Gratulerer med femårsdagen, GDPR!

Selv om GDPR har bidratt til å sette personvern på agendaen verden over, gjenstår fortsatt mange ubesvarte spørsmål, og GDPR skal fortsette å fungere i en verden preget av rask teknologisk utvikling med store ringvirkninger for økonomi og samfunn. På selve bursdagen retter vi blikket fremover og deler noen tanker om hva som vil påvirke personvernområdet de neste årene.

Kunstig intelligens

Det kanskje største spørsmålet i årene som kommer vil være hvordan utviklingen innen kunstig intelligens vil møte individers rett på personvern. Kunstig intelligens har for alvor gjort sitt inntog i hverdagen, og det i løpet av kort tid. Utrullingen av generativ AI til forbrukere har bidratt til det som har blitt kalt «AI’s gold rush», som vil få store ringvirkninger på en rekke områder. Samtidig kan kunstig intelligens legge press på grunnleggende rettigheter og friheter, ikke minst på personvernet. Spørsmål rundt dataene som brukes til å trene algoritmene, hvordan og for hvilke formål den kunstige intelligensen brukes, og sikkerheten i løsningene kan gjøre det mer utfordrende for den enkelte å ha kontroll på sine data og ivareta sine rettigheter.

Tidligere i år vedtok det italienske datatilsynet et midlertidig forbud mot ChatGPT i Italia blant annet grunnet bekymring rundt lovligheten av dataen som er brukt til å trene opp modellen, aldersverifisering på plattformen og informasjonen til brukerne. OpenAI, som driver ChatGPT, fikk frem til utgangen av april til å sette inn tiltak, og kan nå drive i Italia igjen. Saken viser hvordan KI-modeller kan komme i konflikt med GDPR, men tydeliggjør også utfordringen de europeiske datatilsynene står ovenfor når de skal balansere etterlevelse av GDPR med press fra markedet, forbrukere og offentlige myndigheter om å dra nytte av kunstig intelligens.

I dag er denne utfordringen i stor grad overlatt nasjonale tilsynsmyndigheter og rettssystemer. Behovet for harmonisert regulering som sikrer etisk utvikling og bruk av kunstig intelligens i tråd med personvernretten er stort. EUs forslag til AI-forordning er et steg på veien mot dette. I likhet med GDPR vil forordningen basere seg på en risikobasert tilnærming til kunstig intelligens, og vil regulere adgangen til og rammene for kunstig intelligens ulikt basert på risikoen systemene representerer.

Regulering av dataøkonomien og digitale markeder

Da GDPR ble lansert ble regelverket blant annet hyllet som et viktig verktøy for å oppnå tillit i det digitale samfunnet. Den raske teknologiske utviklingen har på enkelte områder skapt et regulatorisk etterslep. For eksempel forventer EU en økning i det globale volumet av data på 530 % mellom 2018 og 2025, og at EUs dataøkonomi i samme år vil nå 829 milliarder euro. I USA har en gjennomsnittlig husholdning 20 enheter som er tilkoblet internett. I havet av data og aktører kan det bli stadig vanskeligere for individer å ha kontroll på sine personopplysninger.

Den store utfordringen for myndigheter vil også i årene som kommer være å balansere ambisjonen om å hente gevinster fra teknologien og bidra til innovasjon samtidig som grunnleggende rettigheter og friheter ivaretas. Gjennom sin digitale strategi har EU lansert en rekke regulatoriske tiltak som vil få betydning for virksomheter og forbrukere, og som vil påvirke personvernarbeidet på disse områdene.

I tillegg til den nevnte AI-forordningen skal for eksempel Dataforvaltningsforordningen (Data Governance Act) og Dataforordningen (Data Act) bidra til mer forutberegnelighet for virksomheter, offentlige myndigheter og forbrukere når det gjelder tilgang til og deling av data, herunder personopplysninger. Gjennom forordningen om digitale tjenester (Digital Services Act) og forordningen om digitale markeder (Digital Markets Act) er målet at forbrukere og virksomheter i større grad skal møte rettferdige og åpne digitale markeder og sikre en trygg og ansvarlig digital verden. Kommunikasjonsvernforordningen skal bidra til økt personvern ved digital kommunikasjon.

