Det er ikke lett å ha kontroll på alt som skjer i GDPR-verdenen. Vi tok en prat med Line Coll, direktør i Datatilsynet, for å oppklare noen av de viktigste spørsmålene.

Kall det gjerne en «David mot Goliat-situasjon»: Forrige uke vant Datatilsynet frem i Oslo tingrett mot teknologigiganten Meta. 

– Dette er en stor seier for personvernet. Kjennelsen fra tingretten var tydelig og god, og det blir spennende å se hvordan lagmannsretten eventuelt tar dette videre, sier Line Coll, direktør i Datatilsynet. 

Men rettssaken mot Meta er ikke det eneste som har skjedd på personvernfronten den siste tiden. Året har vært spekket av nyheter som for mange har bydd på en del forvirring og usikkerhet. 

Er Google Analytics lovlig eller ikke? Er det egentlig lov å dele data ut av EU nå, eller gjelder dette bare USA? Og ikke minst, hvordan skal norske virksomheter forholde seg til fremveksten av ny teknologi og kunstig intelligens med tanke på personvern?

Selv for selverklærte GDPR-nestorer kan det være vanskelig å holde tritt med alt som skjer. Derfor satt vi oss ned med Coll for å få oversikt over alle disse GDPR-spørsmålene. 

Meta anerkjenner at de samler inn data ulovlig 

La oss starte med rettssaken. En rettssak som etter sigende vil koste Mark Zuckerberg dyrt. 

– I sommer beordret Datatilsynet Meta, altså selskapet som eier Facebook og Instagram, til å stanse bruken av nordmenns persondata til adferdsbasert reklame, innleder Coll. 

Kjennelsen fra Oslo tingrett gir Datatilsynet lov til å ilegge Meta dagbøter på én million kroner. 

Etter kjennelsen bestemte blant annet KrF seg for å stanse all annonsering på Facebook og Instagram. Betyr det at det blir ulovlig for norske virksomheter å annonsere på Facebook? 

Nei, forklarer Coll, men: 

– Vi anbefaler virksomheter å være føre var inntil Meta endrer praksis. De har sagt at de skal endre praksis, men at det er teknisk komplisert. Så på den måten anerkjenner de selv at de samler inn data ulovlig. 

Med å være føre var, mener hun at man må være bevisst hvilke tjenester man kjøper av Meta, og hvilke data man gir Meta tilgang til. Til syvende og sist handler det om en risikovurdering man må gjøre selv. 

– KrF konkluderte med at annonsering på Meta sine plattformer innebar for høy risiko. Men det betyr ikke at vi på generelt grunnlag legger oss opp i vurderingene hver enkelt virksomhet gjør. I denne saken er det Meta som er kjernen av problemet, ikke virksomheter som kjøper tjenester av dem, legger Coll til. 

– Amerikanske selskaper suger til seg informasjon  

På spørsmål om hvilke temaer næringslivet bør være ekstra oppmerksomme på, svarer Coll kontant: 

– Ny teknologi og kunstig intelligens. 

Hun forklarer at kunstig intelligens «lever av data», og i stor grad er det personopplysninger som ligger til grunn for både etablering, utvikling og trening av disse modellene.

– I tilfeller som Snapchat sin My AI sitter det et amerikansk selskap og suger ut alt de kan av brukerne sine. Vi kan heller ikke vite hva OpenAI gjør med dataene du velger å dele med ChatGPT, legger Coll til. 

Hun poengterer at virksomheter som tar i bruk KI er å anse som behandlingsansvarlige. Deler man for eksempel personopplysninger med ChatGPT på jobb, må man kunne vise til et behandlingsgrunnlag.

Behandlingsansvarlig og behandlingsgrunnlag er to sentrale begreper fra GDPR du kan lære mer om i vårt gratis innføringskurs. 

Lovlig å dele data med godkjente amerikanske selskaper

Nylig gjestet den østerrikske aktivisten og juristen Max Schrems sikkerhetsfestivalen i Lillehammer. Schrems har fått to rettskraftige EU-dommer oppkalt etter seg, etter at han klaget inn Facebook til det irske datatilsynet for å stoppe personopplysninger mellom Facebook Irland og Facebook Inc. i USA. 

Konsekvensene av dommen «Schrems II» har gjort at det som hovedregel har vært forbudt å overføre personopplysninger ut av EU/EØS. 

