2023 har vært preget av en rekke personvernrelaterte nyheter, flere vedtak er fattet, avgjørelser avsagt, flere retningslinjer er kommet på plass og lovgivning er vedtatt og i kraft. Denne årsoppsummeringen nevner noen av sakene som har farget 2023, og fremhever hva som kan være lurt å følge med på i året som kommer.
Kunstig intelligens
2023 var preget av økt tilgang på systemer med kunstig intelligens, og vi forventer at problemstillinger knyttet til kunstig intelligens vil prege personverndebatten også i 2024. På tampen av 2023 kom EU-kommisjonen, Rådet og Parlamentet til en etterlengtet politisk enighet om AI Act, en felleseuropeisk regulering av kunstig intelligens. Formålet med AI Act er å etablere et regelverk som muliggjør utnyttelse av gevinstene kunstig intelligenssystemer kan gi, og samtidig begrense negative konsekvenser. Mer informasjon hvordan virksomheten kan bruke og utvikle kunstig intelligens på en lovlig måte finnes i Føyens artikkel Kunstig intelligens har kommet for å bli – hvordan bruke AI lovlig? publisert i nyhetsbrev. Vi ser frem til den endelige forordningen formelt vedtas.
Pseudonyme opplysninger til tredjeparter: Anonyme opplysninger eller personopplysninger?
EU-retten fant i T 557/20 (SRB-dommen) at det for opplysninger som overføres en tredjepart, må foretas en vurdering av hvorvidt pseudonymiserte data kan identifiseres av mottakeren, før det fastslås om dette er personopplysninger. Dersom opplysningene ikke kan identifiseres av mottakeren, vil opplysningene ifølge Retten være anonyme, og dermed vil personvernforordningen ikke komme til anvendelse på behandlingen. Avgjørelsen er anket til EU-domstolen og vi venter med spenning på om Domstolen vil opprettholde avgjørelsen og dermed redefinere grensene noe når det gjelder hva som er tilstrekkelig for at data skal ansees som anonymiserte etter personvernforordningen.
Overføringer av personopplysninger til tredjeland
Som foregående år, har overføringer til tredjeland utenfor EØS fått en del oppmerksomhet. Tidligere har overføringer av personopplysninger til USA skapt hodeverk for mange og på vårparten ila det irske datatilsynet Meta en rekordbot på 1.2 milliarder euro for å ha overført personopplysninger fra europeiske brukere til USA uten tilstrekkelige sikkerhetstiltak.
I sommer fattet EU-kommisjonen en adekvansbeslutning for overføringer til virksomheter i USA som er selvsertifiserte under EU-U.S. Data Privacy Framework (DPF). Dette gjør overføringer til en rekke amerikanske virksomheter enklere. Vi skrev om de nye reglene i artikkelen Forenkling av reglene for overføring av personopplysninger til USA. For virksomheter som ikke er sertifiserte må stadig andre overføringsgrunnlag anvendes.
Det er knyttet spenning til hvor lenge adekvansbeslutningen vil bestå. Med tanke på at den amerikanske kongressen har vedtatt en utvidelse av FISA 702 blir det enda mer interessant å se hva EU-kommisjonen finner når de gjennomfører periodisk evaluering av implementeringen av DPF til sommeren.
Det er også andre stater enn USA som har utfordringer med å ha på plass lovgivning og myndighetspraksis som gir opplysninger som overføres et tilstrekkelig beskyttelsesnivå for å tilfredsstille kravene i personvernforordningen. Vi tror at det både behøves og vil komme til å bli et større fokus på å gjennomføre transfer impact assessments av både leverandører, men også underleverandører, i andre stater med problematisk lovgivning det kommende året.
Digitalmarkedsføringen og sporingsteknologi
2023 har vært preget av flere saker knyttet til digitalmarkedsføring og i den forbindelse kommer vi ikke utenom å nevne Meta-saken. Saken omhandler Meta sin overvåkning av brukere på deres sosiale medium og bakgrunnen var at det irske datatilsynet i desember 2022 fattet vedtak om at Meta drev ulovlig adferdsbasert markedsføring. Sommeren 2023 fattet Datatilsynet et vedtak om midlertidig forbud mot praksisen og ila en tvangsmulkt på 1 million kroner daglig. Meta møtte i høst Datatilsynet i Oslo tingrett, hvor Metas krav om en midlertidig forføyning ikke nådde frem.
