Balansen mellom åpenhet, ansvar og regulatorisk retrett i PrivacyTech-landskapet

En av de aller viktigste pågående sakene er den såkalte SRB-saken

Den 6. februar 2025 ga generaladvokat Spielmann sin uttalelse i saken C-423/23 P, EDPS mot SRB, mellom European Data Protection Supervisor (EDPS) og Single Resolution Board (SRB). Denne saken dreier seg om hvorvidt pseudonymiserte personopplysninger delt av SRB med sine konsulenter, Deloitte, skal betraktes som personopplysninger for Deloitte.

Generaladvokaten konkluderte med at de kodede meningene uttrykt av individer og delt av SRB med Deloitte faktisk er personopplysninger som relaterer seg til disse individene. Imidlertid uttalte generaladvokaten også at EDPS ikke automatisk burde ha konkludert med at de pseudonymiserte personopplysningene delt av SRB med Deloitte er personopplysninger for Deloitte. I stedet burde EDPS ha verifisert om Deloitte hadde mulighet til å identifisere de berørte individene.

Etter min mening er generaladvokatens syn ganske i tråd med den opprinnelige avgjørelsen. Så vidt jeg kan se, tar ikke generaladvokaten stilling til om personopplysningene faktisk var anonyme i Deloittes hender.

Generaladvokaten understreket at data kun kan unngå klassifisering som personopplysninger hvis risikoen for identifikasjon er ikke-eksisterende eller ubetydelig. I tillegg burde SRB ha informert de registrerte om utleveringen av deres pseudonymiserte personopplysninger til Deloitte, selv om disse dataene kan være anonyme for Deloitte.

EU-domstolen vil nå avsi sin dom i lys av generaladvokatens uttalelse. Historisk sett har domstolen en tendens til å følge generaladvokatens uttalelse i de fleste saker, men den er ikke bundet av den. Fremover tror jeg den virkelig interessante debatten vil være terskelen for hva som er ikke-eksisterende eller ubetydelig sannsynlighet for identifikasjon. Jeg er i tvil om denne saken vil løse det problemet. Dette kan igjen føre oss tilbake til den gamle Breyer-saken, hvor kun en ganske teoretisk mulighet for identifikasjon (hos en tredjepart) ble ansett som tilstrekkelig. I så fall vil ikke SRB-saken være en så liberal tolkning av hva som er personopplysninger som noen liker å presentere det som. Uansett – følg med!

En viktig sak for selskaper som bruker automatiserte beslutninger

I saken CK mot Dun & Bradstreet Austria (C-203/22) tok EU-domstolen opp spørsmålet om hva slags informasjon en behandlingsansvarlig må gi til en registrert i henhold til artikkel 15(1)(h) i personvernforordningen (GDPR). Denne artikkelen gir registrerte rett til å få meningsfull informasjon om logikken involvert i automatisert beslutningstaking, inkludert profilering.

Saken oppsto da en østerriksk mobiloperatør nektet å inngå en telefonkontrakt på €10 per måned med søkeren, med henvisning til utilstrekkelig økonomisk kredittverdighet. Søkeren ba om informasjon fra kredittvurderingsleverandøren for å forstå sin kredittvurdering. Informasjonen som ble gitt var minimal ikke i samsvar med avslaget på telefonkontrakten. Dun & Bradstreet Austria nektet å gi ytterligere informasjon, noe som førte til at søkeren tok saken til domstolene.

EU-domstolen fastslo at Dun & Bradstreet Austria brøt artikkel 15(1)(h) GDPR ved ikke å gi tilstrekkelig informasjon om logikken involvert i den automatiserte beslutningsprosessen. Domstolen understreket at den registrerte har rett til å motta detaljert informasjon om kriteriene og metodene som brukes i automatisert beslutningstaking, inkludert faktorene som tas i betraktning og deres relative betydning. Dette sikrer åpenhet og gir registrerte mulighet til å forstå og utfordre beslutninger som påvirker dem.

