Godt nytt personvernår! Også i 2024 var det nok å ta tak i på personvernfronten. Året var preget av en rekke personvernrelaterte nyheter, herunder vedtak, avgjørelser, retningslinjer og lovgivning. I årsoppsummeringen vår nevner vi noen av sakene som har preget 2024 og fremhever hva det kan være lurt å følge med på også i året som kommer.
Sporingsteknologi, cookies og digitalmarkedsføring
Ved forrige årsskifte (2023/2024) varslet Datatilsynet at de ville føre tilsyn med norske nettbutikkers bruk av cookies og annen sporingsteknologi – særlig med pikselteknologi. Mange gjorde tiltak for å sørge for at sporingsteknologi på nettsidene var lovmessig. Også dette årsskiftet er preget av at mange tar grep for å sikre at sporingsteknologi på nettstedene er i overenstemmelse med ny ekomlov, som trådte i kraft 1. januar 2025. Norske virksomheter må i 2025 sørge for at nettsidene innhenter samtykke til cookies i tråd med oppdaterte lovkrav. Dette kan løses gjennom et riktig konfigurert cookiebanner som krever at sluttbruker aktivt har klikket ja og at sluttbruker kan velge mellom å akseptere ulike kategorier cookies.
Digitalmarkedsføring har som forventet fortsatt å være stadig aktuelt også på andre måter. Det norske datatilsynet gikk sammen med flere andre lands tilsynsmyndigheter til Personvernrådet og ba om en uttalelse for lovligheten av bruken av såkalte «pay or okey»-løsninger for store plattformvirksomheter. Dette handler om hvor brukeren av en tjeneste enten må akseptere bruk av personopplysninger for persontilpasset, adferdsbasert digitalmarkedsføring, eller betale for tjenesten. Personvernrådet uttalte at kravene for et gyldig samtykke etter personvernforordningen i de fleste tilfeller ikke vil være oppfylte når en plattform bare tilbyr enten betaling eller adferdsbasert digitalmarkedsføring, altså hvor det ikke foreligger et «ekvivalent alternativ» til betaling for å unngå adferdsbasert markedsføring. Personvernrådet understreker likevel at lovligheten vil måtte vurderes i det enkelte tilfellet.
Særlige kategorier av personopplysninger i fokus
Særlige kategorier av personopplysninger har vært i fokus ved en rekke anledninger det siste året. I Grindr-saken var spørsmålet om Grindr utleverte særlige kategorier av personopplysninger til annonsepartnere og om virksomheten hadde gyldig samtykke for utlevering av personopplysninger (herunder også særlige kategorier). For første gang har norske domstoler behandlet en sak om overtredelsesgebyr etter personvernforordningen. Tingretten fastslo at det at noen er bruker av Grindr, anses som en opplysning om noens seksuelle forhold eller orientering. Det ble vektlagt at appen i hovedsak brukes til dating, og at markedsføringen rettes mot LHBTQ+-miljøet. Vi skrev en artikkel om at tingretten kom til at det forelå utlevering av særlige kategorier av personopplysninger, samt at samtykkeløsningen ikke var gyldig og dermed fastholdt overtredelsesgebyret på 65 millioner kroner. Grindr varslet at dommen er anket.
I en sak for EU-domstolen, den såkalte Lindenapotheke-avgjørelsen (C-21/23), var det sentrale spørsmålet om opplysninger som ble samlet inn i forbindelse med netthandel av reseptfrie medikamenter var å anse som helseopplysninger. EU-domstolen konkluderte med at selv om medisiner ikke krever resept, vil opplysningene være å anse som helseopplysninger fordi det kan avsløre informasjon om helse. Konsekvensen blir dermed at det kreves behandlingsgrunnlag for behandling av særlige kategorier av personopplysninger (helseopplysninger). For de fleste praktiske formål betyr dette et samtykke. Dommen åpner opp for at en rekke andre produkter som kjøpes i butikk og ved netthandel også kan medføre at det direkte eller indirekte samles inn særlige kategorier av personopplysninger, for eksempel seksuell legning, religion med mer. Dommen har mottatt kritikk for ikke å ha reflektert tilstrekkelig rundt flere punkter. Det pekes blant annet på de praktiske utfordringene med å innsamle et fullgodt samtykke ved netthandel og ved kjøp for øvrig, at det jo ikke nødvendigvis er den som handler produktene som skal benytte disse, hvem helseopplysningene i så fall knytter seg til og hvem som da må samtykke til behandlingen.