Datatilsynet ba videre Personvernrådet om å fatte en bindende avgjørelse, en instruks til det irske datatilsynet om å nedlegge et permanent forbud ovenfor Metas europeiske hovedkontor i Irland. Personvernrådet fulgte opp med en slik bindende avgjørelse, slik at forbudet ble utvidet til hele EØS-området og ble gjort permanent. Samtidig saksøkte Meta Datatilsynet og ba Oslo tingrett oppheve Datatilsynets vedtak, som Meta mener er ugyldig. I oppfølgingen av dette har Meta begjært saken hevet, men slik at Meta senere likevel kan ta ut nyt søksmål senere.
Meta har deretter endret sin forretningsmodell og gir brukerene valget mellom å betale eller samtykke til innsamling av adferdbaserte data. Vi har til media sagt at vi ikke tror tilsynsmyndighetene vil akseptere den nye forretningsmodellen som lovlig.
Grindr har også kommet i trøbbel på grunn av digitalmarkedsføring. Personvernnemnda opprettholdt Datatilsynets vedtak om et overtredelsesgebyr på 65 millioner kroner for å ha utlevert sensitive personopplysninger om brukere til tredjeparter for adferdsbasert markedsføring uten rettslig grunnlag. Dette er det høyeste overtredelsesgebyret som Datatilsynet har ilagt en virksomhet så langt, og begrunnelsen var grovheten i bruddene på personvernet.
Datatilsynet publiserte i sommer en veileder med råd for analyse og sporing på nettsteder og på slutten av året kom Personvernrådet med retningslinjer for anvendelsen av ePrivacy-direktivets artikkel 5 tredje ledd på sporingsteknologi. Selv om 2023 har vært preget av diskusjoner om sporingsteknologi og pixel, tror vi det også i 2024 vil være fokus på bruk av personopplysninger til markedsføringsformål og problemstillinger knyttet til innhenting og utforming av samtykker for adferdsbasert markedsføring.
Digital sikkerhet
I år har Stortinget vedtatt Lov om digital sikkerhet. Digititalsikkerhetsloven er en sektorovergripende lov som stiller krav til digital sikkerhet i nettverks- og informasjonssystemer hos offentlige og private aktører av samfunnsviktige tjenester og digitale tjenester. Virksomheter som i utgangspunktet ikke omfattes av loven, vil også kunne kreves å møte kravene gjennom kundekrav. Loven gjennomfører NIS1-direktivet. Innlemmelsen av NIS2-direktivet som trer i kraft i EU i 2024 og har et bredere virksomhetsområde, er for tiden til vurdering i Norge. Virksomheter som også opererer i andre EØS-land vil derfor kunne møte ulike krav avhengig av hvor de har sin virksomhet.
Fra EU-domstolen ble det i 2023 avsagt en avgjørelse VB v Natsionalna agentsia za prihodite (C-340/21) hvor domstolen tydeliggjør viktigheten av sikkerhet i relasjon til håndteringen av personopplysninger. Avgjørelsen fremhever blant annet at det er den behandlingsansvarlige som har bevisbyrden for at sikkerhetstiltakene som er implementert er tilstrekkelige etter personvernforordningen artikkel 32.
Her hjemme har Datatilsynet varslet et overtredelsesgebyr på 20 millioner kroner til Arbeids- og velferdsetaten (NAV), etter at de i et tilsyn fant flere avvik knyttet til informasjonssikkerheten i IT-systemer. Datatilsynet har blant annet funnet at NAV ikke i tilstrekkelig grad har etablert et styringssystem som gir egnede tekniske og organisatoriske tiltak for å sikre overholdelse av personvernforordningen og mangelfull logging og tilgangskontroll. Basert på det ovenfornevnte, forventer vi at det i 2024 vil være et økt fokus på cybertrusler, sårbarheter og effektive tiltak, risiko- og sikkerhetsanalyser, varslingsrutiner og styringssystemer for informasjonssikkerhet.
Personvernforordningen har fylt fem år 2023, men er fortsatt like aktuell i 2024. Vi opplever at våre klienter har et økt fokus på personvern og forstår viktigheten av god ivaretakelse av personvern og informasjonssikkerhet i sine leveranser og i anskaffelser av nye løsninger. Vi gleder oss til enda et nytt og spennende personvernår!