Det er advent og det er gløgg og småkaker overalt – og vi har fått en ny lov om cookies i Norge. Ny ekomlov er vedtatt og selv om det ikke er offentlig bekreftet, ryktes at den skal tre i kraft 1. januar 2025. Nå synes jeg kanskje dette må bekreftes asap fra myndighetene, eller så må man utsette iverksettelse til 1. juli. Vi får se.
Jeg har en begrunnet mistanke om at det er en del å gjøre for ganske mange her og jeg tror noen kan bli overrasket. Vi tar en prat om det i nettverket over jul. Mer om cookies i avsnitt I.
I møtet 12. desember skal vi blant annet snakke om overvåking i arbeidslivet. Det kommer stadig nye løsninger der – og hva vil og må man egentlig fortelle de ansatte? Dessuten skal vi snakke om hvilke interne kjøreregler man bør ha for opptak av møter i Copilot.
Og apropos Copilot – Datatilsynets og NTNUs sandkasse-rapporter om innføring av Copilot er i aller høyeste grad anbefalt julelektyre. Datatilsynet gir ikke et klart ja eller nei for om en bedrift kan bruke Copilot, men de peker på svært mange forhold man må beskrive. Det er også interessant at de skriver at Copliot også må vurderes opp mot reglene i epostforskriften – man vil jo ikke overvåke ansatte ulovlig. Jeg merker meg videre at det er stor skepsis til samtykke som rettsgrunnlag for bruk av Copilot, så her er det nok å tenke over fremover. Jeg får en følelse av at dette er så detaljert at det kan være utfordrende for mange å gjøre det på riktig måte.
Ute i Europa har EDPB arrangert såkalte «Stakehold events» for spesielt inviterte. I eventene har de samlet innspill til en Opinion om mulige hjemler for LLM’er, og for en ny Guideline om «Pay or Consent». Gjennomgående var det svært livlige og noe polariserte diskusjoner i begge møtene. Det er en del på spill. Resultatet fra EDPB kommer kanskje allerede som en julegave, i alle fall Opinionen om Pay or Consent.
Det har vært et begivenhetsrikt år innen juss og tech – og mye tyder på at det fortsetter slik.
Ønsker deg en riktig god desember og god lesning om et utvalg interessante saker under!
Hilsen Eva,
i samarbeid med fullmektig Trygve Karlstad
I – Ny ekomlov og cookies
Med den nye ekomloven er det klinkende klart at det vil bli mer oppmerksomhet på cookies i Norge fremover. Det er egentlig ikke noen overraskelse hva som kommer i de nye reglene. Vi skal jo nå få de samme reglene som i Europa.
Så da er det vel ikke så vanskelig? Tja, det spørs på hvordan hjemmesidene er satt opp og hvilke data som deles med hvem. Mange norske hjemmesider er ikke tilpasset det europeiske regimet fordi det har vært fordelaktig å bruke de norske (slappere) reglene.
Får brukerne deres mulighet til å avslå sporing? Jeg gjetter på det, men er det i første eller annet lag av banneret? Er det virkelig kun nødvendige cookies som settes dersom brukeren avslår cookies? Er dere sikre på at det bare samles inn data som man har samtykke for? Samler trackeren bare inn data for ett formål eller kan det tenkes den samler inn data for flere formål? Er samtykket granulert på samme måte? Har dere informert i cookie-banneret med hvilke tredjeparter dere deler data? Og hvis dere deler data med tredjeparter – reviderer dere hvordan mottaker bruker dataene? Og kan dere håndtere innsynsbegjæringer som spør om hvor denne type data har blitt delt? Jeg bare spør.
II – Kjedelig, men viktig: tilgangsstyring
Et tema som kommer igjen og igjen i vedtakene fra Datatilsynet er tilgangsstyring. Tilgangsstyring er neppe det mest spennende temaet innenfor personvernretten eller som inneholder de mest komplekse juridiske spørsmålene. Likevel viser praksis at dette er noe som flere virksomheter og organisasjoner bør ta enda mer hensyn til.
Et nylig vedtak om overtredelsesgebyr til Universitetet i Agder (UiA) illustrerer dette poenget godt. En ansatt ved UiA oppdaget at flere dokumenter med personopplysninger hadde vært åpent tilgjengelig i flere Teams-kanaler. Dermed hadde ansatte uten tjenstlig behov også hatt tilgang til blant annet navn, fødselsnummer, opplysninger om tilrettelagt eksamen, eksamensforsøk og eventuelle særordninger. Det er anslått at nesten 16 000 registrerte er berørt av den manglende tilgangsstyringen, som inkluderer ansatte, studenter, flyktninger fra Ukraina tilknyttet universitetet og andre eksterne personer.
