Ny dom fra EU: Når markedsplasser på nett blir behandlingsansvarlige

---

Når markedsplasser på nett blir behandlingsansvarlige – en ny dom fra EU-domstolen

Driver du en markedsplass på nett eller jobber du med en klient som gjør det? Da bør du få med deg en fersk dom fra EU-domstolen som kan endre spillereglene for hvordan plattformer håndterer brukergenerert innhold.

Bakgrunn

Saken startet med noe ganske ubehagelig: En anonym bruker la ut en falsk annonse på den rumenske markedsplassen publi24.ro, eid av Russmedia Digital. På nettstedet kan man liste opp annonser, enten gratis eller for en gitt sum. Den aktuelle annonsen utga en kvinne for å være sexarbeider, med ekte bilder og telefonnummer, uten at det forelå samtykke.

Russmedia fjernet annonsen relativt raskt, omtrent innen en time etter varsel. Men skaden var allerede skjedd. Annonsen ble kopiert og spredt til andre nettsteder. Kvinnen saksøkte Russmedia for brudd på GDPR, og saken endte i EU-domstolen.

Domstolens konklusjon

Domstolen kom med en avgjørelse som kan få store konsekvenser for plattformoperatører. Her er hovedpunktene:

1. Russmedia var felles behandlingsansvarlig: Selv om Russmedia ikke publiserte annonsen selv og fjernet den raskt, ble de ansett som felles behandlingsansvarlig sammen med brukeren. Domstolens begrunnelse for dette var at plattformens design gjorde publiseringen mulig, og Russmedia hadde sine egne formål med tjenesten. Domstolen anså at Russmedia hadde en avgjørende innflytelse på hvordan opplysningene ble gjort tilgjengelige på nettet. Plattformen bestemte rammene for publiseringen, inkludert hvem som kunne se annonsene, hvordan de ble presentert, hvor lenge de lå ute og hvordan de ble kategorisert. Ved å tillate anonyme annonser gjorde Russmedia det mulig å publisere personopplysninger uten samtykke.
   I tillegg hadde Russmedia omfattende bruksrettigheter til innholdet i sine vilkår, noe også domstolen vektla i vurderingen. I henhold til vilkårene hadde Russmedia rett til å distribuere, endre og fjerne innholdet fra plattformen
2. Ehandelsdirektivet fritar ikke fra GDPR-ansvar: Videre konkluderer domstolen med at når brukergenerert innhold inneholder personopplysninger, så gjelder GDPR likevel fullt ut. Man kan ikke påberope seg ansvarsfritakene i ehandelsdirektivet for å slippe unna GDPR-forpliktelser.
3. Markedsplasser må innføre sikkerhetstiltak: Plattformer som er behandlingsansvarlige må sikre at personopplysninger behandles lovlig før publisering. For sensitive personopplysninger kreves identitetsverifisering og samtykke. Dette kan gjøre anonym bruk umulig i praksis.
   I tillegg må plattformer innføre tekniske tiltak som gjør det vanskelig å kopiere og spre ulovlig innhold. Domstolen presiserte at operatører ikke er objektivt ansvarlige for all spredning, men må kunne dokumentere at tiltakene er tilstrekkelige.

Hva betyr dette i praksis?

En naturlig tolkning av dommen er at plattformoperatører får strengere plikter når de håndterer brukergenerert innhold. For mange vil dette innebære forhåndskontroll av innhold – noe som utfordrer prinsippet om ingen generell overvåkingsplikt. Notice-and-take-down er ikke nok, proaktiv overvåking av hva som er sensitive opplysninger blir nødvendig for å redusere risiko for GDPR-brudd.

Mange har pekt på et dilemma: EU-domstolen slår fast at plattformer må kontrollere innhold for sensitive personopplysninger før det publiseres. Men hvordan kan man gjøre det uten å gå gjennom alle annonser?

Domstolen hevder imidlertid at dette ikke er en generell overvåkingsplikt, men en konkret forpliktelse til å hindre publisering av sensitive opplysninger uten samtykke. Likevel er det vanskelig å se hvordan dette kan gjennomføres i praksis uten å sjekke alt innhold.

Spørsmålet om hvor omfattende kontrollene må være, er heller ikke klart. Er det nok med enkle tekstfiltre, eller må plattformene ta i bruk avansert teknologi og AI for å analysere både tekst og bilder? Hvor grundig må identitetsverifiseringen være? Og hva skjer dersom noe likevel slipper gjennom, selv om plattformen har gjort sitt beste?