Domstolen tok også opp spørsmålet om forretningshemmeligheter i denne sammenhengen. Dun & Bradstreet Austria hevdet at å gi detaljert informasjon om den automatiserte beslutningsprosessen ville avsløre forretningshemmeligheter. EU-domstolen anerkjente viktigheten av å beskytte forretningshemmeligheter, men uttalte at dette ikke automatisk fritar den behandlingsansvarlige fra å gi den nødvendige informasjonen. I stedet må den behandlingsansvarlige gi den angivelig beskyttede informasjonen til den kompetente tilsynsmyndigheten eller domstolen, som deretter vil balansere rettighetene og interessene som står på spill for å avgjøre omfanget av den registrertes rett til tilgang til den aktuelle informasjonen.

Domstolen var ikke enig i Dun & Bradstreet Austrias argument om at forretningshemmeligheter skulle fullstendig beskytte dem fra å avsløre logikken involvert i automatisert beslutningstaking. Domstolen understreket at beskyttelsen av forretningshemmeligheter må balanseres mot den registrertes rett til tilgang til informasjon. Domstolen konkluderte med at den rene påberopelsen av forretningshemmeligheter ikke kan rettferdiggjøre en generell nektelse av å gi den nødvendige informasjonen.

Som et resultat ble Dun & Bradstreet Austria tvunget til å dele omfattende informasjon om den automatiserte beslutningsprosessen, inkludert logikken, kriteriene og metodene som ble brukt for å vurdere søkerens kredittverdighet, samtidig som de sikret at forretningshemmeligheter ble tilstrekkelig beskyttet gjennom involvering av tilsynsmyndigheter eller domstoler.

Implikasjoner for selskaper

Denne dommen har betydelige implikasjoner for selskaper som er avhengige av automatiserte beslutningsprosesser. Selskaper må være forberedt på å gi detaljert informasjon om logikken og kriteriene som brukes i disse prosessene til registrerte, selv om dette innebærer å avsløre sensitiv informasjon. For å beskytte sine forretningshemmeligheter bør selskaper sørge for at de har robuste konfidensialitetsavtaler på plass med tilsynsmyndigheter og domstoler. I tillegg bør selskaper vurdere å implementere tiltak for å anonymisere eller pseudonymisere data for å minimere risikoen for å avsløre forretningshemmeligheter samtidig som de overholder åpenhetskravene.

Samlet sett understreker denne saken viktigheten av å balansere åpenhet og beskyttelse av forretningshemmeligheter, og selskaper må navigere denne balansen nøye for å overholde GDPR samtidig som de beskytter sin proprietære informasjon.

Ny klage fra NOYB i Sverige

Swedbank har kommet under lupen for å nekte åpenhet om logikken bak sin automatiske renteberegning. Banken hevdet at logikken som brukes i disse beregningene utgjør en forretningshemmelighet, som de argumenterte for skulle frita dem fra å gi denne informasjonen til registrerte under personvernforordningen.

Swedbanks nektelse av å gi åpenhet har betydelige implikasjoner for kundene. Uten tilgang til detaljert informasjon om logikken bak de automatiske renteberegningene, har ikke kundene mulighet til å vite hvordan rentene deres bestemmes. NOYB understreker at kundene ikke er i stand til å utfordre eller anke beslutninger effektivt, da de ikke har nødvendig informasjon for å forstå grunnlaget for beregningene.

Swedbanks argument baserer seg på beskyttelsen av forretningshemmeligheter. Banken hevder at å avsløre den detaljerte logikken og kriteriene som brukes i deres automatiserte renteberegninger ville avsløre proprietær informasjon som kunne utnyttes av konkurrenter. Forretningshemmeligheter anses som verdifull immateriell eiendom. Imidlertid krever GDPR at registrerte har rett til å få meningsfull informasjon om logikken involvert i automatiserte beslutningsprosesser, inkludert profilering.