Datatilsynet legger (selvsagt) til grunn at dette er et brudd på plikten til å bevare personopplysningens konfidensialitet og et brudd på deres plikt for internkontroll og ivareta tilstrekkelig personopplysningssikkerhet. Særlig blir det trukket frem at mappen med personopplysninger om de 64 ukrainske flyktningene som har vært tilgjengelig for alle studenter, som et særskilt konfidensialitetsbrudd.
Her er det også grunn til å minne om at det er nyttig å ha logger. Det er kun de som eventuelt kan vise at opplysninger faktisk ikke har blitt aksessert og misbrukt.
Fremover vil det nok bare bli enda viktigere å være bevisst på tilgangsstyring. For eksempel før man tar i bruk AI-modeller som Copilot slik at man har kontroll på hvilke personopplysninger Copilot har tilgang til.
Det kan absolutt være lurt å de over hvordan tilgangsstyringen deres er satt opp!
Les mer om overtredelsesgebyret til UiA her:
Datatilsynet: Overtredelsesgebyr til Universitetet i Agder
III – Ikke alle bøter blir en realitet
Datatilsynet har nylig gitt en irettesettelse til Disqus, et amerikansk selskap som tilbyr kommentarfeltløsninger og annonsering til nettsider. I en periode fra midten av 2018 til slutten av 2019 leverte selskapet en kommentarfeltløsning til norske nettsteder.
Personopplysninger ble delt mellom Disqus og morselskapet Zeta Global uten at de ansvarlige for de norske nettsidene var informert. Disqus hadde derfor, etter Datatilsynets vurdering, utlevert personopplysninger om registrerte i Norge uten gyldig samtykke. Datatilsynet varslet opprinnelig et overtredelsesgebyr på hele 25 millioner kr for brudd på personvernreglene. Datatilsynet har nå frafalt gebyret i sin helhet og har kun gitt en irettesettelse.
Disqus var uenig i flere av de faktiske forholdene Datatilsynet la til grunn i sitt varsel. Tilsynet manglet dokumentasjon for å kunne begrunne sine påstander, og valgte å legge Disqus’ versjon av de faktiske forholdene til grunn i sin siste vurdering. Saken har også hatt en lang saksbehandlingstid hos Datatilsynet, noe som har påvirket beslutningen om den endelige sanksjonen.
For ordens skyld: Advokatfirmaet Schjødt representerte Disqus i saken.
Les mer om saken her:
Datatilsynet: Irettesettelse til Disqus
IV – Samtykke fra ansatte til biometri?
En nylig avgjørelse fra det belgiske datatilsynet viser at det vil være vanskelig å kunne få et gyldig samtykke til behandling av biometriske data til bruk i et arbeidsforhold. Biometriske data er personopplysninger som kommer fra en behandling av fysiske, fysiologiske eller atferdsmessige egenskaper, som kan identifisere en person. Dette vil typisk være fingeravtrykk eller ansiktsbilder til bruk for ansiktsgjenkjenning. Dette er sensitive personopplysninger som dermed er underlagt strenge regler under GDPR.
Saken omhandlet en arbeidsgiver som benyttet et tidsregistreringssystem basert på fingeravtrykk, levert av et datterselskap til et japansk konsern. En ansatt var bekymret for brudd på GDPR, spesielt på grunn av risikoen for at data kunne bli overført til et land utenfor EU.
Datatilsynet bekreftet at når man behandler sensitive personopplysninger, må den ansvarlige både ha et behandlingsgrunnlag etter Artikkel 6 og et alternativt grunnlag etter Artikkel 9. Dette er i seg selv ikke overraskende.
Datatilsynet fant at den ansattes samtykke ikke var gyldig innhentet av flere grunner. For det første var ikke samtykke informert. Informasjon om tidsregistreringssystemet ble kun gitt ved ansettelse gjennom en velkomstbrosjyre, og senere inkludert i arbeidsreglementet. Videre oppfylte heller ikke samtykke kravet til klarhet. Selv om arbeiderne signerte arbeidsreglementet og velkomstbrosjyren, mente Datatilsynet at dette ikke utgjorde klart samtykke til behandling av deres personopplysninger. For det tredje ble ikke arbeidernes samtykke ansett som frivillig fordi det var negative konsekvenser ved ikke å samtykke, som obligatorisk bruk av systemet med sanksjoner ved manglende overholdelse.
Datatilsynet bemerket også avslutningsvis at formålene med tidsregistreringssystemet ikke alltid var angitt i dokumentasjonen, og at det var mange alternativer til biometrisk registrering som kunne oppnå ønskede formål med mindre omfattende inngrep i arbeidernes personvern.
