Den 4. oktober ble det publisert flere dommer fra CJEU som er av praktisk relevans for flere. Her er derfor et ekstranummer av nyhetsbrevet.
I tillegg har EDPB kommet med utkast til Opinion på berettiget interesse og en opinion om databehandlere. Det er som vanlig mer enn nok å følge med på! Jeg kommer tilbake til de siste nyhetene fra EDPB i neste ordinære nyhetsbrev. Spoiler: det blir en økt forventning om økt kontroll og oversikt.
Men under er først en gjennomgang av hovedpunktene i de nye sakene og noen innledende tanker om hvilke praktiske konsekvenser som dommene kan medføre. Alle sakene er ikke like viktige, men vi som jobber med dette må vite om hovedlinjene i dem.
Som vanlig:
God lesning!
Hilsen Eva
i samarbeid med advokatfullmektig Trygve Karlstad
I – Hva er sensitive personopplysninger?
Om sak Lindenapotheke: (C-21/23)
Denne saken, også kjent som Lindenapotheke-saken, dreide seg om en tysk apotekkjede som solgte reseptfrie medisiner på nett via Amazon. Det sentrale spørsmålet var om personopplysninger som ble samlet inn under netthandel av disse produktene skulle regnes som helseopplysninger under GDPR. EU-domstolen konkluderte med at slik informasjon faktisk er helseopplysninger, selv for medisiner som ikke krever resept. Dette var faktisk motsatt konklusjon av Generaladvokatens oppfatning, og motsatt av hva mange trodde ville bli konklusjonen. Domstolen hadde en videre tolkning enn hva mange forventet av hva som anses som helseopplysninger.
Dommen er viktig fordi den støtter en vid tolkning av sensitive personopplysninger under GDPR. Den slår fast at selv kjøp av ikke-reseptpliktige medisiner på nettet kan avsløre informasjon om helse. Domstolen legger vekt på at det vil være en sammenheng mellom medisinen, dens bruk og en identifiserbar person. Dette kan få store konsekvenser for netthandel med medisinske produkter, hvor det nå kreves uttrykkelig samtykke for å behandle slike data.
Dommen tydeliggjør også at det er noe overlapp mellom personvernforordningen og konkurranserett. Dette kan få store konsekvenser. Dommen slår fast at GDPR ikke forhindrer nasjonal lovgivning som tillater konkurrenter å gå til sak mot en person som angivelig bryter GDPR, basert på konkurranserettslige regler mot urettferdig handelspraksis. Dette forsterker individets rettigheter og sikrer et høyt beskyttelsesnivå. Og det kan ikke minst øke konfliktnivået mellom konkurrenter. Om man ser at en konkurrent får markedsmessige fordeler ved å bryte GDPR, ja så kan man bruke det mot konkurrenten.
Det er likevel uklart i hvilken grad EU-domstolen har reflektert omkring de praktiske konsekvensene av en slik avgjørelse. Dommen vil trolig medføre at man må oppstille strengere krav til samtykke for behandling av sensitive personopplysninger ved netthandel enn hva som er vanlig i dag, og en økt risiko for rettslige utfordringer fra konkurrenter ved brudd på GDPR. I forlengelsen av dette bør man se på om produkter man tilbyr, direkte eller indirekte, kan avsløre helseinformasjon eller andre sensitive personopplysninger, noe som mulig utvider definisjonen av hva som betraktes som sensitive personopplysninger under GDPR. Man kan for eksempel tenke seg at dersom man kjøper en bok om en religion, så kan det si noe om hvilken religiøs overbevisning man har. En annen utfordring er hvordan en nettbutikk i praksis skal kunne innhente samtykke dersom kjøperen av produktet ikke er den som skal bruke medisinene eller andre produkter som kan være personopplysninger. Jeg har ikke svarene på dette, men det er åpenbart at det vil bli mye oppmerksomhet rundt hva som er en særlig kategori personopplysning fremover. Og antakelig vil de som mener skillet mellom vanlige og særlige kategorier personopplysninger er unødvendig, få flere argumenter. Det kan tenkes rammene rundt definisjonen av særlige kategorier bør trekkes noe snevrere. Eller at hjemmelsgrunnlagene bør utvides. For eksempel mener jeg at det ikke er urimelig å trekke avtale inn som et mulig behandlingsgrunnlag i artikkel 9.
II – Kan kommersielle interesser være “berettiget interesse”?
