IT-jus nr. 11/24

mandag 4. november 2024 @ 14:06

Først av alt vil jeg invitere til et seminar i Schjødt DIGITAL den 13. november hvor vi tar opp en del høyaktuelle problemstillinger innen KI og hvor det er deltakere […]
Av Eva Jarbekk

Først av alt vil jeg invitere til et seminar i Schjødt DIGITAL den 13. november hvor vi tar opp en del høyaktuelle problemstillinger innen KI og hvor det er deltakere fra både Norge og andre land. Det kommer til å bli nyttig – blant annet snakker vi om hvordan “finetuning” av standard LLM kan gjøre at man omfattes av kravene til utviklere av en KI/AI – og hvordan man må ta hensyn til underliggende lisensvilkår når ens egen videreutviklede KI/AI skal kommersialiseres. Dessuten tar vi en gjennomgang av den nye veilederen for berettiget interesse som kom fra EDPB nylig – og den gjennomgangen gjøres av han som var med på å skrive selve veilederen – så det blir veldig bra. Fullt program og påmelding (fysisk eller web) finner du her https://schjodt.com/news/schjodt-digital-on-latest-ai-regulatory-developments

Den 4. oktober ble det publisert flere dommer fra CJEU og det var såpass viktig at jeg omtalte dem i et eget nyhetsbrev. I dette nyhetsbrevet ser jeg nærmere på utkastet til Guideline om berettiget interesse og en Opinion om databehandlere – samt en interessant artikkel om hvorvidt en LLM faktisk “lagrer” personopplysninger eller ikke.

Men like viktig kan det være å komme med et lite OBS om at ryktet sier at ny ekomlov antakelig snart blir vedtatt i Stortinget i Norge og det kan hende at ikrafttredelse blir allerede fra førstkommende årssikfte. Det er i så tilfelle tidligere enn mange har trodd. Hvis dette stemmer, betyr det at vi veldig snart får nye cookie-regler i Norge. Og de blir mye strengere enn hva vi har nå. Jeg tipper at dette må bli hovedtema i neste nyhetsbrev i desember. Men – for de av dere som bruker cookies på nettsider til å analysere trafikk, retargete kunder i andre medier samt mye annet – det er lurt å begynne å forberede seg allerede nå.

Som vanlig:

God lesning!

Hilsen Eva


I –Bruk av databehandlere og underdatabehandlere i lys av GDPR Artikkel 28

EDPB har kommet med en viktig uttalelse som adresserer de forpliktelser behandlingsansvarlige har når de benytter databehandlere og underdatabehandlere. Dette skjer etter en forespørsel fra det danske datatilsynet, som ønsket klarhet rundt håndteringen av komplekse databehandlerstrukturer. Særlig for bruk av skytjenester.

Skytjenesteleverandøren benytter seg ofte av en rekke underleverandører for å kunne levere sine tjenester, noe som igjen fører til et problem for dokumentasjonsplikten til behandlingsansvarlig.  Dette har skapt usikkerhet knyttet til overholdelse av Artikkel 28, om behandlingsansvarliges plikter ved bruk av databehandlere. Det danske datatilsynet så derfor et presserende behov for en felles forståelse og håndhevelse av disse reglene på tvers av nasjonale grenser.

Uttalelsen fra EDPB gir veiledning på flere nøkkelområder:

  1. Identifikasjon av alle databehandlere og underdatabehandlere: Behandlingsansvarlige må ha oppdatert og detaljert informasjon om alle databehandlere og underdatabehandlere de benytter. Dette inkluderer navn, adresse og kontaktperson, og plikten gjelder uavhengig av hvilken risiko som knyttes til behandlingsaktiviteten. Denne informasjonen er avgjørende for å sikre GDPR-overholdelse og må være tilgjengelig til enhver tid. Gjelder dette altså i hele leveransekjeden? Ja, de skriver slik at det ikke gjøres noe skille mellom leverandør, underleverandør og underunderleverandører – også leverandører lenger ned i kjeden skal man ha oversikt over. For å klare dette, må man antakelig bruke dynamiske nettsider med oversikt over hvilke leverandører som brukes. Høyst sannsynligvis må man også sende notifikasjon til den behandlingsansvarlige om det gjøres endringer. Det angis ingen plikt til å oppgi all denne informasjonen i selve personvernerklæringen, men oversikten må finnes hos den behandlingsansvarlige. Fra en rettighetsvinkel er dette ikke så overraskende – som behandlingsansvarlig skal man jo klare å svare en registrert på hvem som behandler vedkommendes personopplysninger. Men det er greit å få det avklart.
  2. Ansvarlighet ved valg av databehandler: Prinsippet om ansvarlighet i Artikkel 24 innebærer at behandlingsansvarlige må ha tilstrekkelig garanti for at valg av databehandler ikke svekker de registrertes rettigheter og friheter. Videre skal behandlingsansvarlig, uavhengig av risiko, få verifisert at databehandler og underdatabehandler gir tilstrekkelig garanti for å gjennomføre egnende tiltak som sikrer behandlingen. Det er altså ikke nok for behandlingsansvarlige å anta at deres databehandlere overholder GDPR. De må aktivt verifisere og dokumentere at både databehandlere og deres underdatabehandlere oppfyller nødvendige databeskyttelsesforpliktelser. Dette kan innebære bruk av spørreskjemaer, revisjonsrapporter, og andre verifiseringsmetoder. Omfanget av kontrollen vil likevel kunne variere avhengig av arten av disse tekniske og organisatoriske tiltakene og risikonivået.  For behandling som representerer en høy risiko for de registrertes rettigheter og friheter, bør den behandlingsansvarlige øke sitt verifikasjonsnivå. I den forbindelse mener EDPB at under GDPR har ikke den behandlingsansvarlige en plikt til systematisk å be om underdatabehandleravtaler for å sjekke om personvernsforpliktelsene gitt i den opprinnelige kontrakten har blitt videreført nedover i leverandørkjeden. Den behandlingsansvarlige bør likevel vurdere om dette er nødvendig fra sak til sak.
  3. Overføringer til tredjeland: Den behandlingsansvarlige må vurdere risikoene ved videre overføringer som skjer gjennom hele kjeden, selv om den faktiske overføringen utføres av databehandleren til en underdatabehandler, og ikke av den behandlingsansvarlige selv. Selv om EDPB understreket at behandlingsansvarlige til syvende og sist har ansvaret for dette, anerkjente de at databehandleren også spiller en rolle her. I praksis må behandlingsansvarlige i stor grad stole på de svarene deres databehandlere gir dem på dette området. Videre har behandlingsansvarlig en plikt til å vurdere risikovurdering av overføringer av personopplysninger nedover i kjeden til land utenfor EØS eller som ikke er definert som adekvat tredjeland.  Behandlingsansvarlig må imidlertid fortsatt sjekke at det finnes “tilstrekkelige garantier” for videre overføringer fra adekvate tredjeland.

Hva betyr dette i praksis? Behandlingsansvarlige kommer til å øke oppmerksomheten på bruk av underdatabehandlere. Databehandlerere bør forberede seg på det allerede nå. Det blir mer oppmerksomhet på kontroll, transparens og aktiv forvaltning av personvernforpliktelser gjennom hele behandlingskjeden.

Videre vil uttalelsen kunne ha betydning for retten til innsyn. Etter Artikkel 15 i GDPR har den registrerte rett på informasjon om mottakere eller kategori av mottakere av den registrertes personopplysninger. Dette innebærer at den registrerte må kunne informere om den faktiske identiteten til mottakerne.


II – Ny veileder om “berettiget interesse”

EDPB har utarbeidet en ny veileder som analyserer hvordan behandlingsansvarlige kan behandle personopplysninger basert på berettiget interesse. Disse retningslinjene vil være åpne for offentlig høring frem til 20. november 2024 og det er mulig å gi innspill før de endelige retningslinjene fastsettes. Førsteinntrykket og den generelle oppfatningen tyder på at veilederen ikke er særlig kontroversiell, til tross for at den regulerer det som er et svært viktig behandlingsgrunnlag for mange virksomheter. Den manglende kontroversen kan trolig skyldes at den ikke medfører store endringer i forhold til den eksisterende veilederen fra WP-29.