Vi vil trolig se flere saker fremover. Inntil videre: Gjør en konkret vurdering av hvordan dette påvirker din plattform – og søk råd hvis du er i tvil. Noen anbefalinger fra min side:

• Gjennomgå vilkår og betingelser – særlig klausuler om bruksrettigheter
• Vurder plattformdesign – funksjonalitet kan påvirke ansvar
• Implementer systemer for å identifisere sensitive data (hvis mulig)
• Etabler identitetsverifisering der det er nødvendig
• Vurder tekniske tiltak mot kopiering og spredning (hvis mulig)
• Vurder behov for avtale om felles behandlingsansvar – det trenger faktisk ikke å være veldig komplisert

Dommen finner du her.

---

Hva skjer med EU-US dataoverføringer?

Donald Trump har via Truth Social erklært alle dokumenter signert med Bidens såkalte «autopen» for ugyldige. Det høres kanskje ut som nok et pussig innlegg på sosiale media, men for alle som overfører personopplysninger til USA, kan dette være starten på litt kaos.

De fleste EU-US dataoverføringer bygger nå på Data Privacy Framework (DPF). Problemet? DPF hviler tungt på Bidens presidentordre EO 14.086, og Trump har nå gitt uttrykk for at alle dokumenter signert med «autopen» er ugyldige. Det er pt uklart om EO 14.086 faktisk er signert med autopen – og det er uklart om Trumps Truth Social-posting har noen formell juridisk effekt. Men Trump kan også følge opp med en formell presidentordre.

Samtidig skal USAs høyesterett snart avgjøre om uavhengige tilsynsorganer som Federal Trade Commission (FTC) i det hele tatt er i tråd med amerikansk konstitusjon i saken Trump v. Slaughter. Saken går ut på at president Trump fjernet FTC-kommissær Slaughter i mars 2025, og begrunnet dette med at hennes fortsatte tjeneste var “inconsistent with [the] Administration’s priorities” – uten å oppfylle lovens krav om «inefficiency, neglect of duty, or malfeasance in office».

Trump mener altså at slike uavhengige tilsynsorganer ikke er konstitusjonelle, og støtter «unitary executive»-teorien. Denne teorien er en omstridt konstitusjonell teori i USA som hevder at USAs president har absolutt autoritet over hele den utøvende grenen av regjeringen. Slaughter mener at Trump ikke hadde autoritet til å fjerne henne fra FTC, og viser til 90 år gammel presedens (Humphrey’s Executor v. United States fra 1935). Avgjørelsen ventes senest i juni-juli 2026. FTC-uavhengighet er avgjørende for DPF, siden EU-charteret krever at personopplysninger overvåkes av et uavhengig organ.

Også den såkalte «Data Protection Review Court» – som skal gi europeere rettsmidler mot amerikansk overvåking – er etablert kun gjennom EO 14.086, ikke ved lov. Hvis amerikansk høyesterett slår fast at uavhengige organer er grunnlovsstridige, kan dennes uavhengighet også falle. Som sagt så mange ganger før – det kan være lurt å ikke bare basere seg på DPF for overføringer til USA, men også se at overføringer kan fortsette etter reglene i SCC’ene.

Min aller første lenke noensinne til Truth Social under – du finner mer om saken der:

• Trump’s statement on Truth Social
• EU-US Data Transfers: Time to prepare for more trouble to come

---

Elon Musk, USA og DSA

Og mens vi snakker om USA. Noen ganger kan håndheving og etterlevelse av regelverk ha geopolitiske ringvirkninger. Dette er tilfellet for X og EU-kommisjonen. Saken har utviklet seg fra et compliance-spørsmål til en politisk konflikt mellom EU og USA.

I desember ga EU-kommisjonen X en bot på 120 millioner euro for brudd på Digital Services Act (DSA). Dette var den første boten under DSA, noe som i seg selv er en milepæl. Kommisjonen mente X hadde brutt tre sentrale åpenhetskrav: villedende bruk av den blå verifiseringshaken, mangelfullt annonseregister og hindringer for forskeres tilgang til offentlige data ved at X har gjort det vanskelig for brukere å vite hvem som står bak kontoer og for å avdekke svindel og informasjonsoperasjoner.

Som ventet reagerte Musk kraftig og kalte boten et angrep på ytringsfriheten. Amerikanske politikere fulgte opp med samme retorikk, og utenriksminister Marco Rubio hevdet at «dagene med sensur av amerikanere på nett er over». Boten handler imidlertid ikke om sensur, men om manglende åpenhet og plattformdesign.

Så svarte USA med sanksjoner, mer spesifikt innreiseforbud til USA, mot fem europeiske borgere, blant dem tidligere EU-kommissær Thierry Breton – arkitekten bak DSA. Amerikanske myndigheter hevder EU diskriminerer amerikanske selskaper og undertrykker ytringsfriheten, og truer med ytterligere mottiltak som avgifter og restriksjoner. Dette har gjort saken til høypolitikk. EU-parlamentarikere ber EU stå imot presset og redusere avhengigheten av amerikansk teknologi.

