Photo by visuals on Unsplash

For en tid tilbake tiden fikk jeg et åpent spørsmål på LinkedIn. Spørsmålet gikk ut på om jeg kunne forklare hva som er greia med at USA i flere omganger har vurdert å forby TikTok.

Bak USAs vurdering ligger det flere ting. Blant annet sikkerhetspolitiske hensyn som jeg ikke har innsyn i. Så jeg kan åpenbart ikke uttale meg om det.

Men jeg vet hvorfor JEG ikke bruker TikTok. Det er av personvernhensyn, men kan også forklares i hva vi vet om hvordan det står til med rettsikkerheten i Kina.

Lets get into it!

EDPBs utredning om personverntilstanden i Kina

For noen år siden bestilt EDPB (Det europeiske personvernrådet) en utredning om personverntilstanden i landene Kina, Russland og India. Du kan finne den her.

https://www.edpb.europa.eu/system/files/2022-01/legalstudy_on_government_access_0.pdf

Dette er ikke en offisiell tredjelandsvurdering stemplet og godkjent av verken EDPB eller EU-kommisjonen. Men du kan bruke den til DIN tredjelandsvurdering.

Så hva er greia med rettstilstanden i Kina som gjør at jeg ikke vil bruke TikTok?

Veldig kort fortalt: Kina er et diktatur helt uten grunnleggende menneskerettigheter som personvern, ytringsfrihet og organisasjonsfrihet som vi som bor i Norge tar for gitt.

Men hva betyr det rettslig? Rapporten fremhever tre ting som er problematisk med Kina sånn personvernmessig:

1.       Lovverket i Kina pålegger både private og offentlige virksomheter å ikke begrense myndighetenes tilgang til personopplysninger

Jepp, la den synke inn: Både offentlige og private virksomheter som opererer i Kina er pålagt å ikke begrense myndighetenes tilgang til de personopplysningene som virksomheten behandler.

Det er et ganske annet utgangspunkt enn det som vi er vandt til i vår rettstradisjon.

2.       Det finnes ikke uavhengige tilsyn som skal kontrollere at lovene som regulerer myndighetenes tilgang til personopplysninger ikke misbrukes

Kina har interne kontrollmekanismer for dette, men det er ikke nok.

For at kinas lover skal gi deg som registrert tilsvarende personvern som du har etter GDPR, må landet ha uavhengige tilsynsmekanismer for personvern. Datatilsynet er et eksempel på dette.

3.       Du som registrert har ikke noen du kan gå til for å håndheve personvernrettighetene dine

I Norge kan du som registrert klage direkte til den virksomheten det gjelder, gå til Datatilsynet eller domstolene for å få håndhevd personvernrettighetene dine. Det kan du ikke i Kina.

Rapporten bestilt av EDPB beskriver hvordan flere av personvernrettighetene dine ikke gjelder når myndighetene ønsker tilgang til personopplysningene dine.

Jammen jammen, er ikke Kina like ille som USA?

Jeg har ikke tall på hvor mange ganger jeg har beskrevet menneskerettssituasjonen og hvilket rettsvern du har i Kina med tanke på personver, og så fått en reaksjon à la: «Ja, akkurat slik som i USA!».

Min første refleks er alltid å tenke at denne typen uttalelse er feil. Det ER en forskjell på USA og Kina.

USA er fortsatt et demokrati og en rettsstat. Det er et land som har mer uavhengige kontroller i form av f.eks. domstoler enn det Kina har.  

Men det er LANGT ifra en perfekt rettsstat. Det er et land som har og fortsetter å gjøre grove menneskerettighetsbrudd. Som et eksempel kan jeg jo nevne at Guantanamo fortsatt eksisterer og der sitter det folk som er fengslet helt uten å være siktet for noe og også uten dom.

Likevel vet jeg hvilket land JEG ville foretrukket å bo i. Før trodde jeg det var nok. Men det er det ikke. Det holder ikke at for de aller fleste av oss nordmenn vil USA være et forholdsvis trygt land sånn med tanke på rettsikkerheten og personvernet vårt.

Om du er en melaninrik nordmann, kanskje også med muslimsk bakgrunn, skjønner jeg GODT at du likestiller Kina og USA. Jeg er ikke enig, men jeg skjønner det.

Jeg forstår at du trekker grensa et annet sted enn jeg fordi folk som ligner på deg har blitt utsatt for LANGT større menneskerettighetsbrudd enn det som folk som ligner på meg har blitt.

Denne bloggposten er basert på nyhetsbrevet mitt om personvern. Driver du med personvern og kunne tenke deg støtte i form av et ukentlig nyhetsbrev? Meld deg på her!

Photo by Ricardo Gomez Angel on Unsplash

Jeg trodde Scania-dommen skulle handle om rammene for hva en personopplysning er. Og dels handler den om det. Men det jeg sitter igjen med etter å ha lest dommen, er ikke innsikt i hvor terskelen for når en opplysning er identifiserende.

Det jeg sitter igjen med er

-          En dypere forståelse av når man kan bruke behandlingsgrunnlaget «rettslig forpliktelse» (GDPR artikkel 6 nr. 1 bokstav c) og

-          Hvilke kriterier som må være oppfylt for noe skal være et supplerende rettsgrunnlag etter GDPR artikkel 6 nr. 3.

Kort fortalt, når du bruker GDPR artikkel 6 nr. 1 bokstav c) «rettslig forpliktelse» eller GDPR artikkel 6 nr. 1 bokstav e) «oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet» som behandlingsgrunnlag, fremgår det av GDPR artikkel 6 nr. 3 at du også trenger et supplerende behandlingsgrunnlag.

Og det kan du enten finne i nasjonal lovgivning eller i EU-lovgivningen.   

(Ja, jeg innser at det er en smule ironisk å skrive en hel artikkel om noe så nørdete som behandlingsgrunnlag i og med at jeg tidligere har rantet at du – Ja, DU – bryr deg for mye om behandlingsgrunnlag. Uansett!)

Litt om faktum

Scania-dommen handler ikke først og fremst om personvern. Den handler om et EU-regelverk som pålegger bilprodusenter å dele data om bilene de lager med virksomheter som skal reparere bilene.

Bilreparatørene er potensielt i konkurranse med bilprodusentene om reparasjon, og i denne saken var den svenske bilprodusenten Scania anklaget for å ikke ha tilgjengeliggjort data på en måte som de var pålagt i EU-regelverket 2018/858 som handler om regulering av bilmarkedet. Du finner den her.

Grunnen til at jeg nevner det med konkurranse, er at dette er en slik sak, der jeg ikke hadde blitt overrasket om Scania brukte GDPR for å slippe å dele opplysninger som kunne komme konkurrentene deres til gode. Men det var ikke spørsmål om innsyn etter GDPR.

Det personvernrelaterte spørsmålet i denne saken, var om bestemmelsen i EU-regelverket 2018/85 om deling av data kunne være et supplerende behandlingsgrunnlag (etter GDPR artikkel 6 nr. 3).

Den ene tingen om terskelen for hva en personopplysning er

Men før vi går inn på det, det som kunne ha blitt en personopplysning er «Vehicule Identification Number» (VIN) - et nummer som skal identifisere den enkelte bilen.

Domstolen sier – ikke overraskende at dette nummeret i seg selv ikke er en personopplysning, men at det blir en personopplysning hvis noen «reasonably likely» kan identifisere en enkeltperson ut ifra det nummeret.

Du som har lest Breyer-dommen vil kjenne igjen den rettslige standarden «reasonably likely» derifra.

Domstolen sa ikke noe mer om VIN var personopplysninger i dette tilfellet, det lot de være opp til den nasjonale domstolen å avgjøre.

Vurderingstemaet for om noe var en rettslig forpliktelse

Det spørsmålet som var oppe for domstolen, var om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være supplerende behandlingsgrunnlaget for overføring av personopplysninger fra Scania til reparatører, hvis det skulle viste seg at VIN var en personopplysning.

Domstolen så aller først på hva som skulle til for å bruke «rettslig forpliktelse» som behandlingsgrunnlag. GDPR artikkel 6 nr. 1 bokstav c) sier nettopp at det må være snakk om en «rettslig forpliktelse» eller en «legal obligation».

Hva betyr egentlig det?

Ifølge domstolen betydde det å se på hva artikkel 61 nr. 1 i EU-regelverket 2018/85 egentlig påla Scania. Bestemmelsen pålegger bilprodusenter å dele ganske detaljert informasjon som vil gjøre reparatører i stand til å f.eks. inspisere eller diagnostisere et problem med bilen.

EU-regelverket har også et vedlegg som inneholder ytterligere detaljert informasjon som bilprodusenter som Scania pålegges å dele, f.eks. VIN, og hvordan det skal deles (via en database).

Domstolen konkluderte med at dette var en «rettslig forpliktelse».

Vurdering om supplerende behandlingsgrunnlag

Domstolen gikk så videre til å vurdere om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være et supplerende behandlingsgrunnlag.

For å vurdere det, tydeliggjorde EU-domstolen først hvilke krav til supplerende behandlingsgrunnlag som fremgår av GDPR artikkel 6 nr. 3:

1. Formålet må fremgå av det supplerende behandlingsgrunnlaget

2. Det må oppfylle et formål i allmennhetens interesse («public objective»)

3. Det må være proporsjonalt i forhold til formålet (den norske ordlyden er «stå i et rimelig forhold til det berettigede målet som søkes oppnådd»)

Domstolen fant formålet til EU-regelverket 2018/85 i reguleringens fortalepunkt 50: «ensuring effective and undistorted competition on the market for vehicle repair and maintenance information services». Formålet med behandlingen fremgikk dermed av det supplerende behandlingsgrunnlaget. 

Domstolen konkluderte raskt med at EU-regelverk som søker å være konkurransefremmede og som muliggjør fri flyt av produkter og tjenester, er i allmennhetens interesse («public objective»).

Når det gjaldt spørsmålet om det supplerende behandlingsgrunnlaget var proporsjonalt, gikk domstolen inn på hvilke data som bilprodusenter som Scania måtte dele. Domstolen pekte på at Scania ville oppfylle delingskravet ved å dele VIN, og at det ikke var lagt frem alternative identifikasjonsmetoder som ville være mindre restriktive og samtidig like effektive for domstolen.

Det domstolen gjorde her, var egentlig å si at det supplerende behandlingsgrunnlaget påla Scania å dele akkurat så mye data som nødvendig for å oppfylle formålet.

Og så konkluderte domstolen elegant med at artikkel 61 nr. 1 i EU-regelverket 2018/85 oppfylte kravene for å kunne være et supplerende behandlingsgrunnlag!

Photo by Aziz Acharki on Unsplash

Du har kanskje sett denne tyske videoen der et foreldrepar får se en fremtidsversjon av datteren sin. I videoen snakker datteren til dem om hvordan det at de delte barnebilder av henne på internett da hun var ung har påvirket henne.

Hun snakker om risikoene ved å dele barnebilder av henne som identitetstyveri og manipulering av bildet hennes. Disse risikoene er reelle, men i dag vil jeg snakke om en annen type risiko: hva det gjør med deg som menneske når du ikke har kontroll over hvordan du blir fremstilt for verden.

Tidligere barnestjerner

Alyson Stoner er en tidligere amerikansk barnestjerne som nylig har lansert en podcast der hun forteller om de negative konsekvensene av å være skuespiller fra veldig ung alder. Hun beskriver hvor vanskelig det var å utvikle en egen identitet når hun hele tiden skulle spille en annen person, og hvordan forventningen om å hele tiden være tilgjengelig for regissører, produsenter og fans var en grenseløs affære.

