Internasjonalt arbeid og samarbeid
Personvernforordningen skal tolkes likt i hele EØS-området, og mange personvernutfordringer er grenseoverskridende. Internasjonalt samarbeid er derfor sentralt for Datatilsynet.
Det europeiske personvernrådet (European Data Protection Board – EDPB, også kalt bare Personvernrådet) er et uavhengig EU-organ. Rådets viktigste oppgaver er å komme med retningslinjer og uttalelser om hvordan personvernforordningen skal forstås, vedta bindende beslutninger i enkelte grenseoverskridende saker, samt gi råd til lovgiverne i EU. Personvernrådet bidrar slik til en ensartet anvendelse av regelverket. I noen tilfeller kan Personvernrådet også overprøve de enkelte datatilsynsmyndighetenes vurderinger i enkeltsaker. Det er derfor viktig for Datatilsynet å delta aktivt i Personvernrådet for å ivareta norske interesser.
I grenseoverskridende saker, kan vi dessuten ha nytte av – og i mange tilfeller plikt til – å samarbeide med datatilsynsmyndigheter i andre land.
Datatilsynet har hatt som strategisk mål å påvirke og ta lederrollen i noen utvalgte internasjonale prosesser for å fremme bedre personvern. Vi har med hell engasjert oss internasjonalt i temaer og saker som kan ha mye å si for personvernet i Norge. Over de siste fem årene har vi bygget oss opp en solid posisjon i relevante internasjonale fora som har gitt oss gode påvirkningsmuligheter, og vi er med på å sette agendaen for personvern internasjonalt.
Deltakelse i Personvernrådet med ekspertgrupper
Datatilsynet er fullverdig medlem av Personvernrådet, men siden Norge er en EØS-stat, har vi ikke rett til å stille til valg som rådets leder eller nestleder. Vi deltar i rådets plenumsmøter som vanligvis holdes omtrent én gang i måneden. I tillegg deltar vi i samtlige av rådets ekspertgrupper:
- Border, Travel and Law Enforcement Expert Subgroup
- Compliance, e-Government and Health Expert Subgroup
- Cooperation Expert Subgroup
- Enforcement Expert Subgroup
- Financial Matters Expert Subgroup
- International Transfers Expert Subgroup
- IT Users Expert Subgroup
- Key Provisions Expert Subgroup
- Social Media Expert Subgroup
- Strategic Advisory Expert Subgroup
- Taskforce on Fining
- Technology Expert Subgroup
Gruppene diskuterer og forbereder saker og dokumenter for plenumsmøtene i Personvernrådet, hvor endelige avgjørelser om retningslinjer, uttalelser og så videre blir fattet. Til sammen ni jurister og én teknolog fra Datatilsynet deltok fast i plenums- og ekspertgruppemøter i 2023.
Datatilsynet bidrar aktivt, blant annet ved å være med å føre utvalgte retningslinjer og uttalelser i pennen. I rapporteringsåret har vi blant annet bidratt som rapportør for retningslinjer om berettiget interesse som behandlingsgrunnlag.
Internasjonal saksbehandling
Personvernforordningen kapittel VII og VIII inneholder nærmere regler om saksbehandlingen ved grenseoverskridende behandling av personopplysninger. I denne typen saker må alle berørte datatilsynsmyndigheter identifiseres, og deretter vil en ledende datatilsynsmyndighet bli utpekt ut fra hvor virksomheten har sin hovedetablering. Den ledende datatilsynsmyndigheten undersøker så saken og legger frem et utkast til avgjørelse som de berørte datatilsynsmyndighetene eventuelt kan komme med innsigelser mot. Til denne prosessen brukes det et saksbehandlingssystem som heter Internal Market Information System (IMI).
I 2023 ble det norske Datatilsynet identifisert som berørt datatilsynsmyndighet i 304 nye saker, og ledende tilsynsmyndighet i 13 av sakene. Det er imidlertid en del usikkerhet knyttet til disse tallene, siden ikke alle bruker samme fremgangsmåte i IMI for å melde inn saker.
Internasjonal saksbehandling krever at vi kontinuerlig følger med på hva som skjer i IMI, siler saker og gir tilbakemelding der det er nødvendig. I de aller fleste sakene kommer datatilsynsmyndighetene til enighet om avgjørelsene.
