logo

Legal Update Q1 2025: Personvern

Meta starter KI-trening på brukergenerert innhold fra Facebook og Instagram

Meta har kunngjort at de fra slutten av mai 2025 vil starte trening av sine generative KI-tjenester på brukergenerert innhold fra Facebook og Instagram. Dette inkluderer bilder, kommentarer og innlegg som er publisert offentlig av brukere over 18 år, og gjelder både historisk og fremtidig innhold. I tillegg vil interaksjoner med Metas KI-tjenester, som chatbot-funksjoner og bildegenereringsverktøy, brukes i treningen – uavhengig av brukers alder.

Meta baserer denne behandlingen på berettiget interesse, og ikke samtykke. Dette har utløst bekymringer blant tilsynsmyndigheter, og flere europeiske datatilsyn – inkludert det norske Datatilsynet – har stilt spørsmål om formålsforenlighet, behandling av barns bilder og informasjonens karakter. Brukere kan protestere mot bruken gjennom skjema på Facebook og Instagrams nettsider. Protesten gjelder imidlertid kun innhold brukeren selv har publisert.

Datatilsynet følger saken tett i samarbeid med øvrige datatilsynsmyndigheter i EØS, og det er allerede sendt inn klager på Metas praksis.

Les mer: Datatilsynet – Meta og KI-trening

TikTok ilagt €530 millioner i bot for ulovlige overføringer til Kina

2. mai 2025 fattet det irske datatilsynet (DPC) vedtak om at TikToks overføring av personopplysninger om EØS-brukere til Kina er i strid med GDPR. Vedtaket inneholder et overtredelsesgebyr på totalt €530 millioner, og TikTok er pålagt å bringe behandlingen i samsvar med regelverket innen seks måneder.

DPC konkluderte med at TikTok ikke hadde vurdert det kinesiske lovverket tilstrekkelig, og dermed ikke kunne dokumentere et beskyttelsesnivå tilsvarende EUs. TikTok hadde i tillegg gitt mangelfull og misvisende informasjon om overføringene i sin personvernerklæring, særlig ved å ikke nevne Kina som mottakerland og ved å utelate informasjon om fjernaksess til data lagret i Singapore og USA.

Vedtaket omfatter også en suspensjon av overføringene til Kina dersom TikTok ikke innretter seg innen fristen.

Les mer:DPCs kunngjøring – 2. mai 2025

Ny veileder om samtykke til cookies og sporingsteknologier

Datatilsynet og Nkom har utgitt en felles veiledning om samtykke til bruk av informasjonskapsler og lignende teknologier. Veiledningen bygger på endringene i ekomloven § 3-15, som trådte i kraft 1. januar 2025, og som presiserer at samtykker nå må tilfredsstille kravene i GDPR for å være gyldige.

Veiledningen gir ti konkrete råd om utforming av samtykkeløsninger, og tydeliggjør blant annet at samtykke må være frivillig, informert og like enkelt å trekke tilbake som å gi. Bruk av «cookie walls» frarådes sterkt, og det anbefales å bruke lagvis informasjon fremfor å overbelaste samtykkebanneret.

Hva bør virksomheter gjøre nå?

Datatilsynet og Nkom anbefaler at virksomhetergjennomgår og oppdaterer sine samtykkeløsninger snarest, for å unngå sanksjoner som følge av brudd på både ekomloven og GDPR.

Les mer: Datatilsynet – Veileder om cookies og sporingsteknologi

Bot til Telenor for mangler ved personvernombudsordning og internkontroll

Datatilsynet har ilagt Telenor et overtredelsesgebyr på fire millioner kroner for mangler knyttet til etableringen av personvernombud. Ombudet var også advokatfullmektig i Telenor ASA, og det ble ikke dokumentert at det forelå tilstrekkelig uavhengighet, ressurstilgang eller mulighet til å rapportere direkte til ledelsen, slik GDPR krever.

Tilsynet påpekte også mangler i behandlingsprotokollen og fravær av vurdering av om de har plikt til å ha personvernombud, til tross for at ombud var oppnevnt. Saken viser at frivillig oppnevnte personvernombud må oppfylle alle kravene i GDPR, og Datatilsynet oppfordrer virksomheter til å vurdere (og dokumentere) om det er behov for ombud i deres bedrift.

Les mer: Datatilsynets omtale av vedtak mot Telenor (mars 2025)

EU-domstolen: Kjønnsopplysninger i offentlige registre må oppdateres ved feil

I en dom frat 13. mars 2025 (sak C-247/23, Deldits) fastslår EU-domstolen at offentlige myndigheter plikter å rette personopplysninger om kjønn i offentlige registre dersom opplysningene er feil. Dommen gjelder en transperson med flyktningstatus i Ungarn, som hadde blitt registrert med feil kjønn i det nasjonale asylregisteret. Ungarske myndigheter nektet å rette informasjonen fordi vedkommende ikke kunne dokumentere at det var gjennomført kirurgisk kjønnsskifte.

Domstolens vurdering

EU-Domstolen understreker at retten til retting etter GDPR artikkel 16 gjelder også for data om kjønn og at slike opplysninger skal speile den registrertes faktiske, levde kjønnsidentitet, ikke det kjønn som er tildelt ved fødselen. Det er ikke tillatt for en medlemsstat å kreve kirurgiske inngrep som vilkår for å få rettet opp slike personopplysninger. En slik praksis krenker både GDPR og grunnleggende rettigheter etter EU-charteret, herunder retten til fysisk og psykisk integritet.

Dommen er prinsipielt viktig for rettsvernet til transpersoner i hele EØS og bekrefter at personvernregelverket også beskytter kjønnsidentitet mot diskriminerende og uforholdsmessige krav.

Les mer: EU-domstolens dom i sak C-247/23 (InfoCuria)

EDPB med nytt koordinert tilsynstiltak om retten til å slette personopplysninger

EUs personvernråd (EDPB) har lansert et nytt koordinert tilsynstiltak (CEF) for 2025, denne gangen med fokus på hvordan virksomheter etterlever retten til sletting etter GDPR artikkel 17. Tiltaket gjennomføres parallelt i hele EØS-området, og norske virksomheter kan bli kontaktet av Datatilsynet.

Tilsynet skal kartlegge om og hvordan virksomheter sletter personopplysninger når de får krav om det, hvordan unntak vurderes, og om interne rutiner og systemer er på plass. Formålet er å identifisere mangler og bidra til harmonisering og bedre praksis. Tiltaket kan føre til individuelle oppfølgingsvedtak.

I fjor var det retten til innsyn som ble gjenstand for tilsvarende samordnet kontroll.

Les mer: EDPB – Coordinated Enforcement 2025

Nyhetsbrev

Vil du motta relevante nyheter og invitasjoner på e-post?