Jennette McCurdy er en annen tidligere barnestjerne som har skrevet en selvbiografi om hvor destruktivt livet i rampelyset var for henne. Hun beskriver noe av den samme følelsen av å vokse opp, og ikke vite hvem hun var eller hva hun egentlig ville med livet sitt.

Hennes historie er også komplisert av det å ha en mor med narsissistiske personlighetstrekk som i hvert fall ikke var interessert i å bli kjent med det barnet hun var, bare den berømte skuespilleren hun skulle bli.

Jeg er dratt mot disse fortellingene fordi de viser hvordan tidligere barnestjerner blir påvirket på en måte som kan sammenlignes med å eksponere barn på internett uten deres kontroll. Men i en ekstrem versjon hvor det å måtte leve opp til en annens bilde av deg, gjør at du ikke får rom til å finne ut av hvem du er.

Hva gjør det med deg som menneske å bli eksponert på internett uten at du har kontroll over det?

Når vi voksne deler bilder av barn på internett, presenterer vi et bilde av barna våre som er begrenset i tid og sted. Vi presenterer et annet menneske som ikke er fullstendig utviklet enda på en mer eller mindre bevisst måte. Jeg tror det kan forme hvem det mennesket vil bli.

Nå må jeg igjen understreke at de aller fleste foreldre klarer å dele bilder av barna sine uten at det påvirker barnets selvbilde.

Men det er også foreldre som er med på å skape et bilde av barna sine som jeg mener barnet kan bli fanget i. Dette gjelder kanskje særlig foreldreinfluensere som også har et økonomisk incentiv til å dele bilder av egne barn og fremstille familielivet på en bestemt måte.

Likevel tror jeg vi alle bør stille oss selv følgende spørsmål: Gir din fremstilling av barnet ditt rom for at det kan utvikle seg til den personen det er ment å være?

Forventninger former

Jeg finner historiene om tidligere barnestjerner fra USA interessante fordi de har opplevd en form for kollektivt press som få andre har kjent på kroppen på samme måte.

Vi har alle forventninger til barna våre. Forventninger om hvem vi håper de skal være når de skal begynne å sove for seg selv, forventninger til hvor flinke de skal være når de begynner på skolen, og også til de voksenpersonene som vi håper at de skal bli.

Personvern er for meg en buffer som skal beskytte oss fra uforholdsmessig påvirkning. Hvis du har vært sosialisert som en skoleflink, pliktoppfyllende person, kanskje også som «flink og snill pike» (uavhengig av kjønn), vet du at det er helt umulig å vokse opp i den typen sosialt press uten å faktisk bli til en «people pleaser» som ikke er helt i kontakt med de autentiske delene av deg selv.

Personvern er viktig fordi det gir oss rom til å utvikle oss uten uforholdsmessig påvirkning, enten det kommer fra staten, teknologiselskaper eller våre nærmeste.

Og det er her risikoen ligger. For hvis noen andre har definert hvem du er, hvis noen andre har tegnet et bilde av deg på internett som du skal passe inn i, hvis noen andre har laget en boks for deg som du skal fylle, blir det vanskelig for deg å utvikle deg til den personen du egentlig ønsker å være.

Photo by Brands&People on Unsplash

Jeg har lest boken «Facial recognition» av Mark Andrejevic og Neil Selwyn.

De er begge ansatt ved Monash Universitet i Australia, og de har begge jobbet med teknologi og samfunnsutvikling. Mark er ekspert i hvordan «data mining» og digital overvåkning påvirker samfunnet vårt, mens Neil har over 25 år med forskning på hvordan digitale læringsmidler har blitt integrert i skolen og hvordan det påvirker læring hos voksne.

Jeg kunne lite om ansiktsgjenkjenning før jeg leste denne boka. Men ansiktsgjenkjenning er høyst relevant for oss som driver med personvern. Når bildet ditt blir brukt til å identifisere deg ved hjelp av digitale verktøy, vil det f.eks. være en særlig kategori personopplysning som det stilles ekstra krav til for å kunne behandle.

I denne bloggposten forteller jeg deg 3 ting jeg sitter igjen med, og som jeg mener alle bør vite om ansiktsgjenkjenningsteknologi.

1 Teknologien kjenner ikke igjen ansiktet ditt, den bruker sannsynlighetsregning og statistikk

Det heter «ansiktsgjenkjenningsteknologi» og da skulle man tro at teknologien kjenner oss igjen. Men det gjør den ikke. Den regner ut hvor sannsynlig det er at bildet den tar av deg akkurat nå korresponderer med et allerede kjent bilde av deg som er knyttet til din identitet.

Og den sannsynligheten vil aldri kunne bli 100%. La meg sitere forfatterne:

«Any match generated by FRT is probablistic. Machines can neither recognize us or know us, they can simply generate a probability that a detected set of parameters align with a stored set, and this pobability can never reach 100% certainty.»

For meg avmystifiserte dette ansiktsgjenkjenningsteknologi. Jeg tror at mange av oss, kanskje særlig vi som ikke har teknisk bakgrunn, har en tendens til å tenke på teknologi vi ikke forstår som magi. Det gjør at vi kan bli litt for redde i møtet med ny teknologi. Så redde at vi ikke tør ha en mening, eller at vi tror at teknologien fungerer bedre enn det den faktisk gjør.  

2 Selv under optimale forhold, fungerer ikke teknologien sånn kjempebra

Det regnes som statistisk suksess når ansiktsgjenkjenningsteknologi når en 99% suksessrate. Og det kan den nå under optimale forhold som på en flyplass hvor belysningen er god, referansebildet ditt er standardisert gjennom passbildet og du som passasjer er samarbeidsvillig fordi du ønsker at teknologien skal fungere slik at du skal kunne komme deg dit du skal.

Men 99% suksessrate betyr at per 100 person vil teknologien ta feil en gang. Det høres ut som en suksess, men en av 100 blir fort et veldig stort tall når vi tenker på hvor mange mennesker som daglig bruker en flyplass.

3 Suksessraten blir betraktelig lavere hvis du ikke er hvit

Det er flere grunner til at ansiktsgjenkjenning fungerer best på hvite mennesker. Teknologien ble sin tid trent på bilder av hvite menn, og lenge før det, ble kamerateknologi først og fremst utviklet for å kunne avbildet hvite mennesker.

Boka beskriver faktisk at da kamerateknologi ble kommersielt tilgjengelig, var det først da produsenter av brune forbruksvarer (som sjokolade og møbler), klagde på dårlig synlighet på bilder, at kameraprodusenter tok tak i problemet.

Jepp, rasisme er virkelig folkens. Og det slutter aldri å overraske meg på hvilke måter valg som fortidsmennesker tok, fortsatt får konsekvenser for oss i dag. Det er noe vi bør ta med oss når vi nå tar en del valg om hvordan vi skal forholde oss til kunstig intelligens, men det er et annet nyhetsbrev!

For å komme tilbake til poenget her: det at ansiktsgjenkjenningsteknologi fungerer langt dårligere på deg som er melaninrik, betyr at byrden med å bevise at teknologien tar feil, vil uforholdsmessig falle på deg. Og det er ikke greit.

Hele poenget med personvernlovgivningen vår er nettopp å beskytte oss mot at personopplysningene våre brukes på en diskriminerende måte. Personvern er menneskerettigheter i praksis, og hvis teknologi slår uforholdsmessig negativt ut mot en gruppe mennesker, er det mildt sagt problematisk.

Photo by Glen Carrie on Unsplash

Facebook eller Meta er i vinden igjen. I fjor sommer bestemte EU-domstolen at de ikke lenger kunne bruke «berettigede interesser» som behandlingsgrunnlag for adferdsbasert reklame, vårt eget Datatilsynet fattet vedtak om å gi dem dagsbøter på 1 million NOK, Facebook tok tilsynet til retten, ble ikke hørt, innførte “Pay eller okay”, som tilsynet har sendt videre til EDPB, i tillegg til at forbrukerrådet har klagd inn modellen deres.

I det siste har jeg tenkt mye på Facebook sin forretningsmodell. Den er ikke ny, men på et tidspunkt var den det. Og det får meg til å spørre om forretningsmodellen kan fortelle oss noe om hvordan vi skal vurdere personvernrisiko i ny teknologi som AI.

Hva er egentlig Facebook sin forretningsmodell?

Men før vi kan si noe om risiko, må vi forstå Facebook sin forretningsmodell.

Facebook er ikke til for å tilby deg en måte å holde kontakten med venner og bekjente. Grunnen til at Facebook fortsatt er til, er at de tjener penger på reklame. Og ikke hvilken som helst form for reklame.

Facebook har bygget sin inntektsmodell på å vite så mye om deg at de kan selge tilgang til oppmerksomheten din i form av målrettet reklame som dukker opp i feeden din. Det er med andre ord ikke du som er kunden. Kunden til Facebook er de selskapene som kjøper reklameplass i feeden din, og du er produktet.

Hva har konsekvensene vært?

Konsekvensene av denne forretningsmodellen er at Facebook ikke har et incentiv til å gjøre plattformen sin et fint sted å være for deg. De har et større incentiv til å få deg til å tilbringe mest mulig tid på plattformen. Uavhengig om det er bra for deg som menneske.

Hvis det som får deg til å falle ned et Facebook-hull der tid og rom forsvinner er at du oppdager en ny konspirasjonsteori om at Bill Gates har planet en microchip i Covid19-vaksinen, er det det Facebook sin algoritme vil vise deg.

Og det har fått konsekvenser som vi ikke forutså da Facebook begynte å tjene penger på adferdsbasert reklame:

• Facebook sin algoritme har ført til at folk som ikke tidligere trodde på konspirasjonsteorier nå gjør det

• FN konkluderte i 2018 med at Facebook hadde spilt en medvirkende rolle i å fremme hat og vold mot Rohinga-muslimene i Myanmar, og om ikke ført til, så i alle fall medvirket til folkemordet mot dem

• Facebook som digital infrastruktur akselererte volden mellom Hinduer og Muslimer på Sri-Lanka i 2018

Høy usikkerhet fordrer forsiktighet

Og det er dette som er en del av problemet med ny teknologi: det er notorisk vanskelig å forutse konsekvensene av den. Dette gjelder også for AI i form av store språkmodeller som ChatGPT: det er vanskelig for oss å forutse den fremtidige personvernrisikoen ved å bruke dem.

Sagt på en annen måte er det stor usikkerhet forbundet med bruk av AI som ny teknologi. Jeg mener at den usikkerheten i seg selv bør taler for at ny teknologi som store språkmodeller automatisk innebærer en særskilt risiko etter GDPR.

Betyr det at vi ikke skal bruke dem? Nei, ikke nødvendigvis. Jeg tror ikke svaret er å unngå det, men å bruke det med forsiktighet. Dette betyr å gjøre alle personvernvurderingene man må når man har å gjøre med særskilt risiko.

Og å sette rammer for bruken. Er det ok at man bruker store språkmodeller til plagiatkontroll i skolen? Åpenbart ikke. Store språkmodeller gir oss det mest sannsynlige svaret ut ifra en matematisk formel vi ikke helt forstår (det er et av kjennetegnene med maskinlæring, vi vet ikke hvordan maskinen kommer til det resultatet den kommer til). Det betyr at de VIL ta feil, og da kan vi ikke la dem få beslutningsmyndighet i f.eks. plagiatsaker. Men det skjer. Og derfor må bli fortalt hvordan denne teknologien skal og ikke skal brukes, og så må de reglene håndheves. 