For å kunne støtte seg på berettiget interesse, må behandlingsansvarlige oppfylle tre kumulative vilkår:

  1. Forfølgelse av en berettiget interesse: Interessen må være lovlig, klart og presist formulert, reell og aktuell. Dette kan for eksempel være tilfelle når den registrerte er en klient eller på annen måte tjener behandlingsansvarlig.
  2. Nødvendigheten av behandlingen: Det må være nødvendig å behandle personopplysningene for å oppnå de berettigede interessene. Dersom det finnes rimelige, like effektive, men mindre inngripende alternativer for å oppnå det samme målet, kan behandlingen ikke anses som nødvendig. Prinsippet om dataminimering skal også tas i betraktning her.
  3. Avveining mot individets interesser: Behandlingsansvarlig må sikre at deres berettigede interesse ikke overstyrer individets interesser, grunnleggende rettigheter eller friheter. I denne avveiningen må behandlingsansvarlig vurdere individets interesser, behandlingens innvirkning, eksistensen av ytterligere sikringstiltak som kan begrense innvirkningen på individet, og den registrertes rimelige forventninger.

Retningslinjene gir også veiledning om hvordan denne vurderingen bør utføres i praksis, med konkrete eksempler som svindelforebygging, direkte markedsføring og informasjonssikkerhet. Dokumentet forklarer også forholdet mellom dette rettslige grunnlaget og en rekke rettigheter den registrerte har under GDPR. Veiledningen virker derfor å være i tråd med den nylig avsagte dommen C-621/22 KNLTB.

Lenke til høringsutkastet


III – Lagring av personopplysninger ved LLM-modeller

I denne artikkelen av Lokke Moerel og Marijn Storm utforskes kompleksiteten ved håndtering av personopplysninger i store språkmodeller (LLMs) med tanke på GDPR.

Det har tidligere blitt argumentert for at siden LLMer ikke “lagrer” personopplysninger i teknisk forstand, kan ikke de registrerte direkte anvende sine rettigheter på selve modellen. Dette vil påvirke anvendelsen av personvernreglene på teknologien. Det vil da kun være i tilfeller hvor personopplysninger behandles i et AI-system at denne behandlingen må overholde GDPR-kravene. I slike tilfeller vil det kun være brukeren av AI-systemet som må respektere de registrertes rettigheter, ikke utvikleren av LLM-modellen. Dette innebærer at selv om LLMer trenes i strid med GDPR, påvirker dette ikke nødvendigvis lovligheten av å bruke disse modellene innenfor et LLM-støttet AI-system. Mange sammensatte problemstillinger her, altså.

Noe av det spennende er at artikkelen viser til veiledning fra Danmarks datatilsyn. De har ment at innholdet i AI-modeller ikke i seg selv utgjør personopplysninger, ettersom de kun er resultatet av behandlingen av personopplysninger. Dette sammenlignes med statistiske rapporter, som er resultatet av databehandling, men som i seg selv ikke er personopplysninger.

Forfatterne argumenterer for at dette er feil. De skriver at selv om LLM’er teknisk sett ikke “lagrer” personopplysninger, kan de likevel anses som personopplysninger på grunn av måten de brukes på. For eksempel vil chatbots generere personopplysninger basert på forespørsler inn i LLM’en. De trekker paralleller til søkemotorer, hvor operatørene regnes som behandlingsansvarlige for håndteringen av personopplysninger av brukerne. Dette er et kritisk punkt fordi det understreker at ansvaret for personvern ikke bare ligger i hvordan data lagres, men også i hvordan de brukes og hvilken innvirkning dette har på individets rettigheter.

Moerel og Storm hevder at dersom retningslinjene fra Hamburg og det danske datatilsynet følges, vil ikke LLM-leverandører være ansvarlige for unøyaktige utdata som omhandler offentlige personer, noe som ville resultere i et gap i personvernsbeskyttelsen. De foreslår at effektiv og fullstendig beskyttelse av de registrerte kun kan oppnås dersom LLM-leverandører betraktes som felles behandlingsansvarlige for bruken av deres LLMer og er ansvarlige for å håndtere forespørsler fra registrerte.

Siste ord er neppe sagt om dette og mulig trengs det noen rettsavgjørelser for å avklare situasjonen.

Do LLMs ‘store’ personal data? This is asking the wrong question


IV – Rett til sletting?