Personvernforordningen åpner for at man i visse, begrensede tilfeller kan gi unntak fra de ordinære samarbeidsprosedyrene i grenseoverskridende saker. Vilkårene er at det er en hastesak og at vedtakets varighet ikke overstiger tre måneder. I 2023 benyttet Datatilsynet denne unntaksbestemmelsen. Meta, som eier Facebook og Instagram, behandlet personopplysninger ulovlig, samtidig som det irske tilsynet ikke grep inn mot den ulovlige aktiviteten (les om den konkrete saken under). Vi fattet derfor et hasteforbud direkte overfor Meta, og ba deretter Personvernrådet gjøre forbudet permanent og utvide det til hele EØS-området. Personvernrådet etterkom forespørselen, og det er første gang en slik forespørsel har ført frem. Denne av avgjørelsen kan ha endret styrkeforholdet mellom de europeiske datatilsynsmyndighetene.
Meta-saken
Datatilsynet har fulgt med på Metas behandling av personopplysninger i flere år.
Fra 2018 til 2022 pågikk det en sak som handlet om hvorvidt Meta hadde lov til å behandle personopplysninger for atferdsbasert markedsføring. Meta mente behandlingen var nødvendig for tjenesteavtalen med brukerne, altså for å levere Facebook- og Instagram-tjenestene, og at den dermed var lovlig. Det irske datatilsynet, som var ledende tilsynsmyndighet og behandlet saken, ønsket opprinnelig å fatte vedtak i tråd med Metas syn, men Datatilsynet og andre datatilsynsmyndigheter i EØS-området var uenige og fremsatte formelle innsigelser. Saken ble derfor løftet til behandling i Personvernrådet som konkluderte med at Meta hadde behandlet personopplysninger ulovlig. Som et resultat ble Meta pålagt å innrette behandlingen av personopplysninger for atferdsbasert markedsføring på en lovlig måte innen april 2023.
I april 2023 informerte Meta om at de ville fortsette med den atferdsbaserte markedsføringen, men nå fordi de etter en interesseavveiing mente at deres interesser veide tyngre enn brukernes rettigheter, friheter og interesser.
Datatilsynet vurderte saken og kom frem til at Metas argumenter ikke sto seg – og at Meta dermed fortsatte å behandle personopplysninger ulovlig. Vi sendte derfor en formell forespørsel til det irske tilsynet om å gripe inn, og saken fortsatte deretter i et nytt prosessuelt spor.
Sommeren 2023 kom det en dom fra EU-domstolen, den såkalte Bundeskartellamt-dommen, som uttalte klart at Meta ikke kunne basere den atferdsbaserte markedsføringen på en interesseavveiing. Det kom også en foreløpig vurdering fra det irske tilsynet som uttalte at Meta trolig behandlet personopplysninger ulovlig, men på tross av dette planla de ikke å gripe inn med korrigerende tiltak.
I juli 2023 fattet derfor Datatilsynet et midlertidig hastevedtak om forbud mot Metas ulovlige behandling av personopplysninger for atferdsbasert markedsføring i Norge. I dialog med Meta ble det klart at selskapet ikke kom til å innrette seg etter vedtaket, så i august 2023 fattet Datatilsynet vedtak om tvangsmulkt på 1 million kroner per dag.
Meta fremsatte en rekke forvaltningsklager mot Datatilsynets forbud og tvangsmulkt. Klagesakene er fremdeles pågående ved årsskiftet. I tillegg ba Meta om en midlertidig forføyning mot Datatilsynets vedtak. Det ble satt av to dager i Oslo tingrett i august til å behandle saken. Den 6. september 2023 avslo tingretten Metas forføyningsbegjæring.
Datatilsynet ba i september Personvernrådet om å gjøre forbudet permanent og utvide det til hele EØS-området. Personvernrådet sa seg enig i at Meta behandlet personopplysninger ulovlig og at de prosessuelle vilkårene for hastesaker forelå. I oktober instruerte Personvernrådet det irske datatilsynet om å nedlegge et permanent forbud ovenfor Meta gjeldende for hele EØS-området, noe tilsynet gjorde.
Mens Personvernrådets behandling foregikk, saksøkte Meta Datatilsynet, med påstand om at vedtakene var ugyldige. Etter at Personvernrådets konklusjon ble kjent, trakk imidlertid Meta søksmålet. Meta forfølger nå saken for EU-domstolen og irske domstoler i stedet.
