Nyhetsbrev

Oppdatering personvern, GDPR og teknologirett mv. 11.2024

Her følger en ny utgave av nyhetsbrevet om GDPR, personvern og annet innenfor teknologi og juss.

Innhold denne gangen er bl.a.: Nye cookieregler kommer 1. januar 2025, kan man bruke Copilot på arbeidsplassen, Personvernnemda opphevet Datatilsynets gebyr til NAV, kontroll på APIer, Informasjonsplikten etter GDPR artikkel 14 etter EU-dom, uttalelse fra Personvernrådet om bruk av personopplysninger for utvikling/trening og implementering av kunstig intelligens, veileder for bruk av kroppskamera fra Datatilsynet og som vanlig forskjellige nyheter.

Abonnerer du ikke på nyhetsbrevet, kan du gjøre det på LinkedIn (trykk «+Abonnér» øverst) eller få det på epost ved å abonnere her. Følg meg også på LinkedIn for løpende oppdateringer (som oppsummeres med andre nyheter i dette nyhetsbrevet).

Takk for at du abonnerer på nyhetsbrevet!

Takk for at du abonnerer på nyhetsbrevet. Det er veldig hyggelig at så mange ønsker å motta dette, og forhåpentligvis finner nytte og glede i det. Send gjerne nyhetsbrevet videre til noen som kanskje har nytte av det. Informasjon om hvordan abonnere finnes ovenfor.

6000

Nye cookieregler kommer 1. januar 2025

Da er det klart at de nye reglene for informasjonskapsler («cookies») kommer som «fryktet» fra 1. januar 2025. Dette skjer ved at ekomloven ble sanksjonert i Statsråd fredag 13. desember. Noen håpet på 1. juli 2025, så dette gir ikke mange god tid til å få på plass nye løsninger.

Så hva betyr dette? Det er helt avhengig av hvordan samtykke hentes inn på nettsidene i dag. For de som har cookie-samtykke for alle cookies som benyttes utenom cookies som er «strengt nødvendig» for å få nettsidene til å fungere, betyr det lite. Passivt samtykke er borte – så glem å bare basere seg på innstillinger i nettleseren. Men husk at det må informeres om cookiene som brukes. Helst på en forståelig måte.

For de som ikke har gyldig samtykke på plass (som er mange…), så kan det være at det blir å brette opp ermene i romjulen om alt skal være klart til nyttår…

Kravene til cookies i ekomloven fører til at det må gis samtykke for ALLE cookies (eller tilsvarende teknologier), med unntak av de som er særlig nødvendig. Dette er uavhengig av om det behandles personopplysninger ved bruk av cookies.

Slikt samtykke skal dekke kravene etter GDPR, se artikkel 7, som er strenge krav. Og samtykket skal være like enkelt å trekke tilbake som det ble gitt, som stiller krav til teknisk løsningen på nettsidene. Det er imidlertid tvilsomt om noen noensinne vil gi et samtykke som er «frivillig, spesifikk, informert og utvetydig» som det kreves etter GDPR artikkel 4 nr. 11. For cookies som behandler personopplysninger, så kreves det samtykke for noen cookies, mens for andre kan det være nok med grunnlag i berettiget interesse avhengig av hvilke personopplysninger som behandles, se illustrasjon nedenfor. Her er det ingen endringer med ny ekomlov, siden den gjelder kun settingen av selve cookiene. For behandling av personopplysninger som samles inn ved bruk av cookies, gjelder personvernregelverket (som GDPR) som for all behandling av personopplysninger.

Illustrasjonen viser at det må innhentes samtykke for alt utenom «strengt nødvendige cookies», men der hvor det behandles personopplysninger kan man enten benytte seg av samtykke eller berettiget interesse avhengig av hvor omfattende personopplysninger som samles inn og/eller hvor inngripende opplysningene er.

Oppsummering/sjekkliste:

  • Innhentes samtykke på en lovlig måte, hvor det er mulighet til å avvise alle andre enn «særlig nødvendige cookies»?
  • Får de som samtykker tilstrekkelig informasjon så de vet hva de samtykker til? Husk at det skal informeres om alle cookies og hva som er konsekvensene av at det gis samtykke.
  • Er det mulig for å endre eller trekke samtykket senere på en like enkel måte som samtykket ble gitt?

