IT-Gruk 17/2023: Og vinneren er Datatilsynet! Men hva betyr det for personvernet?

Kjennelsen innebærer i denne omgang at Datatilsynet har fått medhold i at vedtaket var gyldig. Meta, på sin side, må dermed ut med en tvangsbot på NOK 1 million per dag frem til de retter seg etter kjennelsen og stopper med adferdsbasert markedsføring. Resten av Facebook og Instagram sine funksjonaliteter er ikke påvirket av vedtaket. Ved første øyekast ser det ut som en klar seier for personvernet og viser at noen type inngripende behandling av personopplysninger er såpass kritisk at det vil være aktuelt å benytte hastebestemmelsen i GDPR artikkel 66.

Hva er så detaljene i saken og hva kan vi trekke ut fra kjennelsen? Det er også verdt å nevne at selv om en kjennelse ikke har stor vekt, så er vi fortsatt i en tidlig fase etter innføringen av regelverket. Dermed er enhver domstols vurdering interessant for rettsutviklingen i mangel av andre kilder.

Utgangspunktet for Meta, som eier av plattformene Facebook og Instagram, var påstanden om at Datatilsynets vedtak 14. juli 2023 var ugyldig. Det ble vist til følgende grunner:

• Vedtaket kunne rettes mot Facebook Norway AS som sammen med Meta Platforms Ireland var selskapene som vedtaket ble rettet mot. Meta mente at Facebook Norway kun leverer begrensede tjenester til Meta Ireland og kunne dermed ikke holdes ansvarlig for et annet selvstendig rettssubjekt.

• Vedtaket led av saksbehandlingsfeil ved brudd på forvaltningsloven § 16 og krav om forhåndsvarsel. Tidligere kommunikasjon mellom partene, inkludert saksbehandling i Irland, kunne ikke anses som et tilstrekkelig eller særskilt varsel. I tillegg mente Meta at saken ikke var tilstrekkelig opplyst etter lovens § 17 og at bruddene på loven hadde virket inn på vedtaket.

• Vilkårene for et hastevedtak etter GDPR artikkel 66 var ikke oppfylt. For det første så hadde ikke Datatilsynet kompetanse i denne saken siden dette er en grenseoverskridende sak som det irske tilsynet (DPC) holdt i. For det andre var ikke vilkårene for hasteprosedyre oppfylt ved at det ikke forelå et akutt behov for å treffe tiltak for å verne de registrertes rettigheter og friheter. En kan her forstå argumentasjonen dit hen at Meta mener at når DPC ikke har gått til et tilsvarende skritt med hastevedtak, så fremstår det noe underlig at det norske Datatilsynet går så langt.

• Vedtaket var uforholdsmessig etter GDPR artikkel 83 og 84, og fortalens punkt 4, 129 og 148. Det var i praksis ikke mulig å gjøre tiltak innenfor tiden på tre uker fra vedtak og til virkningen av vedtaket trådte i kraft med dagmulkt.

• Meta hevdet også blant annet at vedtaket ville medføre irreversibel skade på tjenestens omdømme og påføre betydelig økonomisk tap etter tvisteloven § 34-1.

Datatilsynet imøtegikk påstandene og viste blant annet til at DPC sin avgjørelse fra desember 2022 gav en 3 måneders frist for å sikre etterlevelse. Når det i juli 2023 ikke var oppfylt, så innebar det et alvorlig brudd på regelverket med den omfattende mengden data som ble behandlet ulovlig gjennom manglende behandlingsgrunnlag. Dette understreket behovet for å treffe tiltak etter GDPR artikkel 66 kombinert med det som ble fremsatt som påstand om trenering fra Meta sin side mot DPC.

Retten på sin side gjorde følgende vurderinger:

Kravet til sikringsgrunn er ikke oppfylt

For å få medhold for en midlertidig forføyning (altså stoppe vedtaket) må det foreligge en sikringsgrunn. Retten vurderte at sikringsgrunnen og konkret tvangsmulkt som en pengestraff ikke kan fullbyrdes i noe annet land enn i Norge og dermed ikke har effekt overfor Meta Ireland. Ved at Facebook Norway ikke har verdier eller omsetning i Norge som det kan tas utlegg i, så har tvangsboten liten reell verdi, og sikringsgrunnen må derfor være annet enn at saksøkerne er ilagt tvangsbøter. Retten vurderer deretter økonomisk tap og omdømmetap som sikringsgrunn, men kommer til at det ikke kan anses sannsynliggjort en sikringsgrunn etter tvisteloven § 34-1 første ledd b) blant annet fordi:

• Det er uklart hvem som vil rammes økonomisk av vedtaket.
• Vedtaket vil ikke være bindende for Meta hvis det er ugyldig.
• Tapet vil være begrenset ettersom det har en begrensning på 3 måneder.
• Meta har allerede signalisert at de vil (med noe tid) imøtekomme kravene og dermed begrenset det eventuelle tapet.
• Vedtaket har begrenset effekt ut over Norge ved at andre tilsyn følger DPC.
• Omdømmetapet kan reverseres ved en rettskraftig dom.

Retten kommer heller ikke til at det foreligger sikringsgrunn etter loven § 34-1 første ledd a) da retten ikke finner at «saksøktes adferd gjør det nødvendig med en midlertidig sikring av kravet fordi forfølgningen eller gjennomføringen av kravet ellers vil bli vesentlig vanskeliggjort».

