Velkommen til årets andre nyhetsbrev. Vi er bare tre-fire korte uker inn i året, men det er allerede nok å skrive om. Jeg har fokusert på de avgjørelsene og sakene jeg mener er mest sentrale, og har fått nyhetsbrevet ned i under 10 sider.
Under finner du en omtale av (nok en) en svært viktig Meta-sak om hva de – og andre – må utlevere av opplysninger ved innsynsbegjæringer. Det er også flere saker om hvordan databehandlere kan bli ansvarlige for manglende sikkerhet.
Men det er ikke bare Europa som håndhever personvernregler. Selv Disney har fått en smell i USA for å ha samlet inn opplysninger om barn uten å spørre foreldrene. Og når vi først er inne på USA: Det pågår forhandlinger om en avtale som skal gi amerikanske myndigheter tilgang til europeiske biometridatabaser. Hva det betyr i praksis? Det er faktisk ikke helt klart ennå.
God lesning!
Hilsen Eva
Innsyn for viderekomne – Meta må gi brukere full tilgang til deres data
Dette er kanskje en av de viktigste avgjørelsene den siste tiden. Etter en lang rettsprosess som startet i 2011 og to runder i CJEU, har Østerrikes høyesterett omsider gitt Max Schrems og Noyb en viktig og endelig seier.
Schrems krevde (blant annet) innsyn i alle personopplysninger Meta hadde om ham. Meta mente på sin side at han kun hadde krav på delvis innsyn, og nektet å utlevere informasjon som ble brukt til algoritmisk behandling og profilering. Selskapet hevdet at dette ville kreve uforholdsmessig mye arbeid, og at deler av informasjonen utgjorde forretningshemmeligheter.
Dommen slår fast at Meta må gi brukere tilgang til absolutt alle personopplysninger selskapet har om dem. Også data som brukes til å trene algoritmer og bygge profiler, hvilke kilder disse dataene har, hvilke mottakere som har hatt tilgang til dem (husk at mottaker-begrepet tolkes vidt), samt formålet med hver enkelt behandling.
Retten slo fast at retten til innsyn er grunnleggende og omfatter alle personopplysninger, inkludert de som brukes til automatiserte beslutninger og profilering. Meta kan ikke nekte utlevering med henvisning til kompleksitet eller at det er forretningshemmeligheter. Hvis selskapet behandler opplysningene, har brukeren rett til å vite om det. Men her tror jeg det må det tas et lite forbehold for at Meta kanskje ikke argumenterte godt nok for at det forelå forretningshemmeligheter – kanskje kan det argumenteres annerledes.
Dessuten sier dommen at sensitive personopplysninger må beskyttes særskilt. Det interessante er hva dette betyr for skillet mellom sensitive og ikke-sensitive opplysninger. Meta behandler enorme mengder data, og mye av dette kan indirekte avsløre sensitiv informasjon. Det samme gjelder mange andre aktører. Når alt ligger sammenvevd i algoritmer og profiler, hvordan skal man skille hva som er hva? Og hvordan skal de presentere dette på en måte som faktisk gir mening for brukeren? Hvor stor konsekvensen av dette blir, avhenger likevel av om et system velger å beskytte «alt» som om det var sensitive personopplysninger – eller man skiller på vanlige og sensitive opplysninger. Et ofte anbefalt praktisk råd er å behandle alt som om det var sensitivt.
For virksomheter som driver med profilering og automatiserte beslutninger er budskapet uansett klart: Innsynsretten er ikke valgfri. og den omfatter alt. Det holder ikke å gi tilgang til de enklere dataene. Brukere har krav på å vite hva som skjer med opplysningene. Jeg tror denne saken er et varsko for mange, for mange vil nok ha utfordringer med å imøtekomme slike innsynskrav.
