Personvernnemndas vedtak 7. september 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem)
Saken gjelder klage fra OpenX Software Ltd., OpenX Ltd. og OpenX Technologies, Inc. (heretter OpenX) over Datatilsynets pålegg om redegjørelse etter personvernforordningen artikkel 58 nr. 1.
Sakens bakgrunn
Grindr er et lokasjonsbasert sosialt nettverk og en mobiltelefonapplikasjon for nettdating (dating-app) for homofile, biseksuelle og transpersoner. I forbindelse med Forbrukerrådets lansering av rapporten «Out of Control» klaget Forbrukerrådet inn både Grindr LLC og flere annonseselskaper Grindr bruker, til Datatilsynet. Ett av disse annonseselskapene er OpenX, som denne saken gjelder. Forbrukerrådet mener annonseselskapet mottar personopplysninger fra Grindr, blant annet om brukernes seksuelle legning og lokasjon, og at de ulovlig deler opplysningene med andre uten å ha de registrertes samtykke.
Mange av de innklagede annonseselskapene er ikke etablert i Norge. Den 21. februar 2020 sendte Datatilsynet OpenX et krav om redegjørelse for ulike overordnede spørsmål vedrørende behandlingsansvar, eventuelle hovedetableringer i Europa, samt spørsmål om grenseoverskridende behandling finner sted, jf. personvernforordningen artikkel 58 første ledd bokstav a. Formålet med henvendelsen var ifølge Datatilsynet å avklare hvilke tilsynsmyndigheter i EØS som er kompetente til å behandle de ulike sakene.
OpenX klaget rettidig på kravet om redegjørelse, jf. forvaltningsloven § 14. OpenX anfører at Datatilsynet ikke har hjemmel for å pålegge dem å gi en redegjørelse. OpenX har vist til at det er Nasjonal kommunikasjonsmyndighet (Nkom) som er tilsynsmyndighet etter ekomloven, og at den behandlingen av opplysninger som klagen fra Forbrukerrådet gjelder, er uttømmende regulert av ekomloven § 2-7 b.
Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sin avgjørelse og opprettholdt sitt krav om redegjørelse. Datatilsynet oversendte saken til Personvernnemnda 24. juni 2020. OpenX ble orientert om saken i brev fra nemnda 29. juni 2020 og fikk anledning til å komme med kommentarer. OpenX har i brev 10. august 2020 gitt sine kommentarer.
Saken ble behandlet i nemndas møte 7. september 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg og Hans Marius Tessem. Sekretariatsleder Anette Klem Funderud var også tilstede.
OpenXs har i hovedsak anført
Klagen fra Forbrukerrådet mot Grindr og blant annet OpenX gjelder spørsmålet om hvorvidt selskapene har rettslig grunnlag for behandling av personopplysninger om Grindr-brukere gjennom mobiltelefonapplikasjonen Grindr.
Spørsmålet om rettslig grunnlag i relasjon til klagen er regulert av lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven) § 2-7 b. I henhold til § 1-4 og § 10-1 i ekomloven er det Nkom – ikke Datatilsynet – som er gitt kompetanse til å føre kontroll med etterlevelsen av ekomloven.
Ekomloven § 2-7 b oppstiller de rettslige kravene for bruk av cookies og teknologi som samler inn og lagrer informasjon fra brukerens kommunikasjonsutstyr eller får tilgang til slik informasjon. Bestemmelsen, som gjelder uavhengig av om opplysningene anses som personopplysninger, krever samtykke som rettslig grunnlag for behandlingen og er primært styrt av kommunikasjonsvernhensyn.
