IT-Gruk 2/2022: Q1-nytt fra IT- og personvernrettens område

1. Personvern: Endelig en løsning på Schrems II?

Fredag 25. mars kom endelig nyheten som kan bidra til å løse Schrems II-problemet. EU og USA har blitt enige på et overordnet nivå om et rammeverk som skal medføre at personopplysninger kan overføres til USA. Rammeverket heter Trans-Atlantic Data Privacy Framework. Kjernen i denne selvsertifiseringsmodellen er at det ved muligheter for utlevering av personopplysninger til amerikanske myndigheter skal etableres en effektiv klagemekanisme i form av en uavhengig domstol. Det gjenstår for partene å enes om den endelige avtaleteksten, før den besluttes som en «Executive Order» av den amerikanske presidenten og en adekvansbeslutning av EU-kommisjonen. Så får vi håpe dette ikke ender i en Schrems III.

2. IT-kontrakter: Grindgut i Lagmannsretten

I 2020 ble Statens vegvesen (SVV) dømt i tingretten til å betale 243 MNOK til IBM, etter å ha hevet avtalen om et nytt bompengesystem, også omtalt som Grindgut. SVV hadde opprinnelig hevet med bakgrunn i mislighold fra IBM og krevd 325 MNOK, men retten kom til at hevingen var urettmessig. SVV anket dommen og ankesaken startet nå i januar der det var satt av hele 52 dager. Vi venter i spenning på utfallet.

3. Personvern: Bruk av Google Analytics kan være ulovlig

Cookies (informasjonskapsler) brukes av de aller fleste nettsider. Spesielt analyseverktøyet Google Analytics er høyaktuelt. Det har vært gjenstand for vedtak fra minst tre europeiske datatilsynsmyndigheter, hvor de har kommet til at Google Analytics medfører ulovlig overføring av personopplysninger utenfor EU/EØS. Det norske Datatilsynet har ennå ikke fattet sitt vedtak, men etter å ha vært på tilsyn hos Telenor, besluttet Telenor å avslutte sin bruk av Google Analytics. De fleste av våre klienter har til nå brukt Google Analytics eller tilsvarende verktøy for å kunne analysere bruken på sine nettsider. Oftest innebærer dette at de er nødt til å bruke personopplysninger i form av for eksempel IP-adresser.

Vi anbefaler at den enkelte virksomhet gjør en vurdering av hvilke Cookies som brukes, hvordan de brukes og om dette medfører en bruk av personopplysninger etter GDPR. Hvis bruken av Google Analytics vurderes å være i strid med GDPR anbefaler vi å bytte ut Google Analytics med en løsning som etterlever GDPR. Men, det er her en endelig løsning på Schrems II-saken nevnt over kan komme til hjelp – selv om det tar tid.

4. IT-kontrakter: SSA-lille sky

I desember 2021 lanserte DFØ det nye tilskuddet til SSA-avtalefamilien i form av SSA-lille sky. Avtalen er rettet mot anskaffelser av enklere skytjenester, og med mindre tilpasninger/integrasjoner som tilleggstjenester. Avtalen kan nok antas å være tilpasset kjøp av enklere SaaS-tjenester og vil kunne erstatte SSA-L. Vår anbefaling er å gjøre en konkret vurdering av behovet og deretter tilpasse der det er nødvendig da avtalen har noen fallgruver.

5. IT-kontrakter: Lessons-learned fra IT-prosjekter

Vi tar også med oss anken fra Felleskjøpet (FK) som Høyesterett avviste før jul. Den gjaldt dommen i lagmannsretten mellom FK og Infor om levering av et ERP-system (virksomhetsstyringssystem). Etter at FK hadde vunnet i tingretten og blitt tilkjent 288 MNOK, ble Infor tilkjent en erstatning på 84 MNOK i lagmannsretten begrunnet med at FK verken hadde grunnlag for heving eller sendt varsel om heving slik kontrakten tilsa. Bakgrunnen for saken var en leveranse etter SSA-T (Utviklingsavtalen) hvor Infor hadde vært over 100 dager forsinket med sin ERP-leveranse til FK.

FK hevet kontrakten med påstand om vesentlig mislighold. Det var etter at de hadde gitt Infor flere utsettelser og forsøkt å finne en løsning gjennom dialog etter at maksimal dagbot hadde inntruffet. Viktig læring: skal du heve en kontrakt – vær sikker i din sak og følg kontraktens formelle hevingssystem uansett hvor god begrunnelse du har. Og ikke minst; rettssaker koster – og i denne ble Infor tilkjent 50 MNOK i saksomkostninger. Etter påskeferien arrangerer Grette et webinar om saken og hva vi kan lære av denne type saker.