Når databehandleren blir behandlingsansvarlig – to viktige avgjørelser
Det norske datatilsynet har nylig gitt en bot på 250 000 kroner til Timegrip, et selskap som opprinnelig var databehandler og leverandør av timeføringssystem for ansatte i butikkjeden Enklere Liv Retail AS. Etter at kjeden gikk konkurs, ville en ansatt ha innsyn i sine egne arbeidstimer for å fremme krav mot konkursboet. Konkursboet ville også ha tilgang til listene. Timegrip nektet å gi innsyn.
Interessant nok mente Timegrip at de som databehandler ikke hadde en plikt til å gi klageren dataene. De mente at en databehandler bare kan behandle personopplysninger basert på instruks fra den behandlingsansvarlige – og behandlingsansvarlig var jo konkurs og fantes ikke lenger.
Datatilsynet mente på sin side at det alltid skal finnes en som er ansvarlig og at det ikke skal skje at det kun finnes en databehandler og ingen behandlingsansvarlig. Da Timegrip fortsatte å lagre opplysningene og samtidig tok beslutninger om hvem som skulle få tilgang, så ble de selv behandlingsansvarlig. Av det fulgte at ved å nekte utlevering av opplysningene, handlet selskapet i strid med regelverket, og Datatilsynet ila Timegrip et overtredelsesgebyr.
I Sverige har IMY (det svenske datatilsynet) bøtelagt databehandleren SportAdmin med 6 millioner svenske kroner for manglende datasikkerhet. Selskapet leverer systemer for idrettslag og hadde implementert utilstrekkelige sikkerhetstiltak, noe som gjorde at uvedkommende kunne få tilgang til personopplysninger.
Sakens bakgrunn var et hacker-angrep i januar 2025 der angriperen stjal opplysninger om mer enn 2,1 millioner personer og publiserte disse på «Darknet». Dette omfattet opplysningene om barn, deres navn og kontaktopplysninger, personnummer og hvilke idretter og klubber de var aktive i. Det omfattet også sensitiv helseinformasjon og særskilt beskyttede personopplysninger. Åpenbart ikke bra.
IMY sa at selv om man aldri helt kan utelukke hacking, må man ha et sikkerhetsnivå som er tilpasset personopplysningene man håndterer og her hadde Sportadmin vært passive overfor kjente risikoer. Jeg tenker at det er relevant å se på hvilke konkrete brister som motiverer et slikt gebyr. IMY skriver følgende om det som skjedde:
I samband med en förändring av inloggningsförfarandet för föreningshemsidor den 28 juni 2022 genomfördes en förändring av kod varvid en särskild variabel infördes på en av Sportadmins webbsidor. När variabeln lades till förbisåg Sportadmin att tillämpa sin befintliga säkerhetsmetod för skydd mot SQL-injektioner. Eftersom förändringen inte introducerade en ny variabel i systemen, utan avsåg återanvändning av en variabel som Sportadmin ansåg som säker och som i regel inte brukar kräva applicering av ytterligare säkerhetsmetoder, upptäcktes inte bristen. Den oskyddade variabeln användes därefter direkt vid kommunikation med databasen vilket medförde en förhöjd risk för dataintrång med hjälp av SQL-injektioner. Det var vid denna variabel som den aktuella SQL-injektionen utfördes och som sannolikt orsakade incidenten. [..]
Og
«Den förändring av kod som genomfördes i juni 2022 klassificerades som en högriskändring och granskningar genomfördes därför av ytterligare personer. Avsaknaden av skydd mot SQL-injektioner fångades trots det inte upp på grund av att bolaget hade brister i sina granskningsrutiner för mer komplexa kodändringar. Bolaget har identifierat följande brister.
Riskklassificeringen var för ensidig eftersom den huvudsakligen utgick från påverkan på inloggningsförfarandet och risk för otillbörlig åtkomst till användardata. Det innebar att andra typer av angrepp, såsom SQLinjektioner, inte beaktades i tillräcklig omfattning.
Kombinationen av en tekniskt komplex miljö där äldre (legacy) kod blandades med nyare implementeringar, bidrog till att den aktuella sårbarheten inte identifierades under granskningen.