Klagen gjelder OpenX' innsamling av informasjon om Grindr-brukeren gjennom tilgang til brukerens enhet. OpenX leverer teknologier som gjør det mulig å tilby målrettet markedsføring til brukerne av Grindr-appen, og er databehandler på grunnlag av instruksene fra og formålene bestemt av den behandlingsansvarlige. Før det kan behandles informasjon om brukeren må OpenX innhente informasjon om brukeren fra brukerens enhet. OpenX innhenter informasjon fra brukerens enhet gjennom teknologier – kjent som SDK-er (software development kits) som er innlemmet i Grindr-applikasjonen. Slike teknologier gjør det mulig for OpenX å samle inn ID for mobilmarkedsføring, IP-adresser og annen enhetsinformasjon som skjermstørrelse og -oppløsning. Teknologiene som anvendes er tilsvarende og fungerer på samme måte som cookies og faller uten tvil innenfor virkeområde til ekomloven § 2-7 b.
Kun én tilsynsmyndighet har kompetanse hva gjelder OpenX' behandlingsaktiviteter. Lovgiver har fordelt myndigheten til å føre kontroll med databehandling mellom Datatilsynet og Nkom. Mens Datatilsynet er kompetent tilsynsmyndighet for de generelle reglene om behandling av personopplysninger etter personvernforordningen er noen særlige, begrensede behandlingsaktiviteter særskilt regulert i ekomloven § 2-7 b der kun Nkom er kompetent myndighet til å føre kontroll med etterlevelsen av denne. Datatilsynet er ikke kompetent til å pålegge OpenX å gi informasjon hva gjelder klagen fra Forbrukerrådet om rettslig grunnlag for behandlingen.
Nkom og Datatilsynet tolker de rettslige kravene for å bruke cookies og lignende teknologier og hvordan samtykke til cookies kan innhentes ulikt. Det er ikke i samsvar med lovgivers intensjoner verken i EU eller Norge at to tilsynsmyndigheter mener å gi autoritativ veiledning om det samme lovgivningsmessige forholdet, samtidig som de gir motstridende veiledning.
I uttalelse fra European Data Protection Board (Personvernrådet), Opinion 5/2019 12. mars 2019 bemerkes følgende på side 22:
«As a general comment, where several authorities are competent for the different legal instruments, they should ensure that enforcement of both instruments is consistent inter alia to avoid a breach of the non bis in idem principle in case infringements of provisions of the GDPR and ePrivacy Directive which took place in the context of one processing activity are strongly linked.»
Datatilsynet må ha en klar oppfatning av omfanget av og begrensningene i sin kompetanse. Allmennheten bør ikke bære risikoen for den uklare og inkonsekvente rettslige situasjonen.
Basert på lovgivers intensjoner, uttalelsene fra Personvernrådet og de grunnleggende prinsippene om rettslig klarhet og forutberegnelighet, er det kun Nkom som er kompetent tilsynsmyndighet for OpenX' behandlingsaktiviteter underlagt ekomloven § 2-7 b som lex specialis.
Kommunikasjonsverndirektivet (EU-direktiv 2002/58/EC, ePrivacy-Directive) og ekomloven § 2-7 b, som gjennomfører artikkel 5(3) i kommunikasjonsverndirektivet, er lex specialis for personvernforordningen. I personvernforordningen artikkel 95 framgår det også at forordningen ikke skal innføre ytterligere forpliktelser når det er særlige forpliktelser med samme formål som det som er fastsatt i kommunikasjonsverndirektivet. Slike særlige forpliktelser etter ekomloven vil derfor gjelde i stedet for, og ikke i tillegg til, forpliktelser etter personvernforordningen. Klagen gjelder Grindr-appen og opplysninger som hentes fra SDK som påstås å deles gjennom appens SDK-integrasjoner. Det er følgelig de særlige forpliktelsene under ekomloven som er sentrale for klagen i foreliggende sak.
Ifølge Datatilsynet regulerer ikke kommunikasjonsverndirektivet og ekomloven etterfølgende behandlingsaktiviteter. OpenX' behandlingsaktiviteter er underlagt ekomloven § 2-7 b før selskapet utfører noen behandling der Datatilsynet er tilsynsmyndighet etter personvernforordningen. OpenX utfører ingen etterfølgende behandling for egne formål.