6. IT-tjenester og IPR: Lovlig å bruke konkurrenters kjennetegn i søkemotorer

En annen sak som fikk sin avslutning mot slutten av 2021 var saken mot Bank Norwegian (BN). BN hadde betalt for søkeord i Google Ads som helt eller delvis svarte til konkurrentenes foretaksnavn. Høyesterett kom frem til at praksisen ikke var i strid med markedsføringslovens § 25 om god skikk mellom næringsdrivende. Dette til tross for at konkurrentene hadde registrerte varemerker. Høyesterett mente at EU-domstolen har vurdert at praksisen bidrar til en sunn og lojal konkurranse. Dette hensynet vektes dermed høyere enn varemerkebeskyttelsen.

7. Personvern: Nye retningslinjer og veiledning

Det europeiske personvernrådet (EDPB) har vedtatt nye retningslinjer om bruk av atferdsnormer som grunnlag ved overføring av personopplysninger ut av EØS (i henhold til personvernforordningens artikkel 46 første ledd punkt e) og artikkel 40 tredje ledd): https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042021-codes-conduct-tools-transfers_en (22.2.2022). Dette er etter at EDPB i januar kom med nye retningslinjer om den enkeltes rett til innsyn etter personvernregelverket, med fokus på hvordan virksomheter kan legge til rette for denne rettigheten på en tilfredsstillende måte: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en) (høring avsluttet 11.3.2022).

8. Lovendringer og lovforslag

Årets første måneder har gitt noen nye lovbestemmelser:

• I januar 2022 trådde de nye bestemmelsene om lagring og utlevering av IP-adresser i kraft i ekomlovens § 2-8a og b. Visse alvorlige kriminelle handlinger medfører et krav om å lagre IP-adresser og tilhørende data i en periode på 12 måneder fra avslutning av kommunikasjonen.
• I januar trådde det i kraft endringer i personopplysningsloven. Det eksisterende unntaket for enkelte ytrings- og informasjonsfriheter er nå begrenset «så langt det er nødvendig for utøvelsen av retten til ytrings- og informasjonsfrihet».
• I mars 2022 vedtok Stortinget ny pengespillov. Loven samler de tidligere tre lovene om lotteri, pengespill og totalisatorspill. Det sentrale i en digital hverdag er å tydeliggjøre at tilbud og markedsføring av pengespill uten norsk tillatelse er forbudt, og det rammer derfor pengespill som tilbys fra utlandet til Norge (dvs. «rettet mot det norske markedet»).

Så er det flere regelverk vi venter på:

• Forslag til ny ekomlov basert på direktiv 2018/1972 var på høring i 2021, men skulle vært gjennomført innen 21. desember 2020. Reglene vil kunne gi strengere krav til Cookies-regulering, men fortsatt ikke helt på nivå med GDPR. I tillegg vil virkeområdet utvides til å omfatte flere ikke-nummerbaserte kommunikasjonstjenester og for å styrke forbrukervernet.
• Tilgjengelighetsdirektivet skal gjennomføres innen 28. juni 2022. Forslaget går ut på å implementere reglene gjennom ny forskrift om universell utforming av produkter og tjenester og delvis gjennom eksisterende forskrift om universell utforming av IKT-løsninger.
• EU-forordningen Digital Markets Act ser ut til å bli vedtatt før sommeren. Det ble varslet 24. mars at EUs politikere hadde blitt enige om reguleringen som vil medføre en strengere regulering av de store plattformene. Nå må det vedtas av EU-parlamentet og deretter rådet.
• Forslag til ny forbrukerkjøpslov for digitale ytelser ble fremmet 11. mars 2022 (Prop. 66 LS (2021-2022)). Loven vil gjennomføre direktiv 2019/770) og gi et grunnvern til forbrukere av digitale ytelser, slik som å kunne si opp med rimelig varsel og som hovedregel ikke være uoppsigelig i mer enn 6 måneder.
• Forslag til ny dataforordning ble lagt frem av EU-kommisjonen 23. mars 2022. Dette vil medføre større deling av data, brukere skal blant annet kunne dele egen data med tredjeparter og lettere bytte mellom ulike skytjenester.