Jeg har ikke på langt nær alle svarene. Den kjipe realiteten er at jeg kommer til å se tilbake på dette tidspunktet om 10 år og tenke: «Hvorfor klarte vi ikke å forutse dette…».

Photo by Jacob Morrison on Unsplash

Jeg har tenkt mye på Schrems II siden vi fikk det nye rammeverket for overføringer fra EU/EØS til USA i sommer. Folk spør meg ved ujevne mellomrom om jeg tror adekvansvurderingen til Data Privacy Framework faktisk vil bli ugyldiggjort, og jeg aner ikke.

Men jeg har lyst til å gjøre meg opp en mening som er hakket mer kvalifisert enn min vanlige pessimisme.

Og for å gjøre det, må det være klinkende klart for meg hvorfor adekvansvurderingen til Privacy Shield ble satt til side. Ja, du gjettet riktig: jeg har lest Schrems II på nytt.

La oss starte med konklusjonen i Schrems II.

EU-domstolen kom til at sertifisering etter Privacy Shield ikke garanterte et tilsvarende beskyttelsesnivå for europeiske borgeres personvern ved overføring til USA som det vernet vi har etter GDPR.

Argument 1: Etterretningslovene inneholder ikke noen sikkerhetsmekanismer som setter skranker for hva myndighetene kan overvåke.

FISA 702 har ingen begrensninger for amerikanske myndigheters mulighet til overvåkning.

Hvorfor er dette viktig?

Et inngrep i personvernet trenger ikke være et brudd på våre personvernrettigheter så lenge inngrepet er proporsjonalt. Menneskerettighetene er slik: du har rettigheter, men det kan gjøres inngrep i dem – bare inngrep som står i forhold til målet (som vi anerkjenner i et demokratisk samfunn).

For at du skal kunne vurdere om et inngrep er proporsjonalt, må det finnes tydelige rammer for inngrepet. Her kreves det et minimum av «safeguards» eller sikkerhetsmekanismer i loven som skal forhindre at personopplysninger misbrukes.

Siden FISA 702 ikke inneholder noen slike sikkerhetsmekanismer, konkluderer domstolen med at den loven ikke kan garantere et beskyttelsesnivå for europeiske borgere tilsvarende det vi har etter EU-lovgivningen.

Domstolen legger også vekt på at overvåkningsprogrammene som hjemles i EO 12333 er ikke gjenstand for noen juridisk prøving.

Den eneste sikkerhetsmekanismen som er etablert, er en ombudsperson. Men domstolen trekker frem at ombudspersonen har ikke myndighet til å komme med bindende avgjørelser når etterretningsmyndighetene går utenfor sine fullmakter. Dermed er ikke dette en effektiv sikkerhetsmekanisme.

Argument 2: Du som registrert har ikke noen «effektive rettsmidler»

PPD-28 gir deg som registrert ingen positive rettigheter som du kan håndheve i det amerkanske rettsvesenet, for eksempel overfor en domstol. Det samme gjelder EO 12333.

Dette er lacuna-argumentet: i fravær av effektive rettsmidler dvs muligheten til å håndheve personvernrettigheter overfor amerikanske myndigheter, kan ikke EU-kommisjonen konkludere med at europeiske borgere er gitt et tilsvarende vern.

Photo by Marten Newhall on Unsplash

Det er ikke mange personvernsaker som kommer opp for domstolene. Det betyr at informasjon om hvordan dette fagfeltet utvikles i stor grad kommer fra forvaltningspraksis aka hvordan offentlige virksomheter tolker regelverket i praksis.

Jeg er også interessert i å få innsyn i hvordan offentlige organer løser personvernutfordringer som de står i. Datatilsynets behandlingsprotokoll sier f.eks. veldig mye om hvilken list vi andre bør legge oss på.

Without further ado, her er 3 tips:

1. Bruk en anonym e-postadresse

Jeg bruker en e-postadresse som ikke er knyttet til mitt navn, og så endrer jeg den regelmessig slik at det skal bli vanskelighere å finne ut hvem den er knyttet til.

Dette gjør jeg fordi jeg har opplevd at offentlig ansatte søker meg opp og ringer til arbeidsgiveren min for å spørre hvorfor jeg søker innsyn. Jepp, ganske uttafor oppførsel. Men det skjedde, og jeg er IKKE interessert i at det skjer igjen.

Heldigvis har du rett på innsyn selv om du er anonym. Bruk muligheten!

2. Søk innsyn i dokumenter du VET de må ha

Det er ikke bare bare å få innsyn i hva offentlige organer gjør. Du vet ikke hva de driver med, og da kan det være vanskelig å vite hvem du skal spørre om innsyn og hva du egentlig ønsker innsyn i.

Derfor, søk innsyn i dokumenter du VET de må ha. For personvern vil dette være DPIAer, behandlingsprotokoller, berettigede interesser-vurderinger eller korrespondanse mellom organet og en leverandør av et fagsystem som du er interessert i. 

Offentlige organer kan holde sin interne saksbehandling skjult ved å ikke gi deg innsyn i «interne dokumenter». Men, så snart et dokument er delt med et annet offentlig organ, kan ikke dette unntaket brukes.

3. Søk innsyn om samme dokument flere steder

Det offentlige plikter å ikke gi innsyn i «taushetsbelagte opplysninger». Legg merke til at de ikke kan unnta hele dokumenter grunnet taushetsplikt, men «opplysninger».

Taushetsbestemmelsene i forvaltningsloven er ganske skjønnsmessige. Det betyr at forskjellige organer, har forskjellige vurderinger av hvilke opplysninger som er taushetsbelagt og ikke. Og ved å søke innsyn i samme dokument flere steder, vil du kunne lære mer.

Da jeg søkte innsyn i korrespondansen mellom MyGame og Datatilsynet, fikk jeg innsyn i to versjoner av DPIAen som MyGame hadde sendt til tilsynet. Men jeg visste via informasjon i media at MyGame også hadde vært i kontakt med andre offentlige organer, f.eks. Trondheim kommune.

Så jeg søkte innsyn der, og low and behold, saksbehandleren i Trondheim kommune hadde en annen skjønnsmessig vurdering av hvilke opplysninger i DPIAen til MyGame som var taushetsbelagte. Ved å sammenligne de ulike versjonene jeg hadde fått tilgang til, fikk jeg mer informasjon, og lærte mer om hvilke personvernvurderinger MyGame hadde gjort.

Ps. Til deg som jobber i det offentlige og synes det er guffent at jeg skriver dette. Jeg har en fortid som byråkrat. Faktisk var jeg det i de 6 første årene av yrkeskarrieren min. Jeg har derfor masse empati for deg som er redd for å få innsynskrav. Men jeg mener også at et grunnprinsipp i demokratiet vårt er at vi som borgere skal ha rett til innsyn i så mye som mulig.

Og jeg vet hvor mange av dere som aldri vurderer merinnsyn, og som avslår alt av innsynsbegjæringer alltid. Jeg var slik selv da jeg var fersk byråkrat. Så jeg kommer til å fortsette å si dette. Høyt!

Photo by Zachary Keimig on Unsplash

Engang etter 2020 og Schrems II, fikk jeg øynene opp for hvilken verdi (og makt) som ligger i en leverandørvurdering. For min del skjedde det for alvor etter Helsingørsaken. Det danske datatilsynet fattet vedtak om at Helsingør kommune ikke lenger kunne bruke Google Workspace for Education i skolen.

Det var ikke en sak om overføringer av personopplysninger ut av EU/EØS. Det var primært en sak om at kommunen ikke hadde gjort gode nok vurderinger av Google som leverandør. Kommunen hadde ikke på noe tidspunkt gjort en ROS, DPIA og hadde heller ikke vurdert om Google kunne stille nødvendige garantier for GDPR-etterlevelse (artikkel 29(1)).

For GDPR stiller krav til at du som behandlingsansvarlig bare skal inngå avtaler med leverandører (databehandlere) som kan stille «tilstrekkelige garantier» for at kravene i GDPR og personvernet til de registrerte ivaretas.

Slike vurderinger kan være vanskelige å gjøre. Her er noen ting jeg starter med når jeg gjør leverandørvurderinger, og noen røde flagg å være oppmerksom på:

1. Ta utgangspunkt i leverandørens databehandleravtale

Ofte vil databehandlers utkast til databehandleravtale være publisert på deres hjemmesider. Flere større databehandlere har dessuten egne standard databehandleravtaler som er offentlig tilgjengelige.

🚩 Men hvis leverandøren ikke har dette lett tilgjengelig, er det et rødt flagg.

2. Søk etter leverandørens etterlevelsesdokumentasjon publisert på nettet

Hvordan leverandøren velger å dokumentere GDPR-etterlevelse, kan si mye om hvordan de lever opp til sine personvernforpliktelser, og hvilken type ekspertkompetanse de faktisk har.

Kanskje har leverandøren en redegjørelse for hvordan personvern er bygd inn i løsningen som de tilbyr, eller de har publisert en generell oversikt over ledelsessystemet for personvern og informasjonssikkerhet. Kanskje er de tom åpne om DPIA eller ROS som de har gjennomført.

🚩 Hvis de viser til utgåtte regler, f.eks. Privacy Shield som overføringsgrunnlag, er det et rødt flagg.

🚩 Generelle påstander om å være «GDPR Compliant» uten dokumentasjon, er et annet.

3. Hvordan er dialogen med leverandøren?

Ofte må man ta kontakt med leverandøren for å få svar på hvordan de etterlever GDPR. Hvis leverandøren er en seriøs leverandør som tar personvernforpliktelsene sine på alvor, forventer jeg at de har noen som kan svare deg relativt raskt.

Hvem du får svar av og hvor raskt det skjer, sier også noe om hvilken ekspertkompetanse leverandøren har på personvern. Hvis de kan vise til ekspertkompetanse, vil det være et pluss i boka og vil kunne vise at de gir «tilstrekkelige garantier» for etterlevelse.

🚩 Hvis leverandøren unngår å svare på et spørsmål, er det et rødt flagg.

Ps. Ser du etter flere tips for leverandørvurderinger? Jeg har skrevet om det i en Linkedin-post som du kan sjekke ut her.

Photo by Gerard Siderius on Unsplash

Schufa-dommen er en etterlengtet dom fra EU-domstolen fordi det er den aller første saken hvor domstolen tar stilling til GDPR artikkel 22 – forbudet mot automatiserte avgjørelser.

Dette setter noen viktige føringer for firmaer som Schufa som lager verktøy som enten kan brukes som beslutningsstøtte, eller som kan være en del av en automatisert avgjørelse. Alt ettersom hvorvidt et menneske er inne i avgjørelsesprosessen på en meningsfull måte.

Faktum i saken

Schufa er et tysk selskap som lager en «credit score» eller kredittvurdering på folk. Dette er en vurdering som sier noe om en person sannsynligvis vil kunne betale for seg i fremtiden. Måten Schufa kom frem til denne «scoren», var ved hjelp av en matematisk formel – en algoritme om du vil – som tok i betraktning en rekke parametere basert på data om hvordan andre folks tidligere betalingsevne.

Saken kom opp for tyske domstoler etter at en kvinne ble nektet lån i banken sin fordi banken hadde lagt avgjørende vekt på kredittvurderingen fra Schufa. Hun hadde henvendt seg til Schufa bl.a. med forespørsel om å få innsyn i logikken bak kredittvurderingen

Schufa svarte med å gi den registrerte kredittvurderingen hennes og en enkel forklaring på hvordan de hadde regnet ut «scoren». De ga henne ikke informasjon om logikken bak utregningen med henvisning til at det var en bedriftshemmelighet.