Kan man bruke Copilot på arbeidsplassen

Dette er et spørsmål som mange vurderer for tiden. Eller forresten, det er kanskje bare noen som vurderer det, og de fleste kjører vel bare på (?).

Men siden kunstig intelligens er ganske kraftig verktøy som kan gå inn i alle kriker og kroker av informasjon og opplysninger, så bør det vurderes om slikt verktøy skal brukes og ikke minst om hvordan det skal brukes. Dette gjelder spesielt om det skal brukes mot ansattopplysninger og mer sensitive eller følsomme dokumenter og informasjon. Eksempelvis vil eposten til den enkelte kunne inneholde mye opplysninger av ulik artikkel.

En risikovurdering (også kalt «ROS-analyse») bør absolutt være på plass, så kan det vurderes om det skal gjøres en vurdering av personvernkonsekvenser (DPIA) etter GDPR artikkel 35. Sistnevnte avhenger da i stor grad om hvilke personopplysninger som vil bli behandlet gjennom bruken av kunstig intelligens.

Noe veiledning kan man finne i NTNUs rapport fra innføring av Copilot som er en del av Datatilsynets sandkasseprosjekt. I konklusjonen fra rapporten gis det ikke et klart svar på om Copilot skal kunne benyttes i en virksomhet, men rapporten viser hva som kan tas inn i vurderingen og hvordan det skal kunne beskrives.

[TA INN ET DÅRLIG AI-GENERERT BILDE ]

Personvernnemda opphevet Datatilsynets gebyr til NAV

Datatilsynet ga NAV pålegg og overtredelsesgebyr i mars 2024 etter et tilsyn hvor NAVs konfidensialitet gjennom tilgangsstyring og loggkontroll ble gjennomgått. Datatilsynet påla NAV å forbedre sine tiltak for å sikre personvern i tilgangsstyring, spesielt rettet mot behandling av sensitive personopplysninger. NAV ble også ilagt det overtredelsesgebyr på kr 20 millioner for brudd på bl.a. GDPR artikkel 24 og 32.

NAV mente at Datatilsynets vedtak var ugyldig og klaget saken inn for Personvernnemda, og nå har Personvernnemnda komme til at vedtaket fra Datatilsynets skal oppheves. Dette medfører at overtredelsesgebyret også faller bort.

Bakgrunnen for Personvernnemdas avgjørelse er at vedtaket fra Datatilsynet ikke er tilstrekkelig klart for at NAV skal kunne oppfylle dette. Avgjørelsen har ikke tilstrekkelig begrunnelse slik at det fremkommer hvordan NAV har brutt personvernregelverket. Dette gjelder spesielt når det gis pålegg, dvs. at NAV har en plikt til å gjøre visse handlinger, uten at det er konkret og beskrevet hva som skal gjøres. Nemda skriver her:

Personvernnemnda anser det videre som problematisk at et pålegg som kan gi grunnlag for tvangsmulkt etter personopplysningsloven § 29 og overtredelsesgebyr etter forordningen artikkel 83 nr. 6 dersom pålegget ikke oppfylles, formuleres så generelt at det ikke er mulig å forstå hva som må gjøres for å oppfylle pålegget.

Nemda mener også at Datatilsynet fatter vedtak utenfor det som er tilsynsområdet, ved at det er fattet vedtak om forhold som ligger utenfor det som Datatilsynet gjorde tilsyn på.

Tilsvarende gjelder for overtredelsesgebyret, hvor det er vanskelig å forstå hva som er tilsynets begrunnelse, både knyttet til hva NAV faktisk har/ikke har gjort, og den juridiske tolkningen av regelverket. Også vurderingen av om NAV har skyld, ved om NAV har overtrådt personvernerregelverket uaktsomt eller forsettlig – som er et krav for at gebyr skal ilegges, er mangelfulle og uklare, og med til dels motstridende redegjørelse. Nemda konkluderer derfor slik:

Uklarheten ved Datatilsynets lovanvendelse, tilsynets redegjørelse for faktum samt tilsynets mangelfulle vurdering av skyldkravet, representerer slike mangler ved vedtaket at nemnda har kommet til at vedtaket om overtredelsesgebyr må oppheves.