Om sak KNLTB (C-621/22)
I denne saken ble det vurdert om det nederlandske tennisforbundet, KNLTB, sin praksis med å dele personopplysninger om sine medlemmer med eksterne aktører, mot betaling og uten samtykke, kunne hjemles i berettiget interesse under personvernsforordningens Artikkel 6(1)(f).
Domstolen fastslo at kommersielle interesser, inkludert markedsføring, kan betraktes som en berettiget interesse.
Det er tre vilkår som må være oppfylt for at den berettigede interessen kan ansees som lovlig:
- For det første må det foreligge en berettiget interesse. EU-domstolen åpner i prinsippet for at det kan være mange ulike interesser som kan være berettigede, så lenge de ikke strider mot annen lovgivning.
- For det andre må behandlingen av personopplysninger være nødvendig. Her må man vurdere hvilke alternativer databehandleren har til den aktuelle behandlingen, og om man med rimelighet kan oppnå de samme interessene ved mindre inngripende tiltak. Dette må sees i sammenheng med prinsippet om dataminimalisering i Artikkel 5(1)(c), nemlig at behandlingen skal være adekvat, relevant og begrenset til det som er nødvendig for formålet ved behandlingen. I den sammenheng legger EU-domstolen blant annet vekt på hvorvidt medlemmene hadde realistiske forventninger til hvordan deres data håndteres ved innsamlingstidspunktet, og om denne delingen var noe de kjente til på forhånd.
- Det siste vilkåret er at det må foretas en interesseavveining av den berettigede interessen opp mot de grunnleggende rettighetene og frihetene til de registrerte. I denne avveiningen kan det i prinsippet være en rekke relevante momenter, som for eksempel forventningene til de registrerte, graden og omfanget av behandlingen og hvilke konsekvenser den medfører for de registrerte.
Som følge av dommen er det bekreftet at man kan lene seg på berettiget interesse for behandling av data til kun kommersielle formål. Likevel vil det være omfattende begrensninger for slik behandlingsaktivitet basert på berettiget interesse, slik som disse overnevnte tre kumulative vilkårene oppstiller. Det vil dermed være utfordrende for en virksomhet som ønsker å lene seg på “berettiget interesse” for deling av personopplysninger til kommersielle formål, å forutsi om man overholder personvernforordningen eller ikke. Virksomheten vil måtte utelukkende støtte seg på helhetsvurderinger man har foretatt knyttet til graden av nødvendighet og interesseavveiningen mot de registrertes rettigheter og friheter. Derfor vil virksomheten neppe kunne “vite” om de har foretatt tilstrekkelige vurderinger før man får det testet av datatilsynet eller judisielt. Hensynet til forutsigbarhet for etterlevelse av GDPR gjør seg særlig gjeldende her, ettersom det ennå er begrenset med rettskilder om i hvilken grad man kan bruke “berettiget interesse” som behandlingsgrunnlag for behandling til kommersielle formål.
III – Målrettet annonsering og sensitive personopplysninger
Om sak Maximillian Schrems v Meta Platforms Ireland Ltd (C-446/21)
I denne saken mellom Max Schrems og Meta ble det reist spørsmål om Metas håndtering av personopplysninger, spesielt med tanke på målrettet annonsering og behandling av sensitive data. Schrems hevdet at Meta behandlet hans personopplysninger ulovlig, inkludert informasjon om hans seksuelle legning. Schrems hadde blant annet ikke samtykket til målrettet annonsering og han hadde heller ikke publisert noe om sin egen seksuelle legning på Facebook. Meta hadde samlet inn den aktuelle informasjonen om hans legning fra eksterne nettsteder gjennom bruk av cookies og andre sporingsteknologier.
Domstolens avgjørelse bekreftet at selv om målrettet annonsering ikke er ulovlig, setter GDPRs dataminimeringsprinsipp strenge grenser for behandling av personopplysninger. Dommen poengterte at sensitive personopplysninger, som seksuell orientering, krever at behandlingsansvarlig opptrer spesielt aktsomt, og kan ikke bruke de sensitive personopplysningene til annonsering uten uttrykkelig samtykke og nødvendige begrensninger i behandlingens varighet og omfang.
Videre fastslo dommen at offentliggjøring av sensitive opplysninger av brukeren selv, ikke automatisk gir plattformer som Facebook rett til å bruke denne informasjonen til andre formål, som for eksempel tilpasset markedsføring. Dette skaper en viktig presedens for hvordan sosiale medier og andre digitale plattformer må håndtere personopplysninger. Og den setter igjen søkelys på hva som er førstepartsdatas og hva som er tredjepartsdata.