Schufa mente også at de ikke var en del av avgjørelsesprosessen, og at de dermed ikke bidro inn i en eventuell automatisert avgjørelse. De hadde nemlig bare gitt informasjon til banken. Det var banken som brukte kredittvurderingen til å fatte en avgjørelse.

Spørsmålet i saken var om dette var en automatisert avgjørelse.

Domstolens vurdering av vilkårene for når noe er en automatisert avgjørelse

Domstolen identifiserte disse tre vilkårene i GDPR artikkel 22 som alle må være oppfylt for at noe skal være en automatisert avgjørelse:

1.       Det må være snakk om en «avgjørelse»

2.       Avgjørelsen må utelukkende være «basert på automatisert behandling, herunder profilering»

3.       Avgjørelsen må innebære en rettsvirkning for ELLER på tilsvarende måte i betydelig grad påvirker den registrerte.

Hva som menes med en «avgjørelse» er ikke definert i GDPR, men domstolen brukte ordlyden «rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte» som tolkningsmoment for å si at begrepet «avgjørelse» skulle ha en vid betydning.

Domstolen viste også til fortalepunkt 71 som underbygger en slik forståelse, i og med at «et automatisk avslag på en søknad om kreditt på internett eller e-rekruttering uten menneskelig inngripen» er eksempler på automatiserte avgjørelser.

Generaladvokaten hadde også uttalt seg om hva som egentlig ligger i begrepet «avgjørelse». Domstolen la vekt på Generaladvokatens uttalelse om at resultatet en kredittvurdering i form av en utregning av sannsynligheten av en persons evne til å oppfylle fremtidige betalingsforpliktelser, var en «avgjørelse».

Deretter gikk domstolen over til å vurdere vilkåret om at avgjørelsen «utelukkende må være basert på automatisert behandling, herunder profilering». Her konkluderer domstolen veldig raskt med at «det er allment akseptert» at kredittvurderingen til Schufa er profilering slik profilering er definert i GDPR artikkel 4(4).

Til slutt vurderte domstolen om avgjørelsen innebar «en rettsvirkning for eller på tilsvarende måte i betydelig grad påvirker den registrerte».

Domstolen startet med å påpeke at banken som brukte kredittvurderingen fra Schufa, la avgjørende vekt på den i avgjørelsen om den registrerte skulle få lån. I nesten alle tilfeller ville en lav kredittvurdering føre til at søknaden om lån ikke ble innvilget. Domstolen kom til at resultatet av en lånesøknad ville i det minste påvirke den registrerte betydelig.

Det avgjørende i denne saken var at selve kredittvurderingen spilte en avgjørende rolle i vurderingen av om den registrerte skulle få innvilget søknaden om lån. 

Og dette var nok til at det tredje vilkåret var oppfylt.

Vilkårene kan oppfylles på forskjellige tidspunkter og av forskjellige parter

Det som gjorde denne avgjørelsen kompleks, var at det var flere aktører i avgjørelseskjeden: Schufa som lagde kredittvurderingen og banken som brukte den til å vurdere om den registrerte skulle få lån.

Schufa hadde opprinnelig argumentert for at de ikke var en aktør i denne avgjørelsesprosessen siden de ikke fattet endelig avgjørelse om lån skulle gis, de lagde bare kredittvurderingen. Domstolen hørte ikke på dette argumentet.

I stedet konkluderte domstolen med at vilkårene for når noe er en automatisert avgjørelse kan oppfylles på forskjellige tidspunkter og av forskjellige parter. Hvis domstolen ikke hadde tolket vilkårene i artikkel 22 på denne måten, hadde det ført til et langt dårligere personvern. Konkret sa domstolen det på denne måten:

  «…there would be a risk of circumventing Article 22 of the GDPR and, consequently, a lacuna in legal protection if a restrictive interpretation of that provision was retained…»

Hva betyr dette? Jo, at du må se avgjørelseskjeden under ett. Schufa sin etablering av kredittvurdering er en del av avgjørelsen, selv om de ikke fatter endelig avgjørelse.

Og det gjør at leverandører som lager automatiserte beslutningsstøtteverktøy, f.eks. ved bruk av AI eller maskinlæring, VIL være en del av en beslutningskjede, og dermed må respektere forbudet mot automatiserte avgjørelser i artikkel 22.

Ps. Jeg leser dommer regelmessig på LinkedIn Live, og SCHUFA-dommen er en av de jeg har lest. Konseptet er at fordi du som driver med personvern alltid har noe faglig du skulle ha lest, og det hele tiden skjer så utrolig mye på området, går du konstant rundt med dårlig samvittighet fordi du ikke “gjør nok”. Derfor har jeg laget en nesten ukentlig greie der jeg leser en dom høyt på LinkedIn Live, og hvor du kan dukke opp, helt uten å ha forberedt deg. Det tat en times tid, og vipps har du lest en dom! Du kan også høre på opptaket i podcast. Se opptaket fra SCHUFA-dommen på LinkedIn her.

Photo by Tingey Injury Law Firm on Unsplash

Jeg er som jurist ikke noe glad i å si at et regelverk «går foran» GDPR. Ikke fordi det ikke er sant, det finnes en rekke spesialregler på personvern som «går foran» de generelle personvernreglene i GDPR.

Jeg liker ikke si «de går foran» GDPR, fordi det ikke egentlig handler om det. Det handler om at spesialregler regulerer andre, mer spesielle tilfeller enn det de generelle reglene i GDPR gjør. Det er ikke snakk om motstrid, men om utfyllelse!

Kanskje er dette en forskjell uten en distinksjon? Men det er en forskjell som nørde-juristen i meg er opptatt av.

Uansett, denne blogg-posten handler om hvilke spesialregler vi har i norsk rett, som kan sies å «gå foran» eller som utfyller GDPR. 

Unntak fra samtykke i markedsføringsloven

Du vet utgangspunktet at du må ha samtykke fra folk før du sender dem e-post med reklame? Ja, det gjelder ikke hvis de er tidligere kunder av deg.

Eller mer presist, du trenger ikke samtykke for å sende markedsføringse-poster til kundene dine som er i et «eksisterende kundeforhold».

Det stilles noen krav til et «eksisterende kundeforhold». Det holder ikke bare at de har kjøpt noe av deg en gang før, du må ha solgt dine varer eller tjenester til dem gjentatte ganger. Det holder med andre ord ikke at dette er en engangskunde.

Og så kan du ikke sende dem e-post i veldig lang tid etter at de har kjøpt. 

Hvor kommer dette fra? ePrivacydirektivet som ble inkorporert i norsk rett blant annet med endringer i markedsføringsloven. Konkret står dette i markedsføringsloven § 15(3).

Du har rett til å se hvem som har vært inne og sett på pasientjournalen din

GDPR inneholder ikke noe eksplisitt krav til at du har rett til innsyn i hvem som har vært inne og sett på personopplysningene dine. 

Men i pasientjournalforskriften § 14(1) står det at den virksomheten som har en pasientjournal plikter å logge den som har vært inne og sett på helseopplysningene, og i § 14(2) står det at du som pasient har rett til innsyn i den dokumentasjonen.

Dette er altså en norsk spesialregel som går lengre enn GDPR.

Barn har samtykkekompetanse til å være på sosiale medier fra og med de er 13 år gamle

Du har sikkert fått med deg at barn kan være på sosiale medier fra de er 13 år gamle. Dette er også en spesialregel. Hvis vi skulle ha fulgte «hovedregelen» i GDPR artikkel 8(1), hadde aldersgrensen for dette i Norge vært på 16 år.

I stedet har vi en spesialregel som står i personopplysningsloven § 5 som sier at barn har samtykkekompetanse til at big tech skal kunne behandle deres personopplysninger fra og med de har fylt 13.

Det står ikke fullt så polemisk, samtykkebestemmelsen er knyttet til «informasjonssamfunnstjenester», det vil si sosiale medier. 

Photo by Unseen Studio on Unsplash

I det siste har jeg tenkt mye på et av de mest grunnleggende spørsmålene innen personvern, nemlig hva er en personopplysning? Og det finnes flere dommer fra The European Court of Justice (CJEU) som er relevante for å svare på det spørsmålet.

Utgangspunktet kjenner vi alle til. En personopplysning er enhver opplysning som direkte eller indirekte kan knyttes til den identifiserbar person. Breyer-dommen sier noe om hva som skal til for å kunne identifisere en person når du som behandlingsansvarlig ikke har tilgang til alle opplysningene som kan identifisere den registrerte.

Men hva med vilkåret at opplysningen skal kunne knyttes til en enkeltperson? Når kommer det på spissen?

I Case T-557/20  hvor det Europeiske Datatilsynet (EDPS) ble dømt til å måtte oppheve et vedtak fordi de ikke hadde fulgt rettsregelen fra Breyer-dommen, argumenterte motparten at opplysningene i saken ikke var personopplysninger fordi de ikke kunne knyttes til en person. Det var snakk om kommentarer fra kreditorer som hadde rett til å bli hørt i konkursprosessen etter at en bank hadde gått konkurs.

Og motparten i saken argumenterte for at disse kommentarene ikke var personopplysninger, fordi de ikke var personlige nok. Det var kommentarer basert på offentlig tilgjengelig informasjon om konkursen, de var ikke «knyttet til en enkeltperson», og da kunne de ikke være «personopplysninger».

Da jeg leste dette, syntes jeg det var veldig rart. Det kunne vel ikke ha noe å si om innholdet i kommentaren var offentlig tilgjengelig informasjon? La oss se på Nowak-dommen for å se om denne argumentasjonen har noe for seg.

Hva kan vi lære av Nowak-dommen?

Nowak er en mann fra Irland som etter å ha strøket på en revisoreksamen fire ganger, søkte innsyn i sine egne eksamensbesvarelser. Han fikk ikke innvilget innsyn fordi eksamensbesvarelsen hans ikke var en personopplysning. Da han klagde til Det Irske Datatilsynet, fikk han ikke medhold.

Han klagde så saken inn for irsk domstol, og saken gikk helt til Irsk Høyesterett, som sendte spørsmålet til CJEU.

Spørsmålet for CJEU var om eksamensbesvarelsen hans var en personopplysning, og ikke overraskende kom domstolen til at det var det. Men la oss se på begrunnelsen.

Det første argumentet domstolen trekker frem er at en eksamensbesvarelse reflekterer kandidatens kunnskap og kompetanse innenfor et gitt felt. Og i noen tilfeller, hens intellektuelle ferdigheter, tanker, vurderingsevne og dømmekraft. Hvis eksamen avgis for hånd, vil også eksamen gi informasjon om vedkommendes håndskrift, som åpenbart er personlig og en opplysning knyttet til en enkeltperson.

Det andre argumentet domstolen trekker frem er at selve formålet med en eksamen, er å evaluere kandidatens ferdigheter, og for Nowaks konkrete revisjonseksamen, hans egnethet for å utøve den revisorprofesjonen. Dette er alle personlige vurderinger som nødvendigvis må knyttes til den enkelte kandidaten.

Det siste argumentet domstolen trekker frem er at eksamenssvarene og vurderingen av dem, vil få konsekvenser for kandidaten. Resultater på en eksamen kan bestemme om du kommer inn på den skolen du vil eller kvalifiserer til en jobb. Behandlingen av dine personopplysninger i forbindelse med en eksamen vil ha virkninger på dine rettigheter og interesser. Noe som åpenbart er knyttet til den som person. 

Hva kan du ta med deg videre fra denne dommen?

