IT-Gruk nr. 3/2021: Topp 10 innen IT og digitalisering så langt i år
Vi oppsummerer første halvår 2021 med vår topp 10-liste over juridiske saker innen IT og digitalisering. I listen finner du følgende:
- Nr 10: Ny lov om vern av forretningshemmeligheter
- Nr. 9: Youtube og ansvar ved opplasting av beskyttede verk på internett
- Nr. 8: Forordning om kunstig intelligens
- Nr. 7: Nye maler for skytjenesteavtaler i SSA-Sky og PS 2021 Cloud
- Nr. 6: ePrivacy-forordningen nærmer seg sluttfasen
- Nr. 5: Big data og dataforordningen
- Nr. 4: Økende antall bøter for brudd på GDPR
- Nr. 3: Konsekvens II av Schrems II – Kommisjonen med vurdering av egen bruk av MS Office og Azure
- Nr. 2: Lagmannsrettens dom i saken mellom Felleskjøpet og Infor
- Nr. 1: Konsekvens I av Schrems II – Ferdigstilt veiledning om overføring til tredjeland og ny SCC
Da er vi i gang – vi begynner vi med:
Nr 10: Ny lov om vern av forretningshemmeligheter
1 januar 2021 trådte lov om vern av forretningshemmeligheter i kraft i Norge. Selv om loven i stor grad er en kodifisering av tidligere ulovfestede regler, må noen forutsetninger oppfylles for å sikre vern av forretningshemmeligheter. Herunder må forretningshemmelighetene har en kommersiell verdi og ikke være allment kjent eller tilgjengelig. I tillegg, og selve kjernen i regelverket, er at du har truffet rimelige tiltak for å verne forretningshemmelighetene i din virksomhet. Vurder derfor hva du har av forretningshemmeligheter og hvilke tiltak som er gjort for å sikre disse, slik som bruk av NDA’er og fysisk sikring.
Nr. 9: Youtube og ansvar ved opplasting av beskyttede verk på internett
22 juni kom dommen fra EU-domstolen i sak C-682/18 som i praksis ga Googles Youtube-plattform medhold i at den ikke kunne holdes ansvarlig for opphavsrettskrenkelser i enkelte tilfeller. Saken stammer fra et søksmål hvor musikkprodusenten Frank Peterson mente at YouTube hadde et ansvar for opplasting av beskyttet materiale. Domstolen baserte sin vurdering på ehandelsdirektivets artikkel 12 om «mere conduit», og kan tolkes dithen at den som et utgangspunkt fritar plattformtilbydere som Youtube for ansvar ved brukeres publisering.
Nr. 8: Forordning om kunstig intelligens
I april kom kommisjonens forslag til en forordning om kunstig intelligens (Artificial Intelligence Act). Formålet er på den ene siden å sette en ramme for bruk av AI-systemer innad i EU, slik at disse er trygge og respekterer eksisterende lovgivning, herunder beskyttelse av borgernes fundamentale rettigheter og sikkerhet. På den andre siden skal forordningen legge til rette for investeringer og innovasjon gjennom risikobaserte, fleksible og forholdsmessige rammer. Nå venter ordinær EU-prosess via EU-parlamentet og medlemsstatene før forordningen kan godkjennes.
Nr. 7: Nye maler for skytjenesteavtaler i SSA-Sky og PS 2021 Cloud
I april kom DFØ med den nye SSA-Sky-avtalen, som skal erstatte SSA-L og bidra til en bedre balanse mellom kunden, leverandøren og skytjenesteleverandøren. Avtalen er egnet for implementering av enkle skytjenester, men åpner også opp for mer komplekse skytjenester hvor det er behov for utvikling og tilleggsleveranser. Avtalen skiller mellom dynamisk etablering, forvaltning og deretter avslutning av skytjenester. På samme tid kom Dataforeningen med sin oppdaterte versjon av en skytjenesteavtale, nemlig PS2021 Cloud, som har likhetstrekk med SSA-Sky men er ikke gratis tilgjengelig.
