SOMMERFERIE 2022. De fleste av oss er på vei inn i feriemodus, og forhåpentligvis blir det en relativt normal ferie. Før vi kommer så langt, så er det på tide med en liten oppsummering av status og nyheter innen juridiske sider av teknologi og digitalisering fra andre kvartal 2022, slik som IT-rett, IPR og personvern. IT-Gruk’et ønsker alle lesere en riktig god sommer!
NY SSA-AVTALEMAL – SSA-F: Kunnskapsdepartementet tildelte i februar DFØ ansvaret for en standardavtale for forsknings- og utredningsoppdrag. Dette har resultert i den nyeste avtalemalen; Statens Standardavtale for forsknings- og utredningsoppdrag (SSA-F). Avtalemalen er, som navnet tilsier, egnet for forsknings- og utredningsoppdrag. Det gjør den ved å legge vekt på akademisk frihet, uavhengig forskning og publisering av resultater.
NYTT INNEN PERSONVERN I: Mens vi fortsatt venter på det endelige innholdet av «Trans-Atlantic Data Privacy Framework» (TADPF) for overføring av personopplysninger til USA, så var den viktigste nyheten i annet kvartal at Line Coll ble utnevnt til ny direktør i Datatilsynet. Hun tiltrer 1. august, og det er verd å merke seg hennes uttalelse i en artikkel hos WR: «Et av punktene vi har vært litt frustrerte over er at rådene og tilbakemeldingene fra Datatilsynet har virket litt virkelighetsfjerne og vanskelige å omsette i praksis. Å få være med og vri tilsynet over til å bli enda mer praktisk og relevant mot næringslivet, synes jeg er kjempespennende.» Vi gleder oss til fortsettelsen.
NY REGULERING FOR KRYPTO-VALUTA: EU har endelig kommet til enighet om regulering av krypto-valuta (eng. ‘crypto assets’). Parlamentet og rådet ble 29. juni 2022 enige om å styrke regelverket mot hvitvasking og finansiering av terrorisme gjennom bruk av krypto-valuta. I stor grad er det lagt vekt på at transaksjoner skal kunne spores uavhengig av størrelse og pliktene er rettet mot tjenestetilbydere av krypto-valuta. Det er også enighet om at GDPR vil regulere personvernet og at det dermed ikke er behov for egne personvernregler spesielt rettet mot krypto-valuta.
NYTT INNEN REGELVERK/COMPLIANCE: Åpenhetsloven trer i kraft 1. juli 2022. Loven er et nytt regelverk som skal fremme virksomheters respekt for grunnleggende menneskerettigheter og anstendige arbeidsforhold gjennom krav til åpenhet, aktsomhetsvurderinger og en informasjonsplikt om sine leveransekjeder. Den gjelder generelt, uavhengig av om det er en IT-virksomhet eller ikke, forutsatt at virksomheten oppfyller to av følgende tre kriterier på balansedagen; (i) salgsinntekt på minst 70 MNOK, (ii) balansesum på minst 35 MNOK eller (iii) gjennomsnittlig 50 ansatte i løpet av et år. I tillegg gjelder loven for alle store foretak etter regnskapsloven § 1-5. Mer om lovens krav her.
BRUK AV DATA INNHENTET AV ANNET LANDS POLITI: Høyesterett (HR) avsa 30. juni 2022 en dom (HR-2022-1314-A) hvor de tok stilling til om kryptert data, som fransk politi hadde klart å avlese på en tjenesteplattform i Frankrike, kunne føres som bevis i en norsk straffesak. HR slår fast hovedregelen om at hvis materiale er lovlig innhentet etter et lands regler så kan det benyttes som bevis i en norsk straffesak. Det forutsetter også at tiltalte har rett til innsyn i alle opplysningene som er innhentet og innhentingen ikke er gjennomført på en måte som gjør at bevisbruken er i strid med grunnleggende norske verdier. Videre viser HR til at normen er teknologinøytral.
