Hvordan dele personopplysninger i fremtiden?

Vi har tatt en prat med advokat og partner Espen Bakjord i Vaar Advokat som kommer på IT-Kontraktsdagen .

Hvis en underrettsdom påvirker hvordan personopplysninger blir håndtert, kan det affisere eksisterende og fremtidige avtaler som involverer datautveksling. Hvordan påvirker dette norske bedrifter? Hvilke råd vil du gi?

-Det er ikke gitt at underrettspraksisen blir stående. I dag er det likevel slik at det er EU-domstolens rettspraksis som gir de mest sentrale føringene på hvordan regelverket skal forstås og dette kan påvirke norske bedrifter og deres avtaler. Fra et juridisk perspektiv vil rådet mitt derfor være å følge med på sentrale avgjørelser i EU-domstolen, sier Espen Bakjord.

Bakjord forklarer at ettersom personvernregelverket er et nokså ungt regelverk, strides det fremdeles om hvordan en rekke spørsmål skal forståes.

-Det gjør at utviklingen av nye IT-løsninger nødvendigvis vil medføre at man må fatte beslutninger om hvordan man skal forstå et regelverk som fremdeles kan være uavklart. Når man velger løsning ut fra hvordan det påvirker personvernet holder det ikke nødvendigvis bare å velge det forsiktigste alternativet, ettersom personvernprinsippene av og til kan være motstridende, sier han.

Eksempler på dette kan være at utvikleren må balansere mellom hensynene til dataminimering og tilgjengelighet. Kommer det en ny dom som sier noe om hvordan denne avveiingen skal gjøres, kan man måtte endre måten man utveksler opplysninger med sine samarbeidspartnere på. Når man gjør slike vanskelige veivalg som bedrift, kan det lønne seg å ha en Plan B. Dette er en naturlig konsekvens av hvor raskt den teknologiske utviklingen går i dag, og at regelverket iblant sliter med å holde tritt.

-Jeg ser at det er økt interesse blant bedrifter som ønsker å kartlegge forholdet mellom deres bruk av AI, og betydningen denne bruken har for personvern som er registrert, sier han.

Dersom det blir vesentlige endringer i hvordan personopplysninger håndteres, kan det ha direkte implikasjoner for kommende regelverk som ODD og Data Act. På hvilken måte og hva slags implikasjoner får dette ?

– Vi kan forvente flere nye regelverk, spesielt fra EU, som regulerer IT-sektoren på ulike måter. Mange av disse reglene har et grensesnitt opp mot GDPR, og GDPR får gjerne rettslig «forkjørsrett», forklarer Bakjord.

For eksempel fremgår det av ODD at gjenbruken av personopplysninger etter ODD forutsetter at GDPR er fulgt, og særlig at prinsippet om formålsbegrensning er ivaretatt. Dersom det kommer en dom som endrer måten vi ser på dette prinsippet på, vil det også ha implikasjoner for dem som gjenbruker personopplysninger i samsvar med den norske implementeringen av ODD.  Det samme er tilfellet for utkastet til Data Act, hvor det er en klar forutsetning at vilkårene for behandling i GDPR er oppfylt for at utlevering av opplysninger skal kunne skje.

-I praksis vil dette bety at kommende regelverk antakelig ikke vil utgjøre unntak til GDPR, og endringer i måten vi forstår personvernregelverket kan ha direkte praktiske konsekvenser for måten andre regelverk innenfor IT-jussen skal forstås, avslutter han.

Meld deg på It-Kontraktsdagen her.