Vi opplever at virksomheter som ønsker å gjennomføre helt legitime behandlingsaktiviteter, strever med å områ seg i å kartlegge og dokumentere riktig behandlingsgrunnlag for særlige kategorier av personopplysninger. Vi mener det er betimelig å stille spørsmål om det bør tas en nærmere titt på om det skillet mellom særlige kategorier og andre kategorier av personopplysninger som foreligger i dag er nødvendig.
Databehandlere
Vi tror det i tiden fremover vil være fokus på hvordan behandlingsansvarlige følger opp og gjennomfører tilsyn med sine databehandlere. På denne fronten svikter nok mange! Personvernrådet har i 2024 kommet med en opinion hvor de redegjør for noen av forpliktelsene som følger av det å benytte databehandlere og underdatabehandlere. Her presiserer Personvernrådet forpliktelser relatert til blant annet implementering av sikkerhetstiltak, oppfølging av vilkår overfor underdatabehandlere, oversikt over databehandlere og underdatabehandlere og tredjelandsoverføringer. 2025 kan se ut til å bli året hvor behandlingsansvarlige tar en gjennomgang av sine databehandlere og underleverandører og sørger for at oversikten er dokumentert. Er det på tide med en audit?
Berettiget interesse
Berettigede interesser er et utbredt behandlingsgrunnlag som virksomheter benytter for behandlingen av personopplysninger om egne ansatte og andre. Personvernrådet vedtok høsten 2024 en veiledning angående kravene som stilles når berettiget interesse benyttes som behandlingsgrunnlag og gir råd til når og hvordan benytte personvernforordningen artikkel 6 nr. 1 bokstav f.
Og apropos: Saken C-621/22 gjaldt om KNLTB, tennisforbundet i Nederland, kunne dele personopplysninger om medlemmer med tredjeparter mot betaling basert på berettiget interesse. EU-domstolen slo i 2024 fast gjennom avgjørelsen at behandlingsgrunnlaget berettigede interesser kan benyttes selv ved rene kommersielle interesser.
Informasjons- og digital sikkerhet
I høst trådte NIS2-direktivet i kraft i EUs medlemsland. I Norge venter vi fortsatt på at digitalsikkerhetsloven, som gjennomfører NIS1, skal tre i kraft. Digitalsikkerhetsforskriften var på høring på slutten av 2024 og vi venter nå spent på når digitalsikkerhetsloven med forskrift vil gjelde. En rekke sektorspesifikke regler har og vil komme på plass.
Vi regner med at norske virksomheter også i 2025 vil være opptatt av informasjonssikkerhet. I første rekke må norske virksomheter sørge for å overholde digitalsikkerhetsloven, men norske bedrifter som driver virksomhet også i EU vil allerede være truffet av NIS2 og en rekke norske virksomheter vil kunne bli kontraktuelt pålagt etterlevelse og varslingsforpliktelser allerede nå.
Kunstig intelligens på bekostning av personvernet?
Et annet hot tema i 2024 var, selvfølgelig, kunstig intelligens. Det mange har lurt på er hva som må på plass før virksomheten kan ta i bruk kunstig intelligens. Kunstig intelligens innebærer risikoer på en rekke områder, herunder risikoer for forretningshemmeligheter og personvernet. Etter vår oppfatning vil det som hovedregel være behov for å gjennomføre en personvernkonsekvensvurdering (DPIA) dersom man vurderer å innføre KI-systemer i virksomheten, og det vil etter vårt syn alltid være behov for en risikovurdering. Ved innføring av et høyrisiko KI-system vil virksomheter også kunne være forpliktet til å gjennomføre en konsekvensvurdering av fundamentale rettigheter (FRIA) etter KI-forordningen. Det er tillatt å bruke høyrisikosystemer og vi ser at det for mange virksomheter er riktig å bruke KI til formål som gir høy risiko, men dette vil etter forordningen samtidig kreve dokumenterte vurderinger av en rekke forhold.
Personvernrådet kom i 2024 også med en uttalelse angående bruk av personopplysninger for utvikling og distribusjon av KI-modeller. Uttalelsen berører både spørsmål om når opplysninger anses å være anonyme i relasjon til KI-modeller, behandlingsgrunnlag og konsekvenser av urettmessig behandling av personopplysninger i utviklingsfasen.
Med KI-forordningen på plass, vil KI nok bare bli mer og mer aktuelt. Vi tror derfor året 2025 i stor grad vil preges av problemstillinger knyttet både direkte og indirekte til utvikling og bruk av kunstig intelligens-løsninger.