NYTT INNEN PERSONVERN II – OVERTREDELSESSAKER: Slutten av annet kvartal har også vært preget av enkelte av Datatilsynets vedtak om overtredelsesgebyr. NAV fikk 5 MNOK i overtredelsesgebyr for å ha behandlet personopplysninger uten rettslig grunnlag og for manglende sikkerhet etter å ha publisert CV’er uten samtykke. Stortinget fikk 2 MNOK i overtredelsesgebyr for å ikke ha gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå i forkant av et dataangrep. Trumf (fordelsprogram) fikk 5 MNOK i overtredelsesgebyr for manglende personopplysningssikkerhet ved at Trumf-medlemmer kunne få tilgang til andres handlehistorikk. Datatilsynet har også fattet vedtak om forbud mot nettleserverktøyet «Shinigami Eyes» for manglende rettslig grunnlag. Sakene viser at virksomheter bør ha fokus på å sikre løpende personopplysningssikkerhet og som alltid ha rettslig grunnlag for enhver behandling av personopplysninger.
DATA GOVERNANCE ACT VEDTATT: 4. mai vedtok EU den nye datastyringsforordningen (DGA – Data Governance Act). DGA skal sikre felles regler og praksis i EU/EØS innen databruk, og tar sikte på å øke tilgjengeligheten av data, øke tilliten til dataformidlere og styrke delingsmekanismer. Den omhandler både offentlig og privat sektor, og data underlagt tredjeparters rettigheter. I korthet skal DGA; (i) gjøre enkelte kategorier av offentlige data tilgjengelig for viderebruk der visse tekniske og juridiske formkrav er oppfylt, (ii) bidra til deling av data mellom virksomheter i privat sektor (mot vederlag), (iii) hjelpe enkeltpersoner med å utøve rettighetene sine i henhold til personvernforordningen, (iv) dele data til samfunnets beste (dataaltruisme), og (v) etablere en ekspertgruppe for datainnovasjon. Som forordningen vil det forventes at den implementeres i norsk rett, men vi venter fortsatt på publiseringen av den endelige versjonen.
PLIKT Å MERKE REKLAME SOM ER RETUSJERT: Lovendringen fra 2021 i markedsføringsloven § 2 annet ledd, om innføring av en plikt for annonsører til å merke retusjert reklame, har nå fått sin egen forskrift. Forskriften om merking av retusjert reklame trer i kraft 1. juli 2022. Den gir nærmere bestemmelser om hvordan reklame skal merkes og om unntak fra merkeplikten. Reklame der kropp er retusjert, både film og bilder, skal merkes og merket skal utgjøre omtrent 7 % av bildeflaten. For reklamefilmer skal merket bli stående under hele filmen.
RETT TIL Å BRUKE BILDER PÅ NETT/OPPHAVSRETT: Høyesterett (HR) avsa dom i juni 2022 (HR-2022-1113-A) om VGs bruk av fotografier hentet fra nettsidene til et advokatfirma uten samtykke fra rettighetshaverne. HR kom til at VGs bruk av fotografiene hadde hjemmel i åndsverkloven § 36(2) som «dagshending», dvs. at det dreide seg om en nyhetssak av en viss allmenn interesse. Dermed hadde VG rett til å gjengi bildene uten samtykke, men avisen må imidlertid yte et vederlag for bruken.
NYTT INNEN PERSONVERN III: Til slutt er det verdt å merke seg at Datatilsynet også har iverksatt flere tilsyn overfor private aktører. Datatilsynet utførte tilsyn hos Telenor i tilknytning til bruk av Google Analytics etter klage fra interesseorganisasjonen NOYB i mars. I juni var Datatilsynet på tilsyn hos Elkjøp etter å ha mottatt flere klager, over lengre tid, knyttet til behandling av kundeopplysninger. Det blir også spennende å følge hvordan Datatilsynet kommer til å svare opp Forbrukerrådets klage på Google om at selskapet manipulerer brukerne til å velge de minst personvernvennlige alternativene gjennom «utspekulert design og misvisende informasjon».
VI VENTER: Til slutt kan nevnes at vi venter i spenning på flere nyheter innen IT-retten. En av disse er Grindgut-saken som var i lagmannsretten i januar/februar og hvor det var satt av 52 dager til rettssaken. Vi venter også fortsatt på den nye loven om levering av digitale ytelser til forbrukere(digitalytelsesloven). I tillegg venter vi på nye deler av EUs digitale regelverkspakke; både TAPDF som nevnt over, og ikke minst venter vi fortsatt på at EU skal blir enige om den nye ePrivacy-forordningen.
Kommentarer
Legg inn en kommentar