Se oversikt over avgjørelser i Personvernnemda her.

Kontroll på APIer

Det danske Datatilsynet legger stadig ut praktiske tips, ofte knyttet til tekniske forhold. Nå har de gitt tips på hvordan ha kontroll på APIer (som står for Application Programming Interfaces). APIer gjør det mulig for ulike applikasjoner og IT-systemer å kommunisere og utveksle data. De er altså helt sentrale for IT-integrasjon og bruk av data i dag, men utgjør også en risiko for utilsiktet eksponering av personopplysninger dersom de ikke brukes og sikres på riktig måte. De er også attraktive mål for ondsinnede aktører, da de ofte gir tilgang til sensitive data og systemer, og er derfor viktig å sikre både gjennom funksjonaliteten til APIene og dataene de behandler.

Tips fra det danske datatilsynet der derfor:

  • Overvåk og kontroller APIene kontinuerlig slik at uvanlig aktivitet oppdages.
  • Vurder tiltak som «rate limiting», som begrenser antallet API-forespørsler som kan gjøres over en gitt tidsperiode.
  • Implementer av autentisering og autorisering, som for eksempel OAuth eller API-nøkler som sikrer at kun godkjente brukere eller systemer får tilgang til APIene.
  • APIenes tilgang begrenses til kun de dataene og funksjonene som er nødvendige for deres formål (least privilege).

Dette er nok kjent musikk for mange som arbeider med IT-sikkerhet, men kan være en grei sjekkliste for andre som skal kontrollere at implementering skjer på riktig måte, som personvernombud og andre personvernansvarlige. Ta derfor dette gjerne inn i it-sikkerhetspolicyen.

EU-domstolen: Informasjonsplikten etter GDPR artikkel 14

Det er kommet én dom i EU-domstolen siden siste nyhetsbrev, og denne gjelder informasjonsplikten GDPR artikkel 14. Hovedpunktene som kom frem i dommen var:

  • Artikkel 14 omfatter alle personopplysninger som ikke er dekket av artikkel 13, dvs. alle opplysninger som ikke er samlet inn fra den registrerte selv.
  • Artikkel 14 omfatter derfor også personopplysninger som den behandlingsansvarlige genererer.
  • Unntaket i artikkel 14(5)(c) (innsamling eller utlevering av personopplysninger etter grunnlag i lov) om å informere den registrerte omfatter derfor også personopplysninger som den behandlingsansvarlige har generert selv.
  • Tilsynsmyndigheten kan i en klageprosess vurdere om nasjonal lovgivning gir tilstrekkelige tiltak for å beskytte den registrertes berettigede interesser, som kreves for å anvende unntaket i artikkel 14(5)(c).
  • Denne vurderingen omfatter imidlertid ikke tiltak for sikkerhet i behandlingen som kreves etter artikkel 32.

Les sammendrag av dommen. Dommen er også lagt inn i oversikten over EU-dommer.

Uttalelse fra EDPB om bruk av personopplysninger for utvikling/trening og implementering av kunstig intelligens

EUs personvernråd (EDPB) har kommet med en uttalelse om utvikling/trening og implementering av kunstig intelligens (AI) knyttet til kravene til GDPR basert på en forespørsel fra det irske datatilsynet. Uttalelsen er derfor begrenset til å svare på spørsmålene fra tilsynet, men gir også generell veiledning på ulike problemstillinger knyttet til bruk av AI og personopplysninger.

