Høstferien er over og det regner. Sakte, men sikkert blir det mørkere og kaldere i været. Heldigvis, så kan vi etter hvert glede oss til desember og forhåpentligvis litt festligheter. Før den tid, er det på tide å summere opp det viktigste fra tredje kvartal 2022 innen juss, teknologi og digitalisering. Stikkord er Schrems II, Grindgut og dataregulering.
Slutt på Schrems II? USAs president signerte 7. oktober en «executive order» for å gjennomføre «EU‑U.S. Data Privacy Framework». Dette er et ytterligere steg mot et rettslig grunnlag for overføring av personopplysninger til USA, som vil lette GDPR-hverdagen for mange etter Schrems II. Avtalen vil muliggjøre økonomiske transaksjoner på 7.1 billioner dollar mellom USA og EU, og innebærer blant annet ytterligere begrensninger i USA sine etterretningsaktiviteter i forhold til alle personers rett til privatliv og frihet, regulering av krav til håndtering av personopplysninger som samles inn gjennom etterretningstjenestens elektroniske signaler, og en mekanisme der individer kan få en uavhengig og bindende vurdering av krav der de mener personopplysninger er innhentet i strid med amerikansk rett. I seg selv løser ikke dette Schrems II-utfordringene. Dertil må dette implementeres og EU akseptere dette som en adekvat løsning, så får vi se om Max Schrems (eller andre) vil klage det inn på nytt innenfor domstolen eller om ikke det blir en Schrems III til slutt.
Grindgut-tap for Statens vegvesen. Denne dommen har vi ventet på siden partene var i retten i over 50 dager i begynnelsen av året. Vegvesenet (SVV) og IBM har kranglet om bompengeprosjektet Grindgut siden 2015, etter at Vegvesenet hevet kontrakten. Grindgut skulle bli en ny felles IKT‑løsning for innkreving av bompenger. SVV mente den sentrale årsaken til at prosjektet gikk galt, var at IBM undervurderte arbeidsomfanget og kompleksiteten. IBM mente hevingen av kontrakten var urettmessig og at et økt omfang på prosjektet var den viktigste årsaken til forsinkelsene og problemene. I tingretten tapte SVV og måtte betale MNOK 243 til IBM. Nå har lagmannsretten kommet til samme resultatet da det verken forelå inntrådt vesentlig mislighold (da manglende EV-rapportering var et mislighold, men ikke vesentlig) eller antesipert vesentlig mislighold (fordi det realistisk sett var mulig for IBM å ferdigstille innen hevingsfristen). SVV hadde derfor ikke grunnlag å heve, og IBM ble tilkjent MNOK 235,5 i vederlag, forsinkelsesrente og erstatning. Vi kommer til i nær fremtid se på «leassons-learned» fra dommen om blant annet betydning av ferie i prosjekt og krav til medvirkning.
EU-forordning for bedre cybersecurity. I september kom også EU-kommisjonen med utkast til en forordning for å bedre datasikkerheten til det beste for EU og digital handel. Den har fått navnet «Data Resilience Act», som vi kunne fritt kan oversette til datamotstandsdyktighet. Enkelt fortalt så er regulering et tiltak for å møte den stadig økende datakriminaliteten. Forordningen retter seg mot «produkter med digitale elementer» og at disse skal ha iboende sikkerhetsløsninger i livsløpet til produktet. Det skilles også mellom vanlige produkter og kritiske produkter, så får vi se hvor fort dette regelverket blir vedtatt.
NOU 2022:11 Ditt personvern – vårt felles ansvar. Rapport fra Personvernkommisjonen ble publisert i september (NOU 2022:11), som fokuserer på den stadig økende digitaliseringen av samfunnet og hvilke tiltak som må til for å sikre personvernet i takt med utviklingen. Det etterlyses bl.a. større grad av en nasjonal personvernpolitikk for digitaliseringen. Av spesiell betydning er kommisjonens ønske om strengere vilkår for behandling av personopplysninger knyttet til digital markedsføring på nett som følge av DSA (Digital Services Act)-forordningen, slik som forbud mot både atferdsbasert markedsføring rettet mot barn og mot bruk av særlige kategorier av personopplysninger til markedsføringsformål. I tillegg ønsker kommisjonen at det bør utredes å gå lenger mot adferdsbasert markedsføring på et generelt grunnlag. Hvordan det skal gjøres i forhold til bruk av algoritmer blir spennende å følge.
