I dette nyhetsbrevet fokuserer vi på fire nye, store og viktige avgjørelser. Tre av dem er fra det irske datatilsynet og ble diskutert i siste nettverksmøte der Tobias Judin kom med mye nyttig informasjon om Meta-sakene.

I neste nyhetsbrev tar vi igjen et større sveip over andre interessante saker siden nyttår. Men disse fire sakene er så viktige og har så store konsekvenser at de fortjener en noe nærmere omtale. Merk dere særlig den fjerde saken, den fra Østerrike, som har ekstremt stor betydning for innsynsbegjæringer fremover.

En helt generell betraktning er at både dommer og vedtak for tiden virker å legge seg på en ganske konservativ tolkningslinje. Etter at GDPR trådte i kraft var det mange som var forbauset over at ordlyden ikke syntes å bli håndhevet så strengt slik man hadde trodd. Det virker som om dette endres nå.

Hilsen Eva

FACEBOOK- OG INSTAGRAMVEDTAK

«Avtale» som juridisk grunnlag for rettet reklame 

Den 31. desember 2022 publiserte det irske datatilsynet (DPC) vedtak om Facebook og Instagram. Disse vedtakene har konsekvenser for mange andre selskaper også.

Spørsmålet var om Facebook og Instagram kunne bruke «avtale» som juridisk grunnlag for rettet/persontilpasset reklame (behavioral advertising).

Opprinnelig tenkte DPC at avtale kunne benyttes, og de hevdet at (som angitt i pressemeldingen som de publiserte i forbindelse med vedtaket): ” the Facebook and Instagram services include, and indeed appear to be premised on, the provision of a personalised service that includes personalised or behavioural advertising.  In effect, these are personalised services that also feature personalised advertising. In the view of the DPC, this reality is central to the bargain struck between users and their chosen service provider, and forms part of the contract concluded at the point at which users accept the Terms of Service.”

I konsultasjonsprosessen mellom DPC og de øvrige involverte datatilsynene protesterte flere av dem på denne tolkningen. De hevdet at tilpasset annonsering ikke er objektivt nødvendig for gjennomføringen av Metas forpliktelser.

Spørsmålet ble til slutt forelagt EDPB for avgjørelse. Ikke overraskende anla EDPB et snevert syn på hva en avtale kan omfatte. Dette er i tråd med tidligere retningslinjer fra EDPB om hvordan man tolker hva som kan inngå i en avtale. Det var egentlig den vide tolkningen som DPC hadde gjort som var overraskende. EDPB konkluderte med at Meta Ireland ikke kunne basere seg på det juridiske grunnlaget «avtale» for sin behandling av personopplysninger for persontilpasset reklame.

EDPB understreket at selv om Meta velger å tjene penger på persontilpassede annonser, er ikke disse annonsene «nødvendig for oppfyllelse av avtalen». Meta har andre alternativer for inntekt og plassering av annonser, bl.a. kontekstbaserte annonser.

Et viktig spørsmål i etterkant av disse vedtakene, er om en nå må bruke «samtykke» som juridiske grunnlag for persontilpasset annonsering. Selv om dette har blitt hevdet flere steder, er det ikke nødvendigvis korrekt.

Det er klart at EDPBs øvrige publiserte retningslinjer fremdeles er gyldige. Da er det spesielt viktig å huske at de har en egen Guideline om «retargeting in social media». Den gjelder altså fremdeles. Den retningslinjen angir at hvilket behandlingsgrunnlag man baserer retargeting på, vil avhenge av hvor inngripende en profilering er og hvilke opplysninger den baserer seg på. Den mengden personopplysninger Facebook har om sine brukere, vil raskt gjøre det nødvendig å bruke samtykke – nettopp slik vedtaket fra DPC angir. En annen og mindre nettbutikk kan kanskje bruke berettiget interesse – men dette må vurderes konkret.

Skillet mellom når det er nødvendig å bruke «samtykke» og når det er tilstrekkelig med «berettiget interesse» vil bli svært viktig fremover.

Merk også at vedtakene vedrørende Facebook og Instagram ikke behandlet hva som skal være behandlingsgrunnlag for innholdstilpasning eller produktforbedring. Disse spørsmålene ble i stedet omtalt i WhatsApp-vedtaket (se under).

Meta fikk en bot på 210 millioner euro for brudd på GDPR relatert til Facebook-tjenesten og 180 millioner euro for brudd på Instagram-tjenesten. Det er ikke overraskende at Meta har annonsert at de vil anke vedtakene inn for domstolene.

WHATSAPP-VEDTAKET

«Avtale» som juridisk grunnlag for produktutvikling

Noen dager etter vedtaket omtalt ovenfor, 12. januar 2023, konkluderte DCP i en annen sak, denne gangen angående Whatsapp.

Som i vedtakene omtalt ovenfor, var spørsmålet om WhatsApp kunne basere seg på avtale som behandlingsgrunnlag, men denne gangen i forbindelse med produktutvikling og sikkerhetsforbedringer.

I dette tilfellet var det også uenighet mellom ulike nasjonale datatilsynsmyndigheter og EDPB måtte på banen for å treffe avgjørelsen. De konkluderte med at WhatsApp ikke kan bruke «avtale» som juridisk grunnlag for slike aktiviteter.

