IT-jus nr. 1/25

onsdag 8. januar 2025 @ 14:06

Godt nytt år! Nytt år og nye muligheter? Jepp, absolutt. Mange! EU kommer jo stadig med nye regler, men en del av vår hverdag er også å tolke gamle (GDPR)-regler. […]
Av Eva Jarbekk

Godt nytt år!

Nytt år og nye muligheter? Jepp, absolutt. Mange! EU kommer jo stadig med nye regler, men en del av vår hverdag er også å tolke gamle (GDPR)-regler. Senere denne uken kommer det en ny EU-dom om tredjelandsoverføringer, så også det temaet kan få ny aktualitet om kun kort tid.

2024 ble et aktivt forfatterår for min del. Jeg fikk oppdatert boken «GDPR i praksis» sammen med Simen Sommerfeldt på Cappelen Dam. Det tar ganske mye tid å skrive sakprosa om juss, men det er veldig givende også. Man lærer jo mye ved å prøve å formidle sentrale poenger til andre. Dernest har jeg oppdatert Karnovs kommentarutgave om GDPR. I 2018 skrev jeg den helt alene, men denne gangen har jeg heldigvis hatt hjelp av en gjeng flinke kolleger i Schjødt. Nå i 2025 skal vi skrive kommentarutgave om AI Act, og også her vil flere av tech-advokatene i Schjødt ta hver sin del. Jeg må innrømme at jeg er ganske stolt over dette teamet! Og så lurer jeg litt på hva jeg skal skrive når også det prosjektet er over.. det får vel bli flere nyhetsbrev!

Deler av julehelgen har faktisk vært relativt rolig på personvern- og tech-fronten. I årets første nyhetsbrev tar vi derfor heller et dypdykk i to spesielle temaer. Ett viktig tema er EDPBs nye Opinion om AI som kom uken før jul og under får du en gjennomgang av de mest sentrale delene av den. Dette er relevant for svært mange. Deretter tar vi en gjennomgang av hva de nye cookie-reglene faktisk innebærer. En klient spurte nylig om man trenger mulighet for separate samtykker for ulike markedsføringskanaler – og så langt jeg kan se er svaret faktisk nei. Man kan altså «bundle» markedsføring hos flere sosiale medier i ett samtykke. Så lenge formålet med aktiviteten er den samme, og aktørene man bruker faktisk er nevnt. Det samme gjelder andre aktører og aktiviteter som kan «bundles» under samme formål. Men hva gjør man med trackere/cookies som har flere formål samtidig? Les mer om det under. Det er kanskje noe av det mest utfordrende. Og kanskje tar vi en prat om det på neste nettverksmøte også.

Hilsen Eva


Oversikt over EDPBs Opinion om AI-modeller

Av Eva Jarbekk og Trygve Karlstad

Like før jul publiserte EDPB sin mye omtalte, og delvis kontroversielle, «Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models». Denne Opinionen er viktig ettersom den setter søkelys på hvilke personvernhensyn som begrenser både bruk og utvikling av AI-modeller. Selv om en Opinion fra EDPB ikke er juridisk bindende for etterlevelse av GDPR, så viser praksis fra europeiske tilsynsmyndigheter at slike Opinions blir vektlagt for å sikre enhetlig sanksjonering av GDPR i Europa. Dette gjør seg kanskje særlig gjeldende for bruk av AI, hvor det til nå har eksistert begrenset med juridisk veiledning knyttet til hvordan personvern begrenser bruken av AI-systemer. Dermed får Opinionen sterk tyngde for tolkning av GDPR. Dessuten finnes noen særlige prosedyremuligheter for at en Opinion faktisk blir bindende, men det kan vi ta en annen gang.

Dette i seg selv kan åpne en egen diskusjon om hvorvidt en Opinion er den mest hensiktsmessige og demokratiske løsningen for hvordan EDPB burde tilnærme seg spørsmålet om hvordan personvern skal begrense utvikling av AI. Opinionen vil ha betydelige konsekvenser for hvordan Europa vil henge med i den globale konkurransen om utvikling av AI-modeller og med for streng regulering vil man hindre innovasjon. Slik sett kunne man argumentert for at EDPB burde utviklet en «Guideline», som gjerne blir utviklet i en mer omfattende prosess hvor flere parter og interessenter har mulighet til å bli hørt, i motsetning til en Opinion. Nok om det.