Konflikten viser hvor geopolitisk teknologiregulering har blitt. Det handler ikke lenger bare om juss og teknikk, men om makt og verdier. EU forsvarer sine regler som nødvendige for å beskytte brukere, mens USA ser dem som proteksjonisme. På en måte er det en litt trist stadfestelse av det mange har sagt lenge – informasjon er penger.

Vi er nå inne i de 60 dagene som X har til å rette opp bruken av blå haker og 90 dager til å levere en plan for å fikse annonseregisteret og forskertilgangen. Hvis de ikke følger opp, kan det komme nye straffetiltak. Det kan ikke utelukkes at konflikten kan eskalere.

Saken viser at DSA har «tenner», og at EU er villig til å håndheve regelverket, selv mot betydningsfulle aktører. Den viser også hvor betent balansen mellom ytringsfrihet og plattformansvar har blitt. Og svært alvorlig sett med europeisk perspektiv: USA bruker nå sanksjoner mot europeiske tjenestemenn, noe som kan få langvarige konsekvenser for forholdet mellom EU og USA.

Jeg er redd for at dette bare er begynnelsen. Teknologiregulering har blitt en sentral del av det politiske klimaet. For oss som jobber med regulering av teknologi, betyr det at vi må følge med – ikke bare på lovendringer, men også på det politiske spillet.

Det kommer daglige kommentarer i mediene om saken. Noen innlegg finner du her:

• Commission fines X €120 million under the Digital Services Act
• The EU is in a political pressure cooker over its online rules
• Former EU tech czar says US sanctions against him put Brussels on ‘dangerous path’ – POLITICO

---

Ny avgjørelse om erstatning for databrudd

Hva skal egentlig til for å få erstatning etter et databrudd? Praksis har jo etter hvert blitt relativt klar, og denne dommen fra lagmannsretten i Wien støtter tidligere støtter praksis.

Saken startet med et datainnbrudd i 2020, der en hacker la ut store mengder data fra det østerrikske folkeregisteret for salg. Den registrerte, som vi kan kalle X, fikk først i 2023 vite at hans personopplysninger var blant de lekkede dataene. Han ba om innsyn etter GDPR artikkel 15, men selskapet som var behandlingsansvarlig brukte nesten tre måneder på å svare, noe som er langt over fristen.

X gikk til sak og krevde 200 euro i materiell skade for advokatutgifter og 200 euro i immateriell skade for bekymring og irritasjon. Førsteinstansretten avviste begge kravene. Advokatutgifter ble ansett som en kostnad man selv må bære, og det var ikke bevist noen reell emosjonell skade.

Ankedomstolen var delvis uenig. Den åpnet for at advokatutgifter i visse tilfeller kan regnes som «redningsutgifter» og dermed som materiell skade, og sendte saken tilbake til førsteinstansretten for ny vurdering. Når det gjelder immateriell skade, stadfestet retten avvisningen. Et brudd på GDPR gir ikke automatisk rett til erstatning – det må bevises en konkret skade og årsakssammenheng. Generell irritasjon eller bekymring er ikke nok.

For virksomheter kan dommen (igjen) innebære en viss lettelse, nemlig ved at ikke alle GDPR-brudd gir automatisk erstatningsansvar. For registrerte betyr det at man må dokumentere skaden godt – for eksempel med legeerklæringer eller annen konkret dokumentasjon. Dommen viser også at advokatutgifter kan være erstatningsberettiget i spesielle tilfeller, noe som kan få betydning fremover.

Les mer her.

---

Kan en betalingstjeneste vite for mye? Ny viktig tysk dom

Har du tenkt over hva betalingstjenesten din egentlig vet om deg? Ikke bare hvor mye du bruker, men hva du kjøper? En nylig dom fra en tysk domstol viser at dette kan være mer problematisk enn mange tror. Selv om dette er en tysk dom, kan denne fort få betydning for mange.

Saken handler om Paydirekt GmbH, en betalingstjeneste som lagret detaljert informasjon om hva kundene deres kjøpte på nett. Vi snakker ikke bare om beløp og dato – men selve varene. Øyedråper fra nettapoteket. Hudpleieprodukter. Og ja, produkter fra en nettbutikk for sexleketøy.

En bruker, representert av Noyb, reagerte og klaget til datatilsynet i Hessen. Argumentet var enkelt: Dette er sensitiv informasjon som avslører helse og seksualliv, og behandlingsansvarlig har ingen lovlig grunn til å lagre den.

Opprinnelig var ikke Datatilsynet i Hessen enig i dette. De mente at Paydirekt kunne behandle informasjonen basert på en berettiget interesse, nemlig ved å forhindre at folk avbryter betalinger midt i transaksjonen, og for å forebygge svindel. Dessuten mente tilsynet at informasjon om kjøpte varer ikke var sensitiv informasjon i det hele tatt. Brukeren anket saken til retten og ba om at datatilsynets avgjørelse ble opphevet.