Når dette er sagt, betyr heller ikke dette vedtaket at det nå kun er «samtykke» som gjelder. Både «samtykke» og «berettiget interesse» er juridiske grunnlag som kan benyttes, avhengig av situasjon.

DPC bøtela WhatsApp betydelig mindre enn i de to foregående og påpekte i den sammenheng at det allerede hadde gitt en svært betydelig bot til Meta. I løpet av et drøyt år har Meta nå mottatt bøter for til sammen ca. 1,3 milliarder euro, men NOYB har kritisert WhatsApp-boten for å være for liten.

Er bruk av «berettiget interesse» som juridiske grunnlag svært forskjellig fra bruk av «avtale»?

Forskjellen på de to som juridisk behandlingsgrunnlag kan ved første øyekast ikke virke spesielt stort, men det er noen vesentlige forskjeller man må huske på.

Bruk av samtykke gir personen full kontroll over behandlingen. Men selv berettiget interesse tvinger den behandlingsansvarlige til å vektlegge interessene til den enkelte, fordi de må utføre en balanseringstest mellom sine egne formål og personvernet til brukerne. Og denne vurderingen må dokumenteres. I tillegg skal virksomhetens personvernerklæring identifisere de formål som realiseres når man bruker berettiget interesse. Mange selskaper kan ha behov for å oppdatere sine retningslinjer for personvern etter denne avgjørelsen. En annen spesiell egenskap ved å bruke berettiget interesse som grunnlag for behandlingen, er at den enkelte har rett til å protestere mot behandlingen.

En slik balansestest er det ikke nødvendig å utføre hvis man kan bruke avtale som juridisk grunnlag for behandlingen.

INNSYNSBEGJÆRINGER

EU-domstolen og retten til spesifikt å vite hvem dine opplysninger har blitt delt med

Denne avgjørelsen fra 12. januar 2023 har meget stor betydning for alle som mottar innsynsbegjæringer. En person ba Österreichische Post om innsyn i hvilke mottagere som hadde fått vedkommendes personopplysninger. Anmodningen ble gjort med henvisning til GDPR artikkel 15(1). Første ledd i artikkel 15 åpner som kjent for at individet kan kreve veldig mye mer informasjon enn det man kan kreve etter tredje ledd – etter tredje ledd ber man «bare» om å få en kopi av personopplysninger noen har om en.

Österreichische Post svarte først ganske generelt at de hadde gitt personopplysningene til sine handelspartnere for markedsføringsformål.

Klageren var ikke fornøyd med svaret og brakte saken inn for de østerrikske domstolene. Österreichische Post informerte da mer detaljert om at dataene hadde blitt videresendt til kunder, inkludert annonsører som handler via postordre og stasjonære utsalgssteder, IT-selskaper, leverandører av postlister og veldedige organisasjoner, ikke-statlige organisasjoner (NGO-er) eller politiske partier.

Klageren var fremdeles ikke fornøyd og ønsket ytterligere detaljer om hvem opplysningene hadde blitt delt med. Østerrikes høyesterett bestemte seg da for å spørre EU-domstolen om den behandlingsansvarlige måtte oppgi de spesifikke identitetene til mottakerne eller om det var tilstrekkelig med kategoriene av mottakere.

Vurderingen fra EU-domstolen fastslo at den behandlingsansvarlige plikter å oppgi den faktiske identiteten til mottakerne.

Begrunnelsen er interessant: Gitt ordlyden i artikkel 15, var ikke resultatet helt opplagt. Ordlyden i artikkel 15 er at personen skal ha rett til innsyn i “… mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til …“. Man kan lett velge å tolke dette til at behandlingsansvarlig skal kunne velge mellom de to alternativene.

Imidlertid vektla EU-domstolen hovedprinsippene i GDPR og hevdet at den enkelt ikke ville være i stand til å utøve sine rettigheter hvis den ikke vet nøyaktig hvem som besitter informasjonen om dem.

Dette er ikke en liten sak med begrenset effekt. Rettsavgjørelsen innebærer at alle behandlingsansvarlige må kunne fortelle enkeltpersoner om alle selskaper de har delt deres personopplysninger med. Dette omfatter virksomhetens databehandlere, deling i konsernselskaper og enhver annen part eller partner de har delt slik informasjon med.

Kanskje det er på tide å oppdatere din artikkel 30-protokoll?

Denne saken har en annen stor konsekvens også. GDPR artikkel 4 har legaldefinisjonen av «mottaker». Der står det at en «mottaker» er en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Det at det ikke spiller noen rolle om det er en tredjepart eller ikke, gjør at også egne ansatte vil omfattes. Man kan altså være nødt til å fortelle hvem som har behandlet personopplysningene om for eksempel en kunde. Det finnes store norske offentlige institusjoner som faktisk gir den type opplysninger ved innsynsbegjæringer. Det finnes dog noen unntak fra å gi så vidtrekkende innsyn – det kan vi komme inn på i neste møte.

Den norske oversettelsen av GDPR fremstår ikke som et godt bilde av den engelske teksten. I den engelske versjonen står det følgende: «‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not.».

Ordet «disclose» er altså oversatt til norsk med «utlevert» og det leder fort til en gal forståelse av innholdet. For at noen er en «recipient», er det ikke et krav om at vedkommende har fått opplysningene «utlevert» til seg – det holder at vedkommende har fått tilgang til dem og dette er lettere å forstå basert på den engelske ordlyden.  

KOMMENDE MØTE

SISTE ORD

Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.