Manglende forutberegnelighet?

Det er viktig å nevne at Opinionen ikke gir så mange entydige konklusjoner. EDPB skriver at mange av spørsmålene, spesielt knyttet til om berettiget interesse kan være lovlig behandlingsgrunnlag, må avgjøres utfra en konkret helhetsvurdering basert på faktum i den enkelte sak. Dette gir også tilsynsmyndighetene et skjønn ved at de i stor grad selv kan avgjøre hva som er riktig løsning i den enkelte sak. Dette vil svekke hensynet til forutberegnelighet og det kan tenkes at man ser ulik grad av tilsynspraksis i Europa, noe som selvfølgelig er uønsket. Samtidig etterlater dette også større rom til innovasjon der myndighetene tillater det.

Lagrer AI-modeller personopplysninger?

Et annet sentralt og mye diskutert tema i forkant av Opinionen var hvorvidt en LLM-modell lagrer personopplysninger. Det har betydning for hvilke deler av GDPR som kommer til anvendelse. Som vi var inne på i et annet nyhetsbrev denne høsten, er det mange ulike oppfatninger om dette.

EDPB trekker frem at AI-modeller som er trent med personopplysninger ikke alltid kan ansees som anonyme. Om de er anonyme eller ikke må vurderes for hvert enkelt situasjon. Det betyr en god del arbeid for mange av oss å dokumentere slikt.

Dersom en AI-modell skal kunne ansees som anonym, må det foreligge to vilkår. For det første må sannsynligheten for at personopplysninger om individer som ble brukt til å utvikle modellen kan lekkes direkte fra modellen være ubetydelig (1).  Dette refererer altså til personopplysninger man kan finne gjennom hacking eller andre cyberangrep mot AI-modellen. I tillegg må også det også være en ubetydelig risiko for at man kan få utlevert slike personopplysninger, med vilje eller ikke, gjennom «prompts» til AI-modellen. Ved denne vurderingen må man se på alle tiltak som man med rimelighet kan forvente at behandlingsansvarlig eller en annen person kan foreta seg (2).

Berettiget interesse som rettslig grunnlag for behandling av personopplysninger i AI-modeller

Det har vært et sentralt spørsmål om en behandlingsansvarlig kan bruke «berettiget interesse» som behandlingsgrunnlag for AI. Her må man ta utgangspunkt i den relativt nylige Guidelinen om berettiget interesse, hvor man må foreta en tretrinnsvurdering. Først og fremst må det foreligge en berettiget interesse, denne interessen må være nødvendig, og til slutt må man foreta en interesseavveining mellom behandlingsansvarliges berettigede interesse mot de registrere sine grunnleggende rettigheter og friheter.

Likevel gir EDPB god veiledning på hvilke særskilte hensyn som gjør seg gjeldende for bruk av berettiget interesse som behandlingsgrunnlag for AI. For det første setter EDPB en høy terskel for hva som er «nødvendig» mengde med personopplysninger for bruk i AI-modellen. Man må derfor se hen til hvilke mindre inngripende alternativer som er mulige for å oppnå det samme formålet.

Videre er det også en rekke tiltak som kan minimere de personvernskonsekvensene behandlingen har for de registrerte, slik som anonymisering, pseudonymisering, mulighet til å velge bort lagring av data eller ikke trene modellen på brukerens personopplysninger. Videre kan også en økt grad av åpenhet om modellens struktur virke formildende i behandlingsansvarliges favør. Det vil selvfølgelig også være strenge krav til tekniske tiltak for å ivareta sikkerheten til modellen både ved utvikling og bruk, for eksempel ved at man unngår sensitive personopplysninger ved web scraping.

Hvilke rettslige konsekvenser kan en behandlingsansvarlig forvente dersom man utvikler en AI-modell i strid med GDPR?

EDPB fremhever at det kan være utfordrende å bestemme hvordan tilsynsmyndighetene bør sanksjonere et selskap som utvikler en AI-modell urettmessig, og hvordan dette påvirker modellens senere lovlighet når den tas i bruk. EDPB skisserer derfor tre ulike scenarioer for å gi veiledning til tilsynsmyndighetene.