Så skjedde det noe interessant. EU-domstolen kom med en avgjørelse i en annen sak (C-21/23, Lindenapotheke-saken), og da endret datatilsynet mening. Nå innrømmet de at noe av denne informasjonen faktisk kunne være sensitiv. Men de ga ingen ordentlig forklaring på hva dette egentlig betydde i praksis.

Domstolens avgjørelse

I mellomtiden gikk Paydirekt konkurs og la ned virksomheten i 2025. Selskapet hevdet å ha slettet brukerens data. Selv om saken teknisk sett ble uten gjenstand fordi selskapet ikke lenger eksisterte, tok domstolen seg bryet med å vurdere utfallet – blant annet for å avgjøre hvem som skulle dekke sakskostnadene. Domstolens konklusjon var klar, nemlig at klagen ville ha vunnet frem.

Domstolen i Wiesbaden identifiserte flere svakheter i Datatilsynet i Hessens avgjørelse fra 22. juli 2022. Ifølge dommen hadde tilsynet ikke foretatt en tilstrekkelig vurdering av proporsjonaliteten ved å bruke berettiget interesse som rettslig grunnlag for å behandle detaljert informasjons om brukerens handlekurv.

Domstolen slo fast at det ikke holder å begrunne lagring av kjøpsinformasjon med at man vil minimere avbrutte betalinger. Dette dekkes ikke av bestemmelsen om berettiget interesse i GDPR artikkel 6(1)(f). Retten uttrykte «alvorlig tvil» om hvorvidt visning av komplette produktnavn under betalingsbekreftelse kunne rettferdiggjøres av forretningsinteresser i å redusere avbrutte transaksjoner. Ifølge dommen veier ikke reduksjon av avbrutte betalinger automatisk tyngre enn enkeltpersoners grunnleggende rett til selvbestemmelse i den interesseavveiningen som kreves etter artikkel 6(1)(f) GDPR.

Datatilsynet hadde selv erkjent at visning av handlekurv for betalingsbekreftelse ikke krever langtidslagring, og påla derfor betalingstjenesten å redusere lagringsperioden til 48 timer etter en systemoppdatering våren 2023.

Domstolen tvilte også på om behandlingen kunne forsvares med svindelforebygging, siden det finnes mindre inngripende måter å oppnå det samme på.

Ifølge rettsdokumentene hadde betalingstjenesten kun gitt «generelle uttalelser» om behovet for svindelforebygging uten å påvise at mindre inngripende alternativer ville være utilstrekkelige. Retten påpekte at svindeldeteksjon potensielt kunne oppnås gjennom tilgang til antall produkter eller varenummer i stedet for beskrivende produktnavn, selv om datatilsynet ikke hadde pålagt betalingstjenesten å utforske slike alternativer.

Refleksjoner

I etterkant av dommen kan man stille seg spørsmålet: Hva kunne betalingstjenesten egentlig lagre?

Basert på dommen og de grunnleggende personvernprinsippene burde en betalingstjeneste kun lagre det som er strengt nødvendig for å utføre betalingstransaksjonen. Dette vil antagelig være:

• Beløp
• Dato og tidspunkt
• Handlested/mottaker (nettbutikkens navn)
• Transaksjons-ID
• Betalingsstatus

Det Paydirekt gjorde feil var å lagre detaljert informasjon om de spesifikke varene som ble kjøpt – altså øyedråper, hudpleieprodukter, sexleketøy osv. Dette går utover det som er nødvendig for å gjennomføre en betaling. Men kan imidlertid stille seg spørsmålet om hvor langt dette kan tolkes? Kan man tenke seg at det hadde vært OK dersom det kun ble angitt antall varer som ble kjøpt, men ikke hvilke spesifikke varer? For noen virksomheter kan man tenke seg at også dette vil være å anse som sensitive personopplysninger, dersom virksomheten tilbyr primært varer som kan antyde eksempelvis opplysninger om seksuelle forhold eller orientering.

Et annet sentralt spørsmål er hvilket rettslig grunnlag som kan være aktuelt dersom handlekurvinformasjonen anses som sensitive personopplysninger etter artikkel 9. I så fall vil behandlingen trolig forutsette et uttrykkelig samtykke etter artikkel 9(2)(a). Problemet er at uttrykkelig samtykke i denne konteksten vil være vanskelig å få til på en lovlig måte, siden det må være frivillig – og hvis betalingstjenesten krever samtykke for å behandle sensitive opplysninger som ikke er nødvendige for tjenesten, vil det neppe være frivillig i henhold til standarden i GDPR artikkel 7.

Dommen kan ha bredere implikasjoner for betalingstjenester og e-handelsplattformer. Betalingstjenesteleverandører behandler typisk transaksjonsinformasjon for å tilrettelegge kjøp, forebygge svindel og generere forretningsanalyse. Wiesbaden-domstolens fastslåelse av at slik behandling kan involvere særlige kategorier av personopplysninger under artikkel 9 GDPR kan skape utfordringer for mange betalingstjenester.

Betalingstjenester som får tilgang til innholdet i handlekurven må identifisere anvendelige artikkel 9-unntak eller implementere alternative tilnærminger som unngår behandling av særlige kategorier av data. Tekniske løsninger som baserer seg på produktidentifikatorer eller kjøpsbeløp uten tilgang til produktnavn kunne gi mindre personverninngripende alternativer. Som nevnt, kan imidlertid også dette by på problemer.

Betalingsplattformer har en ganske spesiell posisjon i e-handel. I motsetning til forhandlere som direkte selger produkter til kunder, behandler betalingstjenesteleverandører typisk transaksjonsinformasjon som databehandlere snarere enn behandlingsansvarlige. Imidlertid antydet saksdokumentene fra Wiesbaden at Paydirekt GmbH opprettholdt handlekurvinformasjon for sine egne forretningsformål utover bare å tilrettelegge transaksjoner, noe som potensielt etablerer et uavhengig behandlingsansvar.

Det kan argumenteres for at disse betalingsplattformer har sine egne formål med behandlingen, deriblant for svindelforebyggingsformål. Uvanlige kjøpsmønstre, misforhold i transaksjonsverdi eller mistenkelige produktkombinasjoner kan indikere uredelig aktivitet som generiske transaksjonsdata kanskje ikke avslører. Wiesbaden-domstolen tok ikke stilling til om slike svindeldeteksjonsbegrunnelser oppfyller nødvendighetskrav når behandlingen involverer særlige kategorier av data under artikkel 9.

I etterkant av saken har bransjeanalytikere påpekt at betalingsleverandører ofte ikke differensierer mellom ulike forhandlerkategorier når de utformer databehandlingssystemer. Løsninger som behandler transaksjoner for både generelle butikker, apotek og en butikk for seksuelle produkter benytter gjerne like rutiner for innsamling og lagring, uavhengig av hvor sensitivt kjøpet er. Wiesbaden-dommen indikerer at betalingsaktører kan måtte innføre kategorispesifikke kontroller for å oppfylle artikkel 9-krav ved transaksjoner knyttet til apotek og sexbutikker.

Datatilsynets pålegg om en 48-timers lagringsperiode våren 2023 ble sett som et forsøk på å balansere funksjonalitet med prinsippet om dataminimering. Retten skrev imidlertid at selv en så kort lagring kan være i strid med artikkel 9 dersom den omfatter særlige kategorier av data. Dette antyder at tidsbegrensning alene ikke er tilstrekkelig for GDPR-etterlevelse når det underliggende rettslige grunnlaget er uklart.

Det er viktig å understreke at avgjørelsen fra 28. november ikke skaper bindende presedens utenfor Wiesbaden-forvaltningsdomstolens område. Likevel kan den ha noe betydning for tolkningen av bestemmelsen også i andre jurisdiksjoner. Samtidig bygger dommen på EU-domstolens prinsipper fra Lindenapotheke-saken, som er bindende for alle medlemsland. Nasjonale domstoler må tolke GDPR i tråd med EU-retten, og Wiesbaden-rettens anvendelse av disse prinsippene på betalingsløsninger gir en modell som andre domstoler kan følge i lignende saker.

Det kan tenkes at betalingsleverandører må differensiere mellom hva slags butikk det handles i.

Du finner mer om saken her.

---

Spansk universitet bøtelagt for ansiktsgjenkjenning på eksamen

Et spansk universitet har fått en bot på €650.000 for å ha tvunget studenter til å bruke ansiktsgjenkjenning under digitale eksamener via nettet.

Universidad Internacional Valenciana (VIU) krevde at alle studenter brukte et «fjernproctoring-system» basert på ansiktsgjenkjenning, uten å tilby noe alternativ. «Fjernproktoring» er en tjeneste som etterligner rollen til en fysisk eksamensvakt ved å bekrefte identiteten til kandidaten og sikre integriteten til eksamen – for eksempel ved hjelp av internettbasert overvåking.

Systemet gjorde kontinuerlig biometrisk ansiktsverifisering, overvåket studentene gjennom kameraet og tok skjermbilder av aktiviteten på studentenes datamaskiner. Universitetet hadde brukt denne teknologien siden 2017 og mente de hadde hjemmel i samtykke, kontrakt og berettiget interesse. De argumenterte også med at juks i nettbasert utdanning hadde økt.

Det spanske datatilsynet AEPD slo fast at ansiktsgjenkjenning som behandler biometriske data for å identifisere personer, er behandling av særlige kategorier personopplysninger. Studentene hadde ikke gitt et reelt samtykke – de hadde jo ingen andre eksamensmuligheter.