Hvis dere sammenstiller informasjon fra flere kanaler (organisasjonsnumre), og det er det mange som gjør, er det grunn til å se på om de aktuelle samtykkene er gode nok og at man ikke oppbevarer personopplysninger lenger enn hva som er strengt nødvendig.
IV – Rett til sletting?
Om sak Agentsia po vpisvaniyata (C-200/23)
I Bulgaria oppsto det en rettstvist omkring hvordan personopplysninger skal håndteres i et statlig foretaksregister. En bulgarsk innbygger hadde vært med på å etablere et aksjeselskap. Vedkommendes personopplysninger ble inkludert i selskapets stiftelsesdokumenter, som deretter ble offentliggjort av registeret. Personen forlangte at opplysningene skulle slettes, noe registeret ikke ville gjøre, og det ble en rettssak.
EU-domstolen tok stilling til flere juridiske spørsmål i denne saken. For det første måtte det være klart at registeret måtte regnes som både behandlingsansvarlig og en mottaker av personopplysninger.
Videre er det også klart at den registrerte har rett til å få slettet personopplysninger som er behandlet uten hjemmel. Det ble ikke vektlagt at den registrerte kunne ha sørget for at registeret fikk en redigert utgave der personopplysningene ikke fremgikk, slik som registerets egne prosessuelle regler oppstilte. Den registrertes rett til sletting er absolutt, med mindre behandlingen av disse personopplysningene er nødvendige for å utføre en rettslig forpliktelse eller for å utføre oppgaver av allmenn interesse.
Det tredje spørsmålet EU-domstolen besvarte er at en håndskrevet underskrift kan ansees som en personopplysning. Dette var et spørsmål i saken, selv om konklusjonen i saken neppe er neppe særlig oppsiktsvekkende i lys av definisjonen av en personopplysning i Art. 4(1), hvor det er naturlig å konkludere med at en signatur er en opplysning som kan knyttes til en person.
Dommen er også interessant for å etablere erstatningsansvar etter GDPR. EU-domstolen anerkjenner (atter en gang) at der den registrerte mister kontrollen over egne personopplysninger, spesielt når de tilgjengeliggjøres på internett, så kan det føre til ikke-materiell skade. Dette kan utløse krav om erstatning, men den registrerte må kunne påvise en årsakssammenheng mellom overtredelsen og de negative konsekvensene den registrerte er påført. Det er dermed ikke noe krav om økonomisk tap, men det er heller ikke tilstrekkelig å kun påvise et brudd på GDPR.
Det var heller ikke formildende for behandlingsansvarlig sitt erstatningsansvar at det forelå en uttalelse fra det nasjonale datatilsynet, som hevdet at foretaksregisteret ikke var ansvarlig.
V – Kan en unnskyldning være tilstrekkelig kompensasjon?
Om sak Patērētāju tiesību aizsardzības centrs (C-507/23)
I en rettssak fra Latvia ble en journalist involvert i en juridisk konflikt med det latviske forbrukertilsynet etter at de hadde parodiert journalisten i en video uten hans tillatelse. Journalisten krevde at videoen skulle fjernes og ba om erstatning for det omdømmetapet han opplevde som følge av videoen. Forbrukerombudet avslo å fjerne videoen og nektet for at det forelå et brudd på personvernreglene, og avviste dermed også kravet om erstatning. En ganske spesiell sak.
Saken eskalerte til de latviske domstolene, som fastslo at publiseringen av videoen var ulovlig, men de avslo å tildele økonomisk erstatning. I stedet ble forbrukerombudet pålagt å gi en offentlig unnskyldning.
EU-domstolen tok deretter opp saken for å vurdere flere spørsmål. For det første fant EU-domstolen at et brudd på GDPR ikke automatisk resulterer i en “skade” som kvalifiserer for erstatning etter artikkel 82(1). For at man skal ha rett på erstatning må det foreligge et brudd på GDPR, det må foreligge en materiell eller ikke-materiell skade og det må være adekvat årsakssammenheng mellom bruddet på GDPR og den aktuelle skaden.
Videre ble det et spørsmål hvorvidt en unnskyldning kan betraktes som adekvat kompensasjon. EU-domstolen fremhever at det i utgangspunktet er opp til nasjonal lovgivning å definere hva som er adekvat kompensasjon. Det er imidlertid ingenting i veien for at en unnskyldning under GDPR kan være en passende form for kompensasjon for ikke-materiell skade, spesielt når det ikke er mulig å gjenopprette den opprinnelige situasjonen, så lenge unnskyldningen fullt ut dekker den påførte skaden.