Hovedpunkter i uttalelsen:

  • Om det kan sikres at data i en AI-modell er anonymisert, gjelder ikke GDPR. Men AI-modeller kan ikke alltid anses som «anonyme» selv om de ikke er trent på personopplysninger. Det må derfor vurderes i det enkelte tilfelle, herunder av datatilsynene, om en modell er tilstrekkelig anonymisert. For å verifisere anonymitet, gjennomfør kontroll av datakilder og vurder risikoen for at ulovlig behandling av personopplysninger kan påvirke senere bruk. Uttalelsen gir en liste over kriterier i en slik vurdering.
  • For å klassifisere en modell som anonym må både sannsynligheten for å hente ut personopplysninger fra modellen og risikoen for at personopplysninger kan utledes fra spørringer, være ubetydelig. Man bør derfor sørge for dokumentasjon om hvordan anonymitet sikres, inkludert tiltak for å redusere risikoen for re-identifikasjon.
  • Det må i det enkelte tilfelle vurderes hvilket lovlig grunnlag som kan benyttes for behandling av personopplysninger ved AI. For bruk av berettiget interesse som grunnlag går uttalelsen gjennom hvordan dette kan benyttes, herunder tretrinnstesten som skal gjennomføres, dvs. identifisere berettiget interesse, vurdere nødvendighet av behandlingen, herunder om det er alternative behandlinger som kan være mindre inngripende, og balansetesten mellom interessene til behandlingsansvarlig og den registrertes rettigheter. Vurderingen bør dokumenteres.
  • Hvis personopplysninger behandles ulovlig i utviklingen av en AI-modell, kan dette påvirke lovligheten av videre behandling ved bruk av AI-modellen. Uttalelsen går gjennom konsekvensene ved at det skjer ulovlig behandling av personopplysninger gjennom modellen.

Det er for øvrig synd at uttalelsen ikke gir mer klarhet i bruk av særlige kategorier (sensitive) personopplysninger gjennom uttalelsen. Dette er et vanskelig område hva gjelder utvikling og trening av AI som det kunne vært bra med veiledning.

Uttalelsen er tatt inn i oversikten over veiledere, uttalelser, dokumenter mv. fra EUs personvernråd (EDPB).

Veileder for bruk av kroppskamera fra Datatilsynet

Datatilsynet har publisert veileder om bruk av kroppskamera. Veilederen er trolig ikke så veldig praktisk for mange, for de fleste kjenner vel bruk av kroppskamera bare fra videoer om amerikansk politi. Men begynner å bli mer aktuelt for oss her oppe i nord også at slike kameraer brukes. Veilederen kan også brukes til en viss grad for filming med mobiltelefon.

Det påpekes i veilederen at GDPR gjelder ikke for rent personlig bruk, så man kan ha GoPro-kamera på alpinhjelmen denne vinteren også. Men det skal ikke så mye til før personvernreglene gjelder, siden unntaket for personlig bruk er begrenset. Et spesielt problem når GDPR gjelder, er hvordan man oppfyller informasjonsplikten for de som blir filmet. Datatilsynet har noen forslag, men dette blir nok en utfordring for de som skal benytte seg av kroppskamera. Problemet er illustrert i et dårlig generert AI-bilde:

Forskjellige nyheter

Veileder fra EUs personvernråd (EDPB) om overføringer til tredjeland etter anmodning fra myndighetene. EDPB har kommet med utkast til veileder for når en virksomhet innenfor EØS mottar forespørsel om overføring av opplysninger fra en myndighet i et tredjeland (dvs. land utenfor Europa). Ved en overføring av personopplysninger må bl.a. GDPR overholdes, og veilederen knytter seg til GDPR artikkel 48 og klargjør hvordan virksomheter best kan vurdere under hvilke betingelser de lovlig kan svare på slike forespørsler og eventuelt overføre personopplysninger. Man må også være oppmerksom på at dommer eller avgjørelser fra myndigheter i tredjeland kan ikke automatisk anerkjennes eller håndheves i EØS. En avtale mellom land kan gi både et juridisk grunnlag og et grunnlag for overføring og det kan være andre juridiske grunnlag eller overføringsgrunnlag vurderes i unntakstilfeller og på individuell basis. I Norge har vi også spesifikke regler for overføring av opplysninger knyttet til straffesaker til myndigheter i andre land, som kan være det mest aktuelle her. Veilederen er på høring til 27. januar 2025.

