IT-Gruk 1/2023: Godt nytt år og nye muligheter

1. PERSONVERN – OVERFØRING AV PERSONOPPLYSNINGER TIL USA

Helt siden Schrems II-dommen kom i juli 2020, har det vært store utfordringer knyttet til bruk av skytjenester som medførte overføring av personopplysninger til USA. Jeg, og mange med meg, har derfor ventet på hva myndighetene i USA og EU ville gjøre for å sikre at personopplysninger kunne få et tilfredsstillende personvern etter GDPR ved overføring til USA. Rett før jul ble det endelig lys i tunnelen når EU-kommisjonen publiserte utkast til adekvansbeslutning for å sikre overføre av personopplysninger til USA. Det er realistisk å håpe at beslutningen endelig blir besluttet i 2023.

HVA BETYR DET FOR DEG: Overføring av personopplysninger blir lettere lovlig etter GDPR.

2. DOM I IKT-SAK – GRINDGUT-DOMMEN

I oktober 2022 ble det avsagt dom i saken mellom Statens Vegvesen (SVV) og IBM. SVV hevet PS2000-kontrakten med IBM, om leveranse av IKT-løsning for innkreving av bompenger i Norge, før løsningen var ferdig utviklet. SVV mente IBM hadde vesentlig mislighold sine plikter knyttet til prosjektstyringen og at det var klart at vesentlig mislighold ville inntre. Lagmannsretten kom, i likhet med tingretten, til at hevingen ikke var rettmessig og at SVV ikke hadde krav på erstatning. IBM hadde verken vesentlig misligholdt plikten til fremdriftsrapportering og det var heller ikke klart at forsinkelse ville inntre. IBM fikk derimot vesentlige medhold i sine motkrav om vederlag og erstatning. Saken er anket.

HVA BETYR DET FOR DEG: Ved utvikling av IKT-løsninger så bør du sikre god kontraktuell styring og kontroll av prosjektet, samt være trygg før du benytter hevingsadgangen.  

3. NY LOV – DIGITALYTELSESLOVEN

Digitalytelsesloven trådte endelig i kraft 1. januar i år, og retter seg mot virksomheter som tilbyr digitale ytelser mot vederlag til forbrukere i form av digitalt innhold og tjenester. Loven implementerer med det EU-direktiv 2019/770 og gir forbrukere ufravikelige rettigheter knyttet til kjøp av digitale tjenester og innhold; Microsofts onlinetjenester, Spotify, Netflix og Facebook. En kuriositet er at loven åpner for å kreve erstatning for ikke-økonomisk tap, slik som for eksempel tap av bilder. Les mer om loven her.

HVA BETYR DET FOR DEG: Som forbruker er skal du være trygg på dine rettigheter også ved kjøp online, og som tilbyder, så bør du sjekke at dine vilkår er oppdatert i henhold til loven.

4. NYTT LOVVERK FRA EU: FORORDNING FOR OPERASJONELL DIGITAL MOTSTANDSKRAFT

Den 28. november 2022 vedtok EU-kommisjonen «Digital Operational Resilience Act», også kalt «DORA». Formålet er å styrke IT-sikkerheten for finansielle institusjoner som banker, forsikringsselskaper og investeringsselskaper. Bakgrunnen for DORA er den økende risikoen for cyberangrep. Forordningen harmoniserer detaljerte krav til finansinstitusjoners håndtering og vurdering av IKT-risiko, og fastsetter ansvarsforholdene. Forordningen vil gjelde fra 17. januar 2025.

HVA BETYR DET FOR DEG: Krav om å ivareta IKT-sikkerhet for finansinstitusjoner.

5. NYTT LOVVERK FRA EU: NIS2-DIREKTIVET

I desember 2022 kom endelig erstatningen for NIS-direktivet fra 2016 gjennom NIS2-direktivet. NIS2 vil gjelde fra 2024 med et mål om å øke motstandsdyktigheten i nettverk og informasjonssystemer til både private og offentlige samfunnsviktige aktører som opererer i relevante vesentlige og viktige sektorer i EU; rene energi, transport, bank, finansmarkedsinfrastrukturer, helse, drikkevann, avløpsvann, digital infrastruktur, offentlig forvaltning og romvirksomhet, post – og kurertjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, prosessering og distribusjon.

HVA BETYR DET FOR DEG: Flere aktører vil være omfattet enn tidligere NIS-direktivet.

6. PERSONVERN: META UNDER PRESS FRA GDPR MED HØYE BØTER

Året startet dårlig for META med å bli ilagt 390 millioner euro overtredelsesgebyr fra det irske datatilsynet (DPC). Dette kommer på toppet av tidligere gebyrer og bøter som Meta blitt ilagt det siste året. I denne saken kom DPC til at tjenestene Facebook og Instagram sine bruk av målrettet reklame er ulovlig ettersom det ikke er innhentet samtykke i henhold til GDPR. META har gitt uttrykk for at de ikke vil akseptere det varslede gebyret.

HVA BETYR DET FOR DEG: METAs forretningsmodell er under press og må eventuelt finansieres på annet vis.