Datatilsynets vurdering
Datatilsynets krav om redegjørelse var begrunnet i et behov for å avklare hvilken tilsynsmyndighet som eventuelt er ledende tilsynsmyndighet etter personvernforordningen i de ulike sakene, ikke for å behandle de materielle påstandene i klagene.
Ekomloven § 2-7 b regulerer samtykke til, og informasjon om, informasjonskapsler og Nkom er kompetent tilsynsmyndighet når det gjelder etterlevelse og håndhevelse av ekomloven. Personopplysningsloven og personvernforordningen kommer også til anvendelse ved behandling av personopplysninger.
Opplysninger som kan samles inn gjennom cookies og lignende teknologier vil ofte identifisere en enkeltperson via dens enhet(er), og da utgjør de personopplysninger i tråd med personvernforordningen artikkel 4 nr. 1. Datatilsynet er kompetent til å føre tilsyn med etterlevelsen av personvernforordningen i tråd med forordningen artikkel 57 og 58.
Når det gjelder å få tilgang til informasjon gjennom cookies og lignende teknologier er kommunikasjonsverndirektivet lex specialis. Dette følger av personvernforordningen artikkel 95 som sier at personvernforordningen ikke skal innføre ytterlige forpliktelser der det finnes særlige forpliktelser med samme formål etter kommunikasjonsverndirektivet. Kommunikasjonsverndirektivet artikkel 5(3) og ekomloven § 2-7 b inneholder særlige forpliktelser ved lagring og adgang til opplysninger allerede lagret på brukerens kommunikasjonsutstyr. Formålet med bestemmelsen er å oppstille en viss terskel for adgangen til å utføre disse spesifikke behandlingsaktivitetene fordi brukerens kommunikasjonsutstyr er en del av privatlivet, jf. kommunikasjonsverndirektivet fortalepunkt 24.
Kommunikasjonsverndirektivet artikkel 5(3) og ekomloven § 2-7 b regulerer imidlertid ikke andre eller etterfølgende behandlingsaktiviteter, som videre lagring på en server, deling, salg, sammenstilling, analyse eller profilering. Bestemmelsene har ikke som formål å regulere bruken av opplysninger når de først er innsamlet, eller andre aspekter ved personopplysningsvernet. Her gjelder personvernforordningen som lex generalis, jf. forordningens fortalepunkt 173. Forordningens regler om prinsipper, behandlingsgrunnlag, informasjon, den registrertes rettigheter, de behandlingsansvarliges plikter og overføring til tredjeland kommer til anvendelse, og Datatilsynet og Personvernnemnda er kompetente myndigheter til å vurdere den etterfølgende behandlingen. Dette er i tråd med kommunikasjonsverndirektivet fortalepunkt 10, som sier at personvernforordningen gjelder for alle sidene ved vern av grunnleggende rettigheter og friheter som ikke er særregulert i direktivet, inkludert den registrertes rettigheter og de behandlingsansvarliges plikter (fortalepunkt 10 henviser til direktiv 95/46/EF som skal forstås som henvisninger til personvernforordningen, jf. personvernforordningen artikkel 94 andre ledd.)
I mars 2019 kom Personvernrådet med en formell uttalelse om samspillet mellom ePrivacy-direktivet og personvernforordningen samt datatilsynsmyndighetenes kompetanse etter konsistensmekanismen i personvernforordningen artikkel 64 nr. 2, jf. opinion 5-2019. Ifølge Personvernrådet gjelder personvernforordningen i tillegg til kommunikasjonsverndirektivet og Personvernrådet uttaler følgende i avsnitt 68-69:
«When the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, data protection authorities are competent to scrutinize subsets of the processing which are governed by national rules transposing the ePrivacy Directive only if national law confers this competence on them. However, the competence of data protection authorities under the GDPR in any event remains unabridged as regards processing operations which are not subject to special rules contained in the ePrivacy Directive. (…) Data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR».
Personvernrådets uttalelse er en relevant rettskilde fordi den gitt av et uavhengig EU-organ med hjemmel i personvernforordningen artikkel 64, og gir uttrykk for tilsynsmyndighetenes harmoniserte syn på tvers av EØS.