Det europeiske personvernrådet (EDPB) og andre reguleringsorganer har understreket at beskyttelsen av forretningshemmeligheter ikke automatisk fritar selskaper fra deres åpenhetsforpliktelser under GDPR. I stedet må det oppnås en balanse mellom å beskytte forretningshemmeligheter og sikre registrertes rett til åpenhet. Dette betyr at selskaper kan bli pålagt å gi tilstrekkelig informasjon for å la registrerte forstå og anke automatiserte beslutninger, samtidig som de beskytter kjernen i sine forretningshemmeligheter.

Avslutningsvis, selv om beskyttelse av forretningshemmeligheter er viktig, må selskaper navigere sine åpenhetsforpliktelser under GDPR for å unngå regulatoriske og juridiske utfordringer. Å finne den rette balansen mellom åpenhet og beskyttelse av forretningshemmeligheter er avgjørende for å etterleve regulatoriske forpliktelser og bygge tillit med kundene. Denne spesifikke saken vil sannsynligvis ha et langt liv i rettssystemet før den finner sin endelige avgjørelse.

Tilbaketrekking av AI Liability Directive

Europakommisjonen har nylig besluttet å trekke AI Liability Directive fra vurdering på grunn av mangel på enighet og press fra teknologibransjen for enklere reguleringer. Direktivet ble utformet i 2022, og hadde som mål å etablere ensartede regler for sivilrettslig ansvar, utenfor kontraktsforhold, for skade forårsaket av AI-systemer.

Beslutningen om å trekke tilbake forslaget har blitt møtt med blandede reaksjoner. Noen eksperter, inkludert det tyske medlemmet av Europaparlamentet, Axel Voss, argumenterte for at direktivet var nødvendig for å adressere skader forårsaket av AI-systemer. Kommisjonen forklarte at den ville vurdere om et annet forslag skulle fremmes eller om en annen tilnærming skulle velges. Denne tilbaketrekkingen reflekterer et mulig skifte i EUs tilnærming til digital regulering, med mål om å redusere administrative reguleringer og fremme flere muligheter, innovasjon og vekst for bedrifter og borgere.

Tilbaketrekkingen av AI Liability Directive har flere implikasjoner for selskaper. Uten en enhetlig tilnærming må bedrifter nå navigere de ulike juridiske rammeverkene til hvert enkelt av de 27 EU-medlemslandene angående AI-ansvar. Dette kan føre til økt kompleksitet med forskjellige nasjonale forskrifter og standarder.

Tilbaketrekking av ePrivacy Regulation

I tillegg har Europakommisjonen nylig besluttet å trekke ePrivacy Regulation den 11. februar 2025. ePrivacy Regulation, ble opprinnelig foreslått for å utfylle personvernforordningen ved å regulere beskyttelsen av kommunikasjonsdata, møtte to hovedutfordringer som førte til dens tilbaketrekking.

For det første var det mangel på enighet mellom Rådet for medlemsstatene og Europaparlamentet, noe som gjorde det vanskelig å bli enige. For det andre ble forslaget ansett som utdatert både når det gjelder det teknologiske og lovgivningsmessige landskapet i Europa. Det var også mange problemer med overlappende reguleringer med GDPR. Etter åtte år med forhandlinger ble det ansett som ikke lenger relevant.

Uten ePrivacy Regulation vil bedrifter fortsette å operere under den gamle ePrivacy Directive og en del relevant rettspraksis.

Men de forbereder Digital Fairness Act

EU Digital Fairness Act (DFA) er et lovforslag fra Europakommisjonen som tar sikte på å adressere ulike forbrukerbeskyttelsesproblemer i den digitale verden. I løpet av de neste månedene vil det holdes offentlige høringer om DFA. Disse høringene vil søke innspill om viktige forbrukerbeskyttelsesproblemer, utforske juridiske og tekniske usikkerheter rundt «fairness by design» og adressere regulatoriske hull etterlatt av eksisterende lovgivning. Loven forventes å bli foreslått i 2026.