Det saknades ytterligare granskningsrutiner vid förändring av kod som innebar en hög risk i kombination med särskilt beroende till äldre kod. De hade till exempel kunnat omfatta obligatorisk granskning av fler personer. Vidare hade automatiska säkerhetsgranskningar av koden kunnat identifiera sårbarheter.
Kodgranskningen var subjektiv och otydlig.
Eftersom kodgranskning vid tidpunkten inte var ett obligatoriskt steg vid förändring av kod och riskbedömningskriterierna var subjektiva, baserades beslutet om att genomföra granskning på en individuell bedömning i det enskilda fallet. Sportadmins system för övervakning larmade inte om misstänkta aktiviteter i samband med intrånget den 14 januari 2025 och framåt. Det program som användes bevakar och analyserar ständigt hårdvara, programvara (mjukvara) och användande för att identifiera eventuell onormal aktivitet i form av prestanda eller belastning, men utgör inte ett verktyg för att i realtid bevaka och upptäcka intrångsförsök. Loggar från systemet granskades manuellt av bolaget på daglig basis. Genom analyser av loggar eller vid oväntade förändringar i systemets prestanda kunde misstänkt aktivitet identifieras. Övervakningssystemet varnade dock för onormal aktivitet när en av Sportadmins servrar slutade svara den 16 januari 2025. Det ledde till en manuell granskning och detektion av det pågående intrånget.
Jeg skal ikke mene mye om hvordan man kvalitetssikrer kode, men å endre innloggingsrutiner fremstår som relativt vanlige endringer i et system. Endringer kan gi sikkerhetsrisikoer, og hvordan informasjonssikkerheten skal ivaretas er i siste instans et ledelsesansvar. Selv om ledelsen ikke gjør dette selv, må den sørge for å ha systemer og rutiner som sørger for at dette faktisk gjøres.
Det er også viktig å merke seg at IMY ikke gikk etter de behandlingsansvarlige idrettslagene, men direkte etter databehandleren. De la til grunn – helt korrekt – at databehandlere har et selvstendig ansvar for å iverksette tilstrekkelige sikkerhetstiltak etter GDPR artikkel 32. Dette ansvaret følger av regelverket selv, ikke bare av databehandleravtalen.
Konsekvenser av disse sakene? Det norske Datatilsynet sier at databehandleravtaler med fordel kan regulere hva som skal skje i en konkurssituasjon. Det er kanskje ambisiøst, men for databehandlere med mange like avtaler, kan dette være en god ide å inkorporere.
Sammen gir disse sakene et klart budskap: Grensen mellom databehandler og behandlingsansvarlig er ikke så fast som mange har trodd. Ansvaret kan skifte, og særlig databehandlere må være forberedt på det.
Du kan lese mer om sakene her:
- Overtredelsesgebyr for manglende innsyn | Datatilsynet
- Sanktionsavgift mot Sportadmin för bristande IT-säkerhet
CNIL kom med flere bøter i starten av 2026
Det franske datatilsynet CNIL fortsetter sin aktive håndhevingspraksis. Telekomselskapet Free har fått en bot på 15 millioner euro etter at et databrudd forårsaket at en tredjepart fikk tilgang til over 24 millioner kunders persondata. CNIL fant at Free ikke hadde implementert tilstrekkelig autorisasjonsprosess for tilknytning av VPN for firmaets ansatte. Konsekvensene av denne svakheten var såpass alvorlige at CNlL anså dette som brudd på GDPR art. 32.
For Free Mobile var saken annerledes, her ga CNIL en bot på 27 millioner euro for brudd på GDPR art. 5-1e. Denne gangen hadde ikke Free sørget for sortering og sletting av personopplysninger på en hensiktsmessig måte. Det gjaldt data om tidligere abonnenter – der Free Mobile beholdt mer enn hva som var nødvendig og hjemlet for å beholde regnskapsdata.