Tilsynet skrev blant annet at registrering av biometriske opplysninger som sikkerhet for at rette student avla eksamen ikke var en alminnelig interesse som kunne hjemles i artikkel 9 (2).

Tilsynet mente også at mindre inngripende tiltak kunne fungert like godt. Tilsynet foreslo som eksempel «remote-proctoring without biometric processing, or in-person options» – men det er uklart for meg hvordan det faktisk ville kunnet skje. Kanskje tenker de at et menneske skal sitte og se at det faktisk er studenten som skriver besvarelsen – og jeg er usikker på om det blir så mye bedre.

Det ble også skrevet at universitetet ikke hadde vist at mindre inngripende tiltak ikke ville fungert. Delvis lurer jeg på om konklusjonen kunne blitt annerledes dersom universitetet hadde gjort en grundigere DPIA som viste at de ikke hadde alternativer.

Resultatet ble uansett €300 000 i bot for brudd på artikkel 9 og €350 000 for brudd på dataminimeringsprinsippet. Konklusjonen er neppe særlig overraskende. Selv om juks er et problem, kan man ikke bare skanne studentenes ansikter i timevis uten solid rettslig grunnlag.

Les mer om saken her.

---

Sverige strammer til ved å skjerpe anskaffelseslovene og ny bestemmelse om brudd på taushetsplikt

Den svenske regjeringen har mottatt en utredning om hvordan land utenfor EU kan delta i offentlige anskaffelser. I dag gjør de svenske anskaffelseslovene ingen uttrykkelig forskjell mellom leverandører fra EU og tredjeland – alle kan delta og har rett til likebehandling. Men EU-domstolen har i to dommer slått fast at leverandører fra land uten frihandelsavtale med EU ikke har samme rettigheter.

Utredningen foreslår derfor at anskaffelseslovene endres slik at de ikke lenger gjelder for leverandører fra stater som mangler frihandelsavtale med EU. Dette gir offentlige myndigheter mulighet til å velge om disse leverandørene skal få delta i anskaffelser, og øker mulighetene til å ta hensyn til leverandørers nasjonalitet og velge bort sådanne fra for eksempel antagonistiske stater. Civilminister Erik Slottner sier at forslaget skal redusere risikoen for at viktige sektorer som IT, infrastruktur og energi infiltreres av fiendtligsinnede stater. Utredningens forslag skal nå behandles videre i Regjeringskansliet.

Samtidig jobber Sverige med økt informasjonsutveksling mellom myndigheter for å forebygge, forhindre eller avdekke kriminalitet, etterforske forbrytelser, forebygge, forhindre, oppdage eller utrede feilaktige utbetalinger og svindel og ulike typer overtredelser. Dette gjøres ved å innføre en ny bestemmelse om at slikt kan deles uten at det er brudd på taushetsplikt. Den nye bestemmelsen trådte i kraft fra 1. desember 2025.

Les mer om saken:

• Utredning föreslår ändrade upphandlingsregler för att skydda Sverige från antagonistiska stater – Regeringen.se
• Nu rivs sekretessen mellan alla myndigheter i Sverige – Regeringen.se

---

Brukere vil ikke spores om de kan unngå det

En ny undersøkelse bestilt av personvernorganisasjonen Noyb viser noe som kanskje ikke overrasker: Gitt et reelt valg, vil folk helst slippe å bli sporet på nettet.

Bakgrunnen for undersøkelsen er den såkalte «Pay or Okay»-modellen som har blitt populær blant europeiske nettselskaper. Meta, medieselskaper og andre tilbyr brukerne to alternativer: Betal en sum, eller godta sporing. Nesten alle, nærmere bestemt 99,9 %, ender opp med å akseptere sporing. Men skyldes dette at folk faktisk ønsker å bli sporet? Nei.

Undersøkelsen viser at når folk blir spurt om de vil dele data med selskaper, svarer kun 20% ja. Når de samme personene møter «Pay or Okay»-valget, godtar derimot 90 % sporing. Forskjellen? I det siste tilfellet mangler de et alternativ. Når et tredje alternativ introduseres, reklame uten sporing, så velger 70 % denne løsningen.

Ikke overraskende er mange mediehus og plattformer uenige i med EDPB i at nettsider må tilby tre valg i stedet for to. Meta har forsøkt å saksøke EDPB over dette, mens medieaktører hevder de trenger dagens modell for å overleve. Jeg har tidligere skrevet – og mener fortsatt – at det er ganske spesielt at EDPB kan pålegge virksomheter å tilby gratis tjenester uten at det har vært gjenstand for en vanlig demokratisk vurdering.

Konklusjonen fra undersøkelsen er imidlertid klar. Brukere aksepterer reklame som finansieringsmodell, de vil bare ikke bli sporet rundt på nettet. Dette gjelder uavhengig av plattform, enten det er sosiale medier eller nyhetsmedier.