Først og fremst at en eksamensbesvarelse er en personopplysning. Dette virker ganske selvsagt, men senest denne uka kom jeg i en diskusjon om bruk av ChatGPT og plagiatkontoll hvor det ble hevdet at eksamensbesvarelsen ikke var en personopplysning og dermed fritt kunne deles med ChatGPT.

Og det kan den ikke. Fordi det i utgangspunktet ER en personopplysning, må man først gjøre en vurdering om OpenAI har tilstrekkelig informasjon til å re-identifisere den registrerte etter rettsregelen i Breyer-dommen.

Og det er en notorisk vanskelig vurdering fordi du har ikke god innsikt i hvilken teknologi OpenAI har tilgjengelig for å re- identifisere personer. 

Dommen minner meg også på at det ikke har betydning at sensor ikke vet hvem kandidaten er når hen skal rette. Så lenge den behandlingsansvarlige har mulighet til å identifisere kandidaten, er det en personopplysning.

Vi kan trekke en parallell til andre arbeidsplasser. Selv om ikke JEG har tilgang til alle varslingssakene på arbeidsplassen min, er det noen i HR som har det. Det betyr at varslingssaker er en behandling av personopplysninger for min arbeidsgiver som behandlingsansvarlig, selv om jeg som enkeltarbeidstaker ikke har tilgang til informasjonen.  

Obiter dictum

Denne dommen har også flere uttalelser som ikke egentlig har noe å si for resultatet av dommen (et obiter dictum – også kalt en unnskyldning som vi med jussutdannelse har for å briefe med det lille av latin vi har lært på studiet).

Det er særlig disse jeg tar med meg:

• Noe kan være en personopplysning knyttet til DEG selv om det også er en personopplysning knyttet til en annen person (Punkt 44). 

• Selv om eksamensbesvarelsen din er lik som en annens (multiple choice-eksamen), er det fortsatt en personopplysning knyttet til DEG (Punkt 45).    

• Det er ikke relevant for vurderingen av om en eksamensbesvarelse er en personopplysning, at konsekvensene av at det ER en personopplysning blir at den registrerte har en rett til innsyn eller retting (Punkt 46).

• Retten til retting betyr ikke at du har rett til å rette svarene dine i etterkant. Hele poenget med en eksamen er å sjekke hvilke kompetanse du hadde på tidspunktet for eksamen, og da er ikke feil svar «feil» i den forstand at det gir deg en rett til retting (Punkt 52-53).

• Innsynsretten innebærer IKKE at du har rett til innsyn i eksamensspørsmålene. Dette er rett og slett ikke DINE personopplysninger (punkt 58).

Photo by Sinitta Leunen on Unsplash

Er du en av dem som startet med personvern etter den gamle personopplysningsloven? Den fra 2000 som hadde artige bestemmelser som at du måtte søke datatilsynet om konsesjon for å behandle personopplysninger, og som hadde en ekstremt detaljert forskrift som påla behandlingsansvarlig internkontoll?

En av oss som drev med personvern «før det ble mainstream»? Jeg også. Og ja, jeg er egentlig en personvernhipster.

Lindqvist-dommen

Hvorfor startet jeg å tenke på hvordan verden så ut sånn personvernmessig i 1998? Jo, for en stund tilbake siden leste jeg Lindqvist-dommen, som tar for seg hendelser fra nettopp 1998.

Kort fortalt ble en kvinne ved navn Lindqvist straffeforfulgt fordi hun hadde publisert informasjon om kollegaene sine på internett. Hun jobbet som kateket i en svensk menighet, og hadde ansvaret for konfirmantopplæringen. I den forbindelse lagde hun en internettside med informasjon til konfirmantene om henne selv og de andre som jobbet i menigheten.

Kollegaene var noen ganger nevnt ved fullt navn, andre ganger bare fornavn, med en humoristisk beskrivelse av hva de jobbet med og hva de likte å gjøre på fritiden. En av kollegaene hadde brukket foten og var i 50% sykemelding, noe som også ble omtalt.

Lindqvist hadde ikke spurt kollegaene sine om samtykke. Heller ikke hadde hun fått godkjennelse av det svenske datatilsynet. Men da hun fikk vite at noen av kollegaene hennes ikke satte pris på omtalen, tok hun ned nettsiden.

Kort fortalt handler dommen om hva en «behandling» av personopplysninger er. Domstolen bruker ikke mye tid på å drøfte spørsmålet. Det er ganske åpenbart, sett med 2023-øyne, at publisering av personopplysninger på internett er en «behandling». Det faller direkte under et av eksemplene i definisjonen: «tilgjengeliggjøring».

Hvordan så DIN verden ut i 1998?

Det å tenke på hva en svensk kvinne ved navn Lindqvist gjorde i 1998, fikk meg til å tenke på hva JEG gjorde i 1998.

Vi hadde fått en hjemme-PC noen år før 1998. Det var en stor, stasjonær PC som først sto i stua, og så ble flyttet inn på «kontoret». Det var ca. rundt 1998 at barneskolen jeg gikk på også fikk stasjonære PCer. Jeg tror de var en gave fra noen entusiastiske foreldre, men her kan jeg ta feil.

Jeg håper jeg tar feil gitt det jeg i dag vet om kommuner som skoleeiere og behandlingsansvar. Men det jeg husker er at vi publiserte informasjon om oss selv i skolesammenheng. Skolen vår lagde en hjemmeside, med en liten presentasjon om hvem vi barna var. Litt sånn som Lindqvist gjorde.

Dette husker jeg fordi vi skulle alle skrive en liten tekst om hvem vi var. På det tidspunktet var jeg svært opptatt av andre verdenskrig og folkemord generelt. Så jeg skrev at jeg het Ida, og at jeg var veldig interessert i Hitler og Pol Pot.  Jepp, jeg var et rart barn. Og jeg ble sensurert av klasseforstanderen min som skrev en annen tekst for meg som endte opp med å bli publisert. God bless him.

Jeg forteller dette for å si at vi hadde en helt annen forståelse for hva internett er i 1998, enn det vi har nå. Vi har åpenbart en helt annen risikoforståelse. Ingen skole «in their right mind» vil i dag publisere informasjon om barna som går på den skolen på internett. Vi har jevnt over en bedre forståelse av personvern i dag.

Så hvordan så ditt liv ut i 1998? Hva gjorde DU på internett da? Gjorde du noen ting som du tenker tilbake på og ler litt av deg selv fordi det i dag ville vært et åpenbart faux-pas?

Litt personvernhistorie

Det er veldig lett å le av fortidsmennesker. Særlig når de stiller et spørsmål som for oss er åpenbart. Men la oss se på hvordan verden så ut sånn personvernmessig før 2018 og GDPR. For den så utrolig annerledes ut.

Norge fikk sin første personvernlov i 1978 (vi har også grunnlovsbestemmelser som er relevante for personvernet, men det er en annen historie).

Dette var en lov om «personregistre» og et av vilkårene for at loven skulle komme til anvendelse, var at personopplysningene var «lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen». Datatilsynet ble opprettet samtidig.

Tilsynet skulle ha oversikt over alle personregistre i Norge som trengte konsesjon. Og det var Kongen i Statsråd som ga konsesjon eller «samtykke» til at et personregister kunne opprettes. Hva var vilkåret for konsesjon? Alle personregistre som skulle «gjøre bruk av elektroniske hjelpemidler» var omfattet, og registre som skulle inneholde sensitive personopplysninger, eller det vi kjenner som særlig kategorier i dag.

Så kommer personverndirektivet i EU i 1995, og Norge bruker en del tid på å inkorporere det i norsk rett. Men i 2000 får vi den personopplysningsloven som gjaldt før GDPR og den nåværende norske loven. Fordi den inkorporerer 1995-direktivet i norsk rett, og direktivet er ganske likt GDPR, er det ikke veldig forskjellige regler fra det som vi må forholde oss til i dag.

Men noen forskjeller er det. Bøtenivået f.eks. Da jeg jobbet med personvern i 2016, var maks bøtesats 10 ganger grunnbeløpet. I 2016 var det rundt 940 000 norske kroner. Og det er ikke mye. Ikke sammenlignet med nivået for GDPR.

En annen viktig forskjell var meldeplikten og konsesjonsinstituttet. Før du kunne behandle personopplysninger «med elektroniske hjelpemidler», måtte du melde det til Datatilsynet. Dette måtte du gjøre senest 30 dager før du skulle starte behandlingen.

Og så måtte du ha konsesjon for å behandle sensitive personopplysninger. Forskjellen fra 1978-loven var at nå var det Datatilsynet som skulle behandle konsesjonssøknaden. Den trengte ikke gå til Kongen i Statsråd.

Hvordan har personvernet endret seg siden 1998?

Den kanskje mest åpenbare endringen, er at du som behandlingsansvarlig har et mye større ansvar for din egen behandling av personopplysninger enn det du hadde i 1998.

Dette er flere grunner til det. Du har så mange flere elektroniske hjelpemidler enn det du hadde i 1998, og alle av dem behandler personopplysninger på en eller annen måte. Det gjør det praktisk veldig vanskelig for et sentralisert tilsyn å ha den fullstendige oversikten over alle behandlinger av personopplysninger.

Og da er svaret at det er DU som behandlingsansvarlig som skal sørge for din egen etterlevelse. Konsesjonsinstituttet er som kjent byttet ut med ansvarlighetsprinsippet og plikten til å gjennomføre personvernkonsekvensvurderinger DPIAer. Og så er det opp til deg å be Datatilsynet om en forhåndsdrøftelse dersom du ikke klarer å senke personvernrisikoen med risikoreduserende tiltak.   

Photo by AbsolutVision on Unsplash

I slutten av april 2023 fikk vi en dom fra «Generaldomstolen» som setter noen rammer for hva en personopplysning er (Case T-557/20).

Jeg pleier å si at «alt» er personopplysninger. Dette fordi det skal mye til før noe ikke er en personopplysning. Men da vi fikk den nye dommen, måtte jeg ta stilling til om jeg bør endre hvordan jeg snakker om dette på.

Er det urimelig av meg å si at «alt» er personopplysninger? Vil det være nyttig for meg å nyansere dette? Sånn generelt? Eller er det nyanser som jeg skal vente med til de faktisk er aktuelle, fordi de vil forvirre heller enn å avklare?

Akkurat nå har jeg ikke alle svarene, men la oss resonere oss frem til noe i dette nyhetsbrevet.

Helt konkret, la oss se på den og Breyer-dommen, for å svare på hvordan vi kan vurdere hva en personopplysning er.

Dette blir en langt og skikkelig nørdete bloggpost. Så hold deg fast! Eller ikke! I cannot tell you what to do 😉

Rettsregelen i Breyer-dommen

I Breyer-dommen, hadde en fyr ved navn Breyer, gått til sak mot tyske myndigheter, fordi de lagret IP-adressen hans når han besøkte diverse offentlige hjemmesider. IP-adressen hans var lagret for sikkerhetsformål, nærmere bestemt for å kunne avverge «denial of service»-angrep.

Tyske myndigheter hadde ingen mulighet til å identifisere Breyer. Men det hadde myndighetenes «Internet service provider» eller internettleverandør (tenk Telenor).

Domstolen tok utgangspunkt i definisjonen av hva en personopplysning var etter direktivet, nemlig at enhver opplysning som direkte eller indirekte kan identifisere en person. Dette er samme definisjon som etter GDPR.

Spørsmålet var dermed om Tyske myndigheter kunne identifisere Breyer ut ifra de opplysningene de hadde om ham, nemlig IP-adressen hans.

(En parantes her, er at det var snakk om en dynamisk IP-adresse. Dette er en adresse som endrer seg hver gang Breyer kobler seg på internett. Dette i motsetning til en statisk IP-adresse som forblir den samme, selv om Breyer logger av internett, og så logger på igjen.)

