Bedrift risikerer overtredelsesgebyr på 100 millioner NOK for ulovlig utlevering av personopplysninger
Med et nylig utkast til vedtak har Datatilsynet erklært sin intensjon om å bøtelegge en teknologibedrift 100 millioner NOK for utlevering av personopplysninger til tredjepartsannonsører uten behandlingsgrunnlag. Som en del av begrunnelsen ble det lagt vekt på at særlige kategorier av personopplysninger hadde blitt delt, ettersom personopplysningene hadde gitt informasjon om brukernes seksuelle legning.
Som følge av klager fra Forbrukerrådet anmodet Datatilsynet teknologibedriften, som tar i bruk en GPS-basert sosial nettverksapp, til å informere om hvordan personopplysninger blir utlevert til tredjepartsannonsører.
I henhold til bedriftens personvernerklæring ble brukere informert om at visse personopplysninger var delt med annonsørpartnere, men disse hadde kun blitt nevnt i svært begrenset grad. Bedriften delte opplysninger som profil- og stedsinformasjon, informasjonskapsler, loggfiler og mer.
For å fastslå om bedriften hadde oppfylt sine forpliktelser måtte Datatilsynet vurdere om særlige kategorier av personopplysninger også hadde blitt utlevert og om brukertillatelse hadde vært lovlig.
Særlige kategorier av personopplysninger må fortolkes bredt
Ifølge Datatilsynet hadde den informasjonen som var blitt delt med tredjepartsannonsørene også inneholdt særlige kategorier av personopplysninger siden informasjonen ga opplysninger om brukernes seksuelle legning, ettersom bedriften også delte søkeord som «homofil, bi, trans» med sine annonsører.
Bedriften var uenig og anførte at søkeordene ble brukt generelt for alle brukere, som en generell beskrivelse av appen. Selv om Datatilsynet sa seg enig i at søkeordene ikke var spesifikke for den opplysningene gjaldt, ga de likevel informasjon om seksuell legning som et resultat av den rene tilknytningen til appen. Datatilsynet slo fast at «seksuell legning» må fortolkes bredt, og at det ikke var noe behov for å angi en særlig seksuell legning for å utløse omfanget. Det var nok å dele at brukeren tilhørte en seksuell minoritet.
Bedriften pekte på at en slik fortolkning ville ha betydelig effekt på andre teknologibedrifter, og listet opp en rekke apper som ville bli påvirket. Bedriften hevdet også at en slik fortolkning ville føre til at mange behandlingsansvarlige plutselig og uventet ville befinne seg i en situasjon hvor de behandlet særlige kategorier av personopplysninger. Dette endret imidlertid ikke Datatilsynets funn.
Brukernes samtykke var ugyldig
Som hovedregel bør omfattende utlevering av personopplysninger for markedsføringsformål være samtykke-basert. Et annet behandlingsgrunnlag ville ikke vært passende eller tilstrekkelig for formålet. Datatilsynet så derfor nærmere på den samtykkeløsningen som hadde vært i bruk på tidspunktet. Blant annet fant Datatilsynet at samtykkeløsning ikke ga mulighet for separat samtykke – brukerne var tvunget til å samtykke til personvernserklæringen som helhet for å ta i bruk appen, at tilgang til tjenestene var avhengig av samtykke, at tilbaketrekking av samtykke medførte ekstra utgifter og at samtykket ikke hadde vært spesifisert. Bedriften hadde heller ikke tilstrekkelig opplyst sine brukere om hva de sa seg enige i, og at samtykket i alle tilfeller ikke hadde vært entydig.
Ifølge bedriften overgikk deres samtykkeløsning bransjestandarden. Bedriften pekte også på det faktum at opplysninger om seksuell legning allerede var offentliggjort av brukeren ved å ha en profil på appen. Datatilsynet avviste dette resonnementet og viste til de forskjellige restriksjonene som forelå før andre kunne få tilgang til denne informasjonen.
IUNO mener
Nyere saker i henhold til de nye reglene gir en økt klarhet om bøtenivået bedrifter kan forvente i tilfelle av brudd på sine personopplysningsforpliktelser. Som en del av vurderingen la Datatilsynet vekt på at særlig teknologibedrifter må være oppmerksomme på det økte ansvaret som kommer ved en omfattende behandling av personopplysninger. Det foreslåtte overtredelsesgebyret vil være den høyeste i Norge hittil etter de nye reglene, og er beregnet til å være 10 % av bedriftens verdensomspennende omsetning.
IUNO anbefaler at bedrifter å være oppmerksomme på at nasjonale datatilsyn i mange tilfeller vil utstede bøter uten forvarsel. I denne saken henviste bedriften til tidligere veiledning fra det irske datatilsynet som gir behandlingsansvarlige seks måneder til å overholde reglene før det gjøres tiltak. Det norske datatilsynet avviste denne argumentasjonen med henvisning til den nylige boten på 50 millioner EUR, utstedt til Google av det franske datatilsynet for manglende overholdelse.