Digital Fairness Act vil ta opp spørsmål som manipulativt design, personalisering, kontrakter og influencer-markedsføring. Europakommisjonen har uttalt at det vil være en 12-ukers lang offentlig høring som starter våren 2025, og Digital Fairness Act vil ikke bli foreslått før 2026.

For mer informasjon, se Review of EU consumer law – European Commission

Nye retningslinjer for definisjonen av et AI-system under AI Act

Kommisjonens retningslinjer for definisjonen av et AI-system kom den 6. februar 2025. De gir et rammeverk for å identifisere hvilke AI-systemer som faller innenfor reguleringens omfang. I henhold til retningslinjene er et AI-system definert som et maskinbasert system designet for å operere med varierende nivåer av autonomi og kan utvise tilpasningsevne etter distribusjon. Disse systemene trekker slutninger fra input de mottar for å generere output som forutsigelser, innhold, anbefalinger eller beslutninger som kan påvirke fysiske eller virtuelle miljøer. Retningslinjene er ment å utvikle seg over tid og vil bli oppdatert etter behov, spesielt i lys av praktiske erfaringer, nye spørsmål og brukstilfeller som oppstår.

For selskaper betyr denne definisjonen at programvare eller systemer som oppfyller disse kriteriene vil være underlagt de regulatoriske kravene i AI Act. Dette inkluderer forpliktelser knyttet til risikostyring, datakvalitet, åpenhet, menneskelig tilsyn og nøyaktighet. Selskaper må sørge for at deres AI-systemer overholder disse kravene for å unngå bøter og sikre sikker og etisk bruk av AI-teknologier.

Et eksempel på et AI-system innenfor omfanget av AI Act er et prediktivt vedlikeholdssystem brukt i industrielt maskineri. Dette systemet bruker maskinlæringsalgoritmer for å analysere data fra sensorer og forutsi når en maskin sannsynligvis vil svikte. Siden det opererer autonomt, tilpasser seg basert på nye data og påvirker fysiske miljøer ved å utløse vedlikeholdshandlinger, faller det innenfor definisjonen av et AI-system under AI Act.

Omvendt vil et enkelt regelbasert system som automatiserer grunnleggende oppgaver uten noen tilpasningsevne eller autonomi, som et enkelt e-postfilter som sorterer e-poster basert på forhåndsdefinerte regler, ikke falle innenfor omfanget av AI Act. Dette er fordi det ikke utviser det nivået av autonomi eller tilpasningsevne som kreves etter definisjonen.

Disse definisjonene vil bli stadig viktigere fremover. Merk også at den svenske IMY, datatilsynet, i en nylig retningslinje foreslår at det kanskje ikke er nødvendig å gjennomføre DPIA-er for enkle og velprøvde AI-er.

Noen ganger er myndigheter effektive

Den norske regjeringen har foreslått flere viktige endringer i forskriften av 18. desember 2024 om datasentre. Det er ikke så ofte at forskrifter endres bare uker etter at de er implementert, så dette er uvanlig. Bakgrunnen for endringene er å møte de økende kravene til sikkerhet, personvern og bærekraft. Hyppige dataangrep og økt fokus på miljø og personvern gjør det nødvendig å oppdatere reglene for å sikre at datasentre opererer på en sikker og bærekraftig måte.

Forslaget er enda 50 sider å lese og forstå. Hovedendringen er at datasenteret er forpliktet til å vite hvem kundene deres er og hvor i datasenteret kundenes utstyr er.

Denne informasjonen skal ved behov deles med Nasjonal kommunikasjonsmyndighet (Nkom), NSM, Politiets sikkerhetstjeneste (PST) samt politi og påtalemyndighet.