Hovedkravet

Fordi det ikke foreligger en sikringsgrunn så trengte ikke retten å ta stilling til hovedkravet. Likevel valgte retten å kommentere de mest sentrale anførslene knyttet til hovedkravet, og det er her de interessante personvern/GDPR-vurderingene ligger:

• Kan vedtaket rettes mot Facebook Norway AS? Ja. 
  Retten kommer til at det er tilfelle og bygger argumentasjonen på EU-domstolens sak C-210/16 hvor den tyske tilsynsmyndigheten kunne treffe tiltak overfor den lokale etableringen selv om denne utelukkende drev med markedsføringsaktiviteter. Selv om Facebook Norway ikke var behandlingsansvarlig, eller behandlet personopplysninger på selvstendig grunnlag, var den en medvirkende og integrert del av aktiviteten til Meta Ireland.

• Var vedtaket en saksbehandlingsfeil etter forvaltningsloven? Nei.
  Grunnen er at retten kommer til at selv om Meta hadde fått muligheten til å komme med ytterligere opplysninger så ville ikke det ført til at vedtaket hadde fått et annet innhold. En eventuell feil ville derfor ikke hatt betydning for vedtaket. Her legger retten vekt på at Meta har bekreftet at de vil rette seg etter tolkningen av GDPR art. 6, det vil si at de anerkjenner at det ikke foreligger behandlingsgrunnlag for adferdsbasert markedsføring. Retten ser derfor ikke grunnlag for at det kunne kommet frem mer informasjon som kunne endret det grunnleggende i vedtaket. I tillegg fremkommer det at retten mener at hvis Meta mente at det forelå behov for ytterligere informasjon så hadde Meta muligheten da de fremsatte en omfattende klage 1. august på 25 sider.

• Foreligger vilkår for hastetiltak etter GDPR art. 66? Ja, men under tvil.
  Det er interessant å se at retten anerkjenner at art. 66 er en unntaksbestemmelse og krever et ekstraordinært tilfelle. Her hadde den ulovlige behandlingen skjedd over år og det kunne stilles spørsmål om noe tid fra og til i forhold til hovedprosedyren etter GDPR art. 60 likevel burde følge. Her kan det synes som om retten til slutt vektlegger at «den ulovlige behandlingen er omfattende, inngripende og vedrører store grupper».

• Er vedtaket uforholdsmessig? Ja.
  Retten slår klart og tydelig fast at vedtaket vanskelig kan anses uforholdsmessig all den tid Meta anerkjenner behovet for å endre behandlingsgrunnlag og det dermed «vanskelig kan anses uforholdsmessig å pålegge opphør av en ulovlig aktivitet. Særlig gjelder dette når saksøkernes interesse i første rekke er av økonomisk karakter og det foreligger klare og omfattende brudd på kravene til behandling av personopplysningene.»

Hva er så mine take-aways fra denne saken?

• Datatilsynet vinner over Meta fordi det ikke foreligger en sikringsgrunn. Det er vanskelig å trekke stor presedens fra en sak som blir avgjort på grunnleggende tvisteregler knyttet til sikringsgrunn og ikke hovedkravets deler som er knyttet til personvernbestemmelsene i GDPR. Det har naturligvis direkte betydning for personvernet, men gir mindre «mat» til personvernjurister. Det er også verd å merke seg retten bemerkning om at tvangsmulkten i praksis har liten betydning all tid den ikke kan fullbyrdes i Irland og ingen verdier eller små verdier ligger i Norge.

• Jeg skulle ønske retten tydeligere hadde sagt: «Dette er et klart og alvorlig brudd på GDPR hvor noen tjener store penger, og derfor må dette stoppes!»
  Retten går langt i å kommentere forhold som ikke er nødvendig for å komme frem til resultatet og først helt til slutt kommer det sentrale personvernaspektet ved kjennelsen frem. Det finner sted et pågående og kjent brudd på GDPR i stor skala; hvorfor skal det ikke stoppes når andre virksomheter må etterleve og dokumenter krav etter GDPR? Store og sterke Meta burde derfor ikke få en ekstra «grace»-periode for å få behandlingsgrunnlag på plass.

• Forvaltningsloven gjelder også i forhold til personvernregelverket.
  Saken kunne også ha blitt avgjort ved at det forelå en saksbehandlingsfeil etter forvaltningsloven. I dette tilfelle så ville ikke en eventuell feil ha fått betydning for vedtaket, men den kunne hatt slik effekt. Saksbehandlingsregler er viktig for rettssikkerheten.

• Grunnlaget for et hastevedtak skal ikke brukes med letthet.
  Det er interessant å se at retten finner grunner til å stille spørsmål ved om det er grunnlag for et hastevedtak etter GDPR artikkel 66. All den tid hovedsaken løses av DPC, og andre europeiske datatilsyn synes å følge DPC, kan det virke noe hastig at vi oppe på berget skal ha helt spesielle behov. Hva er i så fall disse? Kan det være et kommune- og fylkestingsvalg? Når vi ser politikere i Stavanger som gjerne bruker skolenes kontaktlister for å sende ut politiske budskap, så kan jeg faktisk være tilbøyelig til å mene at Datatilsynet her var i forkant. Det er godt vi har et våkent Datatilsyn.

GRETTE TEKNOLOGI OG DIGITALISERING: NYHETSBREV | FROKOSTMØTE:
Ønsker du å få tilsendt våre korte nyhetsbrev innen IT og personvern, så kan du sende en e-post til pele@grette.no. Tidligere IT-Gruk’er er tilgjengelige på Grette nyhetssider.