IT-Gruk 15/2023: Datatilsynet og Facebook – hvem er David og hvem er Goliat?
Datatilsynet og Meta møte hverandre denne uken i Oslo tingrett. Bakgrunnen var at Datatilsynet hadde ilagt Meta tvangsmulkt på bakgrunn av at forbudet mot adferdsbasert markedsføring på Facebook og Instagram ikke ble fulgt. Meta var naturlig nok ikke enig i å bli ilagt tvangsgebyr på 1 MNOK per dag og ba derfor denne uken tingretten om en midlertidig forføyning for å stoppe forbudet. Datatilsynet, med sine 60 ansatte, har sammenlignet seg med David og hans kamp mot Goliat. Meta er tross alt en digital kjempe, men noen ganger kan det kanskje være bra at kjempen tar fighten?
La oss først rekapitulere. I desember 2022 fattet det irske datatilsynet et vedtak på vegne av datatilsynsmyndighetene i EØS. Vedtaket slo fast at Meta hadde drevet ulovlig adferdsbasert markedsføring uten behandlingsgrunnlag. Denne adferden ble også adressert av EU-domstolen i begynnelsen av juli, i sak C-252-21, og viste at Metas adferdsbaserte markedsføring fortsatt ikke var i tråd med reglene. Datatilsynet fant det derfor nødvendig, ettersom det irske datatilsynet ikke grep inn, å gripe inn og komme med tiltak for stoppe den ulovlige aktiviteten.
Vedtaket fra 14. juli 2023 er basert på GDPR artikkel 66 som ble satt til å gjelde fra 4. august og i tre måneder, eller frem til Meta kunne vise at de hadde innrettet seg på en lovlig måte. I praksis fikk Meta noen få uker til å innrette seg etter vedtaket, og etter det risikerte Meta tvangsmulkt på opptil 1 MNOK per dag. Vedtaket fra Datatilsynet gjelder kun brukere i Norge. Det ble også presisert at det gjaldt kun den adferdsbaserte markedsføringen og ikke personalisert markedsføring og øvrige Facebook-tjenester.
Bakgrunnen for at Datatilsynet grep inn i denne saken, som egentlig håndteres av det irske tilsynet, er at Datatilsynet i Norge kan gripe inn direkte mot en virksomhet i hastesaker. Dette følger av GDPR artikkel 66. Forutsetningen for bestemmelsen er at det:
«et er et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter, kan … [Datatilsynet] … treffe midlertidige tiltak som skal ha rettsvirkning på eget territorium, med en fastsatt gyldighetsperiode på høyst tre måneder».
Datatilsynet mente at adferdsbasert markedsføring er såpass inngripende og kan påvirke ytrings- og informasjonsfriheten i samfunnet, samt personvernet til de registrerte. Dermed så var kravet for et akutt behov til stede.
Meta var ikke enig. En tvangsmulkt på en mulig sum i underkant av 100 MNOK gir da grunnlag for å følge et rettslig spor. Ifølge det som har kommet frem i media fra tingretten, har Meta adressert at vedtaket er ugyldig grunnet saksbehandlingsfeil basert på manglende varsel. Meta har adressert om artikkel 66 kan anvendes i dette tilfellet, herunder om det forelå et akutt behov. Fra et brukerståsted, og med tanke på det kommende kommunevalget, er det interessant å diskutere om det faktisk i slike situasjoner er et akutt behov hvis enkelte partier kjøper adferdsbasert markedsføring for å påvirke demokratiet.
Et annet interessant perspektiv som er trukket frem er at både Meta og Datatilsynet synes enige om at for adferdsbasert markedsføring er det relevante behandlingsgrunnlaget et krav om samtykke etter GDPR art. 6 nr 1 a. Meta synes deretter å legge til grunn at gjennom et slikt vedtak så må de få tilstrekkelig tid til å innrette seg. Å innføre et samtykke vil være krevende og Meta har opplyst at de overfor det irske tilsynet har lovet en innføring av samtykke innen 24. november 2023. Datatilsynet mener derimot at når behandlingen er ulovlig, kan ikke Meta fortsette behandlingen frem til forholdet er rettet. Hvis det er slik at begge parter mener at det ikke foreligger et behandlingsgrunnlag i dag, er ikke den naturlige tolkningen at dagens behandling er ulovlig. Dermed må det opphøre frem til behandlingsgrunnlag foreligger. Hvorfor skal da Meta få lov til å fortsette å behandle personopplysninger på en inngripende måte i nesten fem måneder uten overtredelsesgebyr der andre virksomheter får overtredelsesgebyr for nettopp manglende behandlingsgrunnlag? Når først GDPR ble innført var det heller ikke tale om en «grace»-periode for brudd på reglene.