For å svare på om Breyer kunne identifiseres ut ifra IP-adressen sin, så domstolen til fortalepunkt 26 i personverndirektivet av 1995 som ga følgende utgangspunkt: «account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person».

Domstolen tolket så sitatet ovenfor, og slo fast at det ikke betydde at informasjonen som kunne identifisere den registrerte måtte være «i hendene på én person». Det avgjørende vil være om det er mulig å koble den dynamiske IP-adressen til Breyers identitet. 

Generaladvokaten hadde uttalt seg i saken, og domstolen trakk frem punkt 68 som sa at en slik kobling ikke ville være mulig om «the identification of the data subject was prohibited by law or practically impossible on account of the fact that it requires a disproportionate effort in terms of time, cost and man-power».

Og dette tok domstolen til seg i vurderingen. De så på om tysk lov åpnet for deling av identifiserende data knyttet til dynamiske IP-adresser mellom internettleverandøren og eier av nettsider (her tyske myndigheter). Utgangspunktet var at slik deling ikke var lov, men ved cyberangrep kunne eier av nettsiden ta kontakt med internettleverandøren og få utlevert denne typen data for å kunne anmelde forholdet.

Og fordi denne muligheten var til stede ifølge tysk lov, konkluderte domstolen med at det var «likely reasonably» at den registrerte kunne identifiseres på denne måten. Ergo var en dynamisk IP-adresse en personopplysning!

Endres rettsregelen i sak T-557/20 fra «Generaldomstolen»?

Så over til den dommen som kom i april 2023.

Spørsmålet i saken var om Det Europeiske Datatilsynet (EDPS) hadde behandlet en sak riktig. EDPS hadde behandlet flere klager på et firma som hadde utlevert personopplysninger til et konsulentfirma, uten å ha informert de registrerte om det i personvernerklæringen.

Opplysningene som ble utlevert var kommentarer fra registrerte i forbindelse med oppgjør etter at en bank hadde gått konkurs. Selskapet som tok seg av konkursboet hadde leid et konsulentfirma til å gjennomgå kommentarene for å se hvilke som var relevante.

Selskapet hadde pseudonymisert de forskjellige kommentarene bak et tilfeldig generert nummer. Selskapet beholdt lista som gjorde re-identifisering mulig for revisjonsformål. Det kunne bli aktuelt å demonstrere at alle de som hadde rett til å uttale seg, faktisk hadde fått gjort det.

Konsulentfirmaet fikk bare se selve kommentaren og det genererte nummeret, og hadde ikke mulighet til å koble den enkelte kommentar tilbake til den personen som hadde kommet med den.

EDPS kom til at selskapet hadde delt personopplysninger med konsulentfirmaet, og anbefalte dem å informere de registrerte om denne delingen. Selskapet var ikke enig i at de hadde utlevert personopplysninger til konsulentfirmaet, og klagde saken inn for domstolen.

Denne saken er interessant fordi domstolen ikke egentlig sier at dette VAR personopplysninger. Domstolen ser her på om behandlingen til EDPS var korrekt. Hadde de vurdert alle sidene av saken?

Med utgangspunkt i Breyer-dommen, kommer domstolen til at EDPS ikke har vurdert saken korrekt.   

Domstolen så først på om informasjonen som ble sendt til konsulentfirmaet kunne identifisere enkeltpersoner. GDPR har tilsvarende ordlyd i sin fortale (se punkt 26) som fortalen til 1995-direktivet som som domstolen viste til i Breyer-dommen. 

Det betyr at EDPS burde ha vurdert «all the means reasonably likely to be used» for å se om det vil være mulig for konsulentfirmaet å identifisere de registrerte ut ifra den informasjonen de hadde mottatt.

Og siden EDPS ikke hadde satt seg inn i konsulentfirmaets sted, opphevet domstolen avgjørelsen til EDPS. EDPS skulle ha undersøkt om konsulentfirmaet hadde tilgjengelige, lovlige måter å skaffe seg den informasjonen som var nødvendig for å re-identifisere de registrerte.

Hva er lærdommen her? Kommer jeg til å slutte å si at «alt» er personopplysninger?

Det korte svaret på det er nei. Det er fortsatt nyttig å si at alt er personopplysninger, fordi lista er ganske lav. Kan du indirekte identifiseres, er det en personopplysning.

Men det jeg tar med meg, er at for deg som jobber med personvern og er personvernekspert, er at når en behandlingsansvarlig deler det som er personopplysninger for dem med en annen behandlingsansvarlig, er det ikke sikkert det er personopplysninger for DEM.

Som så mye annet i jussen beror det på en konkret helhetsvurdering.

Og vurderingskriteriet er hva som er «reasonably likely». Fra Breyer-dommen er det to situasjoner hvor noe IKKE er «reasonable likely»:

1. Det å innhente de identifiserende opplysningene er forbudt ved lov

   Har den andre behandlingsansvarlige en lovlig adgang til å skaffe informasjon som vil identifisere den registrerte sammen med de opplysningene de har mottatt? Hvis svaret er ja, er det personopplysninger.

   Og dette gjelder selv om formålet er avgrenset til et bestemt tilfelle. Breyer-dommen viser at så lenge muligheten for identifisering er det, er det «reasonably likely».

2. Det å innhente de identifiserende opplysningene er praktisk umulig

   Dette går ikke Breyer-dommen veldig inn på fordi det var ikke slik tyske myndigheter gikk frem for å identifisere Breyer. Men spørsmålet er om det ville ta uforholdsmessig innsats i form av tid, kost og menneskelige ressurser å skaffe de identifiserende opplysningene.  

Photo by Brett Jordan on Unsplash

Da EU-domstolen i C-210/16 bestemte at du som administrator av en Facebook-side ville bli felles behandlingsansvarlig i 2018, fikk det konsekvenser for hvordan norske virksomheter bruker Facebook.

Eller kanskje ikke for hvordan vi faktisk bruker Facebook. Kanskje heller for hvordan vi engster oss over mulige etterlevelsesbrudd.

Dommen var også kanskje en medvirkende årsak til at det norske datatilsynet bestemte seg for å ikke lenger være på Facebook?

I etterkant av dommen har virksomheter desperat prøvd å tolke dommen innsnevrende, og konkludere med at «felles behandlingsansvar» med Facebook umulig kan bety at en liten, norsk bedrift blir felles behandlingsansvarlig sammen med Mark for alle hans personvernbrudd.

La oss se på hva dommen egentlig sier, og hva den betyr for din virksomhet som har en bedriftsside på Facebook.

Jussen i det hele – hvem er behandlingsansvarlig?

La oss først se på jussen.

(Og ja, her kan du som ikke er jurist få et innblikk i juridisk metode. Det er egentlig mye enklere enn vi jurister vil ha det til, men det krever trening.)

Som domstolen ofte gjør når den skal vurdere personvernspørsmål, viser den til at formålet med personvernregelverket er å gi en høy grad av beskyttelse for fundamentale rettigheter og friheter. Dette setter rammene for de videre tolkningene.

Så går domstolen over til å tolke begrepet «behandlingsansvarlig». Begrepet skal tolkes vidt, fordi det er ved å ha en vid definisjon at man best vil ivareta rettighetene og frihetene til de registrerte.

Det fremgår også direkte av definisjonen på «behandlingsansvarlig» at du ikke tenger å være behandlingsansvarlig alene. Du kan være det sammen med en annen virksomhet. Dette heter som kjent «felles behandlingsansvarlig».

Domstolen konkluderer så med at det er Facebook Irland (nå Meta Irland), som er behandlingsansvarlig. Dette fordi det er de som bestemmer formålet med behandlingen, og hvordan personopplysningene til de som besøker Facebook-sider skal behandles.

Men domstolen kan ikke stoppe der. De må så se på om den virksomheten som oppretter en Facebook-side kan bli felles behandlingsansvarlig sammen med Facebook.

Hvorfor felles behandlingsansvarlig

Domstolen legger vekt på en rekke momenter når den konkluderer med at virksomheten som oppretter og administrerer en Facebook-side er felles behandlingsansvarlig sammen med Facebook.

La oss gå igjennom dem:

Domstolen legger vekt på at når en bruker oppretter en Facebook-side, må de inngå en avtale med Facebook Ireland. Denne avtalen regulerer blant annet vilkår for bruk og retningslinjer for cookies.

Facebook samler inn data ved å plassere cookies på enheten til de som besøker Facebook-siden. Dataene brukes for å forbedre Facebooks tjenester og reklamesystem. Men også for å gi administratoren av Facebook-siden statistikk som kan hjelpe i markedsføring og tilpasning av innhold.

Ser du hva domstolen peker på her? Domstolen har nå poengtert at både Facebook og administratoren av Facebook-siden nyter godt av den digitale infrastrukturen som Facebook har laget.

Og det har noe å si for hvorvidt administratoren også er behandlingsansvarlig. For uten administratoren, kunne ikke Facebook ha samlet inn akkurat disse personopplysningene.

Argumentasjonen går oppsummert slik: Ved å opprette en Facebook-side, gir administratoren Facebook muligheten til å plassere cookies på enhetene til de som besøker Facebook-siden.

Facebook kunne ikke samle inn akkurat disse personopplysningene fra akkurat disse registrerte, dersom administratoren ikke hadde opprettet akkurat denne Facebook-siden. 

Men administratorens innflytelse er større enn bare dette.

Som en administrator av en Facebook-siden kan du definere hvilken type statistikk du vil samle inn. Med andre ord, kan du som administrator ta et aktivt valgt i hvilke personopplysninger som skal samles inn om de som besøker Facebook-siden din. Dette betyr at du bestemmer hvilke personopplysninger som Facebook får tilgang til.

Og det er på denne bakgrunnen at domstolen konkluderer med at en administrator av en Facebook-side er felles behandlingsansvarlig med Facebook (nå Meta).

Noen nyanser helt til slutt – hva betyr dette for deg?

Domstolen presiserer at selv om du som virksomhet kan bli felles behandlingsansvarlig med Facebook, betyr det ikke at dere har like stort ansvar. Hva som faktisk ligger i behandlingsansvaret ditt må vurderes konkret, basert på den spesifikke rollen og innflytelsen du har i behandlingen av personopplysninger.

Og her ligger det nok en åpning for norske virksomheter. For det betyr at du nok ikke automatisk ansvarlig sammen med Meta for alle personvernbrudd som Meta gjør. Heldigvis.

Men dommen betyr like fullt at du har et ansvar. Og at om du som virksomhet har en bedriftsside på Facebook, må du definere det som en behandling av personopplysninger som du gjør.

Det betyr f.eks. at behandlingen må beskrives i behandlingsprotokollen din, at du må ta et bevist valg om hvilken statistikk du skal skru på for de som besøker Facebook-siden din (tenk dataminimering) og at du har en plikt til å informere de registrerte om hvordan du behandler deres personopplysninger. Og det fordrer at du må forstå hva du faktisk har kontroll over.

Photo by 傅甬 华 on Unsplash

Du trodde kanskje ikke at jeg – en personvernrådgiver – skulle si at du er FOR opptatt av behandlingsgrunnlag? Og det er jo en litt vill ting å si, i og med at behandlingsgrunnlag er en forutsetning for at behandlingen er lovlig.

Så hvordan kan jeg hevde det? Jo, jeg mener spørsmålet om behandlingsgrunnlag er noe det er veldig lett at vi henger oss opp i.