EDPB kommenterer EU-kommisjonens beslutninger om godkjente tredjeland. EDPB har også kommentert EU-kommisjonens gjennomgang av de 11 beslutningene om «godkjente tredjeland» som personopplysninger kan overføres til (såkalte «adequacy beslutninger»). Beslutningene omfatter Andorra, Argentina, Canada, Færøyene, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Sveits og Uruguay. EU-kommisjonen har konkludert med at disse landene fortsatt opprettholder et tilstrekkelig beskyttelsesnivå for behandling av personopplysninger, og overføringer til disse landene fra EØS kan dermed fortsette som før. EDPB støtter konklusjonen fra Kommisjonen, men oppfordrer Kommisjonen til å styrke transparensen og detaljere metodikken i fremtidige vurderinger. Spesielt etterlyses en grundigere gjennomgang av tredjelands lovgivning og praksis for å sikre at personvernstandarder opprettholdes i tråd med EUs krav, og presiserer at dette understreker viktigheten av kontinuerlig evaluering av beslutningene for å beskytte personopplysninger i tredjeland.

EDPS følger opp om EU-kommisjonens bruk av Microsoft 365. Som tidligere meldt i nyhetsbrevet så mener EUs datatilsyn, EDPS, at EU-kommisjonen har brutt flere av bestemmelsene i EUDPR (som er GDPR, bare for EU-institusjoner) i forbindelse med at EU-kommisjonen har benyttet seg av Microsoft 365. Bruddet går her på bruk av amerikanske skyleverandører, som involverer reell eller potensiell overføring av personopplysninger til land utenfor EØS (tredjeland) som USA. Kommisjonen har, også som tidligere meldt, bragt saken inn for EU-domstolen. Kommisjonens frist for tilbakemelding til EDPS gikk ut 9. desember og Kommisjonen har levert en tilbakemelding som EDPS nå vurderer.

Bruk av hemmelig lydopptak lovlig. NRK har en god artikkel om hemmelige lydopptak. Enkelt sagt: Hemmelig opptak er i utgangspunktet lovlig, om det er opptak hvor man deltar selv. Men om opptakene skal publiseres eller offentliggjøres, kan være avhengig av innholdet i opptaket og formålet med opptaket. Private opptak er som regel greit, men blir opptakene publisert eller offentliggjort, vil det ikke anses som privat. Det kan også være greit å sette seg inn i hva Datatilsynet har skrevet om temaet.

Kontanter sikrer personvernet. Det er også interessant at Betalingsutvalget, som nylig leverte en utredning, mener at det er viktig å fremdeles ha kontanter av personvernhensyn.

Bot for cookies på EUR 90.000. Det spanske datatilsynet rir igjen, og har gitt en bot på EUR 90.000 (dvs. over kr 1 mill.) for å bruke cookies (informasjonskapsler) uten samtykke på tre nettsider. Det ble informert om bruk av cookies, men to cookies var ikke nevnt. Det var imidlertid bare cookies for å få nettsidene til å fungere og statistiske cookies som ble plassert, og ingen cookies til andre formål ble påvist.

Rekordmange brudd og avviksmeldinger fra universiteter og høgskoler melder Khrono. Per 22. november var det 68 avviksmeldinger, som er over dobbelt så mange som i 2019. Khrono har hentet ut alle avviksmeldinger som er sendt, som kan leses i artikkelen. Dette omfatter også bruddet fra Universitetet i Agder som er omtalt i tidligere nyhetsbrev, Sandra Borch-saken, og sikkerhetsbrudd i innloggingstjenesten Feide hvor nesten 600.000 personer fikk delt fødselsnummeret. En annen sak som omtales er en avviksmelding fra en ansatt ved Universitetet i Oslo som brukte studenters e-postadresser til å sende dem reklame for egen virksomhet, der vedkommende «leser» mennesker ved å «gå inn i energifeltet» deres. Kategorien «tilsiktede angrep» er imidlertid blant avvikene som øker raskest og som hadde en økning på 143 % i 2023.

