Noreg, ved Regjeringsadvokaten, uttalte seg i ei av sakene, Deutsche Wohnen. Tyske reglar om lovbrotgebyr hadde blitt brukt til å sette til side eit vedtak frå eit av dei nasjonale datatilsyna i landet. EU-domstolen sa at dei tyske reglane ikkje var i samsvar med personvernforordninga. Les heile dommen på eitt av EUs språk (eur-lex.europa.eu).
Den andre dommen, som kom same dag, gjaldt spørsmål frå ein domstol i Litauen. Den diskuterer òg, mellom anna, når og korleis ein kan påleggja bøter for brot på personvernreglane, og kva ansvar den behandlingsansvarlege har for å sikra rett behandling av personopplysningar. Les heile dommen på Eur-lex (eur-lex.europa.eu).
Dommene bidreg både til å stadfesta Datatilsynets noverande praksis og vil påverka norske verksemder.
Bakgrunnen for spørsmåla i Deutsche Wohnen
Deutsche Wohnen er eit eigedomsselskap i Berlin. Selskapet er del av eit konsern, som eig 163 000 bustader og hadde personopplysingar om svært mange leigetakarar. ID-dokument, opplysingar om skatt og forsikring var samla inn over mange år, utan å bli sletta. Datatilsynet i Berlin påla i 2017 selskapet å slette opplysingar, som ikkje lenger var nødvendige. Då selskapet to år seinare framleis ikkje hadde sletta opplysingane, vedtok datatilsynet eit gebyr på 14,5 millionar euro.
Ein domstol i Berlin kom først til at vedtaket om gebyr var ugyldig. Årsaka var at datatilsynet i Berlin ikkje hadde følgt tyske reglar om gebyr frå forvaltninga. Den tyske lova kravde at datatilsynet måtte bevise at bestemte personar i leiinga hadde brote reglane aktlaust eller forsettleg (kunne klandrast) for å gje gebyr til selskapet. Ankedomstolen sendte spørsmål til EU-domstolen om den tyske lova var i samsvar med personvernforordninga.
Kva svarte EU-domstolen i Deutsche Wohnen?
- Reglane om gebyr i personvernforordninga gjeld direkte for alle land. Eit land kan ikkje stille krav om å identifisere bestemte personar, for å gi gebyr til ei verksemd.
- For at eit datatilsyn skal kunne gje gebyr, må tilsynet bevise at verksemda har brote reglane aktlaust eller forsettleg.
- Når ei verksemda er ein del av eit føretak (konsern), skal datatilsynet berekne maksgrensa for gebyr ut frå den samla omsetnaden for konsernet i det føregåande rekneskapsåret.
Kva har dommane å seie for Datatilsynets praksis?
- Dommane stadfestar Datatilsynets praksis.
- Datatilsynet krev alt no at ei verksemd har vore aktlaus eller forsettleg før vi gjev gebyr.
- Dersom ei verksemd for eksempel opplever datainnbrot, vurderer vi om dette er noko verksemda kan klandrast for. Dessverre er årsaka ofte at dei tekniske løysingane ikkje er tilfredsstillande og verksemda har mangelfulle organisatoriske tiltak. Datainnbrot kan skje, trass i oppdaterte tekniske løysingar og gode rutinar. Har merarbeidarane følgt rutinane, men likevel blitt lurt av for eksempel phishing, vil vi vere tilbakehaldne med å gje gebyr.
- Dommane legg til rette for at vi framleis kan handheve personvernreglane effektivt.
Kva har dommane å seie for verksemder i Noreg?
- Lik handheving av personvernreglane hindrar at konkurransen blir vridd mellom verksemder etablert i Noreg og for eksempel Tyskland.
- Gode styringssystem er viktig, også for å vise at verksemda er aktsam.
Sjå òg EU-domstolens pressemelding (curia.europa.eu) for begge dommane.