Det første scenarioet bygget på et tilfelle der behandlingsansvarlig ulovlig behandler personopplysninger for å utvikle modellen og disse personopplysningene beholdes i modellen av samme behandlingsansvarlig. For slike tilfeller mener EDPB at tilsynsmynidghetene kan gi bøter for hele behandlingsforløpet, men det må vurderes konkret hvorvidt utvikling og implementering er to ulike behandlingsaktiviteter.

Det andre scenarioet bygger på det første scenarioet, bortsett fra at det er en ny behandlingsansvarlig som implementerer modellen. Man kan tenke seg et leverandørforhold hvor utvikleren har utviklet modellen ulovlig, og inngår en leverandøravtale med en annen aktør som skal bruke modellen. I et slikt scenario holder EDPB konklusjonen mer åpen, og det må vurderes konkret hvorvidt brukeren av AI-systemet for eksempel har overholdt sin aktsomhetsplikt i vurderingene av sin leverandør. Dette aktualiserer at den som anskaffet et AI-system bør kontraktsfeste en klausul som sikrer beskyttelse dersom en sanksjon mot utvikleren påvirker etterfølgende bruk.

Det siste scenarioet bygger på hvor det har skjedd ulovlig behandling i utviklingen av AI-modellen, men hvor modellen er anonymisert og personopplysningen deretter behandles. Her er EDPBs konklusjon at GDPR ikke gjelder for bruken av modellen, og at ulovligheten i opplæringsstadiet ikke påvirker den etterfølgende behandlingen av personopplysninger. Det spiller i slike tilfeller ingen rolle om den etterfølgende behandlingen utføres av utvikleren av AI-modellen eller av en tredjepart. Men her ser vi igjen at det er svært viktig å kunne mene noe fornuftig om en modell faktisk har anonyme opplysninger eller om den innehar personopplysninger. EDPB understreker selv at tilsynsmyndighetene må undersøke grundig der en behandlingsansvarlig påstår at modellen faktisk er anonym.

Viser EDPB en positiv innstilling til AI?

Etter å ha lest Opinionen så virker generelt sett EDPB ikke så kritisk til AI som kanskje mange hadde fryktet. Det var jo noen som lurte på om det ville bli stilt absolutt krav til samtykke som behandlingsgrunnlag, men det skjedde ikke.

Allerede i begynnelsen av Opinionen står det positive bemerkninger om AI og hvilke muligheter det skaper i ulike sektorer og sosiale aktiviteter. I tillegg står det at det tilsynelatende kan være «enklere» at personopplysninger kan være anonymiserte. De skriver også at sannsynligheten for å oppnå, enten tilsiktet eller ikke, personopplysninger fra «prompts» bør være «ubetydelig». Dette kan ansees som en del mildere enn nåværende retningslinjer om anonymisering der reidentifikasjon skal være tilnærmet umulig.

Likevel er det verdt å nevne at det er noen sentrale og kompliserte temaer som ikke er nevnt i Opinionen og som fortsatt står ubesvart. For eksempel blir ikke prinsippet om formålsbegrensning og i hvilken grad det er mulig å viderebehandle personopplysninger til andre formål nevnt. I tillegg er Opinionen svært knapp på viktige spørsmål som hvordan sensitive personopplysninger kan brukes til å trene AI-modeller. Her må man huske at Opinionen er et svar på den forespørselen som det irske datatilsynet fremsatte om opinionen. EDPB kan bare svare på de spørsmålene som er stilt. Det er ikke helt umulig at de med vilje er stilt slik at ikke alle spørsmål er besvart.

(1), (2) Opinion 28/2024 s. 2


De viktigste endringene som må gjøres for cookies nå

Av Eva Jarbekk og Luca Tosoni – modifisert versjon publisert i www.digi.no 7. januar 2025

Mens de fleste var opptatt med å pynte juletreet og pakke julegaver, var regjeringen opptatt med å gjennomføre de siste trinnene før den nye ekomloven ble satt i kraft. Den nye loven ble sanksjonert i statsråd den 13. desember og trådte i kraft 1. januar. Det var altså begrenset tid til juleferie for å få med seg endringene som er innført i loven. Noen av disse endringene har imidlertid særlig betydning for norsk næringsliv og dets tilstedeværelse på nett, og må vurderes nøye og raskt i det nye året.