Personvernbrudd kan også være (litt) morsomme. FotoKnudsen har hatt et personvernbrudd som har gitt noe artige konsekvenser. Om de som ble berørt synes det var artig er nok kanskje mer tvilsomt. Bruddet førte til at fotokalendere – som er populære gaver i julen, ble byttet om. En som hadde kjøpt kalender fikk kalender med sine barn, men i kalenderen var det også bilde en rekke kjekke karer i lærnikkersRundt 1000 mennesker kan være rammet av forholdet, som kanskje kan gi noen «spennende» gaver til jul.

Dom for ulovlig epostinnsyn med oppreisningserstatning etter GDPR. I en dom fra Møre og Romsdal tingrett fikk to ansatte erstatning på kr 30.000 hver etter arbeidsgivers ulovlige innsyn i epostkassene til de ansatte. Arbeidsgiver hadde gjort innsynet for å fortsette et prosjekt, siden de ansatte var sykemeldte. Retten mente at arbeidsgiveren kunne sørget for prosjektet på mindre inngripende måter enn innsyn i epostkassene, og at innsynene var gjennomført på en ulovlig måte. Dommen er også tatt inn i oversikten over relevante avgjørelser for GDPR.

Nytt personvernbrudd hos Nav. Nav har hatt ytterligere ett personvernbrudd hvor 17.200 Nav-medarbeidere har hatt tilgang til sensitive notater om 1377 leger. Tilgangene har eksistert siden 2011. Nav omtaler avviket ved at det var for mange som hadde tilgang til opplysninger som ikke var strengt nødvendig for jobben de gjør i Nav, og det er et personvernbrudd. Nav vet hvem som har hatt tilgang, men ikke hvem som aksessert opplysningene. Datatilsynet ønsker derfor å vite hvorfor Nav ikke har logging. Nav har tidligere bl.a. fått et overtredelsesgebyr pga. manglende informasjonssikkerhet og tilgangsstyring, men hvor da Personvernnemda har funnet Datatilsynets vedtak i en av sakene ugyldig, se ovenfor.

IT-rett: Kunden hadde ansvar for forsinkelse og mangler. I en nylig dom fra Oslo tingrett ble konklusjonen at kunden måtte selv bære risikoen for at leveranse av et IT-system ble forsinket på nærmere to år og ikke hadde den avtalte funksjonalitet. Endringsmekanismene i avtalen ble ikke fulgt, og kunden reklamerte ikke til rett tid. Dommen viser at kundene i IT-leveranser må følge opp leveransen aktivt og kan ikke vente med å ta opp forhold til senere. Dette gjelder spesielt når det brukes standardavtaler som ikke er tilpasset den konkrete leveransen, som i dette tilfellet hvor leverandørens bistand var basert på løpende timer, og kunden gjorde mange endringer i leveransen uten å følge opp med dokumentasjon. Ikke en spesielt overraskende dom, men en god påminnelse for de som anskaffer IT-systemer. Dommen er ikke rettskraftig.

Samtykk eller dø! Mer artig fra personvernverdenen: Fjordkraft la ut en forespørsel med samtykke med teksten «Samtykk eller dø». Det er viktig å være klar over at dette er IKKE et gyldig samtykke etter GDPR artikkel 4 nr. 11 og artikkel 7 siden samtykket trolig ikke er frivillig. Man må ha mulighet til å avvise samtykket og likevel kunne leve videre. Her er det viktig å gjøre det riktig!

Og til slutt

En julehilsen til alle lesere av nyhetsbrevet, som en advokat ville skrevet den:

Dette nyhetsbrevet og tidligere versjoner kan også leses på mine nettsider, sandtro.no, hvor det også finnes mer om GDPR, med oversikt over personvernforordningen (GDPR) med relevante fortalepunkter og informasjon knyttet til hver enkelt artikkel samt dokumenter, maler, sjekklister osv. som kan lastes ned.

For rettigheter og bruk av innholdet over, se her: https://sandtro.no/rettigheter/.

Litt legal stuff: Ovenfor er det kun nyheter og informasjon som ikke må forstås som juridiske råd. Overholdelse av lover og regler er vurderinger som den enkelte må gjøre basert på den konkrete behandling av personopplysninger, eventuelt gjennom å søke bistand av ekspertise. 

Nyhetsbrev