Les mer om avgjørelsen her:
Jdsupra: Using Fingerprints for Time Recording May Violate GDPR
V – Felles behandlingsansvar
Det kan i mange tilfeller være utfordrende å vite når det foreligger et felles behandlingsansvar. Felles behandlingsansvar oppstår som kjent når to eller flere separate behandlingsansvarlige i felleskap beslutter formål og de avgjørende midlene i behandlingen. Det er likevel ofte vanskelig å si når det er slik.
Dette kan forekomme hos virksomheter som er tett knyttet opp til hverandre, for eksempel i et leverandørforhold, men også hos virksomheter som vanligvis ikke har noe særlig med hverandre å gjøre.
En sak som illustrerer dette, er den nylige avgjørelsen fra det belgiske datatilsynet med selskapet Freedelity. Selskapet spesialiserer seg på datainnsamling via elektroniske ID-kort (eID). Tjenestene fra Freedelity gjør det mulig å tilby kommersielle fordeler fra ulike butikkjeder til å være lagret på ett sted, nemlig Freedelity sin plattform. Freedelity tilbyr derfor tjenestene sine både til virksomheter som deler sine kundedata, og direkte til forbrukere. Tilsynet har beordret selskapet til å endre sin praksis på en rekke forhold.
For det første må Freedelity endre sine prosedyrer for innhenting av samtykke. Freedelity satte opp sin samtykkeløsning slik at man måtte akseptere Freedelity sine alminnelige vilkår for å kunne ta del i lojalitetsprogram som tilbys på deres plattform. Tilsynet fant at det ikke var anledning for Freedelity å betinge samtykke til ytterligere behandling eller ikke-essensielle vilkår for kommersielle fordeler på denne måten. Videre måtte selskapet informere forbrukerne klart og forståelig om formålene med hver enkelt behandling. Freedelity hadde satt opp en samtykkeløsning på sin nettside, hvor samtykkeforespørselen skjedde samtidig med at brukeren la inn sin eID for å lage bruker. Det ble herfra henvist videre til en personvernerklæring. Datatilsynet fant imidlertid at det ikke var tilstrekkelig klart om brukeren bare ga samtykke i forbindelse med opprettelsen av brukeren eller også til den etterfølgende behandlingen av personopplysninger. Selskapet må derfor sørge for at de registrerte gir sitt samtykke utvetydig og spesifikt for de forskjellige behandlingsformålene. I tillegg hadde ikke Freedelity sørget for at den registrerte enkelt nok kunne trekke tilbake sitt samtykke. Selv om selskapet tilbød en måte å trekke tilbake samtykke på gjennom «Min side» på nettsiden deres, så ble ikke dette funnet til å være enkelt nok. Datatilsynet trekker frem at det skal være like enkelt å gi samtykke som å trekke det tilbake, og her måtte brukeren gjennom flere steg for å kunne trekke tilbake samtykke.
Selskapet kunne heller ikke samle inn data fra forbrukernes eID som ikke er nødvendige for de tiltenkte formålene, og de må slette unødvendige data som er samlet inn tidligere.
Samtidig måtte Freedelity begrense oppbevaringsperioden for personopplysningene til maksimalt 3 år fra siste aktivitet utført av forbrukeren, og slette data som er oppbevart i mer enn 3 år. De hadde i utgangspunktet satt oppbevaringsperioden til 8 år, noe som var uforholdsmessig lenge etter tilsynets vurdering.
Avgjørelsen illustrerer også rollene og ansvarsområdene til Freedelity som databehandler, behandlingsansvarlig og som felles behandlingsansvarlig. Som kjent er disse rollene avgjørende for hvilke forpliktelser man har.
Freedelity ble ansett som behandlingsansvarlig for sin egen «Freedelity-fil». Dette innebærer at Freedelity vil være behandlingsansvarlig for når hver enkelt bruker oppretter en personlig bruker, som gir tilgang til «Min side» på Freedelity sin nettside. Videre skriver Datatilsynet at når en virksomhet avslutter sitt samarbeid med Freedelity, forblir Freedelity behandlingsansvarlig for fremtidig behandling, selv om dataene opprinnelig ble samlet inn av virksomheten som har avsluttet sitt kontraktsforhold med Freedelity.
Datatilsynet identifiserte imidlertid også tilfeller av felles behandlingsansvar der formålet med å samle og behandle personopplysningene var nært knyttet sammen.
Dette var aktuelt for de personopplysningene fra de ulike butikkjedene som ble delt med Freedelity-plattformen for å kunne identifisere forbrukere. Freedelity mente de var behandlingsansvarlige for dette formålet også, siden butikkjedene ikke tar noen avgjørelse knyttet opp mot behandlingen av personopplysningene. Tilsynet la imidlertid vekt på at også selskapene hadde en interesse av å bruke Freedelitys plattform for å få tilgang til, og bruke, kundedata samlet inn via eID.