Samtidig er det rimelig å forstå Meta. De har vært (og er) under et stort press og GDPR innebærer store økonomiske konsekvenser for Meta med tanke på alle overtredelsesgebyr som selskapet har blitt ilagt over de siste 24 måneder. Derfor ønsker jeg deres utfordring velkommen. Ikke fordi jeg isolert sett mener de har en spesielt god sak, men fordi jeg ønsker velkommen at selskaper utfordrer myndighetene og bringer saker inn for domstolene. Små virksomheter har nødvendigvis ikke kapasitet og ressurser tilgjengelig for å utfordre Datatilsynet. Fra et regelverksståsted er det også mulig å se på Datatilsynet som en «myndighets-Goliat» og de mindre virksomheten som en David uten slynge. Da er det godt vi har en Goliat i Meta til å søke og utfordre fagmyndigheten og dermed skape rettspraksis som gir andre veiledning.
Akkurat nå venter i spenning på utfallet av saken.
Take-aways:
- Domstolsbehandling er bra. Vi lever i et demokrati med maktfordeling. Stortinget (inkludert EU-baserte forordninger og direktiv) gir lover, regjering og forvaltningen utøver makten etter lover og regler, og domstolen dømmer lover og regler. Hipp hurra for Montesquieu. Det er likevel ikke til å stikke under en stol at Datatilsynet og andre europeiske tilsyn har fått en veldig stor og viktig rolle i utviklingen av personvernet. Det er både et nytt regelverk og det får stadig større betydning i den digitale hverdagen, men Datatilsynets forståelser og vurderinger er ikke lov i seg selv. Jeg tror ikke Datatilsynet tror det selv, men det er viktig at domstolene kommer til og at vi får rettspraksis. Takk for at vi har selskaper som Meta som tar saker til retten.
- Saksbehandling vs. personvern. Det blir interessant å se hvordan domstolen adresserer forholdet mellom manglende behandlingsgrunnlag på en side og hvis det finner at det foreligger en saksbehandlingsfeil fra Datatilsynet. Det er en grunn til at vi har saksbehandlingsregler ved myndighetsutøvelse, men ikke alle feil i saksbehandlingen leder til ugyldighet.
- Tid til å rette feil. Selv om det blir interessant å se hva slags vurderinger som kommer rundt hva som skal til for å oppfylle kravet til et «akutt behov» etter artikkel 66, så gleder jeg meg mest til å se hvilke rettslige betraktninger som vil gjøres i forhold til at Meta synes å ha fått tid til å innarbeide en samtykkeløsning i Irland. Burde de fått reell tid til å innrette seg før de fikk tvangsmulkt? Eller er denne typen behandling av en slik art at behandlingen måtte opphøre 4. august? En kan til og med lure på om hvis behandlingen var så akutt, hvorfor burde den da ikke ha opphørt umiddelbart? Dette blir gøy å lese, selv om det «bare» er en midlertidig forføyning.
Til ikke-jurister: en midlertidig forføyning er en avgjørelse som gjøres av retten og skal kun gjelde for en viss tid til en sak er endelig avgjort. Det må haste å få denne midlertidige beslutningen fordi en ikke kan vente til endelig dom. Dermed har den ikke like tung vekt som rettskilde som en alminnelig rettssak.
GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE: Vi bistår alle typer virksomheter med vurderinger knyttet til personvern/GDPR, IT-kontrakter/prosjekter, immaterialrett og andre rettsforhold knyttet til teknologi og digitalisering. Ta gjerne uforpliktende kontakt for en innledende avklaring med ansvarlig for Grettes avdeling for Teknologi og digitalisering: Peter Lenda på tel 924 01 652 eller pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grettes nyhetssider.
Flere nyheter