Om sak Agentsia po vpisvaniyata (C-200/23

I Bulgaria oppsto det en rettstvist omkring hvordan personopplysninger skal håndteres i et statlig foretaksregister. En bulgarsk innbygger hadde vært med på å etablere et aksjeselskap. Vedkommendes personopplysninger ble inkludert i selskapets stiftelsesdokumenter, som deretter ble offentliggjort av registeret. Personen forlangte at opplysningene skulle slettes, noe registeret ikke ville gjøre, og det ble en rettssak.

EU-domstolen tok stilling til flere juridiske spørsmål i denne saken. For det første måtte det være klart at registeret måtte regnes som både behandlingsansvarlig og en mottaker av personopplysninger.

Videre er det også klart at den registrerte har rett til å få slettet personopplysninger som er behandlet uten hjemmel. Det ble ikke vektlagt at den registrerte kunne ha sørget for at registeret fikk en redigert utgave der personopplysningene ikke fremgikk, slik som registerets egne prosessuelle regler oppstilte. Den registrertes rett til sletting er absolutt, med mindre behandlingen av disse personopplysningene er nødvendige for å utføre en rettslig forpliktelse eller for å utføre oppgaver av allmenn interesse.

Det tredje spørsmålet EU-domstolen besvarte er at en håndskrevet underskrift kan ansees som en personopplysning. Dette var et spørsmål i saken, selv om konklusjonen i saken neppe er neppe særlig oppsiktsvekkende i lys av definisjonen av en personopplysning i Art. 4(1), hvor det er naturlig å konkludere med at en signatur er en opplysning som kan knyttes til en person.  

Dommen er også interessant for å etablere erstatningsansvar etter GDPR. EU-domstolen anerkjenner (atter en gang) at der den registrerte mister kontrollen over egne personopplysninger, spesielt når de tilgjengeliggjøres på internett, så kan det føre til ikke-materiell skade. Dette kan utløse krav om erstatning, men den registrerte må kunne påvise en årsakssammenheng mellom overtredelsen og de negative konsekvensene den registrerte er påført. Det er dermed ikke noe krav om økonomisk tap, men det er heller ikke tilstrekkelig å kun påvise et brudd på GDPR.

Det var heller ikke formildende for behandlingsansvarlig sitt erstatningsansvar at det forelå en uttalelse fra det nasjonale datatilsynet, som hevdet at foretaksregisteret ikke var ansvarlig.


V – Kan en unnskyldning være tilstrekkelig kompensasjon?

Om sak Patērētāju tiesību aizsardzības centrs (C-507/23)

I en rettssak fra Latvia ble en journalist involvert i en juridisk konflikt med det latviske forbrukertilsynet etter at de hadde parodiert journalisten i en video uten hans tillatelse. Journalisten krevde at videoen skulle fjernes og ba om erstatning for det omdømmetapet han opplevde som følge av videoen. Forbrukerombudet avslo å fjerne videoen og nektet for at det forelå et brudd på personvernreglene, og avviste dermed også kravet om erstatning. En ganske spesiell sak.

Saken eskalerte til de latviske domstolene, som fastslo at publiseringen av videoen var ulovlig, men de avslo å tildele økonomisk erstatning. I stedet ble forbrukerombudet pålagt å gi en offentlig unnskyldning.

EU-domstolen tok deretter opp saken for å vurdere flere spørsmål. For det første fant EU-domstolen at et brudd på GDPR ikke automatisk resulterer i en “skade” som kvalifiserer for erstatning etter artikkel 82(1). For at man skal ha rett på erstatning må det foreligge et brudd på GDPR, det må foreligge en materiell eller ikke-materiell skade og det må være adekvat årsakssammenheng mellom bruddet på GDPR og den aktuelle skaden.

Videre ble det et spørsmål hvorvidt en unnskyldning kan betraktes som adekvat kompensasjon. EU-domstolen fremhever at det i utgangspunktet er opp til nasjonal lovgivning å definere hva som er adekvat kompensasjon. Det er imidlertid ingenting i veien for at en unnskyldning under GDPR kan være en passende form for kompensasjon for ikke-materiell skade, spesielt når det ikke er mulig å gjenopprette den opprinnelige situasjonen, så lenge unnskyldningen fullt ut dekker den påførte skaden.

