I går var det 5 år siden GDPR trådde i kraft i EU. På sosiale nettverk og blant fagfolk og myndigheter innen personvern ble det sendt ut gratulasjoner. Det irske datatilsynet benyttet denne uken til å gi Meta/Facebook en historisk høy bot på 1,2 milliarder euro (ca. 14 milliarder kroner) for brudd på regelverket knyttet til overføring av personopplysninger til USA. Hva er det vi egentlig feirer? Her er et lite skråblikk, og refleksjon, omkring GDPR og bruk av informasjonsteknologi opp mot regelverk fremover.
La meg først si at jeg ikke er på noen måte imot GDPR. Jeg mener det er et viktig regelverk som gir de samme rettigheter og plikter med betydning for hele EU/EØS. Det var en helt naturlig forlengelse av det gamle personverndirektivet. Jeg må også innrømme at jeg trodde at overgangen til GDPR ville være smidigere og ikke innebære større endringer for norske virksomheter. Hallo! Du skal da tross alt bare videreføre tidligere regler om å ha oversikt over hvordan du behandler personopplysninger.
Så langt må jeg si at jeg har tatt feil. GDPR har hatt en stor påvirkning på ikke bare EU/EØS-området, men også land vi samarbeider med, hvor det skjer utveksling av informasjon og spesielt digitale tjenester. Det har vært viktig med GDPR, sett opp mot de siste 5-10 årene, hvor bruk av globale skytjenester har vokst ekspotensielt, og hvor GDPR har vært et forutseende og viktig verktøy for å ivareta de registrertes rettigheter.
For personvernjurister så har det vært «bonanza» uten like. Jeg er en del av disse, og må ærlig innrømme at da jeg gikk fra in-house rollen til Advokatfirmaet Grette for snart tre år siden hadde jeg ikke sett for meg hvor mye jeg skulle jobbe med personvern for våre klienter. Det er selvfølgelig en inntektskilde. Jeg klager ikke. La oss anerkjenne det, at det derfor er en kostnad for mange små og store virksomheter.
Det nok ikke bare fryd. GDPR innebærer et løft for personvernet fra et rettslig ståsted, men også fra en kommersiell side og en politisk side. Med det siste så tenker jeg ofte på kampen som står mellom EU på en side og USA på den andre siden omkring overføring av personopplysninger til nettopp USA. Det er ikke bare bra hvordan noen amerikanske selskaper har brukt personopplysninger (les: Cambridge Analytica), men det betyr vel ikke at USA er den «Store stygge ulven». Hvordan kan vi da forklare den nesten 17. mai-artige stemning i Oslofjorden denne uken når verdens største krigsskip seilte inn på besøk? Jeg kan derfor ha en viss sympati, eller forståelse, for at Meta kanskje ikke synes det er så gøy å feire 5-årsdagen til GDPR med den største GDPR-boten som er gitt. Er det Meta som er problemet eller det USAs manglende personvernregelverk hvor vi ønsker oss mer GDPR-imperialisme?
En interessant kommentar til beslutningen fant jeg her: https://www.linkedin.com/pulse/irish-dpc-meta-decision-signalling-end-eu-sccs-storm-phil-lee/. Denne viser utfordringen med bruk av SCC som overføringsgrunnlag, og reiser spørsmålet om det vil være mulig med tekniske eller organisatoriske tiltak annet enn full kryptering og hvor bare kunden selv kan sitte på krypteringsnøkkelen ved overføring til USA. Beslutningen er for øvrig her: https://edpb.europa.eu/system/files/2023-05/final_for_issue_ov_transfers_decision_12-05-23.pdf
Det andre jeg har fundert på i forhold til status på GDPR i dag er hvordan vi ser på kildegrunnlaget for forståelsen av GDPR. Jeg må innrømme at jeg tar meg i å bruke mye tid på myndigheters forståelse av regelverket, som det norske Datatilsynet, det tyske datatilsynet eller EDPB. Det er viktig å huske på at dette er fagmyndigheter som er satt til å føre tilsyn og være ombud. De er ikke lovgivere eller domstol. Det er på sin plass å spørre om vi legger for stor vekt på deres syn. Det er naturligvis ikke unaturlig ettersom det er et nytt regelverk, men vi får håpe fremover at vi får flere avgjørelser fra domstolene. Derfor er de siste GDPR-avgjørelser fra EU-domstolen svært velkomne.
En siste liten refleksjon som jeg gjorde meg knyttet til fremtidens arbeidsbyrde for personvernjurister og AI. AI er i vinden som aldri før. ChatGPT4 kan hjelpe til med så mangt og mye, men tror ikke den kan gi konkrete og anvendelig råd som er kvalifisert (og vurdert) i en hverdag med stadige endringer. Jeg hadde også gleden av å sette meg godt inn i den foreslåtte AI-reguleringen. Den passerte nylig to komiteer i EU-parlamentet og skal opp til plenumsavstemning i juni. Det er dermed rimelig sannsynlig at EU-parlamentet, EU-kommisjonen og EU-rådet gjennom trilogforhandlinger kan komme til å ferdig stille AI-reguleringen før sommerferien i år.
Et interessant perspektiv med AI-reguleringen er at den følger i fotsporene til GDPR. Der GDPR er nyttig fordi det aller meste av teknologi benytter personopplysninger, så vil det ikke være urimelig å se at det meste av teknologi vil benytte en eller annen form for AI-komponenter. Et AI-system er definert som noe som har en viss grad av autonomi, og dermed mer enn et alminnelig dataprogram. Når du ser at AI-regelverket også inneholder en risikobasert tilnærming og dokumentasjonskrav, understøttet med et sanksjonsregime som GDPR (med behov for både uavhengige sertifiseringsorganer og et «AI-tilsyn»), ser det ut til at det fort blir AI-feiring om 5 år blant AI-jurister. God fredag – og gratulerer med dagen GDPR.
PS. Om 3 uker holder vi et digitalt frokostkaffemøte om AI-reguleringen. Du bringer kaffen og deg selv foran din skjerm – og vi tar oss av innholdet.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel. 924 01 652 eller på e-post pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.
Flere nyheter