7. NY LOV: PENGESPILLOVEN

Den 1. januar i år trådde den nye pengespilloven med forskrifter i kraft. Loven slår sammen lotteriloven, pengespilloven og totalisatorloven, og viderefører dermed enerettsmodellen, men moderniserer gjeldende regler. Samtidig innføres flere nye bestemmelser og strengere krav til pengespilltilbydere, og loven øker statens kontroll med enerettstilbyderne og gir myndighetene flere verktøy for å føre tilsyn og kontroll med pengespillmarkedet.

HVA BETYR DET FOR DEG: Et oppdatert regelverk for dagens digitale hverdag for en tryggere hverdag.

8. PERSONVERN: DATATILSYNETS OVERTREDELSESGEBYR FOR BRUDD PÅ GDPR I Q4-2022

Et ikke uvanlig brudd på GDPR som har resultert i overtredelsesgebyr er ulovlig overvåkning av arbeidstakeres e-postkasse. Virksomheter må sørge for spesielt rutiner i henhold til regelverket, rettslig grunnlag for innsyn og sikre informasjon til de ansatte. I personvernnemnda sak PVN-2022-14 ble overtredelsesgebyret på 100 000 NOK innklaget, men nemnda opprettholdt Datatilsynet vedtak. En annen gjenganger er ileggelse av overtredelsesgebyr for manglende behandlingsgrunnlag for kredittvurderinger. Eksempler på dette er vedtakene til Datatilsynet overfor Vestfold Oljeservice AS og Krokatjønnvegen 15 AS, og som innebar et overtredelsesgebyr på mellom 150-300 000 NOK. Merk også at GRINDR til slutt mottok et overtredelsesgebyr fra Datatilsynet for manglende samtykke ved bruk av sine tjenester på 65 MNOK.

HVA BETYR DET FOR DEG: Sørg for alltid å ha behandlingsgrunnlag og gode interne rutiner for all behandling av personopplysninger.

9. DOMMER OM VEDERLAG FOR BRUK AV BILDER PÅ INSTAGRAM

I løpet av høsten kom det også et par dommer som synliggjorde at kommersielle aktører kan fritt benytte andre bilder på Instagram og Facebook. I en dom fra oktober 2022 mellom Norges fotballforbund (NFF) og Unibet om retten til å bruke bilder av Braut Haaland og Martin Ødegaard i landslagsdrakt, hevdet Unibet at de hadde «allmenn og aktuell interesse» for å bruke bildene. Retten kom til at NFF hadde enerett til bildene og at Unibet ikke kunne påberope seg unntaket i åndsverkloven § 104, samt ytringsfriheten for å markedsføre sine spill. Rimelig vederlag for å kjøpe rett til bildene ble satt til 900 000 NOK, og grunnet aktsomhetsgradet ble det doblet til 1,8 MNOK. Avgjørelsen er tilgjengelig her. I en annen sak fra november, var det en fotografs enkle illustrasjonsbilder som ble brukt, vurdert av retten til kun å ha beskyttelse som fotografisk bilde (mao. ikke verkshøyde i seg selv). Vederlaget ble derfor ikke satt til standardsatsen for journalister på 3 100 NOK, men til 100 NOK per bilde da slike bilder ble vurdert å tilbys til lav pris.

HVA BETY DET FOR DEG: Sørg for å sikre deg retten til å bruke de bildene du tenker å benytte på nett eller i andre presentasjoner, ellers risikerer du en «ekstraregning».

10. MUSIKK, ÅNDSVERK OG MARKEDSFØRING I EN MAGISK VERDEN

Jeg starter alltid det nye året med å høre på nyttårskonserten fra Wien. Hva er ikke da mer passende enn at siste sak på «10-på-topp»-listen går på en dom fra Oslo tingrett fra november hvor et selskap skulle fremføre 3 konserter i Oslo konserthus med musikk fra Harry Potter-filmene. Warner Bros (WB) eier rettighetene til filmene og filmmusikken. En av sakens spørsmål var knyttet til retten til å fremføre musikken. Retten konkluderte først at selskapet hadde kjøpt rettighetene til å fremføre filmmusikken av TONO, som forvaltningsorganisasjon som forvaltet rettighetene til WB i Norge, og at dette inkluderte retten til bearbeidelser som var gjort i musikken. Deretter kom retten til en interessant vurdering av bruken av partituret, altså notene. Ved å skrive ned notene fra filmene utenfor Norge, så skjedde det heller ikke en eksemplarfremstilling av notene, og selve notene ble heller ikke vurdert tilgjengeliggjort for publikum under konsertene. Derimot hadde selskapet handlet i strid med markedsføringsloven § 25 om god forretningsskikk ved å snylte på Harry Potter-universet.

HVA BETYR DET FOR DEG: Igjen, sørg for at du har gjort en korrekt rettighetsklarering av åndsverk og har de kommersielle rettighetene i orden.

I Grette har vi over 20 års praktisk erfaring med IT-prosjekter hvor vi har jobbet tett med teknologer, ingeniører og ledelse for å bringe prosjekter i havn. Vårt mål er at IT-løsninger skal leveres og ikke ende i rettsalen. Ta gjerne kontakt for en uformell samtale og rask vurdering.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du melde deg på her eller send en mail til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.