Jeg har en liten anelse om at dette kan gjelde flere selskaper enn Free Mobile. Boten til Free Mobile kan kanskje motivere andre til å sette mer fokus på sletting av data. Selskapet ble også pålagt å sortere og slette data til tidligere brukere innen seks måneder.
Disney bøtelagt i USA (ja, også amerikanerne håndhever personvern)
Det er lett å tro at personvern er noe som bare gjelder i Europa, men Disney har nettopp fått en påminnelse om at også amerikanske myndigheter tar dette på alvor. Selskapet har inngått et forlik med Federal Trade Commission (FTC) og betaler 10 millioner dollar for brudd på COPPA – den amerikanske loven som beskytter barns personvern på nettet.
Disney samlet inn personopplysninger fra barn under 13 år uten å innhente samtykke fra foreldrene først. Dette gjaldt blant annet Disneys ulike apper og nettsteder, der barn kunne registrere seg og bruke tjenestene uten at foreldrene ble involvert.
COPPA er ganske klar på dette punktet: Hvis du samler inn opplysninger fra barn under 13 år, må du ha foreldrenes samtykke først. Disney hadde ikke dette på plass, og FTC reagerte. Barn trenger ekstra beskyttelse, og foreldre må involveres når det samles inn opplysninger om dem.
Saken viser at selv store, ressurssterke selskaper kan bomme på det grunnleggende. Saken er en god påminnelse om at en del prinsipper er universelle. Uavhengig av om du opererer etter GDPR, COPPA eller andre regelverk, handler det om å beskytte sårbare grupper og sikre at behandlingen er lovlig og rettferdig.
Du kan lese mer om saken her:
Disney to pay $10m over alleged children’s privacy law violations
EU-domstolen om informasjonsplikt ved bruk av kroppsbårne kameraer
EU-domstolen har avgjort en sak om hvor lenge kollektivtransportselskaper kan lagre opplysninger innhentet via kroppsbårne kameraer. Saken gjelder det svenske kollektivselskapet Storstockholms Lokaltrafik (SL).
Billettkontrollørene til SL hadde kamera på uniformen, og det tok opp både video og lyd av passasjerer. Kameraene var innstilt slik at de automatisk slettet alle opptak som ikke gjaldt utdeling av bøter eller annen fare. SL mente at kameraene hadde som formål å beskytte kontrollørene, samt sørge for at passasjerer som skulle bli bøtelagt også kunne identifiseres senere.
Et tema i saken var om opplysningene skulle anses å ha blitt samlet inn fra den registrerte selv, eller fra tredjepart- altså om art 13 eller art 14 gjelder. Domstolen la til grunn at opplysningene skulle anses å ha blitt samlet inn fra den registrerte selv – selv om de ikke var klar over det. Den vektla at artikkel 13 i personvernforordningen gir konkret uttrykk for den registrertes rett til å bli informert på innsamlingstidspunktet, mens artikkel 14 i personvernforordningen er utformet for situasjoner hvor opplysninger samles inn indirekte fra tredjeparter, noe som gjør umiddelbar informasjon upraktisk. Å anvende artikkel 14 i personvernforordningen på opptak fra kroppskamera ville undergrave prinsippet om åpenhet i artikkel 5 og 12. Å anvende artikkel 14 i personvernforordningen under slike omstendigheter ville også muliggjøre skjult overvåking, siden registrerte ikke nødvendigvis ville bli informert på det tidspunktet deres opplysninger samles inn. Gode grunner fra domstolen her, altså.
Dette er dermed vesentlig for informasjonsplikten, som da ikke var overholdt. Problemet var ikke kameraet i seg selv, men at passasjerene ikke visste at de ble filmet. SL kunne antakelig unngått boten på 4 millioner svenske kroner ved å innføre enkle tiltak, som å henge opp varslingsskilt på transportmiddelet.
Du kan lese mer om saken her.
Transparens om databehandlere
Det litauiske datatilsynet har gitt en påminnelse om at behandlingsansvarlige må være transparente om hvilke databehandlere de bruker.