På Nkoms nettsider anerkjenner Nkom i sin veiledning om samtykke til cookies at behandlingen også kan være underlagt personvernforordningen.
En stor del av behandlingen av personopplysninger som finner sted i dag, skjer gjennom lagring og avlesing av opplysninger på brukerens kommunikasjonsutstyr, som ved besøk på nettsteder og bruk av mobilapper. Får OpenX’ medhold i sin klage vil det føre til at Datatilsynet ikke kan kontrollere slik behandling av personopplysninger, og at denne myndigheten utelukkende ligger hos Nkom. Det mangler støtte i rettskildene og er åpenbart i strid med lovgivers intensjoner både i Norge og EU.
Datatilsynet er kompetent etter personvernforordningen artikkel 57 og 58 til å føre tilsyn med OpenX’ etterlevelse av personvernforordningen for de delene av behandlingen som ikke er særregulert av ekomloven. OpenX har plikt til å svare på Datatilsynets krav om redegjørelse 21. februar 2020, da de etterspurte opplysningene er nødvendige for utførelse av Datatilsynets oppgaver.
OpenX' anførsel om rettslig uklarhet og tilsynsmyndighetenes ulike oppfatninger om bruk av cookies og samtykke er ikke relevant for klagens gjenstand.
Personvernnemndas vurdering
Datatilsynet har pålagt OpenX å gi en redegjørelse for sin behandling av personopplysninger knyttet til Grindr, jf. personvernforordningen artikkel 58 nr. 1. Etter forvaltningsloven § 14 kan den som pålegges å gi opplysninger til forvaltningen klage over pålegget dersom han mener han ikke har plikt eller lovlig adgang til å gi opplysningene. Klageadgangen er med andre ord begrenset til å gjelde lovligheten av pålegget. Bestemmelsen i § 14 gir dermed en snevrere adgang til å klage enn etter forvaltningsloven § 28. Klagegrunnene er uttømmende angitt i § 14 og klager har således ikke et rettskrav på å få overprøvd hensiktsmessigheten eller rimeligheten av vedtaket, selv om klageorganet har adgang til å prøve også den siden av saken, jf. forvaltningsloven §§ 34 og 35 (jf. § 14 in fine som slår fast at bestemmelsene i kap VI gjelder tilsvarende så langt de passer). Nemnda legger til grunn at OpenX har fremsatt klagen innen fristen i forvaltningsloven § 14.
Spørsmålet for nemnda er om personvernforordningen artikkel 58 nr. 1 gir Datatilsynet hjemmel til å pålegge OpenX å gi tilsynet en redegjørelse eller om OpenX’ behandling av opplysninger (også når det dreier seg om personopplysninger) uttømmende er regulert av ekomloven, hvor det er Nasjonal kommunikasjonsmyndighet (Nkom) som er tilsynsmyndighet.
Datatilsynets oppgaver etter personvernforordningen artikkel 57 nr. 1 bokstav a og f er å «føre tilsyn med og håndheve anvendelsen av denne forordning» og «behandle klager som er inngitt av en registrert […] og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet».
Personopplysningsloven § 20 fastslår videre i tredje ledd:
«Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av
- bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her
- bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.»
I forarbeidene til personopplysningsloven, Prop. 56 LS (2017–2018) pkt. 26.5 uttaler departementet følgende om bestemmelsen:
«I en rekke tilfeller åpner forordningen for nasjonale regler som spesifiserer og supplerer forordningens regler. Departementet foreslår en særskilt bestemmelse som gjør det klart at tilsynsmyndigheten har kompetanse også når det gjelder overholdelse av nasjonale regler om behandling av personopplysninger i personopplysningsloven og i særlovgivningen, som utfyller forordningens regler. Datatilsynet har etterlyst en omtale av hvilke konsekvenser det at Datatilsynet har myndighet til å føre tilsyn med all behandling av personopplysninger vil få for andre myndigheter og organer som i dag er tillagt oppgaver knyttet til ivaretakelse av personvernet. Fordelingen av myndighet mellom Datatilsynet og eventuelle andre myndigheter vil bero på en tolkning av reglene i personopplysningsloven og eventuelle regler i særlovgivningen.»