Nr. 6: ePrivacy-forordningen nærmer seg sluttfasen
Utkastet til ePrivacy-forordningen ble først lansert i 2017 som et initiativ til å erstatte ePrivacy-direktivet fra 2002. Prosessen har tatt sin tid, men i februar vedtok kommisjonen det 14. utkastet som nå tas videre til EU-parlamentet for vedtakelse av endelig ordlyd. Forordningens utgangspunkt er at all elektronisk kommunikasjon skal være konfidensiell. Med enkelte unntak, kreves det samtykke fra sluttbruker for å behandle elektronisk kommunikasjon. Forordningen er primært rettet mot tilbydere av elektroniske kommunikasjonstjenester, inkludert tjenester som ligger på toppen («over-the-top»-tjenester) av eksisterende infrastruktur, slik som Teams, Zoom og WhatsApp. For direkte markedsføring må det også foreligge samtykke som i større grad samsvarer med dagens regler for samtykke. Bruk av cookies forutsetter også samtykke. I enkelte tilfeller tillates det også cookie-walls for bruk av tjenester, dvs. at brukere kan bli nektet tilgang hvis de ikke har samtykket. Det er også unntak for krav til cookie-samtykke for bruk av metadata for samsvarende eller kompatible formål som det opprinnelig ble gitt samtykke til, med visse begrensninger og krav. Samsvaret med GDPR er tydelig, inkludert bøteregimet. Merk imidlertid at ePrivacy-forordningen går lenger idet den inneholder regler om beskyttelse av juridiske og fysiske personer, mens GDPR kun beskytter fysiske personer.
Nr. 5: Big data og dataforordningen
Big data er et buzzword i dagens teknologidiskusjoner, og det gjenspeiles i regulering for tilgang til og bruk av data. Åpne data direktivet (direktiv 2019/1024) ble vedtatt i juni 2019, og er en videreutvikling av PSI-direktiv 2003/98 om viderebruk av offentlig informasjon. Målet er å begrense unntak som tillater offentlige organ å ta betalt for viderebruk av deres data utover marginalkostnader, samt øke og oppmuntre til tilgjengelighet av nye typer data. Deretter kom utkastet til regelverk for datastyring (Data Governance Act/DGA) i november 2020, som skal bedre utveksling av data i hele EU og mellom ulike sektorer. DGA skal også legge til rette for en sikker europeisk datahåndteringsmodell som skal være uavhengig av de store plattformselskapene og til det beste for samfunnet. På toppen av dette publiserte EU-kommisjonen i mai 2021 sine vurderinger av den kommende dataforordningen (Data Act), og i juni startet kommisjonen en høring om denne reguleringen. Det tas sikte på å videreføre arbeidet med å sikre tilgang til og bruk av data innad i EU, men også å styrke reglene om rettslig beskyttelse av databaser, samt å sikre tilgang til data både mellom private virksomheter og mellom private og offentlige myndigheter. Det er ventet at kommisjonen legger frem et utkast til forordning i løpet av annet halvår 2021.
Nr. 4: Økende antall bøter for brudd på GDPR
I første halvår 2021 gikk det knapt en uke uten at det skjedde noe på personvernfronten. Det er verdt å merke seg at Datatilsynet og andre europeiske tilsynsmyndigheter behandler stadig flere saker om brudd på GDPR. Dette gir veiledning for aktørene med muligheter for bedre å tilpasse eksisterende praksis ved behandling av personopplysninger etter GDPR. I januar sendte Datatilsynet varsel om overtredelsesgebyr på MNOK 100 til den amerikanske datingappen Grindr for brudd på samtykkekravene i GDPR. I den andre enden av skalaen finner vi Ålesund kommune, som fikk gebyr på NOK 50.000 for manglende risikovurdering før treningsappen Strava ble tatt i bruk for å sjekke at elever gjennomførte gymtimer under hjemmeskoletiden. Av de større norske gebyrvarslene finner vi bomselskapet Ferde, som fikk varsel om gebyr på MNOK 5 for ulovlig overføring av personopplysninger til Kina ved bruk av underleverandør. Ellers viser flere saker fra Datatilsynet at virksomheter typisk blir ilagt gebyr for (i) manglende risikovurdering og testing av IT-løsninger, (ii) manglende rutiner knyttet til innsyn i epost og (iii) manglende rettslig grunnlag for videoovervåkning. Gebyrene varierer fra ca. NOK 150.000 til 400.000.