Arbeidet med etterlevelse av nye regulatoriske tiltak i det digitale samfunnet vil prege virksomheters personvernarbeid de neste årene.

Innebygd personvern og PETs

Virksomheter må være i forkant av og holde tritt med en storstilt teknologisk utvikling, samtidig som de vil stå overfor et stadig mer komplekst rettslig landskap. GDPRs krav om innebygd personvern og tekniske og organisatoriske tiltak for å sikre personvernet vil nok prege virksomhetenes personvernarbeid de neste årene, både som en nødvendig mekanisme for å sikre den enkeltes rettigheter i et omfattende datalandskap, men også fordi virksomheter og forbrukere vil stille strengere krav om innebygd personvern i markedet. Det skjer en stor utvikling innen såkalt Privacy Enhancing Technologies (PETs), som har som formål å trygge personvernet med så liten påvirkning på virksomhetenes aktiviteter som mulig.

På verdensbasis skjer det en stor utvikling av regelverk som skal sikre innbyggernes personvern. Dette vil bidra til å gjøre personvern og informasjonssikkerhet til stadig viktigere kvalitetsmarkører også i det globale markedet. Ikke minst vil utfordringer knyttet til overføring av personopplysninger til tredjeland fortsatt være på agendaen i årene som kommer, og tilgang på personvernsikre produkter i markedet vil være et viktig ledd for å sikre trygg behandling av personopplysninger på tvers av landegrenser.

Håndhevingen av GDPR – mot sentralisering og harmonisering?

Da GDPR ble lansert var nok det foreslåtte sanksjonssystemet både det mest fryktede og lovpriste av forordningens bestemmelser. På den ene siden ble muligheten for å bli ilagt høye bøter sett på som utfordrende i lys av de tidvis runde formuleringene i forordningen. På den andre siden ble sanksjonene sett på som et nødvendig verktøy for å sikre at virksomheter faktisk ville prioritere etterlevelse. Det er i tiden etter ikrafttredelsen av GDPR blitt ilagt en rekke bøter.

Sanksjonssystemet er imidlertid blitt kritisert for å være lite effektivt. Mange store saker har tatt lang tid å få avklart, og enkelte har pekt på at det har vært spesielt vanskelig å rette krav mot de store teknologiselskapene. Overvåkning på nett, profilering for markedsføringsformål og overføringer til tredjeland er eksempelvis områder man har vært særlig opptatt av, men hvor saker ofte har tatt lang tid eller det har vært vanskelig å gjennomføre tilsyn. Saksbehandlingstider har også blitt påvirket av at det i mange tilfeller har vært vanskelig for tilsynsmyndighetene å fastslå hvem som har jurisdiksjon i sakene.

Situasjonen har ført til at både interesseorganisasjoner og EU-parlamentarikere har tatt til orde for å gjøre endringer i hvordan GDPR iverksettes og håndheves. Eksempelvis er det uttrykt et ønske om tydeligere veiledninger fra Personvernrådet (EDPB) som kan sikre en mer harmonisert tolkning av GDPRs bestemmelser. Etter press fra interesseorganisasjoner og anbefaling fra EUs ombudsmann meldte EU-kommisjonen nylig at de ville sette i gang et nytt system for å kontrollere de nasjonale tilsynsmyndighetens saksbehandling. Dette skal særlig sikre effektiv saksbehandling i store og viktige saker.

Selv om det per i dag ikke ligger an til å bli gjort endringer i selve forordningen, gjenstår det å se i hvilken grad ønskene om mer sentralisering og harmonisert tolkning vil bidra til å sikre individuelle rettigheter, effektivisere sanksjonssystemet, og gjøre GDPRs krav tydeligere for virksomheter.

Den raske teknologiutviklingen, omfattende mengder personopplysninger og aktører, og store regelverksendringer gjør at det er liten tvil om at personvern vil stå høyt på agendaen også de neste 5 årene.
 

Kilder:

EU-kommisjonen. «European data strategy». 

EU-parlamentet. 25.03.2021. «Parliament calls for improves implementation and enforcement of the GDPR». 

Irish Council for Civil Liberties. 31.01.2023. «Europe-wide overhaul of GDPR monitoring triggered by ICCL».

Koetsier, John. 31.08.2022. «Smart Home: Apple Is The Fastest-Growing Connected Device Company». Forbes.