Les mer om saken:

• ‘Pay or Okay’ study: Users prefer a tracking-free “third option”
• Personvernrådet om «pay or okay»: Kan ikke presse brukerne til å samtykke | Datatilsynet

---

CNIL er fremdeles aktive på cookies

Det franske datterselskapet til American Express har fått en bot på 1,5 millioner euro fra det franske datatilsynet CNIL for ulovlig bruk av cookies. Saken viser at selv om det foreligger forslag til endringer av cookie-reglene, så er det per dags dato de «gamle» reglene som gjelder.

I januar 2023 gjennomførte CNIL flere inspeksjoner av American Express sitt franske nettsted og kontorer. Resultatet var nedslående, og tre forhold ble særlig kritisert.

For det første ble cookies installert med en gang brukeren besøkte nettstedet – før brukeren fikk mulighet til å akseptere eller avvise dem. Reglene er klare: samtykke skal gis før cookies plasseres. For det andre ble cookies for annonsering lagt inn selv om brukeren hadde sagt nei. Og til slutt fortsatte cookies å samle inn data selv etter at brukeren hadde trukket tilbake samtykket sitt. Dette undergraver hele poenget med retten til å trekke samtykke.

Hvorfor ble boten så høy? CNIL la vekt på at reglene om cookies er godt kjent og har vært kommunisert i lang tid. Cookie-reglene håndheves og brudd får konsekvenser. I alle fall i noen land.

Det holder ikke å ha et pent banner, også implementeringen må fungere. Test systemene dine og husk at uvitenhet ikke er en unnskyldning.

Les mer her: American Express fined €1.5M for illegal cookie placement

CNIL har også slått ned på nettsiden VanityFair.fr, som ignorerte brukernes cookies-valg. Den 20. november 2025 ble det franske selskapet Les Publications Conde Nast – som står bak Vanity Fair-magasinet – ilagt en bot på €750 000.

Tre ting gikk galt. I det øyeblikket du åpnet vanityfair.fr, var cookies allerede satt og sporet aktivitet. Dessuten var noen cookies merket som «strengt nødvendige» – altså den typen som ikke trenger samtykke. Disse hadde imidlertid ingenting med teknisk nødvendighet å gjøre. De skulle spore brukere og vise reklame. Og dertil – når man klikket «Avvis alle», skjedde det ingenting. Nye cookies ble likevel plantet, og de som allerede lå der fortsatte å fungere. «Avvis alle» var rett og slett en knapp uten funksjon. Ikke en praksis man bør anbefale.

Du finner saken her: Cookies placed without consent: the company that publishes the website “vanityfair.fr” fined 750,000 euros by the CNIL

---

Personvernnemnda om sen varsling av avvik – og satser for redusert gebyr grunnet lang saksbehandlingstid

Personvernnemnda har stadfestet Datatilsynets vedtak om overtredelsesgebyr på 1,5 millioner kroner til det amerikanske selskapet Argon Medical Devices.

Argon oppdaget et alvorlig sikkerhetsbrudd i juli 2021 som rammet ansattes personopplysninger. Først i september, to måneder senere, varslet de Datatilsynet. Selskapet mente de måtte ha full oversikt før de varslet og hadde bygget sine rutiner på dette.

Datatilsynet var uenige. 72-timersfristen løper fra du blir klar over bruddet, ikke når alle undersøkelser er gjennomført. Personvernrådet er tydelige på at virksomheter ikke kan vente på detaljerte undersøkelser før de varsler. Datatilsynet ila derfor et gebyr på 2,5 millioner kroner i mars 2023.

Argon klaget på vedtaket, og saken ble oversendt til Personvernnemnda. Nemnda var enig i Datatilsynets vurdering og la, i likhet med tilsynet, vekt på retningslinjene fra Personvernrådet.

Det mest interessante i saken er at nemnda etablerte veiledende satser for når lang saksbehandlingstid hos Datatilsynet skal gi gebyrreduksjon. Saksbehandling på 1 år gir 0–10 % reduksjon, 1–2 år gir 10–20 % reduksjon, mens 3–5 år gir 30–50 % reduksjon.

På grunn av lang saksbehandlingstid frem til behandling i Personvernnemnda, ble gebyret redusert fra 2,5 millioner til 1,5 millioner kroner.

Saken er omtalt her: Personvernnemnda opprettholder gebyr til Argon Medical Devices | Datatilsynet 

---

LastPass bøtelagt – når passordbeskytteren selv trenger beskyttelse

LastPass i England har fått en bot på 1,2 millioner pund av det britiske datatilsynet ICO etter et databrudd som rammet 1,6 millioner mennesker. Ironisk nok handler dette om en passordbeskytter som ikke klarte å beskytte seg selv.

LastPass hadde ikke implementert tilstrekkelig robuste tekniske og sikkerhetsmessige tiltak, noe som gjorde det mulig for en hacker å trenge inn i selskapets backup-database.