Litt sånn som rettskriving eller hvor kommaet skal stå. Med mindre du har å gjøre med syntaksfeil (à la «heng ham, ikke vent til jeg kommer» vs. «heng ham ikke, vent til jeg kommer»), er det ingen som bryr seg om komma.

Og litt på samme måten synes jeg vi noen ganger blir altfor opptatt av behandlingsgrunnlag. Let me explain…

Hvis du har et behandlingsgrunnlag, men har brukt et annet som er feil, har du fortsatt et behandlingsgrunnlag!

Den norske personvernnemnda har nylig avsagt en avgjørelse i en sak som handlet om behandlingsgrunnlag. En barnehage hadde filmet et barn i forbindelse med en sak hvor barnet trengte ekstra oppfølging.

Barnehagen hadde opprinnelig innhentet samtykke fra foresatte for dette, men hadde egentlig hjemmel i aktivitetsplikten i barnehageloven med forskrift.

Spørsmålet i saken var om kommunen som barnehageeier hadde behandlingsgrunnlag for behandlingen. De hadde nemlig trodd at de måtte ha samtykke, noe som ikke var tilfelle.

Og nemnda sa følgende om akkurat det:

«Dersom man har behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) mister man ikke dette behandlingsgrunnlaget ved feilaktig å tro at man trenger et samtykke for behandlingen.»

Datatilsynet hadde heller sett på dette som at kommunen hadde «byttet» behandlingsgrunnlag, noe som ifølge EDPBs retningslinjer om behandlingsgrunnlag, ikke er lov. Men nemnda mente at dette ikke var det samme som å bytte behandlingsgrunnlag.

Hva forteller denne saken oss?

Jo, at hvis du faktisk har et behandlingsgrunnlag i form av hjemmel i lov, så kan ikke det at du viser til feil grunnlag gjøre at behandlingen blir ulovlig. Du har fortsatt et behandlingsgrunnlag, selv om du ikke vet hva det er.

Det å ikke ha oversikten over hva som er det korrekte behandlingsgrunnlaget, er ÅPENBART noe jeg vil fraråde på det sterkeste. For har du ikke denne oversikten, lever du i stor usikkerhet på om du i det hele tatt har et behandlingsgrunnlag! 

Men dette sier noe om at om du ikke kan miste behandlingsgrunnlaget ditt ved å vise til feil grunnlag.

Når skal du bruke GDPR artikkel 6 bokstav c) og når skal du bruke e) – en hovedregel

Når du har en hjemmel i lov eller forskrift til å behandle personopplysninger, må du ta stilling til når du skal bruke GDPR artikkel 6 nr. 1 bokstav c) «rettslig forpliktelse» og når du skal bruke GDPR artikkel 6 nr. 1 bokstav e) «oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet».

Den hovedregelen jeg bruker her, er at om du er et offentlig organ som løser oppgaver som fremgår av lov eller forskrift, bruker du GDPR artikkel 6 nr. 1 bokstav e) som «det primære» behandlingsgrunnlaget.

Men, hvis forpliktelsen din er skikkelig tydelig, f.eks. aktivitetsplikten din etter barnehageloven kapittel 8 eller opplæringslova kapittel 9A, ja, da bruker du GDPR artikkel 6 nr. 1 bokstav c) som «det primære» behandlingsgrunnlaget.

Dette er en feig diskusjon

Bruk av bokstav c) eller e) er en DISKUSJON. Jeg jobber for tiden i skolesektoren med å gjøre en nasjonal DPIA for bruk av Google Workspace for Education i skolen, og tro meg, dette med behandlingsgrunnlag er DET spørsmålet hvor folk er aller mest engasjert.

Ikke vanskelige ansvarsfordelingsspørsmål knyttet til en leverandørs behandling av personopplysninger til egne formål – nei, nei. Behandlingsgrunnlag!

Jeg synes det å bruke masse tid på bokstav c) eller e) er litt som å diskutere hvor kommaet skal stå: det er noe du bruker altfor mye tid på å krangle om. For i 99% av tilfellene HAR du et supplerende behandlingsgrunnlag i lov eller forskrift.

Og la meg nå fortelle deg hvorfor jeg tror behandlingsgrunnlag får så sykt mye oppmerksomhet i de tilfellene hvor alle er enige om at du har et supplerende behandlingsgrunnlag i nasjonale lovgivnig.

Dette blir en kjempediskusjon om «hvem som har rett» fordi «the stakes are very low».

Jammen, Ida! Dette handler om lovlighet, hvordan kan du bagatellisere det?

Premisset her er at du HAR en lovlig behandling fordi du har et supplerende behandlingsgrunnlag i lov eller forskrift. Hva som er det primære er da ikke så farlig.

Kommer Datatilsynet til å fortelle deg at behandlingen din er ulovlig fordi du valgte c) fremfor e)? Nope!

Så hva er da problemet? Hvorfor blir dette en kjempediskusjon?

Jeg tror dette er en diskusjon mange går inn i nettopp fordi det ikke vil ha så store konsekvenser om du tar feil. Og da er det på en rar måte enda artigere å små-krangle om hva som er mest riktig.

Og jeg er ikke noe unntak. Dette er en TYPISK diskusjon hvor en tidligere versjon av meg selv hadde ELKSET å små-krangle med andre om at «min argumentasjon er riktigst».

Men den typen detaljert små-krangling er også veldig feigt. Det er MYE enklere å ha veldig sterke meninger om c) eller e), enn de mye mer vanskelige problemstillingene f.eks. om leverandørens behandling av personopplysninger til egne formål.

Å være altfor opptatt av behandlingsgrunnlag – når det er ÅPENBART at du har et behandlingsgrunnlag – er å prioritere feil. Så bruk tiden din bedre!

Rant slutt!

Photo by Vyshnavi Bisani on Unsplash

Hva er en cookie? Kort fortalt er det er en liten tekstfil som lastes ned og lagres på PCen din når du åpner en nettside.

Du har kanskje irritert deg over at det kommer opp et banner når du besøker en nettside? Kanskje er du rett og slett lei av dem? Eller kanskje du virkelig ønsker å ta personvernvennlige valg, men er lei det manipulerende designet slike banne ofte har?

Uansett, dette er en veldig kort innføring i hva disse reglene er i Norge, hvorfor dette er ganske rotete, og hva fremtiden kanskje vil bringe.

Litt historikk

ePrivacy-direktivet er et EU-direktiv fra 2002 som regulerer elektronisk kommunikasjon og personvern, inkludert cookies. Du har kanskje hørt om ePrivacy Regulation? Det er en forordning EU har arbeidet med lenge som skulle erstatte ePrivacy-direktivet.

Den forordningen har ligget på is lenge, selv om man håpet at det skulle iverksettes samtidig med GDPR i 2018.  

Fordi ePrivacy er et direktiv, og foreløpig ikke en forordning, kan Norge velge om vi skal inkorporere kravene i det i norsk lov. Og det er inkorporert i norsk rett i flere lover, i all hovedsak ekomloven, men også markedsføringsloven.

Samtykke etter ekomloven for bruk av cookies og GDPR-samtykke

Ekomloven § 2-7b regulerer samtykke for cookies, og hvilken informasjon du må gi til brukerne av nettsiden din.

Kort fortalt sier den norske ekomloven at forhåndsinnstillinger i nettleser om at du som besøker nettsiden aksepterer cookies, er et gyldig samtykke. Og du som kjenner samtykkereglene i GDPR, legger merke til at samtykke etter ekomloven er ganske forskjellig fra samtykke etter GDPR.

For at et samtykke skal være gyldig etter GDPR, må det nemlig være frivillig, spesifikk, informert og utvetydig, jf. GDPR artikkel 4(11).

I 2019 kom en dom fra EU-domstolen (Planet 49-dommen) som tok stilling til om samtykke etter ePrivacy-direktivet (for oss ekomloven), skulle forstås som samtykke etter GDPR. Domstolen kom frem til at det skulle være samme krav til samtykke etter ePrivacy-direktivet, som etter GDPR.  

Problemet i Norge

Jeg hørte en gang en Podcast fra IAPP om cookies i EU/EØS, og eksperten trakk frem ett av de nordiske landene som særlig rotete når det kommer til reguleringen av cookies. Og jeg mistenker at de mente Norge.

Og med god grunn! Hvordan vi har inkorporert ePrivacy-direktivet i norsk rett er, pardon my french, et clusterfuck.

Det organet som er fagansvarlig for ekomloven, er Nasjonal kommunikasjonsmyndighet, tidligere «Post- og teletilsynet». Men det er Datatilsynet som er tilsynsmyndighet for personopplysningsloven og GDPR.

Og den ansvarsfordelingen har ikke fungert.

For etter Planet 49-dommen fra 2019, har det ikke egentlig skjedd noen endring i ekomloven. Vi har fortsatt de samme reglene, og veiledningen fra Nasjonal kommunikasjonsmyndighet er ikke veldig tydelig.

Forslag til ny ekomlov, men usikkert når den trer i kraft

Men, i 2021 ble et forslag til ny ekomlov sendt på høring.

Lovforslaget inneholdt et forslag til ny ekomlov § 3-7 om at et cookie-samtykke må være en frivillig, spesifikk, informert og utvetydig viljesytring.

Forslaget går ut på at samtykke bare kan gis gjennom innstillinger i nettleseren (slik det er ok å gjøre i dag ifølge Nasjonal kommunikasjonsmyndighet) hvis du som bruker selv aktivt gir samtykke.

Altså de samme kravene som etter GDPR!

Men vi er nå i 2023, og vi har ikke en ny ekomlov. Jeg har ikke klart å finne om lovforslaget har vært behandlet i Stortinget, eller når loven eventuelt trer i kraft.

Så foreløpig er dette med cookies og samtykke et rart eksempel der vi i Norge har forskjellige regler fra hele resten av EU fordi vi er et EØS-land og har valgt å ikke prioritere justering på bakgrunn av Planet 49-dommen.

Photo by Franck on Unsplash.

Du har kanskje møtt på dette spørsmålet når du har gjort en DPIA? For hva skiller den egentlig fra en ROS? Og hvilke uønskede hendelser hører hjemme i en DPIA, mens hvilke skal du flytte til en ROS?

Dette er et spørsmål som ofte kommer opp når jeg gjør DPIAer. Og det handler nok om at personvern og informasjonssikkerhet glir mye over i hverandre.

Informasjonsikkerhetsprinsippene (konfidensialitet, integritet og tilgjengelighet) er jo f.eks. en del av personvernprinsippene i GDPR.

Og personopplysninger er jo en informasjonstype man kan prøve å sikre med informasjonsikkerhetsmetodikk.

Hva sier lærerboka?

Det finnes mange definisjoner på dette, og det jeg kommer med her er ikke en absolutt fasit.

Men i The Architecture of Privacy av Bowman, Gesher, Grabt & Slate, foreslår de denne formuleringen som en forklaring på forskjellen mellom personvern og informasjonssikkerhet:

«Designing privacy protections is about limiting harm by authorized users - those that have been explicitly granted access to the data for some purpose.

But what about unautorized access to data? All the privacy controls in the world are meaningsless of they can be circumventee from the start.

Information security, therefore, is about limiting unauthorized access to data, and is fundametal to building a privacy protective system.»

Kort fortalt: Personvern handler om å beskytte mot at folk som har tilgang til systemet ditt ikke gjør personvernbrudd (interne trusler), mens informasjonssikkerhet handler om å beskytte mot at uvedkommende ikke skal få tilgang (eksterne trusler).

Hvorfor er dette relevant?

Jo, det kan noen ganger være vanskelig å skille mellom de uønskede hendelsene som skal vurderes i en DPIA, og de som skal vurderes i en ROS.