I Norge har dommen blitt mye omtalt i forbindelse med at Telenor var klaget inn til Datatilsynet for sin bruk av Google Analytics. I lys av klagen gikk Datatilsynet ut og anbefalte alle å utforske alternativer til Google sitt analyseverktøy – for mange norske virksomheter et standardprogram for trafikkanalyse på sine nettsider. 

I sommer konkluderte Datatilsynet med at bruken av Google Analytics har vært ulovlig frem til nå. 

Samtidig har EU og EØS inngått en ny avtale med USA om en såkalt adekvansbeslutning, som skal garantere for personvern knyttet til godkjente selskaper – deriblant Google. 

– Avtalen betyr per nå at det er lov å bruke Google Analytics, og også å inngå avtaler med en rekke spesifikke amerikanske selskaper som står på denne listen over godkjente virksomheter, forklarer Coll. 

Det betyr ikke nødvendigvis at Datatilsynet har «godkjent» Google Analytics. Det kan være andre personvernutfordringer med tjenesten. Men overføringsproblematikken, som har vært kjernen av den pågående saken, er løst.

Skyleverandører som Amazon og Microsoft står også på listen. Med andre ord slipper du å bekymre deg for at din rigg i skyen er tuftet på ulovlig deling av personopplysninger. Med mindre dere for eksempel benytter dere av kinesiske Alibaba Cloud, eller outsourcer behandling av personopplysninger til andre land utenfor Europa. 

– Avtalen gjelder med amerikanske selskaper. Tilgjengeliggjør eller overfører man personopplysninger til land som Russland, Filippinene eller Kina, må man dokumentere et overføringsgrunnlag, forklarer Coll. 

Man må også vurdere beskyttelsesnivået i det aktuelle tredjelandet, for eksempel om overvåkningslover går lenger enn nødvendig og proporsjonalt. I så fall må man iverksette ytterligere tiltak.   

For å oppsummere dette helt enkelt: Det er lov å overføre personopplysninger fra Europa til bestemte amerikanske selskaper, men ikke til resten av verden. 

– Max Schrems mener at denne avtalen ikke er god nok og har uttalt at han skal gå etter den også. Men per nå forholder vi oss til det, forklarer Coll. 

Signal om at man må jobbe annerledes fremover 

På mange måter kan kjennelsen mot Meta anses som et signal for hvordan virksomheter må jobbe annerledes med algoritmestyrte plattformer i fremtiden, sier Coll. 

– I stor grad handler dette om transparens. Norske virksomheter må kunne vise til og kartlegge hvilke avtaler de har med Facebook, Google eller andre selskaper. Dokumentasjon er nøkkelen til etterlevelse, legger hun til. 

En grundig, aktiv og kontinuerlig oppdatert behandlingsprotokoll er et godt sted å starte, forklarer hun. Altså et dokument som beskriver hvilke behandlingsprosesser, hvilke avtaler man har inngått, hva avtalene innebærer og argumentasjoner for hvilke behandlingsgrunnlag man følger. 

– Behandlingsprotokollen er gjerne det aller første Datatilsynet ber om i forbindelse med tilsyn. Viser man at man har god oversikt, kontroll og bruker behandlingsprotokollen som et aktivt verktøy, er man på god vei mot en beste praksis. 

Ønsker du å lære mer om GDPR – og hvordan du må forholde deg til regelverket? I samarbeid med Datatilsynet har vi oppdatert vårt innføringskurs for GDPR.

Relatert

Bits & Bytes

Foreviger dyrebare minner med KI

Ikke alle falske bilder skaper harme. Kan minner som er rekonstruert med kunstig intelligens også brukes i demensbehandling?

Les mer

KI ABC – fra buzz til business

Vi legger ut på turné for å løfte KI-kompetansen til norske bedrifter. Meld deg på her!

Les mer

Kunstig intelligens

Ny podkast-sesong: – Kunnskapen om kunstig intelligens fortsatt veldig lav

Hva er beste praksiser med kunstig intelligens (KI) i dag? Hva skjer om vi tar det i bruk for mye og for fort? Bli oppdatert i den nye sesongen av vår KI-podkast.

Les mer

Bits & Bytes

20 år med Gmail: «Lærte oss å bytte bort personvern mot gratis tjenester»

Les mer

Bits & Bytes

Snart verdens største selskap? Nå hinter Nvidia om neste generasjon KI

Les mer

Bits & Bytes

AI Act: Et skritt i tide for å sikre menneskehetens fremtid?

EU har vedtatt forordningen for kunstig intelligens (KI), men USA frykter at det snart er for sent å avverge en sikkerhetskatastrofe.

Les mer