Datatilsynet vant første runde mot Meta - dette må du gjøre
07/09/23
Datatilsynet og Meta møttes i Oslo tingrett i midten av august etter at tilsynet nedla midlertidig forbud mot at Meta kan bruke personopplysninger om norske brukere til atferdsbasert markedsføring. Teknologigiganten, som står bak Facebook og Instagram, fikk ikke medhold i tingretten.
I midten av juli fattet Datatilsynet et hastevedtak hvor de la ned midlertidig forbud mot at personopplysninger om norske brukere kan benyttes til atferdsbasert markedsføring på Facebook og Instagram. Dagbøtene på 1 million kroner startet samme dag som fristen for å innrette seg etter vedtaket.
Meta, selskapet bak Facebook og Instagram, nektet å betale dagbøtene og begrunnet dette med at vedtaket ikke kunne få virkning før det forelå en rettskraftig dom om vedtakets gyldighet.
Full seier til Datatilsynet
Kjennelsen fra Oslo tingrett viser at Meta ikke har fått medhold i noen av sine påstander. Blant annet mener retten at det ikke er sannsynlig at Meta vil lide noe omdømmetap eller økonomisk tap ved å begrense tjenestene sine i tråd med Datatilsynets vedtak, ettersom Meta uansett ikke har til hensikt å etterleve vedtaket innen fristen. Retten fant det heller ikke sannsynlig at Meta vil lide økonomisk tap som følge av negativ oppmerksomhet som kan gjøre at selskapet mister markedsandeler.
Oslo tingrett var heller ikke enig i Metas påstand om at hastevedtaket fra juli er ugyldig som følge av brudd på forvaltningslovens regler om forhåndsvarsling og utredning. Domstolen mente at flere opplysninger uansett ikke ville gitt vedtaket noe annet innhold.
Selv om siste ord mellom Meta og Datatilsynet neppe er sagt, er det likevel flere viktige punkter virksomheter kan ta med seg.
Når det gjelder spørsmålet om vilkårene for å iverksette hasteprosedyren i personvernforordningen, det vil si prosedyren som gir Datatilsynet mulighet til å fatte vedtak selv om det pågår en sak for en annen tilsynsmyndighet, er tingretten under betydelig tvil kommet til at vilkårene er oppfylt.
Domstolen var heller ikke enig med Meta om at hastevedtaket var uforholdsmessig, uklart, umulig å oppfylle, i strid med annen lovgivning og at det allerede er oppfylt. Retten uttalte at «det vanskelig kan anses uforholdsmessig å pålegge opphør av en ulovlig aktivitet. Særlig gjelder dette når saksøkernes interesse i første rekke er av økonomisk karakter og det foreligger klare og omfattende brudd på kravene til behandling av personopplysningene.»
Personvernturné
I høst reiser vi rundt og holder seminar om personvern.
Finn en ekspert
Les mer om PwCs tjenester innen personvern og GDPR.
Siste ord er ikke sagt
Dette betyr altså at Datatilsynet vant i første runde, men det er likevel ingen grunn til å tro at siste ord er sagt. Datatilsynet vurderer å bringe vedtaket til Personvernrådet for å utvide forbudet til å gjelde i hele EØS og med ubegrenset varighet. Det kan heller ikke utelukkes at Meta vil anke, særlig fordi konklusjonen om at vilkårene for hasteprosedyre var oppfylt er avsagt under sterk tvil. Til slutt er det viktig å merke seg at tingretten ikke har tatt stilling til gyldigheten av Datatilsynets hastevedtak.
Råd til virksomheter
- Selv om siste ord mellom Meta og Datatilsynet neppe er sagt, er det likevel flere viktige punkter virksomheter kan ta med seg. Dette gjelder både de som bruker Metas plattformer til markedsføring, og de som profilerer kunder og/eller benytter berettiget interesse som rettslig grunnlag for behandling av personopplysninger, sier Christine Ask Ottesen. Hun er partner og leder PwCs personvernteam.
Christine Ask Ottesen, partner og leder for PwCs personvernteam.
Virksomheter som benytter Facebook og Instagram
Meta har uttalt at de vil bytte til samtykke som rettslig grunnlag for behandling av personopplysninger til atferdsbasert markedsføring i november 2023.
Frem til Meta endrer rettslig grunnlag er praksisen ulovlig, i hvert fall når personopplysninger om norske borgere benyttes for atferdsbasert markedsføring.
Virksomheter som bruker atferdsbaserte markedsføringstjenester på Facebook eller Instagram bør derfor gjennomgå sin bruk av tjenestene inntil Meta har endret rettslig grunnlag til samtykke. Markedsføring som ikke anses som atferdsbasert markedsføring, er fremdeles tillatt.
Les også: Personvernopplysningsloven fem år
Virksomheter som bruker personopplysninger til profilering
Mange virksomheter benytter såkalt «berettiget interesse» som rettslig grunnlag når personopplysninger benyttes for å profilere personer, altså for å anslå en persons interesser o.l.
Datagrunnlag som kan brukes for profilering, blir stadig mer detaljert, og prediksjonene blir tilsvarende mer detaljerte. Dette kan føre til at en persons profil gir atferdsbasert informasjon, og brukes denne informasjonen til markedsføringsformål, rammes virksomhetene av Datatilsynets forståelse av personvernforordningen.
Virksomheter bør derfor gjennomgå hvilke personopplysninger som benyttes til profilering og hvilket rettslig grunnlag som brukes. Dersom profileringen inneholder personopplysninger som kan si noe om personens atferd, som for eksempel lokasjonsdata, bør virksomheten vurdere å endre rettslig grunnlag til samtykke.
Personvernturné: Les mer og meld deg på seminar
Virksomheter som bruker berettiget interesse som rettslig grunnlag
Datatilsynet forventer at virksomheter som benytter såkalt berettiget interesse som rettslig grunnlag, må gjøre en objektiv og balansert interesseavveining. Vurderingen må også dokumenteres.
Basert på Datatilsynets vurdering i hastevedtaket, vil vi særlig trekke frem disse momentene:
Virksomheten må gjøre en reell vurdering av egen berettigede interesse, inkludert rettighetens karakter og viktighet.
Virksomheten må lage en fullstendig oversikt over hvilke av de registrertes interesser, rettigheter og/eller friheter som kan bli påvirket av behandlingsaktiviteten. Virksomheten må også vurdere alvorligheten og sannsynligheten for at de negative konsekvensene kan inntreffe.
Antall registrerte, omfanget av personopplysninger som behandles og behandlingens karakter, skal vektlegges i interesseavveiningen.
Påvirkningen på eventuelle sårbare registrerte, som barn, eldre og egne ansatte, må vurderes.
Selv om behandlingen kun omfatter alminnelige personopplysninger, må det vurderes om sensitive opplysninger, som helseopplysninger, seksuell orientering eller religiøs tilhørighet, kommer frem av opplysningene.
At det gis informasjon om behandlingen i personvernerklæringen betyr ikke nødvendigvis at behandlingen er påregnelig for de registrerte.
Er du i tvil om hva virksomheten din bør gjøre nå?
Kontakt oss gjerne for en uforpliktende prat - enten det gjelder atferdsbasert markedsføring eller behov for å vurdere om virksomheten din har tilstrekkelig rettslig grunnlag for å behandle personopplysninger.