Det siste spørsmålet var om Artikkel 82(1) om erstatningsansvar innebærer et krav om at erstatningsansvarets størrelse skal påvirkes av behandlingsansvarliges intensjon eller motivasjon. Altså hvorvidt graden av skyld skal være en skjerpende eller formildende omstendighet utfra den aktuelle situasjonen. EU-domstolen fant at man ikke skal vektlegge graden av skyld hos behandlingsansvarlig, og begrunner dette i at hensynet bak Artikkel 82 er å kompensere den registrerte for den lidte skaden, og den har dermed ikke til hensikt å straffe den behandlingsansvarlige utover dette.


VI – Anerkjennelse av transrettigheter

Om sak Mirin (C-4/23)

Selv om denne avgjørelsen ikke direkte gjelder GDPR, så omhandler den tilgrensede spørsmål. Det er ikke overraskende at det nå kommer saker om transpersoners rettigheter og denne dommen kan bidra til større aksept for rettighetene.

EU-domstolen har nylig avgjort at medlemslandene i Den europeiske union må anerkjenne endringer av fornavn og kjønn som er juridisk gjennomført i andre EU-land. Dette ble bestemt i en sak hvor en britisk-rumensk statsborger hadde endret sitt juridiske kjønn og fornavn i Storbritannia og deretter søkte om å få disse endringene registrert i sitt fødeland, Romania.

Romania nektet å registrere endringene på hans fødselsattest og utstede nye dokumenter som reflekterte hans nye identitet, med begrunnelsen om at han måtte gjennomgå en nasjonal prosedyre for kjønnsskifte. Dette førte til at vedkommende tok saken til retten, og spørsmålet ble til slutt henvist til EU-domstolen for å avgjøre om Romanias avslag var i tråd med EU-lovgivningen.

EU-domstolen konkluderte med at Romanias avslag krenket individets rettigheter under EU-lovgivningen, spesielt retten til fri bevegelse og opphold. Domstolen påpekte at det var irrelevant at endringene ble forespurt etter at Storbritannia formelt hadde forlatt EU, siden endringene ble gjennomført mens Storbritannia fortsatt var medlem.

Dommen blir sett på som en stor seier for transpersoners rettigheter i EU, ettersom den sikrer at juridiske identitetsendringer anerkjennes på tvers av medlemslandene uten behov for ytterligere nasjonale prosedyrer. Dette styrker mobiliteten og rettighetene til EU-borgere ved å forenkle prosessen for anerkjennelse av personlig identitet. Kritikere fra land som Ungarn og Slovakia har uttrykt motstand mot dommen, og hevder at den overkjører nasjonale juridiske prinsipper. Saken vil nå gå tilbake til de rumenske domstolene for endelig avgjørelse, men EU-domstolens beslutning setter en bindende presedens for hvordan slike saker skal håndteres i EU.

Saken har neppe veldig stor betydning i Norge, men er likevel prinsipielt viktig.


VII – Politiets tilgang til mobiltelefon ved mistanke om kriminalitet.

Om sak Bezirkshauptmannschaft Landeck (C-548/21)

I denne saken behandlet EU-domstolen spørsmålet om politiets tilgang til data lagret på en mobiltelefon i forbindelse med en kriminalsak i Østerrike. En østerriksk borger hadde fått sin mobiltelefon beslaglagt etter at det ble funnet 85 gram cannabis i en pakke adressert til ham. Politiet forsøkte å låse opp telefonen uten å ha nødvendig godkjenning fra påtalemyndighet eller domstol, og uten å informere den berørte personen om forsøket. Den østerrikske domstolen henviste saken til EU-domstolen for å få avklart om østerriksk lovgivning, som tillater politiets handlinger, er i tråd med EU-lovgivningen. Den nasjonale domstolen bemerket at eieren var anklaget for en forseelse som maksimalt kunne straffes med ett års fengsel, og derfor ble ansett som en mindre alvorlig forbrytelse.

