PERSONVERN

Digitale kjemper kan risikere dobbelstraff

Potensiell cookie-smell for Meta kan føre til at store selskaper som bryter EUs personvernhåndtering (GDPR), ender opp med dobbelstraff, skriver advokatene Petter Bjerke og Line Voldstad i denne kronikken.

Kronikkforfatterne: Petter Bjerke og Line Voldstad, partnere i Advokatfirmaet DLA Piper.
Kronikkforfatterne: Petter Bjerke og Line Voldstad, partnere i Advokatfirmaet DLA Piper. Foto: Advokatfirma DLA Piper Norway

Facebook, Instagram og WhatsApp: Nylig gikk Meta, eierselskapet til de populære sosiale medier-plattformene, på et nederlag gjennom generaladvokatens forslag til avgjørelse for EU-domstolen. Dette kan få konsekvenser for norske selskaper.

Generaladvokaten har i den konkrete saken uttalt at brudd på GDPR (General Data Protection Regulation) vil være en indikasjon på om et større foretak misbruker sin dominerende stilling. Uttalelsen er ikke endelig, men hvis den blir fulgt opp av EU-domstolen, vil den ha direkte relevans også for større norske virksomheter. GDPR-reglene gjelder for alle land i EU og EØS, og blir EU-domstolens avgjørelse i tråd med uttalelsen fra generaladvokaten, kan også norske selskaper med dominerende posisjon bli sanksjonert med bøter både i Datatilsynet og Konkurransetilsynet.

Misbruk av dominerende stilling

Tyske konkurranserettsmyndigheter har i flere år undersøkt om Facebooks forretningsmodell innebærer at selskapet misbruker sin dominerende posisjon i markedet. Giganten Facebook tilbyr brukerne en gratis kommunikasjonsplattform – for deretter å selge målrettet annonsering på den samme plattformen. Basert på brukernes interesser, digitale adferd, personlige preferanser og kjøpekraft kan Facebook vise svært treffsikre og personifiserte annonser for produkter og tjenester. Facebook samler inn, systematiserer og kobler personlige opplysninger med sine markedsføringstjenester.

Tyske konkurransemyndigheter slo fast at selskapets databehandling var misbruk av Facebooks dominerende stilling i sosiale medier-industrien. Begrunnelsen for dette var blant annet at Metas forretningsmodell ikke var i tråd med GDPR. Ikke overraskende var Facebook uenig, og selskapet brakte saken inn for domstolene, og det er bedt om EU-domstolens syn på saken.

20. september kom generaladvokatens svar, og det var neppe det svaret Facebook hadde håpet på.

Generaladvokatens vurderinger

Generaladvokaten uttalte at ansvaret for å håndheve GDPR ligger hos europeiske datatilsynsmyndigheter og ikke nasjonale konkurransemyndigheter. Men med et viktig unntak: Dersom et selskap har misbrukt sin dominerende stilling i markedet, har nasjonale konkurransemyndigheter mulighet til å vektlegge manglende etterlevelse av GDPR. Det forutsetter at:

  • Personvernvilkårene som må godtas for å kunne benytte seg av tjenesten, er skadelige for kundene/brukerne.
  • Samtykke til personvernvilkårene ville ikke ha funnet sted under effektiv konkurranse.
  • Vilkårene er urimelige. Ved vurderingen av sistnevnte vil eventuelle brudd på GDPR kunne tillegges vekt.

Vektlegging av manglende etterlevelse av GDPR krever at konkurransemyndigheten og nasjonale datatilsyn samarbeider om lovtolkningen.

Les også

Offentliggjøring av personopplysninger

Tyske konkurransemyndigheter var spesielt opptatt av at Facebooks markedsføringsprofiler omfatter særlige kategorier av personopplysninger, som helseopplysninger og opplysninger om etnisitet, og at bruk av slike personopplysninger ikke er tillatt. Disse markedsføringsprofilene hadde Facebook selv laget basert på brukerens aktivitet på Facebook og Facebooks teknologi.

Ett unntak fra forbudet mot å bruke særlige kategorier personopplysninger er dersom personen selv uttrykkelig offentliggjør de sensitive personopplysningene.

Facebook argumenterte med at brukerne, ved å akseptere Facebooks vilkår og personvernerklæring, opprette bruker og bruke Facebook, uttrykkelig hadde akseptert at Facebook offentliggjorde sensitive personopplysninger gjennom deling av opplysningene til tredjeparter. Facebook mente derfor at bruken deres av slike «særlige kategorier» personopplysninger var uttrykkelig offentliggjort og lovlig.

Generaladvokaten var uenig med Facebook. Det å besøke nettsider og apper, oppgi personopplysninger på disse plattformene, trykke på knapper og samhandle med plattformene, innebærer ikke at brukeren uttrykkelig offentliggjør sensitive personopplysninger. Informasjon som er gitt på denne måten, er i utgangspunktet kun tilgjengelig for plattformeieren. Generaladvokaten mente at en slik tilgjengeliggjøring for plattformeieren verken var «uttrykkelig» eller en offentliggjøring og konkluderte med at selskapets bruk av denne type personopplysninger var ulovlig.

Generaladvokaten kom også med noen interessante uttalelser om kravet til samtykke etter GDPR og uttaler at en dominerende stilling i seg selv ikke innebærer at et samtykke kan innhentes. Men samtidig uttaler generaladvokaten at en dominerende stilling kan ha en innvirkning på maktbalansen mellom partene, noe som igjen er relevant i vurderingen av hvorvidt vilkårene for frivillig samtykke etter GDPR er til stede.   

Kan være dobbelstraff

Hvorfor er så uttalelsen viktig for norske selskaper? For å forstå det må vi ta en liten omvei i jussen. Uttalelsen kan i praksis innebære en mer uklar grensedragning mellom konkurranseretten og personvernretten. Selv om regelsettenes formål delvis er å verne forbrukere, kan overlappet mellom de to rettsområdene medføre en risiko for flere sanksjoner mot samme forhold.

Et dominerende selskap i det norske markedet kan dermed risikere overtredelsesgebyr for manglende etterlevelse av GDPR to ganger: Ett gebyr fra Konkurransetilsynet og ett fra Datatilsynet. Et dobbelt overtredelsesgebyr er imidlertid problematisk i lys av forbudet mot dobbeltstraff, dersom begge overtredelsesgebyrene bygger på samme regelbrudd.

Den endelige avgjørelsen i EU-domstolen blir derfor viktig for å oppklare forholdet mellom rettsområdene og vil gi verdifull veiledning i tolkningen av den kommende Digital Markets Act, som blant annet forbyr portvoktere («gatekeepers») å kombinere personopplysninger om sluttkunden – med mindre det foreligger et informert og tydelig samtykke.

Les også

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.