I vår europriske kontekst vil det også være relevant å ta med uønskede hendelser knyttet til oppfyllelse av den registrertes rettigheter og friheter i en DPIA, og det dekkes naturlig nok ikke av den amerikanske definisjonen ovenfor. 

Og så ER jo informasjonssikkerhet også en del av GDPR og noe Datatilsynet VIL gi bøter for hvis personopplysninger kommer på avveie…

Og det betyr at det alltid vil være overlapp mellom de risikosecnarioene du tar med i en DPIA og de du legger over i en ROS. Og det tror jeg betyr at svaret på hvilke scenarioer som skal hvor, irriterende nok beror på en «konkret helhetsvurderingvurdering»

Photo by Piron Guillaume on Unsplash.

Det at barn er en «sårbar gruppe» i personvernsammenheng, betyr blant annet at de trenger særlig beskyttelse. Denne bloggposten handler om hvorfor det er slik, og hvordan det ser ut i praksis.

Sårbar gruppe

Den største og viktigste grunnen til at barn nyter et særlig vern etter personvernlovgivningen vår, er at de ikke er veldig gode på konsekvenstenking.

Og dette er ikke en «diss» av mennesker under 18. Det er allerede vanskelig nok for oss over 18 å vurdere risikoer og konsekvenser ved at noen behandler personopplysningene våre, at det ville være uforholdsmessig strengt å forvente at barn skal kunne gjøre det.

Det er også vanskelig for barn og sette seg inn i hvilke rettigheter de har etter personvernlovgivningen, og hvordan gå frem for å håndheve dem. Igjen tenker jeg på oss voksne som heller ikke alltid vet hvilke rettigheter vi har eller hvordan håndheve dem. Og da er det ganske urealistisk å forvente at barn skal kunne håndheve egne personvernrettigheter.

Dette betyr at vi som behandler barns personopplysninger har et spesielt ansvar for å ivareta barns personvern og ta personvernvennlige valg på deres vegne.

Hva betyr det å «ivareta barns personvern» eller å «ta personvernvennlige valg på deres vegne»? Hvordan kan de se ut?

Ivaretagelse av informasjonsplikten på en måte et barn forstår

Retten til informasjon fremheves stadig vekk av Datatilsynet som en av de mest grunnleggende personvernrettighetene vi har. Dette fordi den er en forutsetning for å kunne gjøre gjeldende alle andre rettigheter etter personvernlovgivningen.

Og overfor barn er fortalen veldig klar på hva det vil si at barn skal ha et ekstra vern:

«Ettersom barn fortjener et særlig vern, bør all informasjon og kommunikasjon, dersom behandlingen gjelder barn, være formulert på et klart og enkelt språk som barnet lett kan forstå»

Retten til å bli glemt gjelder særlig når behandlingsgrunnlaget var samtykke og ble innhentet da den registrerte var barn

Retten til å bli glemt betyr at du kan kreve at personopplysninger om deg slettes. Dette er særlig aktuelt når det ikke lenger er nødvendig å behandle dine personopplysninger for å oppfylle formålet med behandlingen.

Men denne retten er også særlig aktuell hvis noen behandlet dine personopplysninger da du var barn.

La oss si at foreldrene dine samtykket til at bildet ditt ble brukt i kommunen din sitt kommunikasjonsarbeid for å promotere kommunen da du var 6 år. Nå er du 18, og kommunen bruker fortsatt ditt bilde til promotering. Du er ikke lenger veldig gira på å fortsatt være kommunens ansikt utad.

Fortalen til GDPR sier at du kan kreve at kommunen stopper å bruke bildet ditt, og at de sletter det fra hjemmesiden sin.

Helt så tydelig står det ikke i fortalen. Den sier at retten til å bli glemt «er særlig relevant når den registrerte har gitt sitt samtykke som barn og ikke har fullstendig kjennskap til risikoene forbundet med behandlingen, og senere ønsker å fjerne slike personopplysninger, særlig på internett»

Og det går etter min mening ut på det samme!

Photo by Miłosz Klinowski on Unsplash.

Du er en virksomhet i 2023, og det betyr at du må beskytte deg mot IT-trusler. F.eks. må du hindre ulovlig tilgang til elektroniske kommunikasjonsnett, spredning av skadelige koder, du må kunne forhindre «tjenestenektangrep» og stoppe skade på dine datasystemer og elektroniske kommunikasjonssystemer.

Et av tiltakene kan være sikkerhetslogging eller annen type overvåkning av nettrafikken din. Og det betyr at du også fort behandler personopplysninger for sikkerhetsformål.

Hva kan være behandlingsgrunnlaget for det? La meg presentere to alternativer:

1 Berettigede interesser

Fortalen sier i punkt 49 at det å behandle personopplysninger for sikkerhetsformål, utgjør en berettiget interesse.

Dette forutsetter at de tiltakene du iverksetter for å ivareta informasjonssikkerheten er nødvendige og forholdsmessige ut ifra det du ønsker å oppnå. Det setter noen skranker for de sikkerhetstiltakene du kan iverksette, men det betyr også at du som behandlingsansvarlig har stor frihet til å vurdere treffende tiltak selv. 

Og ja, det fremgår direkte av fortalen at også offentlig myndighet kan bruke berettigede interesser som behandlingsgrunnlag her.

Det har nok å gjøre med at «sikkerhetsformål» slik vi forstår dem her, ikke er knyttet til offentlig myndighetsutøvelse. Dette er behandling av personopplysninger som enhver virksomhet må gjøre for å sikre seg selv fra IT-trusler.

2 Artikkel 6(1)c) eller 6(1)e) og GDPR artikkel 32 som supplerende rettsgrunnlag (eller annet relevant regelverk som pålegger deg sikkerhetstiltak)

Der jeg kan, liker jeg å vise til rettslig forpliktelse i GDPR artikkel 6 (1) bokstac c) eller oppgave i almennhetens interesse i GDPR artikkel 6 (1) bokstav e) - alt ettersom hvor tydelig sikkerhetspålegget ditt er i det supplerende rettsgrunnlaget.

Bakdelen med det er at det ikke bare holder å vise til rettslig forpliktelse eller oppgave i almennhetens interesse, du må kunne vise til en konkret lovpålagt forpliktelse aka en bestemmelse, helst i lov eller forskrift som pålegger deg å jobbe risikobasert.

Heldigvis finnes det flere slike lover og forskrifter.

Noen behandlingsansvarlige er bundet av sikkerhetsloven, den inneholder krav til å iverksette sikkerhetstiltak ut ifra risiko. Mens andre kan være bundet av eForvaltningsforskriften eller pasientjournalloven.

Det finnes sikkert spesiallovgivning i andre sektorer, finanssektoren f.eks, men jeg kjenner ikke konkret til de bestemmelsene.

Og om du ikke finner supplerende nasjonal lovgivning, pleier jeg å bruke artikkel 32! Den er generell, og samtidig en forpliktelse som er så konkret at den pålegger deg som behandlingsansvarlig å iverksette risikoreduserende tiltak ut i fra de faktiske forholdene du må forholde deg til.

Ps. Jeg har lest mye i fortalen i det siste. Det er en del av jobben jeg gjør når jeg skal holde meg oppdatert faglig. Og det betyr ikke bare å lese om nye ting, det betyr også å gå tilbake til de mer grunnleggende kildene. Som fortalen!

Photo by Tim Mossholder Unsplash.

Du vet at en tilsynelatende uskyldig personopplysning om deg, kan avsløre noe mye mer sensitivt enn personopplysningen i seg selv skulle tilsi.

For ganske nøyaktig ett år siden, fikk vi en dom fra EU-domstolen som slo fast noe mange av oss har visst lenge: at navnet på din romantiske partner, kan si noe om kjønnet til vedkommende, og også indikerer din seksuelle orientering.

Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=1884161

Men kan en så alminnelig personopplysning som ditt eget navn være en særlig kategori av personopplysninger?

Storytime!

En dag da Harvard-professor Latanya Sweeney skulle søke opp en vitenskapelig artikkel hun hadde skrevet, og Googlet sitt eget navn, la hun merke til at hun fikk opp reklame som insinuerte at hun hadde et rulleblad. Google viste nemlig annonser til firmaer som ville vise hva hun hadde vært straffet for til den som søkte opp navnet hennes, for en pris.

Problemet var bare at Sweeney ikke hadde noe rulleblad. Hun er en data-scentist, og hun hadde tidligere forsket på hvor enkelt det er å re-identifisere amerikanere ut ifra noen ganske få og tilsynelatende uskyldige personopplysninger.

Faktisk var det Sweeney som hadde identifisert guvernøren i Massachusetts sin medisinske diagnose og hvilke legemidler han hadde fått tilskrevet, fra tilsynelatende anononymiserte data. Dette klarte hun ved å sammenligne to forskjellige datasett.

Hun er også hjernen bak den nå beviste hypotesen om at 87% av alle amerikanere kan identifiseres hvis du har følgende tre opplysninger om dem: navn, fødselsdato og postnummer (zip-code).

Sweeney ble nysgjerrig på hvorfor hun fikk servert en annonse som indikerte at hun var kriminell. Så hun startet å utforske hvilke annonser som dukket opp hvis hun søkte på forskjellige navn i Google. Etter å ha gjort dette en stund, satt hun igjen med et inntrykk av at søk på navn som ofte blir gitt til svarte amerikanere, oftere ville vise reklame for også få tilgang til rullebladet deres.

Sweeney er også en svart amerikaner. Fornavnet hennes, Latanya, er også et tradisjonelt «svart» navn. Det faglige var plutselig blitt personlig.

Så hva fant hun?

Hva var de faglige konklusjonene etter at hun hadde forsket nærmere på typiske svarte og typiske hvite navn i USA? Var de forskjellige navnene assosiert med ulike typer reklame når man søkte opp navnet i Google?

Ja, det korte svaret er ja. Eller for å bruke Sweeneys egne ord:

“80 percent of the time, if your name was given more often to a Black baby than a white baby, you would get an ad implying you had an arrest record, even if you did not.”

Hun fant også at amerikanske fornavn er en god indikator på om du er en svart eller hvit amerikaner.

Kilde: https://www.hks.harvard.edu/faculty-research/policy-topics/science-technology-data/qa-latanya-sweeney-how-chance-encounters

Hva betyr dette for deg?

At navnet ditt er en god indikator på din etniske tilhørighet, og dermed er en særlig kategori personopplysning.

Jammen Ida, det kan du da ikke mene! Vet du hvilke konsekvenser en slik forståelse vil få? Da er det jo i utgangspunktet forbudt å behandle navn med mindre du finner et behandlingsgrunnlag i artikkel 9! Det er ALT FOR mye stress!

Ja, jeg VET det er stress. Jeg jobber med personvern hver dag, jeg skjønner hva det betyr å si at noe er en særlig kategori av personopplysninger.

Men jeg ser heller ikke noe annet godt argument for å si at navn IKKE er en særlig kategori, enn at det er stress.

For tar jeg feil? Sånn helt ærlig? Hvis forskning viser at vi navnet ditt kan fortelle meg om din etniske opprinnelse, skal det virkelig ikke være en særlig kategori personopplysning?

Ps. Navnet mitt sier forskjellige ting om meg etter hvilket land jeg bor i. Når jeg bor i Norge, forteller det at jeg heter Ida at jeg er en kvinne som mest sannsynlig er født på slutten av 80-tallet eller begynnelsen av 90-tallet.

Mens når jeg bor i USA eller Frankrike, indikerer navnet mitt at jeg er en kvinne på godt over 80 år, og kanskje av tysk avstamning.