Nr. 3: Konsekvens II av Schrems II – Kommisjonen med vurdering av egen bruk av MS Office og Azure
Da Schrems II-dommen kom i fjor sommer, skapte det mye usikkerhet for bruk av globale digitale tjenester og plattformer. Særlig oppstod spørsmålet om europeiske virksomheter kunne fortsette å bruke tjenester som Office365, Azure og Amazon/AWS. Det var derfor gledelig at EUs eget datatilsyn (European Data Protection Supervisor) i mai åpnet to undersøkelser for å sikre at EUs institusjoner etterlever reglene for overføring av personopplysninger til tredjeland ved bruk av globale skybaserte tjenester og plattformer. Den ene undersøkelsen vil adressere bruk av Microsoft (Azure) og Amazon (AWS), mens den andre vil vurdere bruk av Microsoft Office365-plattformen. Basert på hvor avhengig europeiske brukere er av slike tjenester, vil utfallet av undersøkelsen være svært viktig.
Nr. 2: Lagmannsrettens dom i saken mellom Felleskjøpet og Infor
Det er ikke ofte IT-prosjekter ender høyere opp i rettsapparatet. Det har derfor vært knyttet spenning til utfallet av lagmannsrettssaken mellom Felleskjøpet (FK) og IT-leverandøren Infor om den feilslåtte leveransen av et ERP-system til FK. FK vant saken i tingretten med krav om erstatning for vesentlig mislighold av kontrakten grunnet forsinkelse, og ble tilkjent MNOK 288 inkludert utsatt effektiviseringsgevinst på 100 MNOK. Lagmannsrettens dom kom 13. juli 2021 og Infor ble tilkjent MNOK 84 da retten mente det var FK som misligholdt kontrakten ved urettmessig heving. Konkret synes retten å legge til grunn at Infor ikke var gitt varsel om vesentlig mislighold før heving. Det interessante i dommen, som ennå ikke er rettskraftig, er likevel at retten synes å plassere all risiko for gjennomføring av kontrakten på FK etter at Infor ikke klarte å møte leveringsfristen 30. juni 2015. Lagmannsretten synes å legge til grunn at Infors forsinkelse ikke representerer et kontraktsbrudd ettersom en intern epost hos Infor synes å peke på at FK muntlig har bekreftet denne forståelsen, noe som står i motstrid mot sakens faktum og FKs videre søken etter å få dekket merkostnader. Til tross for at partene anerkjente forsinkelsen, ble det FKs ansvar å varsle ny eller fortsatt heving etter at forsøket med en plan B feilet. Det kan synes noe urimelig at når en forsinkelse primært skyldes en part, kan forsøk på å fremforhandle en ny løsning medføre at opprinnelig forsinkelse i praksis faller bort hvis det ikke varsles på nytt.
Nr. 1: Konsekvens I av Schrems II – Ferdigstilt veiledning om overføring til tredjeland og ny SCC
Som nevnt under nr. 3, har Schrems II-dommen medført stor bekymring i de fleste IT-avdelinger og virksomheter hvor bruk av skytjenester har blitt en stadig mer dominant del av hverdagen. I november 2020 kom derfor det europeiske personvernrådet (EDPB) med utkast til en veiledning om lovlig overføring av personopplysninger til tredjeland. Denne veiledningen ble revidert og en endelig versjon ble publisert i juni. Veiledningen legger til rette for en 6-stegsprosess med en viss grad av fleksibilitet som må gjennomføres for alle virksomheter som overfører personopplysninger til tredjeland. Merk at med «overføring» menes også tilfeller der det ytes support fra tredjeland. Det du trenger å ta med deg er følgende:
- Gjennomfør 6-stegsprosessen etter Recommendations 01/2020
- Etter Brexit har det hersket usikkerhet omkring overføring av personopplysning til UK, men 28. juni kom kommisjonen til at UK hadde adekvat beskyttelse i samsvar med GDPR.
- Og til slutt; i juni vedtok også kommisjonen nye standardavtaler for overføring av personopplysninger til tredjeland (Standard Contractual Clauses). Merk at eksisterende SCC-avtaler må erstattes innen 27. desember 2022.
Vi har her ikke funnet plass til alt, slik som at den nye åpenhetsloven ble vedtatt i juni og stiller nye krav til compliance (etterlevelse av regelverk). Dette er forhold vi får komme tilbake til i nye IT-Gruk utover høsten.
Ønsker du å få tilsendt IT-Gruk direkte til din epostkasse eller har spørsmål, så send oss en epost til pele@grette.no.
Til slutt ønsker vi alle en riktig god start på andre halvdel av 2021.