Saken gjelder et selskap som ikke ga brukerne tilstrekkelig informasjon om hvem som faktisk behandlet personopplysningene deres. I denne saken hadde selskapet en generisk personvernerklæring som sa at de «kunne bruke databehandlere», men ga ingen konkret informasjon om hvem disse var.
Det litauiske datatilsynet mente dette ikke var godt nok. Brukerne har krav på å vite hvem som faktisk har tilgang til opplysningene deres, ikke bare at «noen» kan ha det.
GDPR artikkel 13 og 14 krever at behandlingsansvarlige informerer de registrerte om hvem som behandler opplysningene deres. Dette inkluderer også databehandlere, altså de selskapene som behandler opplysninger på vegne av den behandlingsansvarlige.
Saken er en god påminnelse om at transparens ikke er en valgfri øvelse. Det holder ikke å ha en lang og generisk personvernerklæring som dekker alle eventualiteter. Informasjonen må være konkret og forståelig.
For virksomheter betyr dette at man må ha oversikt over hvilke databehandlere dere bruker, og at dere må informere brukerne om dette. Og ja, det kan bety at personvernerklæringen må oppdateres når man bytter leverandør.
Og for de som tenker at «ingen leser personvernerklæringen uansett», så er det ikke dette som er poenget. Poenget er at informasjonen skal være tilgjengelig for de som ønsker å vite. Transparens handler om å gi brukerne muligheten til å ta informerte valg.
Du kan lese mer om saken her.
Data må slettes
CNIL ble i 2022 varslet om et databrudd hos selskapet DEEZER. Informasjon om deres brukere var publisert på darknet og dette involverte deres tidligere databehandler MOBIUS SOLUTIONS LTD (Mobius). Mobius hadde bistått med personaliserte kampanjer.
CNIL fant at Mobius ikke hadde slettet data etter avsluttet kontrakt. Mobius hadde beholdt en kopi av informasjonen til over 46 millioner brukere av DEEZER etter at kontraktsforholdet opphørte. Til tross for at de pliktet å slette disse.
Mobius opplyste at dataene var blitt kopiert av tre av dets ansatte, uten at selskapet ble informert. CNIL mente likevel at selskapet var ansvarlig for de ansattes handlinger, ettersom dataene var lagret sammen med data fra andre kunder.
Mobius hadde heller ingen ordentlig protokoll over hvilke behandlingsaktiviteter de hadde utført, noe som utgjorde et brudd på GDPR art. 30.
Mobius fikk en bot på 1 million euro for flere brudd.
Avgjørelsen viser hvor viktig det er å ha rutiner som sikrer at alle data slettes når kontrakter avsluttes. Å slette det du sier du skal slette høres kanskje enkelt ut, men i praksis kan det være komplisert.
Du kan lese mer om saken her.
Kameraovervåkning av ansatte kan være lovlig, selv når de protesterer
Det danske datatilsynet har gitt DSB Service and Retail lov til å fortsette med kameraovervåkning av ansatte, til tross for at de ansatte har protestert. Saken viser at arbeidsgivere i visse tilfeller kan overvåke ansatte selv om de ikke liker det.
DSB hadde installert kameraer på arbeidsplassen for å forebygge og oppklare tyveri både fra kunder og ansattes side – og slik sikre trygghet. De ansatte mente dette var et uforholdsmessig inngrep i deres personvern og klaget til Datatilsynet.
Datatilsynet vurderte saken og konkluderte med at overvåkningen var lovlig. Begrunnelsen var at DSB hadde en berettiget interesse i å beskytte sine eiendeler og sikre et trygt arbeidsmiljø, og at denne interessen veide tyngre enn de ansattes personverninteresser.
Tilsynet la vekt på at kameraene ikke overvåket områder der ansatte hadde en særlig forventning om privatliv, som garderober eller toaletter. Overvåkningen var også begrenset til det som var nødvendig for å oppnå formålet.