Datatilsynets undersøkelsesmyndighet framgår av personopplysningsloven § 23 og personvernforordningen artikkel 58 nr. 1. Etter artikkel 58 nr. 1 bokstav a har tilsynet kompetanse til å:
«pålegge den behandlingsansvarlige og databehandleren og, dersom det er relevant, disses representant, å framlegge all informasjon den trenger for å kunne utføre sine oppgaver.»
Ifølge OpenX samler selskapet inn, via cookies, informasjon om Grindr-brukere som ID for mobilmarkedsføring, IP-adresser og annen enhetsinformasjon som skjermstørrelse og -oppløsning. I likhet med Datatilsynet legger nemnda til grunn at dette kan være opplysninger som er egnet til å identifisere en fysisk person, og dermed faller inn under personopplysningslovens virkeområde, jf. personopplysingsloven § 2 og personvernforordningen artikkel 4 nr. 1. Nemnda viser til personvernforordningens fortalepunkt 30 som fastslår at:
«Fysiske personer kan knyttes til nettidentifikatorer via utstyr, programmer, verktøy og protokoller, f.eks. IP-adresser, informasjonskapsler eller andre identifikatorer, f.eks. radiofrekvensidentifikasjonsmerker. Dette kan etterlate spor som særlig i kombinasjon med entydige identifikatorer og andre opplysninger som serverne mottar, kan brukes til å opprette profiler for fysiske personer og identifisere dem.»
Selv om Ekomloven og kommunikasjonsverndirektivet regulerer «lagring» og «tilgang» til opplysninger i brukerens kommunikasjonsutstyr, er det ingenting, verken i loven eller lovens forarbeider, som tilsier at personvernforordningens regler, for eksempel om den behandlingsansvarliges plikter og den registrertes rettigheter, ikke kommer til anvendelse når de opplysningene som behandles er personopplysninger. Tvert imot følger det av kommunikasjonsverndirektivet at personvernforordningen kommer til anvendelse, jf. kommunikasjonsverndirektivets fortalepunkt 10, som lyder:
«I den elektroniske kommunikasjonssektor finder direktiv 95/46/EF navnlig anvendelse på alle forhold vedrørende beskyttelse av grundlæggende rettigheder og frihedsrettigheder som ikke særligt er omfattet af bestemmelserne i dette direktiv, herunder den registreransvarliges forpligtelser og fysiske personers rettigheder. Direktiv 95/46/EF anvendes på ikke-offentlige kommunikasjonstjenester.»
Hvorvidt den innsendte klagen fra Forbrukerrådet gjelder behandling av opplysninger som uttømmende er regulert av ekomloven, slik OpenX anfører, eller ikke, er etter nemndas vurdering uten betydning. Datatilsynet har i personvernforordningen artikkel 58 nr. 1. en generell hjemmel til å pålegge den behandlingsansvarlige, databehandleren eller disses representant å framlegge all informasjon tilsynet trenger for å utføre sine oppgaver, uavhengig av den klagen som eventuelt har gjort Datatilsynet oppmerksom på virksomheten.
Den eventuelle rettslige uklarheten og de to tilsynsmyndighetenes eventuelle ulike oppfatninger om bruk av cookies og kravene til et gyldig samtykke, er uten betydning for Datatilsynets kompetanse etter personvernforordningen artikkel 57 og 58 til å føre tilsyn med OpenX’ etterlevelse av personvernforordningen for de delene av behandlingen som ikke er særregulert av ekomloven.
OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt i sitt krav om redegjørelse 21. februar 2020.
OpenX har ikke fått medhold i sin klage.
Vedtaket er enstemmig.
Vedtak
OpenX har plikt til å gi Datatilsynet den informasjonen tilsynet har etterspurt i sitt krav om redegjørelse 21. februar 2020.
Oslo, 7. september 2020
Mari Bø Haugstad
Leder