Datatilsynets vedtak om å gi Sats et gebyr på 10 millioner kroner, ga mye fokus på gebyrets størrelse. Det er imidlertid en annen side av vedtaket som har stor betydning for andre virksomheter.
Personvernnemndas rolle som klageorgan reduseres fullstendig i mange tilfeller.
Over en periode på tre år mottok Datatilsynet flere klager fra Sats' kunder. Klagene gjaldt hovedsakelig at Sats ikke ivaretok kundenes rettigheter etter GDPR. Det gjaldt blant annet retten til innsyn i egne personopplysninger og retten til sletting.
Etter at Datatilsynet hadde undersøkt innholdet i klagene, varslet de et overtredelsesgebyr på 10 millioner kroner. Onsdag 8. februar ble det klart at Datatilsynet opprettholder vedtaket, og det varslede gebyret på 10 millioner ble stående.
Det var likevel ikke botens størrelse, eller det at Sats fikk bot i seg selv, som fanget vår interesse. Det var det faktum at det står at vedtaket ikke kan påklages til Personvernnemnda.
Kan ikke påklages
Dersom Sats vil klage, må det gjøres via domstolsbehandling. Som alle vet, er dette en dyr prosess med en god del risiko. Datatilsynets begrunnelse for at Personvernnemnda ikke kan behandle en klage på vedtaket, er kort fortalt at Sats' behandling av personopplysninger anses som såkalt «grenseoverskridende behandling».
I slike saker er vedtaket relevant for flere land enn bare Norge – og arbeidet med vedtaket koordineres mellom alle relevante lands datatilsyn av den «ledende tilsynsmyndigheten».
I dette tilfellet var det norske Datatilsynet «ledende tilsynsmyndighet» fordi Sats har hovedkontor her.
Datatilsynet viser til flere årsaker til at Sats har en «grenseoverskridende behandling». Delvis pekes det på at ansatte i flere land hadde tilgang til personopplysningene, dels at Sats hadde samme rutiner og policyer for lagring, sletting og tilgang i alle land.
Konsekvensen blir redusert klagerett
Det faktum at klagene kun kom fra norske kunder, ble ikke mye vektlagt. Som følge av at det er en «grenseoverskridende» behandling, har det norske Datatilsynet samarbeidet og koordinert gebyret sammen med datatilsynsmyndigheter i øvrige land som Sats har virksomhet i: Sverige, Danmark og Finland.
Man kan nok stille spørsmål ved noe av Datatilsynets tolkning om hva som er å «utføre» grenseoverskridende behandling, men det er det ikke plass til her.
Konsekvensen av tolkningen er uansett at klageretten til Personvernnemnda reduseres for ganske mange virksomheter. Det er tross alt svært mange bedrifter som behandler personopplysninger i flere land – og som benytter samme personvernerklæring overfor alle sine kunder.
Et reelt behov
Her må det tilføyes at Personvernnemnda er en særnorsk ordning som ikke finnes i våre naboland. I andre land er det normalt at vedtak fra datatilsynsmyndigheter må bringes inn for domstolene. Men i Norge har Personvernnemnda fungert bra, og de har tilbudt en både rask og rimelig måte å bestride vedtak fra Datatilsynet på.
Ifølge Personvernnemndas egen årsmelding omgjorde de 27 prosent av Datatilsynets påklagede vedtak i 2021, og i 2020 omgjorde de hele 47 prosent av vedtakene. Tilbake i 2018 ble over halvparten av vedtakene, 53 prosent, omgjort.
Det er altså en ganske stor andel av Datatilsynets vedtak som blir endret etter behandling i Personvernnemnda.
Det betyr at det er et reelt behov for enkelt å kunne overprøve Datatilsynets vedtak, av hensyn til både bedriftenes rettssikkerhet og ikke minst kostnader. Vi mener at Personvernnemnda har vært nyttig for mange.
Færre vil bestride vedtak
I saker fremover der Datatilsynet legger til grunn at bedriften «utfører» grenseoverskridende behandling, antar vi at langt færre vil bestride vedtak fra Datatilsynet. Det å kjøre en sak for domstolene vil medføre en betydelig større kostnad enn ved å klage til Personvernnemnda.
Antakelig er det bare saker som gjelder meget store beløp som vil bli bestridt.
Dette betyr at etterlevelse av GDPR blir enda viktigere for virksomheter. Konsekvensene av å ha gjort feil blir større enn tidligere. Og forståelsen av hva som er «grenseoverskridende» aktivitet, er et tema flere må sette seg inn i fremover.
GDPR er basert på mange gode og viktige prinsipper, men regelverket er komplisert, og det blir ikke enklere fremover – med et sammensatt og ikke minst internasjonalt rettskildebilde.
Eva Jarbekk har tidligere vært leder av Personvernnemnda.
Skeptisk til at Datatilsynet får ansvaret for å følge opp AI Act
