– Fortolkningen til Personvernnemnda tar fra oss et viktig virkemiddel i møte med store internasjonale selskaper, sier datadirektør Line Coll, etter at nemndas avgjørelse ble kjent torsdag.

Bakteppet er at Datatilsynet i 2023 vedtok dagbøter mot Facebook, eller Meta som eierselskapet heter, på én million kroner for brudd på GDPR, nærmere bestemt brudd på et forbud mot å bruke persondata til overvåkingsbasert reklame.

– Personvernrettighetene til norske Facebook- og Instagram-brukere blir krenket for hver dag Meta ikke innretter seg, skrev Datatilsynet i en pressemelding da vedtaket ble kjent.

Annonse

Vil du være med på laget til BDO Advokater?

Klaget

Siden den gang har dagbøtene akkumulert seg, uten at Meta ha verken betalt eller innrettet seg. Men nå har altså Personvernemnda kommet til at Datatilsynet aldri hadde anledning til å pålegge slike dagbøter.

Begrunnelsen er at personvernloven kun gir tilsynet adgang til å bruke tvangsmulkt ved pålegg «etter loven her», underforstått personvernloven. Personvernforordningen, derimot, har andre regler. Der nevnes ingen tvangsmulkter, der er sanksjonen kun overtredelsesgebyr. Og det har Meta allerede fått fra EU, på ikke mindre enn 390 millioner euro. «Det er derfor åpenbart at tvangsmulkten representerer en dobbeltsanksjonering av de samme bruddene», anførte Meta over nemnda. Og fikk medhold.

Nemnda skriver mener det ikke er holdepunkter i forarbeidene til personopplysningsloven som skulle tilsi at departementet også mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter forordningen, og skriver:

«Nemnda har etter dette kommet til at vilkåret «pålegg etter loven her» i personopplysningsloven § 29 må tolkes innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet som berørt tilsynsmyndighet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker.»

Etterlyser lovgiver

Datatilsynet mener avgjørelsen vil medføre at norske virksomheter kan ilegges dagbøter, mens de store internasjonale aktørene går klar.

– Dette er uheldig forskjellsbehandling, og vi håper lovgiver kommer raskt på banen med en avklaring, skriver datadirektør Line Coll i en pressemelding.

Nemndas avgjørelse finner du her.