Konklusjonen om felles behandlingsansvar kan vel sammenlignes med at det er et visst felles behandlingsansvar for aktører som Meta og virksomheter som bruker deres facebooksider for virksomheter. Og tilsvarende for plassering av reklame på andres nettsider. Generelt tror jeg bruken av ulike web-løsninger, typisk innloggingsløsninger, ofte gir et felles behandlingsansvar. Dette er ikke vanskelig å håndtere, men det krever en del nøyaktighet i avtaleverket rundt en slik tjeneste.
Freedelity på sin side uttrykker sterk misnøye med beslutningen. I en uttalelse hevder de at de har vært gjenstand for en seks år lang prosess med tilsynet, som har vært preget av urimelige krav som ikke har tatt hensyn til selskapets forsøk på å forbedre og tilpasse sine systemer. Selskapet påpeker at deres raske vekst kan ha vært en utløsende faktor for tilsynets handlinger, og de stiller spørsmål ved om det å utvikle seg raskt og bidra med innovative løsninger anses som en overtredelse i Belgia. Frustrasjonen er tydelig, men det hender det jo at man ser i tilsvarende prosesser.
Les mer i denne LinkedIn-posten fra Luis Alberto Montezuma:
Og uttalelsen fra selskapet her: (https://www.linkedin.com/pulse/et-la-veille-dun-black-friday-comme-dhabitude-dirons-nous-buysse-8ytee/)
VI – DPF har blitt gjennomgått for første gang
Det europeiske personvernrådet (EDPB) har kommet med sin første rapport og evaluering av EU-US Data Privacy Framework (DPF).
EDPB roser innsatsen fra amerikanske myndigheter og Europakommisjonen for implementeringen av DPF.
Når det gjelder bruken og håndhevelsen av krav som gjelder for selskaper som er selvsertifisert under DPF, bemerker EDPB at det amerikanske handelsdepartementet har tatt alle relevante skritt for å gjennomføre sertifiseringsprosessen. Dette omfatter utvikling av en ny nettside, oppdatering av prosedyrer, samarbeid med selskaper og gjennomføring av aktiviteter for å øke bevisstheten. Videre har det amerikanske handelsdepartementet iverksatt muligheten for klager fra EU-borgere og det er publisert en omfattende veiledning for håndtering av klager på både europeisk og amerikansk side. De skriver at det lave antallet klager så langt medfører at amerikanske myndigheter må sørge for at DPF-prinsippene overholdes av sertifiserte selskaper.
EDPB oppfordrer videre til utvikling av flere veiledninger fra amerikanske myndigheter, og vil gjerne delta i utviklingen av slike veiledere i samspill med amerikanske myndigheter. For eksempel etterspør EDPB en veiledning som klargjør kravene som DPF-sertifiserte selskaper må overholde når de overfører personopplysninger som de har mottatt fra europeiske selskaper. Til slutt anbefaler rådet at den neste gjennomgangen av adekvansbeslutningen bør finne sted innen tre år.
Det blir interessant å se hvordan dette samarbeidet vil utvikle seg videre under president Trump, som tidligere har stilt seg kritisk til overvåkningsloven som innførte DPF. Man bør også huske at ikke alle mener DPF faktisk står seg rettslig og det kan tenkes at det kommer nye klager på DPF. NOYB er for eksempel klokkeklar på at de mener DPF ikke står seg. Men mulig er det viktigere ting for NOYB å prioritere nå, enn å klage på DPF.
Les mer her:
VII – AI Office har begynt å jobbe
Det europeiske AI Office har en viktig rolle i implementeringen av AI Act og har nå begynt sitt arbeid. Formålet med AI Office er å støtte utviklingen og bruken av pålitelig AI-systemer, og de skal jobbe for et enhetlig europeisk AI-styringssystem.
Som en av sine første arbeidsoppgaver har AI Office iverksatt en konsultasjon for å definere hva et AI-system er og hva som skal regnes som forbudt bruk av AI-systemer under AI Act. Konsultasjonen tar sikte på å samle praktiske eksempler og brukstilfeller fra leverandører av AI-systemer, bedrifter, offentlige myndigheter, akademikere og andre representanter for allmennheten.
De skal også se nærmere på ulovlig dataskraping av internett eller CCTV-materiale for ansiktsgjenkjenningsdatabaser, eller kunstig følelsesgjenkjenning på arbeidsplassen eller i utdanning. Konsultasjonen skal også se nærmere på noe av den kritikken EU har fått for at AI Act ikke i tilstrekkelig grad regulerer eksport av AI-systemer med høy risiko til land utenfor EU.
Les mer her:
Biometric update: EU launches consultation on AI definition and banned practices