheter i produkter som er tilgjengelig i EØS, og sikre at produsenter blir ansvarlige for cybersikkerheten i produktene gjennom hele produktets livssyklus.

Norge har tiltrådt konvensjon om kunstig intelligens. Norge har tiltrådt Europarådskonvensjonen om kunstig intelligens som er den første internasjonale regulering av kunstig intelligens (AI). Konvensjonen inneholder de samme prinsippene som AI Act, noe som kan gjøre at AI Act implementeres raskere i Norge. Konvensjonen retter seg mot stater som bruker AI og private virksomheter som handler på vegne av en stat, og Norge har erklært at konvensjonen er også gjeldende overfor private aktører. Konvensjonen skal sikte at AI utvikles og brukes i overensstemmelse med menneskerettigheter og demokratiske prinsipper.

Lansering av rapport om Copilot. Datatilsynet lanserer rapporten fra sandkasseprosjektet hvor NTNU så på hvordan de kan gjøre seg klare for å ta i bruk Microsofts KI-verktøy M365 Copilot. Rapporten lanseres med et webinar (og mulighet til fysisk overværelse) onsdag 27. november kl. 0900. Datatilsynet kan imidlertid allerede røpe at det for svært mange vil være svært lite lurt å ta i bruk Microsofts M365 Copilot uten å ha gjort grundige vurderinger og forberedelser i forkant. Men de vil gi noen råd og hint om hvordan Copilot kan benyttes.

Revidering av ePrivacy-direktivet. Det ungarske presidentskapet i Rådet i EU har foreslått at man skal ta opp igjen utkastet til endringer av ePrivacy-direktivet. Siden ePrivacy-forordningen trolig avled med døden, så ser Rådet på å revidere direktivet. Direktivet er fra 2002, og har vært «parkert» siden 2017 i påvente av ePrivacy-forordningen, hvor sistnevnte har vært «parkert» siden 2019. Om endringene i direktivet vil omfatte cookies er ikke klart, så det virker som om man baserer seg på direktivet fra 2002, se ovenfor om EDPBs veiledning for virkeområdet for direktivet.

Treg implementering av NIS2-direktivet innenfor EU. Få land har kommet i land med NIS2-direktivet innenfor EU. Som kjent trådte direktivet i kraft i januar 2023, og EU-statene hadde frist til 17. oktober 2024 til nasjonal rett. Per i dag så har fem land implementert lovgivning, og det er mange igjen. Det er mye snakk om NIS2 også her oppe på berget, men det er en stund til det blir aktuelt med lovgivning for oss. Selv om digitalsikkerhetsforskriften foregriper NIS2 noe, se tidligere nyhetsbrev.

Også klarsynte må også forholde seg til GDPR. Det franske datatilsynet, CNIL, har kommet til at to selskaper som klarsynte må innhente samtykke før de leser tankene til sine kunder. Selskapene fikk bøter på henholdsvis EUR 250.000 og EUR 150.000 (!) for å ikke innhente samtykke fra sine kunder (også for andre brudd under GDPR og for å drive i strid med annet regelverk). Det burde vel egentlig ha sett denne boten komme…

Og til slutt

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise.

Kurs for sma og mellomstore bedrifter