EU-domstolen fastslo at tilgang til opplysninger på en mobiltelefon kan utgjøre et alvorlig inngrep i et individs rett til privatliv. Videre ble det understreket at alvorlighetsgraden av den aktuelle forbrytelsen er en viktig faktor når man vurderer proporsjonaliteten av et slikt inngrep. Likevel vil ikke EU-domstolen begrense slike inngrep til kun bekjempelse av mer alvorlig kriminalitet. Nasjonale lover må definere klare kriterier for denne type inngrep, inkludert hvilke typer lovbrudd som kan rettferdiggjøre et slikt inngrep. Videre må tilgangen til dataene være forholdsmessig og underlagt forhåndsgodkjenning fra en domstol eller en uavhengig myndighet, med mindre det foreligger en nødsituasjon som klart kan begrunnes.

EU-domstolen påpekte også at den berørte personen må informeres om grunnlaget for godkjenningen så snart det ikke setter etterforskningen i fare. Dette sikrer en balanse mellom behovet for effektiv kriminalitetsbekjempelse og beskyttelsen av individets grunnleggende rettigheter. Dette er på mange måter en gjentakelse av helt grunnleggende personvern- og menneskerettighetsprinsipper. Også politiet må ha klare rammer å forholde seg til.


VIII – Må datatilsyn gi bøter ved brudd på GDPR?

Om sak Land Hessen (C-768/21)

Denne saken ble riktignok publisert en uke før de andre, er kanskje ikke den mest spennende, og kan være mer aktuell for andre land enn Norge. Den er likevel med her for helhetens skyld. I denne saken ble det fastslått at tilsynsorganer i EØS ikke automatisk må utstede pålegg, korrigerende tiltak eller bøter ved overtredelser av GDPR. Dette gir tilsynsmyndighetene mulighet til å vurdere om slike tiltak er nødvendige for å rette opp i situasjoner som har ført til brudd på regelverket, eller for å sikre at personvernreglene overholdes fremover. Egentlig synes jeg det er litt pussig at saken ble reist overhodet – for meg gir det ikke mening at tilsynene alltid skal ilegge bøter ved brudd.

Saken som førte til denne dommen, involverte en hendelse der en ansatt i en bank gjentatte ganger hadde skaffet seg urettmessig tilgang til en kundes personopplysninger. Arbeidsgiveren hadde som følge av dette gitt melding til datatilsynet om brudd på personopplysningssikkerheten i henhold til Artikkel 33 i GDPR. I tillegg hadde arbeidsgiver tatt ut disiplinære skritt mot den ansatte og den ansatte hadde forsikret skriftlig at hun ikke hadde misbrukt informasjonen. Arbeidsgiveren valgte å ikke informere den berørte kunden i henhold til Artikkel 34 i GDPR, fordi de ikke anså bruddet som en høy risiko for rettighetene og frihetene til kunden. Kunden oppdaget selv bruddet ved en tilfeldighet, og klaget til datatilsynet i Hessen, som fant at arbeidsgiverens risikovurdering ikke var mangelfull, og valgte derfor ikke å iverksette tiltak mot arbeidsgiveren.

Den berørte kunden anla sak mot tilsynets avgjørelse, og saken ble til slutt henvist til EU-domstolen for å avgjøre om tilsynsmyndigheter alltid må bruke myndigheten sin i henhold til Artikkel 58(2) i GDPR ved brudd på personvernforordningen. EU-domstolen konkluderte med at tilsynsmyndighetene ikke er forpliktet til å utøve korrigerende makt, som å ilegge administrative bøter, med mindre det er passende, nødvendig og proporsjonalt for å rette opp i manglene og sikre full håndhevelse av GDPR. Domstolen påpekte at tilsynsmyndighetene har skjønn til å velge passende og nødvendige tiltak basert på de spesifikke omstendighetene i hver sak.

Denne dommen klargjør at tilsynsmyndighetene har fleksibilitet til å vurdere hver enkelt sak og bestemme de mest passende tiltakene for å sikre at GDPR overholdes. Dette kan innebære at i visse tilfeller, der det allerede er tatt skritt for å stoppe og forhindre gjentakelse av brudd, kan det være unødvendig med ytterligere korrigerende tiltak.


KOMMENDE MØTER

24. okt 14.00 – 16.00 Digitalt nettverksmøte
14. november 12.00 – 13.00 Digital drop-in
12. des 14.00 – 17.00 Nettverksmøte i Oslo

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#