Den nye loven gir blant annet et strengere samtykkekrav for informasjonskapsler/cookies fordi kravene blir som i GDPR. Dette er en betydelig endring i forhold til de tidligere reglene, da det frem til nå har vært tilstrekkelig å gi samtykke gjennom nettleserinnstillingene. Denne praksisen må endres etter ikrafttredelsen av den nye ekomloven.

Virksomheter må nå vurdere om de må endre sin praksis for hvordan samtykke innhentes for bruk av cookies. Å sette opp en ny praksis for innhenting av samtykke kan være mer utfordrende enn mange tror, ​​men det er viktig å tilpasse seg de nye reglene raskt, da er det grunn til å tro at det blir mye fokus på dette fra brukere og myndighetene i det nye året.

Det er en rekke ting virksomheter bør se på i hvordan de bruker cookies, herunder ordlyden i informasjonskapselbanneret og hvordan det settes opp. De fleste norske nettsider må i det minste endre dagens praksis der samtykke ligger innebygd i nettleserinnstillingene og sørge for at samtykke gis aktivt av brukerne, for eksempel ved å trykke på «godta cookies» i et banner som de ser når de besøker et nettsted. Banneret må også tillate brukerne å avvise bruken av informasjonskapsler på en enkel måte.

Informasjonen som gis i informasjonskapselbanneret skal være mer detaljert og nyansert enn det som er vanlig i dag. Det er særlig viktig at slik informasjon gjør det enkelt å forstå konsekvensene av et eventuelt samtykke. Dette betyr blant annet at informasjonskapselbanneret skal liste opp alle formålene som informasjonskapslene brukes til og tillater brukeren å kunne gi sitt samtykke til hvert av disse formålene separat. Man må også spesifisere de faktiske leverandørene som innhentet data vil bli delt med – for hvert enkelt formål. Men man må ikke nødvendigvis innhente samtykker for hver enkelt aktør innenfor samme formål.

Begrepet «nødvendige informasjonskapsler» skal unngås i informasjonskapselbannere, det skal omtales som «strengt nødvendige informasjonskapsler». Videre skal ikke brukeren bli spurt om å godta slike strengt nødvendige informasjonskapsler, da de ikke krever samtykke. Fargene, fonten og størrelsen på teksten i informasjonskapselbanneret på mange nettsider må også endres for å sikre at det ikke skaper forvirring blant brukerne eller manipulerer dem til å akseptere cookies.

Hvis man har trackere/cookies som har flere samtidige formål må man sørge for at det foreligger riktig hjemmel for alle formålene. Akkurat dette kan være en utfordring å få til riktig, særlig om man mener noe er «strengt nødvendig» og annet ikke er det.

Fremover vil både Datatilsynet og Nkom ha tilsynsmyndighet med de nye cookie-reglene. Frem til nå hadde Datatilsynet ikke tilsynsmyndighet over selve plasseringen av cookies. Når Datatilsynet nå skal håndtere cookie-regleverket vil det trolig føre til mer håndheving på dette området, i tråd med det som er trenden i resten av Europa. Det blir interessant å se om Nkom kommer med klarere retningslinjer om hva som skal anses som «strengt nødvendige» cookies. Legger man veiledning fra EU til grunn, er mulighetsrommet der meget begrenset. Foreløpig gjenstår å se hvordan Nkom forholder seg til dette.

Det blir også interessant å se hva som vil skje med de sakene om informasjonskapsler som er startet under de gamle reglene, men som ikke har blitt avsluttet enda. Det finnes flere slike og endringene i loven kan ha innvirkning på utfallet. Dette er nok ikke den julegaven som mange bedrifter ønsket seg, men gjennomføringen av de nye reglene bør være ett av deres nyttårsforsetter om de vil unngå ubehagelige overraskelser i fremtiden.


KOMMENDE MØTER

23. januar 14.00 – 18.00 Fysisk nettverksmøte i Oslo
20. februar 12.00 – 13. 00 Digital drop in
27. mars 14.00 – 16.00 Digitalt nettverksmøte

Se hele oversikten over kommende aktiviteter i nettverket her.


SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.

#