Det siste spørsmålet var om Artikkel 82(1) om erstatningsansvar innebærer et krav om at erstatningsansvarets størrelse skal påvirkes av behandlingsansvarliges intensjon eller motivasjon. Altså hvorvidt graden av skyld skal være en skjerpende eller formildende omstendighet utfra den aktuelle situasjonen. EU-domstolen fant at man ikke skal vektlegge graden av skyld hos behandlingsansvarlig, og begrunner dette i at hensynet bak Artikkel 82 er å kompensere den registrerte for den lidte skaden, og den har dermed ikke til hensikt å straffe den behandlingsansvarlige utover dette.
VI – Anerkjennelse av transrettigheter
Om sak Mirin (C-4/23)
Selv om denne avgjørelsen ikke direkte gjelder GDPR, så omhandler den tilgrensede spørsmål. Det er ikke overraskende at det nå kommer saker om transpersoners rettigheter og denne dommen kan bidra til større aksept for rettighetene.
EU-domstolen har nylig avgjort at medlemslandene i Den europeiske union må anerkjenne endringer av fornavn og kjønn som er juridisk gjennomført i andre EU-land. Dette ble bestemt i en sak hvor en britisk-rumensk statsborger hadde endret sitt juridiske kjønn og fornavn i Storbritannia og deretter søkte om å få disse endringene registrert i sitt fødeland, Romania.
Romania nektet å registrere endringene på hans fødselsattest og utstede nye dokumenter som reflekterte hans nye identitet, med begrunnelsen om at han måtte gjennomgå en nasjonal prosedyre for kjønnsskifte. Dette førte til at vedkommende tok saken til retten, og spørsmålet ble til slutt henvist til EU-domstolen for å avgjøre om Romanias avslag var i tråd med EU-lovgivningen.
EU-domstolen konkluderte med at Romanias avslag krenket individets rettigheter under EU-lovgivningen, spesielt retten til fri bevegelse og opphold. Domstolen påpekte at det var irrelevant at endringene ble forespurt etter at Storbritannia formelt hadde forlatt EU, siden endringene ble gjennomført mens Storbritannia fortsatt var medlem.
Dommen blir sett på som en stor seier for transpersoners rettigheter i EU, ettersom den sikrer at juridiske identitetsendringer anerkjennes på tvers av medlemslandene uten behov for ytterligere nasjonale prosedyrer. Dette styrker mobiliteten og rettighetene til EU-borgere ved å forenkle prosessen for anerkjennelse av personlig identitet. Kritikere fra land som Ungarn og Slovakia har uttrykt motstand mot dommen, og hevder at den overkjører nasjonale juridiske prinsipper. Saken vil nå gå tilbake til de rumenske domstolene for endelig avgjørelse, men EU-domstolens beslutning setter en bindende presedens for hvordan slike saker skal håndteres i EU.
Saken har neppe veldig stor betydning i Norge, men er likevel prinsipielt viktig.
VII – Politiets tilgang til mobiltelefon ved mistanke om kriminalitet.
Om sak Bezirkshauptmannschaft Landeck (C-548/21)
I denne saken behandlet EU-domstolen spørsmålet om politiets tilgang til data lagret på en mobiltelefon i forbindelse med en kriminalsak i Østerrike. En østerriksk borger hadde fått sin mobiltelefon beslaglagt etter at det ble funnet 85 gram cannabis i en pakke adressert til ham. Politiet forsøkte å låse opp telefonen uten å ha nødvendig godkjenning fra påtalemyndighet eller domstol, og uten å informere den berørte personen om forsøket. Den østerrikske domstolen henviste saken til EU-domstolen for å få avklart om østerriksk lovgivning, som tillater politiets handlinger, er i tråd med EU-lovgivningen. Den nasjonale domstolen bemerket at eieren var anklaget for en forseelse som maksimalt kunne straffes med ett års fengsel, og derfor ble ansett som en mindre alvorlig forbrytelse.