Meta betalte i november tvangsmulkten knyttet til det midlertidige, norske vedtaket på i underkant av 83 millioner kroner. Meta presiserte at selskapet betalte mulkten under protest.
Forbudet Meta ble ilagt gjaldt behandling av personopplysninger for atferdsbasert markedsføring basert på personopplysningsloven artikkel 6(1)(b) og (f). Meta har siden fortsatt med praksisen, men da basert på at selskapet mener brukerne har samtykket til det etter personvernforordningen. Datatilsynet er sterkt i tvil om Metas samtykker er gyldige etter forordningen, og planlegger å følge saken videre i 2024.
Overføring av personopplysninger til land utenfor EØS
Den 16. juli 2020 avsa EU-domstolen den såkalte Schrems II-dommen, hvor EU-kommisjonens adekvansbeslutning for USA ble kjent ugyldig. Dommen skapte store utfordringer for norske offentlige og private virksomheter, som i stor grad har gjort seg avhengige av særlig amerikanske tjenester.
Sommeren 2023 kom det på plass en ny og forbedret adekvansbeslutning for USA. Det gjør det igjen enkelt å overføre personopplysninger til amerikanske virksomheter. Dette har lettet mange av utfordringene som norske virksomheter har opplevd. Samtidig ventes det at også den nye adekvansbeslutningen vil utfordres i EU-domstolen, noe som kan medføre en viss usikkerhet fremover.
Datatilsynet har i 2023 prioritert å gi veiledning om dette temaet.
Godkjenning av overføringsgrunnlag
Datatilsynet kan godkjenne bindende virksomhetsregler (BCR) som grunnlag for overføring av personopplysninger ut av EØS-området. Dette krever imidlertid samarbeid med andre datatilsynsmyndigheter, samt at BCR-søknaden må legges frem for Det europeiske personvernrådet for en uttalelse.
Ved utgangen av 2023 hadde vi som ledende tilsynsmyndighet, ni åpne søknader om godkjenning av BCR som overføringsgrunnlag. I tillegg har vi gjennomgått tre BCR-søknader hvor en tilsynsmyndighet i et annet EØS-land er den ledende tilsynsmyndigheten (såkalt co-review). Dette er en del av prosessen før en BCR kan legges frem for Personvernrådet. Vi har dessuten deltatt ved behandlingen av to BCR-søknader i Personvernrådet.
Norske konsern som har fått en godkjent BCR, skal årlig sende oss en oppdatering som må gjennomgås. Ved utgangen av 2023 gjaldt dette ti konsern.
Internasjonalt samarbeid
Global Privacy Assembly (GPA)
GPA er den største internasjonale sammenslutningen av datatilsynsmyndigheter, og består av representanter fra datatilsyn fra hele verden. I 2023 deltok to jurister på årsmøtet til GPA på Bermuda. Vi sitter dessuten i tre arbeidsgrupper, med én jurist i hver: International Enforcement Working Group, Digital Citizen and Consumer Working Group og Digital Education Working Group.
Datatilsynet er én av fire såkalte co-chairs for International Enforcement Working Group.
Nordisk møte og samarbeid
Datatilsynsmyndighetene i Norge, Island, Finland, Danmark, Sverige, Færøyene og Åland har årlige møter. I 2023 fant det nordiske møtet sted i Reykjavik. Vi ble der enige om å fortsette det tette, nordiske samarbeidet, blant annet når det gjelder tiltak for effektivisering. De nordiske datatilsynsmyndighetene har alle ressursutfordringer, noe som kan vise seg særlig krevende i møte med ny og omfattende EU-lovgivning på det digitale feltet.
Det ble også vedtatt at de nordiske landene skal samarbeide tettere når det kommer til analyse og innsikt. Det norske Datatilsynet fikk stafettpinnen, og arrangerer digitale møter annenhver måned der deltakere fra alle de nordiske landene deler erfaringer, data og innsikt i analysearbeidet.
I tillegg har det vært jevnlige møter mellom de nordiske tilsynene på ulike nivåer om en rekke faglige problemstillinger.
Andre internasjonale samarbeid
I tillegg til samarbeid relatert til den regulatoriske sandkassen vår som omtales senere, deltar vi også i andre internasjonale fora, slik som Berlingruppen (International Working Group on Data Protection in Technology – IWGDPT) og Global Privacy Enforcement Network (GPEN).