Ny lov om levering av digitale ytelser til forbrukere (digitalytelsesloven): Loven ble vedtatt i sommer og trer i kraft 01.01.2023. Den gjelder for avtaleforhold mellom forbrukere og næringsdrivende om digitale ytelser og er basert på EU-direktiv 2019/770. Virksomheter som tilbyr tjenester innen teknologi og spesielt sosiale plattformer bør sette seg inn i hva dette kan bety for deres hverdag. Loven medfører et økt fokus på beskyttelse av forbrukere som anvender digitale tjenester, eksempelvis sosiale medier. Loven medfører at avgivelse av personopplysninger kan anses som vederlag og det kan stilles spørsmål om hvorvidt dette er i samsvar med GDPR. EDBP har uttalt at beskyttelse av personopplysninger er en grunnleggende rettighet som forbrukeren ikke kan gi fra seg og at definisjonen av «vederlag» derfor er problematisk.
Bruker du SCC for overføring av personopplysninger utenfor EU/EØS? Fristen for bruk av nye vilkår er 27.desember! Hvis du bruker «EU Standard Contract Clauses» som et overføringsgrunnlag for overføring av personopplysninger til et land utenfor EU/EØS, så har du frist til 27. desember 2022 med å gå over til de nye standardvilkårene. Hvis ikke, så er det et brudd med GDPR. Dette gjelder de som har benyttet seg av de gamle SCC-malene. Etter 27. september 2021 skulle overføringer benytte de nye malene. Og ikke glem; ved slik overføring må dere vurdere tilleggstiltak som kryptering eller anonymisering før overføring.
Personvern og overtredelsessaker: Det vedtas stadig flere bøter for brudd på og manglende etterlevelse av GDPR av Datatilsynet. Vi har plukket ut vedtak og merket oss at de vanligste fallgruvene innenfor GDPR er i) manglende rettslig grunnlag ved behandling av personopplysninger, i forlengelsen av dette ii) ulovlig innsyn i e-post og ulovlige kredittvurderinger, og iii) manglende tekniske og organisatoriske tiltak for ivaretagelse av informasjonssikkerheten. Ikke glem dokumentasjon av risikovurdering og vurdering omkring berettiget interesse; Recover AS fikk i september overtredelsesgebyr på NOK 200 000 for manglende dokumentasjon av berettiget interesse ved en kredittvurdering som følge av manglende kundeforhold.
Nytt innen personvern fra Europa: Et blikk til Europa kan ikke skade. Vi nevner; En formell uttalelse fra CJEU (Court of Justice of the European Union) mot Meta får betydning for virksomheter i konkurranserettslig sammenheng. Etterlevelse av GDPR kan, med tryggere rettslig forankring, nå tas i betraktning i vurderingen av om en virksomhet misbruker sin markedsmakt. Etterlevelse av GDPR vil derfor sannsynligvis få stor betydning for og være viktig fremover i konkurransetilsynsmyndigheters vurdering av dominerende virksomheters misbruk av markedsmakt. Dette øker ytterligere behovet for tilstrekkelig etterlevelse av GDPR, og gir virksomheter et klart insentiv til å rette fokus mot GDPR. Og; økende trend mot forbud av Google Analytics. En veiledning fra det danske Datatilsynet går inn i rekken av uttalelser og vedtak som vitner om en stadig økende europeisk trend mot å innskrenke eller angi et totalforbud mot bruken av Google Analytics, og gir sterke signaler på at virksomheter bør vurdere å avslutte sin bruk av Google Analytics.
GRETTE TEKNOLOGI OG DIGITALISERING:
Peter Lenda | Marie Braadland | Mari Rund Kværnhaug | Katinka W. Hjelt | Odd Stemsrud | Johan Christian Kongsli | Stig Walle | Sanna Jensen Karlsrud | Heidi Houge |
Ta gjerne kontakt for en uformell prat, kurs eller om du ønsker å få tilsendt våre korte nyhetsbrev innen IT og personvern på pele@grette.no (epost til leder av avdelingen og partner Peter Lenda).
Flere nyheter