EU-domstolen fastslo at tilgang til opplysninger på en mobiltelefon kan utgjøre et alvorlig inngrep i et individs rett til privatliv. Videre ble det understreket at alvorlighetsgraden av den aktuelle forbrytelsen er en viktig faktor når man vurderer proporsjonaliteten av et slikt inngrep. Likevel vil ikke EU-domstolen begrense slike inngrep til kun bekjempelse av mer alvorlig kriminalitet. Nasjonale lover må definere klare kriterier for denne type inngrep, inkludert hvilke typer lovbrudd som kan rettferdiggjøre et slikt inngrep. Videre må tilgangen til dataene være forholdsmessig og underlagt forhåndsgodkjenning fra en domstol eller en uavhengig myndighet, med mindre det foreligger en nødsituasjon som klart kan begrunnes.
EU-domstolen påpekte også at den berørte personen må informeres om grunnlaget for godkjenningen så snart det ikke setter etterforskningen i fare. Dette sikrer en balanse mellom behovet for effektiv kriminalitetsbekjempelse og beskyttelsen av individets grunnleggende rettigheter. Dette er på mange måter en gjentakelse av helt grunnleggende personvern- og menneskerettighetsprinsipper. Også politiet må ha klare rammer å forholde seg til.
VIII – Må datatilsyn gi bøter ved brudd på GDPR?
Om sak Land Hessen (C-768/21)
Denne saken ble riktignok publisert en uke før de andre, er kanskje ikke den mest spennende, og kan være mer aktuell for andre land enn Norge. Den er likevel med her for helhetens skyld. I denne saken ble det fastslått at tilsynsorganer i EØS ikke automatisk må utstede pålegg, korrigerende tiltak eller bøter ved overtredelser av GDPR. Dette gir tilsynsmyndighetene mulighet til å vurdere om slike tiltak er nødvendige for å rette opp i situasjoner som har ført til brudd på regelverket, eller for å sikre at personvernreglene overholdes fremover. Egentlig synes jeg det er litt pussig at saken ble reist overhodet – for meg gir det ikke mening at tilsynene alltid skal ilegge bøter ved brudd.
Saken som førte til denne dommen, involverte en hendelse der en ansatt i en bank gjentatte ganger hadde skaffet seg urettmessig tilgang til en kundes personopplysninger. Arbeidsgiveren hadde som følge av dette gitt melding til datatilsynet om brudd på personopplysningssikkerheten i henhold til Artikkel 33 i GDPR. I tillegg hadde arbeidsgiver tatt ut disiplinære skritt mot den ansatte og den ansatte hadde forsikret skriftlig at hun ikke hadde misbrukt informasjonen. Arbeidsgiveren valgte å ikke informere den berørte kunden i henhold til Artikkel 34 i GDPR, fordi de ikke anså bruddet som en høy risiko for rettighetene og frihetene til kunden. Kunden oppdaget selv bruddet ved en tilfeldighet, og klaget til datatilsynet i Hessen, som fant at arbeidsgiverens risikovurdering ikke var mangelfull, og valgte derfor ikke å iverksette tiltak mot arbeidsgiveren.
Den berørte kunden anla sak mot tilsynets avgjørelse, og saken ble til slutt henvist til EU-domstolen for å avgjøre om tilsynsmyndigheter alltid må bruke myndigheten sin i henhold til Artikkel 58(2) i GDPR ved brudd på personvernforordningen. EU-domstolen konkluderte med at tilsynsmyndighetene ikke er forpliktet til å utøve korrigerende makt, som å ilegge administrative bøter, med mindre det er passende, nødvendig og proporsjonalt for å rette opp i manglene og sikre full håndhevelse av GDPR. Domstolen påpekte at tilsynsmyndighetene har skjønn til å velge passende og nødvendige tiltak basert på de spesifikke omstendighetene i hver sak.
Denne dommen klargjør at tilsynsmyndighetene har fleksibilitet til å vurdere hver enkelt sak og bestemme de mest passende tiltakene for å sikre at GDPR overholdes. Dette kan innebære at i visse tilfeller, der det allerede er tatt skritt for å stoppe og forhindre gjentakelse av brudd, kan det være unødvendig med ytterligere korrigerende tiltak.
KOMMENDE MØTER
24. okt 14.00 – 16.00 Digitalt nettverksmøte |
14. november 12.00 – 13.00 Digital drop-in |
12. des 14.00 – 17.00 Nettverksmøte i Oslo |
Se hele oversikten over kommende aktiviteter i nettverket her.
SISTE ORD
Du får dette nyhetsbrevet som medlem av tilt.works PrivacyTech-nettverk eller fordi du har tegnet et eget abonnement. Du kan oppdatere din profil her.