Ny norsk lov for personvern i idretten

Den norske regjeringen har foreslått en ny lov om behandling av personopplysninger i Norges idrettsforbund og olympiske og paralympiske komité (NIF) og deres organisasjonsledd for å forebygge, avdekke og håndtere seksuelle overgrep, trakassering og vold. Hovedpunktene i dette forslaget inkluderer:

1. Tillatelse til å behandle sensitive personopplysninger: Loven tillater behandling av sensitive personopplysninger og informasjon om straffedommer og lovovertredelser når det er nødvendig for å forebygge, avdekke eller håndtere seksuelle overgrep, trakassering eller vold i idretten.
2. Deling av personopplysninger innen idrettsorganisasjoner: Det foreslås bestemmelser for deling av personopplysninger mellom ulike organisasjonsledd i idretten for å sikre en helhetlig tilnærming til forebygging og håndtering av slike saker.
3. Informasjonssikkerhet: For å sikre informasjonssikkerhet foreslås bestemmelser om tilgangskontroll og konfidensialitet.

En spesifikk lov var nødvendig for å sikre at Norges idrettsforbund og olympiske og paralympiske komité (NIF) og deres organisasjonsledd har klare retningslinjer for behandling av personopplysninger i forbindelse med forebygging, avdekking og håndtering av seksuelle overgrep, trakassering og vold. Dette er viktig for å beskytte de involverte og sikre at sensitive opplysninger håndteres trygt og lovlig.

Digital Services Act kommer til Norge også

Regjeringen har igangsatt arbeidet med en ny lov som har som mål å gjøre internett tryggere og styrke forbrukerrettighetene. Loven er en implementering av EUs Digital Services Act (DSA) og vil være spesielt viktig for å gi tryggere nettmiljøer for barn. Hovedreglene er følgende:

• Det vil være forbud mot atferdsbasert, eller målrettet, reklame mot mindreårige. Det legges spesielt vekt på å beskytte barn og unge mot skadelig innhold og forhindre at de utvikler avhengighet.
• Det vil være forbudt å vise atferdsbasert reklame basert på noens sensitive personopplysninger, som informasjon om seksuell orientering, etnisitet og religion.
• Det vil bli lettere å fjerne ulovlig innhold, produkter og tjenester på nettet.
• DSA inkluderer regler om at annonser må være gjenkjennelige, og det må opplyses om hvorfor en bestemt annonse vises.
• DSA etablerer et forbud mot såkalt manipulerende design, som har som mål å forhindre at plattformer «lurer» brukere til å samtykke til noe de egentlig ikke ønsker gjennom utformingen av nettsteder.
• De største plattformene er pålagt å gjennomføre risikovurderinger for spredning av ulovlig innhold og for grunnleggende rettigheter som personvern og ytringsfrihet, inkludert informasjonsfrihet og pressefrihet. Plattformene må også gjennomføre risikovurderinger knyttet til valgmanipulasjon, spredning av desinformasjon og brukernes fysiske og mentale helse.

Digitaliserings- og forvaltningsminister Karianne Tung har uttalt at strengere krav vil bli stilt til store teknologigiganter som Google, Meta, Temu og Amazon. Dette arbeidet er sannsynligvis ikke spesielt viktig for mange norske virksomheter, men har som mål å gi større beskyttelse for forbrukere på nettet.

Med samme mål vil regjeringen legge frem en stortingsmelding om trygg digital oppvekst senere i vår.

Nasjonal kommunikasjonsmyndighet (Nkom) vil ha hovedansvaret for å føre tilsyn med overholdelsen av EUs nye regler om digitale tjenester i Norge. Nkom vil også ta på seg rollen som nasjonal DSA-koordinator og være ansvarlig for administrative oppgaver som sikrer informasjonsflyt, håndhevelse og enhetlig anvendelse av reguleringen. Medietilsynet, Forbrukertilsynet og Datatilsynet vil bli utpekt som kompetente myndigheter innenfor sine respektive områder.

Aldersverifisering – viktig for alle tjenester som trenger å vite kundens alder

Det europeiske personvernrådet (EDPB) vedtok nylig en uttalelse om alderssikring under sitt plenumsmøte i februar 2025. Denne uttalelsen har som mål å skape en enhetlig tilnærming til aldersverifisering over hele EU, og sikre beskyttelsen av barns rettigheter i den digitale verden. Uttalelsen er basert på prinsippene i personvernforordningen (GDPR) og gir veiledning om hvordan man skal håndtere personopplysninger for aldersverifiseringsformål.

For å lovlig verifisere brukernes alder må selskaper følge retningslinjene fastsatt av EDPB i deres uttalelse om alderssikring. EDPB understreker at aldersverifiseringsmetoder må overholde personvernprinsipper og sikre beskyttelsen av barns rettigheter i det digitale miljøet.

Nøkkelpunkter i aldersverifisering er:

1. Lovlighet, rettferdighet og åpenhet: Selskaper må sikre at aldersverifiseringsprosessen er lovlig, rettferdig og åpen for brukerne. Dette inkluderer å gi klar informasjon om hvorfor aldersverifisering er nødvendig og hvordan dataene vil bli brukt.
2. Formålsbegrensning: Data samlet inn for aldersverifisering bør kun brukes til det spesifikke formålet og ikke til andre ikke-relaterte formål.
3. Dataminimering: Selskaper bør kun samle inn den minste mengden data som er nødvendig for å verifisere brukerens alder. Dette bidrar til å redusere risikoen for datainnbrudd og misbruk.
4. Nøyaktighet: Dataene som brukes til aldersverifisering må være nøyaktige og holdes oppdatert for å sikre at verifiseringsprosessen er pålitelig.
5. Lagringsbegrensning: Personopplysninger samlet inn for aldersverifisering bør kun lagres så lenge det er nødvendig for å oppnå verifiseringsformålet.
6. Integritet og konfidensialitet: Selskaper må implementere passende sikkerhetstiltak for å beskytte dataene som samles inn under aldersverifiseringsprosessen mot uautorisert tilgang og brudd.
7. Ansvarlighet: Selskaper må kunne demonstrere samsvar med disse prinsippene og sikre at deres aldersverifiseringsprosesser er i tråd med personvernreguleringer.

Eksempler på aldersverifiseringsmetoder:

• Dokumentverifisering: Brukere kan bli bedt om å laste opp en offentlig utstedt ID eller andre offisielle dokumenter for å verifisere alderen sin. Selskapet må sikre at dataene lagres sikkert og kun brukes til aldersverifiseringsformål.
• Tredjeparts verifiseringstjenester: Selskaper kan bruke tredjeparts aldersverifiseringstjenester som overholder personvernreguleringer for å verifisere brukernes alder uten å håndtere sensitive personopplysninger direkte.
• Foreldresamtykke: For yngre brukere kan selskaper kreve foreldresamtykke som en del av aldersverifiseringsprosessen. Dette innebærer å verifisere identiteten til forelderen eller vergen og innhente deres samtykke for barnets bruk av tjenesten.

Manglende overholdelse av disse aldersverifiseringskravene kan resultere i betydelige konsekvenser. Selskaper må sikre aldersverifiseringsmekanismer som balanserer behovet for åpenhet og databeskyttelse med beskyttelsen av forretningshemmeligheter og proprietær informasjon.

AI-kunnskapskrav trer i kraft nå

AI Act, som trådte i kraft 1. august 2024, inkluderer spesifikke krav til AI-kunnskap for leverandører og brukere av AI-systemer. Disse kravene ble faktisk gjeldende 2. februar 2025.

Leverandører og brukere av AI-systemer er pålagt å sikre at deres ansatte og andre personer involvert i driften og bruken av AI-systemer har et tilstrekkelig nivå av AI-kunnskap. Dette innebærer å innføre tiltak for å utdanne og trene sine ansatte om AI-systemer, med tanke på deres tekniske kunnskap, erfaring, utdanning og konteksten der AI-systemene vil bli brukt. Målet er å sikre at de som håndterer AI-systemer forstår de grunnleggende begrepene og ferdighetene knyttet til AI, inkludert de forskjellige typene produkter og bruksområder, deres risikoer og fordeler.

Jeg ser mye er skrevet om dette på nettet og LinkedIn. Det er sant at mange selskaper bør begynne å forberede seg på utdanning av de ansatte. Men jeg tror ikke dette vil bli som GDPR-2018-rallyet i det hele tatt. Men hvis du bruker AI (og det bør du sannsynligvis), er det på tide å tenke på opplæringsprogrammer og utdanningsinitiativer for arbeidstakerne dine. Det vil være avgjørende for å sikre etterlevelse med AI Act og for sikker og etisk bruk av AI-teknologi – og du må erkjenne at du skal kunne demonstrere samsvar med disse kravene.

Viktig avgjørelse – mest for datatilsynsmyndighetene

I 2018 leverte tre personer fra Belgia, Tyskland og Østerrike klager til sine repsektive lokale datatilsynsmyndigheter (DPA-er), representert av NOYB. Klagerne var mot Facebook Ireland Ltd og WhatsApp Ireland Ltd (nå Meta) for angivelig ulovlig behandling av personopplysninger, inkludert sensitive personopplysninger.

Siden Meta er basert i Irland, var det irske datatilsynet (DPC) ansvarlig for å håndtere disse klagene. Etter å ha undersøkt klagen, delte DPC sine utkast til avgjørelser med andre berørte DPA-er. DPC mente at de registrerte ikke kunne bevise at Meta ikke kunne basere behandlingen på artikkel 6(1)(b) GDPR. Imidlertid var flere DPA-er uenige, og saken ble henvist til det europeiske personvernrådet (EDPB).

Den 5. desember 2022 utstedte EDPB flere bindende avgjørelser og var uenig i DPCs syn om at Meta kunne bruke artikkel 6(1)(b) som behandlingsgrunnlag. EDPB instruerte DPC om å utelukke at samtykke ikke var nødvendig for behandlingen og å finne visse GDPR-brudd, spesielt av artikkel 6(1. EDPB fant også DPC sin undersøkelse for snever og beordret DPC til å gjennomføre en ny undersøkelse for å avgjøre om Metas behandling inkluderer sensitive personopplysninger og om det brukes til målrettet annonsering eller markedsføring.

DPC bestridte EDPBs myndighet til å pålegge disse tiltakene, og hevdet at EDPB overskred sin kompetanse. EU-domstolen bestemte deretter at EDPB kan instruere det ledende datatilsynet om å gjøre mer undersøkelse og uttalte at omfanget av undersøkelsen ikke er en prosessuell sak, men relaterer seg til sakens substans, da det avgjør hva som må undersøkes for å vurdere etterlevelse av personvernforordningen.

Domstolen avviste DPC sitt argument om at denne tolkningen tillater EDPB å fullstendig styre det ledende datatilsynet når en relevant og begrunnet innvending reises. Domstolen presiserte at slike innvendinger kun kan relateres til substansielle spørsmål omkring etterlevelse av GDPR, og ikke gjennomføringen av undersøkelsen i seg selv.

Det var også interessant å merke seg at DPC sitt argument om at anerkjennelsen av EDPB sin makt til å instruere et ledende datatilsyn ikke er i samsvar med formålet med ‘one-stop-shop’-mekanismen, ble avvist. Domstolen fastslo at uenigheter mellom DPA-er bør løses innenfor EDPB, da GDPR etablerer rammen for samarbeid mellom DPA-er for nettopp dette formålet.

En ny titt på en avgjørelse fra 2024

Jeg kommenterte denne avgjørelsen i fjor høst, men jeg leste nylig en analyse av saken som fortjener å bli gjenbesøkt. Det irske datatilsynet (DPC) bøtela i fjor høst Meta Platforms Ireland Limited (MPIL) med €91 millioner for brudd på flere GDPR-bestemmelser. DPC fant at MPILs utilsiktede lagring av brukernes passord i klartekst på sine interne systemer var et «personopplysningsbrudd» i henhold til artikkel 4(12) GDPR. Denne lagringen var i strid med MPILs interne sikkerhetspolicyer, som krever at passord skal krypteres, og MPIL-ansatte kunne ha skaffet seg tilgang til passordene. Dette betyr at et sikkerhetsbrudd, kombinert med potensiell tilgang til personopplysninger av uautoriserte ansatte, kan utgjøre et «personopplysningsbrudd» under GDPR. Ikke overraskende anker MPIL avgjørelsen, så det gjenstår å se hva retten konkluderer.

MPIL ble også bøtelagt for å ikke ha varslet om personopplysningsbruddet innen 72-timersfristen (fordi MPIL ikke så hendelsen som et sikkerhetsbrudd), og de dokumenterte heller ikke hendelsene.

Denne avgjørelsen viser at DPC anvender en bred tolkning av et «personopplysningsbrudd» når de konkluderer med at potensiell tilgang av uautoriserte ansatte og/eller tap av kontroll over personopplysninger, utgjør et «personopplysningsbrudd.»

Avgjørelsen må sees på som en advarsel om at et personopplysningsbrudd kan møte terskelen for varslingsplikt, selv om personopplysningene kun er tilgjengelige internt for betrodde, men uautoriserte ansatte bundet av konfidensialitetsavtaler. Saken er en påminnelse om at virksomheter må grundig undersøke interne sikkerhetshendelser for å avgjøre om et «personopplysningsbrudd» har skjedd og om det er rapporteringspliktig til DPA og/eller registrerte.

Du kan lese hele analysen her: https://www.lexology.com/library/detail.aspx?g=b55b3924-bc2c-4227-b90c-2edeb70a3ce8&utm_source=lexology+daily+newsfeed&utm_medium=html+email+-+body+-+general+section&utm_campaign=lexology+subscriber+daily+feed&utm_content=lexology+daily+newsfeed+2025-02-11&utm_term=

Overdrevne forespørsler fra registrerte?

I forrige nyhetsbrev ble C-416/23 nevnt, som viser at bevisst misbruk av tilgangsrettigheter kan brukes som et argument for å ikke gi den registrerte slike rettigheter. Denne saken har nå blitt brukt som begrunnelse i en annen sak.

Den 14. oktober 2022 hevdet en person at deres rett til tilgang under artikkel 15 GDPR ble krenket av den behandlingsansvarlige. Imidlertid avviste det østerrikske datatilsynet (DSB) klagen den 18. oktober 2022, og forklarte at personen hadde levert sin første klage den 3. september 2018, og siden da hadde de levert 73 andre klager. DSB argumenterte for at selv om artikkel 57(4) GDPR ikke definerer «overdreven», kan et høyt antall klager anses som overdreven.

Personen anket DSBs avgjørelse til den østerrikske føderale forvaltningsdomstolen (BVwG), og hevdet at DSB ikke ga en tilstrekkelig juridisk begrunnelse for å avvise klagen. BVwG avventet med sin vurdering inntil EU-domstolen hadde nådd en konklusjon i den ovennevnte saken C-416/23. Basert på C-416/23 fant BVwG deretter at DSB ikke hadde undersøkt om personen hadde hensikt til misbruk og konkluderte med at det ikke var indikasjoner på slike hensikter. Derfor fastslo BVwG at avvisningen av klagen var ulovlig og sendte saken tilbake til DSB for en skikkelig vurdering.

Så – hvis du vurderer å avvise en forespørsel fra en registrert – sørg for at du gjør de riktige vurderingene.