[Datatilsynets utkast til vedtak om overtredelsesgebyr til Grindr, av den 24 januar 2021]
Som følge av klager fra Forbrukerrådet anmodet Datatilsynet teknologibedriften, som tar i bruk en GPS-basert sosial nettverksapp, til å informere om hvordan personopplysninger blir utlevert til tredjepartsannonsører.
I henhold til bedriftens personvernerklæring ble brukere informert om at visse personopplysninger var delt med annonsørpartnere, men disse hadde kun blitt nevnt i svært begrenset grad. Bedriften delte opplysninger som profil- og stedsinformasjon, informasjonskapsler, loggfiler og mer.
For å fastslå om bedriften hadde oppfylt sine forpliktelser måtte Datatilsynet vurdere om særlige kategorier av personopplysninger også hadde blitt utlevert og om brukertillatelse hadde vært lovlig.
Særlige kategorier av personopplysninger må fortolkes bredt
Ifølge Datatilsynet hadde den informasjonen som var blitt delt med tredjepartsannonsørene også inneholdt særlige kategorier av personopplysninger siden informasjonen ga opplysninger om brukernes seksuelle legning, ettersom bedriften også delte søkeord som «homofil, bi, trans» med sine annonsører.
Bedriften var uenig og anførte at søkeordene ble brukt generelt for alle brukere, som en generell beskrivelse av appen. Selv om Datatilsynet sa seg enig i at søkeordene ikke var spesifikke for den opplysningene gjaldt, ga de likevel informasjon om seksuell legning som et resultat av den rene tilknytningen til appen. Datatilsynet slo fast at «seksuell legning» må fortolkes bredt, og at det ikke var noe behov for å angi en særlig seksuell legning for å utløse omfanget. Det var nok å dele at brukeren tilhørte en seksuell minoritet.
Bedriften pekte på at en slik fortolkning ville ha betydelig effekt på andre teknologibedrifter, og listet opp en rekke apper som ville bli påvirket. Bedriften hevdet også at en slik fortolkning ville føre til at mange behandlingsansvarlige plutselig og uventet ville befinne seg i en situasjon hvor de behandlet særlige kategorier av personopplysninger. Dette endret imidlertid ikke Datatilsynets funn.
Brukernes samtykke var ugyldig
Som hovedregel bør omfattende utlevering av personopplysninger for markedsføringsformål være samtykke-basert. Et annet behandlingsgrunnlag ville ikke vært passende eller tilstrekkelig for formålet. Datatilsynet så derfor nærmere på den samtykkeløsningen som hadde vært i bruk på tidspunktet. Blant annet fant Datatilsynet at samtykkeløsning ikke ga mulighet for separat samtykke – brukerne var tvunget til å samtykke til personvernserklæringen som helhet for å ta i bruk appen, at tilgang til tjenestene var avhengig av samtykke, at tilbaketrekking av samtykke medførte ekstra utgifter og at samtykket ikke hadde vært spesifisert. Bedriften hadde heller ikke tilstrekkelig opplyst sine brukere om hva de sa seg enige i, og at samtykket i alle tilfeller ikke hadde vært entydig.
Ifølge bedriften overgikk deres samtykkeløsning bransjestandarden. Bedriften pekte også på det faktum at opplysninger om seksuell legning allerede var offentliggjort av brukeren ved å ha en profil på appen. Datatilsynet avviste dette resonnementet og viste til de forskjellige restriksjonene som forelå før andre kunne få tilgang til denne informasjonen.
IUNO mener
Nyere saker i henhold til de nye reglene gir en økt klarhet om bøtenivået bedrifter kan forvente i tilfelle av brudd på sine personopplysningsforpliktelser. Som en del av vurderingen la Datatilsynet vekt på at særlig teknologibedrifter må være oppmerksomme på det økte ansvaret som kommer ved en omfattende behandling av personopplysninger. Det foreslåtte overtredelsesgebyret vil være den høyeste i Norge hittil etter de nye reglene, og er beregnet til å være 10 % av bedriftens verdensomspennende omsetning.
IUNO anbefaler at bedrifter å være oppmerksomme på at nasjonale datatilsyn i mange tilfeller vil utstede bøter uten forvarsel. I denne saken henviste bedriften til tidligere veiledning fra det irske datatilsynet som gir behandlingsansvarlige seks måneder til å overholde reglene før det gjøres tiltak. Det norske datatilsynet avviste denne argumentasjonen med henvisning til den nylige boten på 50 millioner EUR, utstedt til Google av det franske datatilsynet for manglende overholdelse.
[Datatilsynets utkast til vedtak om overtredelsesgebyr til Grindr, av den 24 januar 2021]
Motta nyhetsbrevet vårt