I august 2022 klarte en hacker å få tak i en bedriftslaptop som tilhørte en av LastPass’ ansatte og deretter få tilgang til selskapets utviklingsmiljø. Angriperen klarte ikke å stjele personopplysninger, men fikk med seg kryptert selskapsinformasjon. LastPass trodde krypteringsnøklene var trygge fordi de lå et annet sted på nettverket som hackeren ikke hadde tilgang til.

Men angriperen stoppet ikke der. Vedkommende rettet videre angrep mot en senioransatt med tilgang til dekrypteringsnøklene, utnyttet en kjent sårbarhet i en strømmetjeneste, installerte en keylogger og omgikk tofaktorautentisering ved å bruke en trusted device-cookie.

Med den ansattes masterpassord fikk hackeren tilgang til både personlige og forretningsmessige LastPass-hvelv, inkludert AWS-tilgangsnøkler og dekrypteringsnøkler, og kunne dermed trekke ut innholdet i backup-databasen med personopplysninger på 1,6 millioner mennesker – navn, e-poster, telefonnumre og lagrede nettadresser.

ICO undersøkelse fant dog ingen bevis for at krypterte passord og annen legitimasjon kunne dekrypteres av hackeren. Dette skyldes LastPass’ bruk av et ‘nullkunnskaps’-krypteringssystem, der masterpassordet som kreves for å få tilgang til passordhvelvet lagres lokalt på kundens egen enhet og aldri deles med LastPass. Heldigvis.

Som ICO-kommissær John Edwards sa det: «LastPass customers had a right to expect the personal information they entrusted to the company would be kept safe and secure. However, the company fell short of this expectation, resulting in the proportionate fine being announced today,».

Passordbeskyttere er uvurderlige verktøy, men de er bare så gode som sikkerheten som ligger bak dem.

Les mer om saken: Password manager provider fined £1.2m by ICO for data breach

---

Om advokater som krever innsyn på vegne av klienter

En østerriksk advokat ba en nettplattform om brukerdata etter at klientens navn og adresse dukket opp i en annonse klienten aldri hadde lagt ut.

Det viste seg at en annen person hadde brukt klientens adresse i profilen sin, og advokaten la frem opplysningene som bevis i en rettssak.

Den som hadde laget profilen mente advokaten hadde brutt personvernreglene og klaget til datatilsynet i Østerrike. Det østerrikske datatilsynet var uenig: Advokaten var behandlingsansvarlig, og behandlingen var lovlig basert på berettiget interesse etter GDPR artikkel 6(1)(f). Formålet var å avdekke uautorisert bruk av klientens identitet, og det fantes ingen mindre inngripende måte å oppnå dette på.

Interesseavveiningen falt i advokatens favør, og klagen ble avvist. Noen ganger vinner altså personvernet – selv når det er andres personvern det handler om.

Les mer om saken her.

---

Hjelpsomt om Data Act fra EU

Som en del av EUs Data Union-strategi har EU-kommisjonen lansert en juridisk helpdesk for Data Act. Målet er enkelt: å gjøre det lettere for bedrifter, offentlige myndigheter og andre organisasjoner å forstå hva reglene betyr i praksis.

Helpdesken er spesielt rettet mot små og mellomstore bedrifter, som sjelden har store juridiske avdelinger til å tyde komplisert lovverk. Her kan alle få veiledning om sine krav, rettigheter og forpliktelser under Data Act.

Les mer her.

---

EU lanserer førsteutkast av retningslinjer for merking og kategorisering av AI-generert innhold

Den 17. desember publiserte EU-kommisjonen det første utkastet til en atferdskodeks for merking av AI-generert innhold, med mål om å ferdigstille kodeksen innen juni 2026. Artikkel 50 i AI-loven krever at leverandører merker AI-generert eller manipulert innhold i et maskinlesbart format, mens brukere som tar i bruk generative AI-systemer profesjonelt må tydelig merke deepfakes og AI-tekster om saker av offentlig interesse.

Den første delen av utkastet dekker regler for merking og identifisering av AI-innhold for leverandører av generative AI-systemer, mens den andre handler om merking av deepfakes og viss AI-generert eller manipulert tekst for brukere av slike systemer.

Kommisjonen ber om tilbakemeldinger på utkastet frem til 23. januar, og det andre utkastet skal være klart innen midten av mars 2026.

Inntil et EU-omfattende ikon er ferdig utviklet, kan aktørene bruke et midlertidig ikon bestående av en to-bokstavers forkortelse for kunstig intelligens, som også kan være bokstaver fra oversettelsen til medlemslandenes språk (f.eks. AI, KI, IA).

Reglene for åpenhet om AI-generert innhold trer i kraft 2. august i EU – så nå gjelder det å følge med!

Les mer om saken og selve førsteutkastet her.