Saken illustrerer at overvåkning av ansatte ikke er automatisk ulovlig. Det avgjørende er om det foreligger en berettiget interesse, om overvåkningen er proporsjonal, og om de ansattes rettigheter er tilstrekkelig ivaretatt.
Arbeidsgivere kan innføre overvåkning hvis det er gode grunner til det og de kan dokumenteres.
Du kan lese mer om saken her:
Geografisk sporing av kollektivreisende
En annen sak fra Danmark gjelder en app som kunne spore kollektivreisendes geografiske posisjon og om dette er lovlig. Når tilsynet forhørte seg med datatilsyn i andre land om hvordan de vurderer slikt, fikk de ganske ulike svar.
Saken er så prinsipiell at datatilsynet derfor vil be EDPB om en uttalelse om hvordan de skal tolke loven.
Bakgrunnen er datatilsynets undersøkelse av Rejsekort-appen for kollektivtransport. Rejsekort-appen lar brukere betale for kollektivreiser ved å sjekke inn og ut med mobilen. For at dette skal fungere, må appen vite hvor brukeren befinner seg. Problemet var at sporingen kunne fortsette selv etter at reisen var avsluttet hvis hadde glemt å aktivere appens automatiske funksjoner.
Spørsmålet er grunnleggende: Hvor mye geografisk sporing er nødvendig for å tilby en kollektivtransporttjeneste? Hva er i tråd med prinsippene om dataminimering og privacy by design?
Det er ikke spesielt overraskende at dette er vanskelige spørsmål. På den ene siden er geografisk sporing nødvendig for at appen skal fungere. På den andre siden registreres detaljerte bevegelsesmønstre som kan være svært inngripende.
Det blir spennende å se hva EDPB vil mene. En avklaring vil ha betydning for alle som tilbyr tjenester som krever geografisk sporing, ikke bare kollektivtransport, men også taxi-apper, leveringstjenester og mye annet.
Inntil videre er rådet til virksomheter som driver med geografisk sporing at de må være forberedt på at reglene kan bli strengere.
Du kan lese mer om saken her:
USA får tilgang til europeeres biometri
USA har kommet med et nytt krav til land som deltar i Visa Waiver Program. Det nye kravet er at de må inngå en bilateral «Enhanced Border Security Partnership» med det amerikanske Department of Homeland Security (DHS).
Dette vil gi DHS tilgang til nasjonale biometriske registre for immigrasjonskontroll og sikkerhetsvurderinger. USA forventer at avtaler skal være på plass innen utgangen av 2026.
EU forhandler nå om en rammeavtale som skal gi overordnede vilkår for medlemslandenes bilaterale informasjonsutveksling med USA. Utvekslingen skal gjelde informasjon, inkludert biometriske data, lagret i nasjonale databaser i medlemslandene.
Det vil være opp til hvert enkelt medlemsland å forhandle med USA om hvilke nasjonale databaser og data USA skal få tilgang til. Dette er altså ikke en massiv overføring av hele databaser, men et system der informasjonsutveksling skal brukes til «screening og verifisering av identitet til reisende for å avgjøre om deres innreise eller opphold vil utgjøre en risiko for offentlig sikkerhet eller orden».
Rammeavtalen skal ha klar formålsbegrensning for utvekslede data, med spesifikke triggere for informasjonsutveksling, samt sikkerhetstiltak for å unngå masseoverføring av data. Den skal også være i tråd med EUs charter for grunnleggende rettigheter, GDPR, politidirektivet og KI-forordningen.
Siden Norge ikke er EU-medlem, gjelder ikke denne rammeavtalen direkte for oss. Norge har allerede visum-fritak til USA (selv om vi må ha innreisetillatelse), så det er uklart om vi må inngå en egen EBSP-avtale eller om USA mener vår eksisterende ordning er tilstrekkelig.
Dette er en sak som fortjener oppmerksomhet og det er en viss skepsis mot å la USA få tilgang til opplysningene.
Du kan lese mer om saken her: