Personvernnemndas vedtak 18. juni 2024 (Mari Bø Haugstad, Bjørnar Borvik, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin, Eirik Løkke)
Saken gjelder klage fra Meta Platforms Ireland Limited (Meta Ireland) og Facebook Norway AS (Facebook Norway) på Datatilsynets vedtak 7. august 2023. I vedtaket ila Datatilsynet selskapene en tvangsmulkt på én million kroner per dag, i inntil tre måneder, for manglende oppfyllelse av et midlertidig forbud mot å behandle personopplysninger for atferdsbasert markedsføring i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester i Norge.
Sakens bakgrunn
Det følger av personvernforordningen artikkel 56 nr. 1 at det er tilsynsmyndigheten i det landet der den behandlingsansvarlige eller databehandleren har sin hovedvirksomhet, eller sin eneste virksomhet, som er ansvarlig tilsynsmyndighet for virksomhetens grenseoverskridende behandling av personopplysninger. En «grenseoverskridende behandling» er ifølge artikkel 4 nr. 23 og fortalepunkt 124 en behandling som i betydelig grad påvirker, eller sannsynligvis vil påvirke, registrerte i flere medlemsstater. Meta Irelands tilbud om Facebook- og Instagramtjenester innebærer en slik grenseoverskridende behandling av personopplysninger. Den behandlingsansvarlige, Meta Ireland, har sin europeiske hovedvirksomhet i Irland, slik at den ansvarlige tilsynsmyndigheten («ledende tilsynsmyndighet») følgelig er det irske datatilsynet. Datatilsynet kvalifiserer som en «berørt tilsynsmyndighet», ettersom den behandlingsansvarlige er etablert i Norge, gjennom Facebook Norway, og registrerte bosatt i Norge «i vesentlig grad påvirkes eller sannsynligvis vil bli påvirket av behandlingen», jf. artikkel 4 nr. 22 bokstav a og b.
I forordningen kapittel VII finnes detaljerte regler om hvordan tilsynsmyndigheter i medlemsstatene skal samarbeide i saker som berører flere land. Det er den ledende tilsynsmyndigheten som i utgangspunktet har kompetansen i disse grenseoverskridende sakene, men denne tilsynsmyndigheten er i henhold til artiklene 60 – 65 pålagt å samarbeide med andre berørte tilsynsmyndigheter. Formålet med reglene er å sikre en harmonisert etterlevelse av forordningen, jf. artikkel 61.
Den irske tilsynsmyndigheten traff 31. desember 2022 vedtak som forbød Meta Ireland å benytte artikkel 6 nr. 1 bokstav b (avtale) som behandlingsgrunnlag for atferdsbasert markedsføring i forbindelse med tjenestene Facebook og Instagram. Vedtaket ble truffet i samsvar med de prosessuelle reglene i konsistensmekanismen i personvernforordningen kapittel VII, med den irske tilsynsmyndigheten som ledende tilsynsmyndighet. Meta Ireland ble pålagt å bringe sine behandlingsaktiviteter knyttet til atferdsbasert markedsføring i samsvar med artikkel 6 nr. 1 innen tre måneder.
I etterlevelsesrapportene som Meta Ireland etter dette sendte den irske tilsynsmyndigheten fremkommer det at Meta Ireland hadde endret sitt behandlingsgrunnlag for behandling av personopplysninger for atferdsbasert markedsføring til artikkel 6 nr. 1 bokstav f (berettiget interesse).
Den 5. mai 2023 anmodet Datatilsynet, i tråd med artikkel 61 nr. 1 om gjensidig bistand, den irske tilsynsmyndigheten om blant annet å innføre et midlertidig forbud mot Meta Irelands behandling av personopplysninger for formål knyttet til atferdsbasert markedsføring. Den irske tilsynsmyndigheten etterkom ikke anmodningen.
Datatilsynet traff deretter 14. juli 2023 vedtak overfor Meta Ireland som behandlingsansvarlig og Facebook Norway som en norsk etablering av den behandlingsansvarlige, med midlertidig forbud mot atferdsbasert markedsføring med grunnlag i personvernforordningen artikkel 6 første ledd bokstav b (avtale) og bokstav f (berettiget interesse) i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester til norske brukere. Fristen for etterlevelse av vedtaket ble satt til 4. august 2023. Vedtaket ble truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f. Artikkel 66 gir en berørt tilsynsmyndighet hjemmel til å treffe hastebeslutninger med en tidsbegrenset varighet på inntil tre måneder med rettsvirkning på eget territorium. Dette utgjør et unntak fra den ordinære konsistensmekanismen som gjelder for grenseoverskridende saker, hvor det er den ledende tilsynsmyndigheten som i utgangspunktet har kompetanse til å treffe vedtak.
I vedtaket forhåndsvarslet Datatilsynet partene om at tilsynet med hjemmel i personopplysningsloven § 29 ville kunne ilegge selskapene en tvangsmulkt på opptil én million kroner per dag i den perioden det midlertidige forbudet løp, dersom selskapene ikke rettet seg etter forbudet innen den fastsatte fristen.
Meta Ireland og Facebook Norway begjærte 3. og 4. august 2023 midlertidig forføyning mot Datatilsynets vedtak 14. juli 2023 med krav om at Datatilsynet skulle forbys å iverksette vedtaket.
Datatilsynet vedtok 7. august 2023 tvangsmulkt på én million kroner per dag for manglende oppfyllelse av vedtaket fra 14. juli 2023, jf. personopplysningsloven § 29. Vedtaket var rettet mot Meta Ireland og Facebook Norway som solidarisk ansvarlige. Tvangsmulkten løp fra og med 14. august 2023. Om Meta Ireland og Facebook Norways rett til å klage på tvangsmulktvedtaket skriver Datatilsynet:
«As has already been established, the Order on which this Decision is based has been adopted under Chapter VII, Article 66(1) GDPR and the Privacy Appeals Board (in Norwegian: Personvernnemda) does not therefore have competence to assess the validity of the Order, its contents or whether any conditions for fulfilment have been met, pursuant to Section 22(2) of the PDA [personopplysningsloven], as this may prejudice any later decision of the European Data Protection Board.
You are however able to appeal the size of the coercive fine before the Privacy Appeals Board pursuant to Section 51, fifth paragraph of the PAA [forvaltningsloven]. Any appeal in this regard should be sent to us as the first instance. »
Meta Ireland og Facebook Norway anmodet 14. august 2023 tilsynet om utsatt iverksettelse av tvangsmulkten, men fikk avslag i brev 25. august 2023.
Både Meta Ireland og Facebook Norway klaget 28. august 2023 på tvangsmulktvedtaket.
I de to sakene om midlertidig forføyning avsa Oslo tingrett en felles kjennelse 6. september 2023 etter å ha holdt muntlige forhandlinger i saken. Oslo tingrett konkluderte med at det ikke var sannsynliggjort noen sikringsgrunn og tok ikke begjæringene til følge. Tingretten drøftet også øvrige anførsler og konkluderte blant annet med at Datatilsynet hadde rettslig grunnlag for å rette vedtaket også mot Facebook Norway, selv om dette selskapet ikke var behandlingsansvarlig eller på selvstendig grunnlag kunne påvirke hvordan den aktuelle behandlingen av personopplysninger fant sted. Retten konkluderte videre med at vilkårene i personvernforordningen artikkel 66 nr. 1 for å treffe hastevedtak var oppfylt, og fant ikke at øvrige anførsler knyttet til at vedtaket var ugyldig kunne føre fram.
Det europeiske personvernråd (Personvernrådet) traff 27. oktober 2023 en bindende avgjørelse i saken mot Meta Ireland etter forespørsel fra Datatilsynet, jf. personvernforordningen artikkel 66 nr. 2. Avgjørelsen konkluderte med at Meta Irelands behandling av personopplysninger for atferdsbasert markedsføring med grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav b (avtale) og bokstav f (berettiget interesse) er ulovlig, og at det er mulig for Meta Ireland å stoppe den ulovlige behandlingen innen én uke etter at selskapet er orientert om den bindende avgjørelsen. Personvernrådet mente videre at vilkårene for å ilegge hastevedtak etter artikkel 66 nr. 2 i personvernforordningen var oppfylt. Det norske, midlertidige forbudet mot atferdsbasert markedsføring på Facebook og Instagram ble av Personvernrådet gjort permanent og ble utvidet til å gjelde hele EU/EØS.
Meta Ireland og Facebook Norways klage over tvangsmulktvedtaket ble undergitt forberedende klagebehandling hos Datatilsynet, jf. forvaltningsloven § 33. Datatilsynet kom til at Meta Ireland og Facebook Norway hadde klagerett til Personvernnemnda for deler av klagen, men manglet klagerett på andre deler. Klagen ble som følge av dette behandlet og avgjort i to ulike vedtak hos tilsynet.
For den delen av klagen som Datatilsynet kom til kunne påklages, fant tilsynet ikke grunn til å endre sin avgjørelse. Denne delen av saken ble oversendt Personvernnemnda 10. november 2023 og fikk tildelt saksnummer PVN-2023-31. Samme dag traff Datatilsynet vedtak om å avvise den resterende delen av klagen. Meta Ireland og Facebook Norway klaget 5. desember 2023 over Datatilsynets avvisning. Datatilsynet vurderte klagen, men opprettholdt sin avvisning. Denne delen av klagen ble oversendt nemnda for klagebehandling 21. mars 2024 og fikk ved mottakelse hos nemnda tildelt saksnummer PVN-2024-04.
Nemnda har behandlet klagene som gjelder Datatilsynets vedtak om ileggelse av tvangsmulkt samlet i dette vedtaket.
Meta Ireland og Facebook Norway ble av nemnda orientert om de to klagesakene, og fikk anledning til å komme med kommentarer. Meta Ireland og Facebook Norway ga sine kommentarer i brev 14. desember 2023 og 9. april 2024.
Nemnda skrev 17. april 2024 til Datatilsynet, Meta Ireland og Facebook Norway og ba om Datatilsynets og partenes syn på tolkningen av personopplysningsloven § 29. Slike redegjørelser ble gitt 3. mai 2024. Meta Ireland og Facebook Norway ga ytterligere kommentarer 14. mai og 7. juni 2024. Datatilsynet ga ytterligere kommentarer 27. mai og 14. juni 2024.
Saken ble behandlet i nemndas møter 17. april, 28. mai og 18. juni 2024. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem, Morten Goodwin og Eirik Løkke. Utredningsleder Anette Klem Funderud og førstekonsulent Emilie Winther Løvli var også til stede.
Datatilsynets vurdering i korte trekk
Datatilsynet traff 14. juli 2023 et vedtak som innebar et midlertidig forbud mot atferdsbasert markedsføring med grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav b (avtale) og bokstav f (berettiget interesse) i forbindelse med selskapenes tilbud om Facebook- og Instagramtjenester. Vedtaket rettet seg mot Meta Ireland som behandlingsansvarlig og Facebook Norway som en norsk etablering av den behandlingsansvarlige. Fristen for overholdelse av forbudet ble satt til 4. august 2023 (tre uker) og vedtaket gjaldt fra 4. august 2023 til 3. november 2023.
Da Meta Ireland og Facebook Norway ikke etterkom vedtaket innen den fastsatte fristen, traff Datatilsynet 7. august 2023 vedtak om tvangsmulkt etter personopplysningsloven § 29 på én million kroner per dag for manglende oppfyllelse av vedtaket av 14. juli 2023.
Meta Ireland uttalte at de ville forplikte seg til å basere seg på samtykke for behandling av personopplysninger for atferdsbasert markedsføring, samt framskynde overholdelsesplanen og de utbedringstiltakene selskapet utvikler for å gjennomføre dette. Datatilsynet anså ikke dette som tilstrekkelige utbedringstiltak til at pålegget ble ansett oppfylt.
Forbudet mot behandling av personopplysninger er rettet mot Meta Ireland som behandlingsansvarlig og Facebook Norway som den behandlingsansvarliges norske etablering, i fellesskap. Tvangsmulktvedtaket skal da korrekt rettes også mot Facebook Norway.
Personopplysningsloven § 29 gir hjemmel for å ilegge tvangsmulkt. Ettersom personopplysningsloven innlemmer personvernforordningen i norsk lov, kvalifiserer ethvert vedtak utstedt av tilsynet etter personvernforordningen som et vedtak også etter personopplysningsloven. Etter Datatilsynets oppfatning er ordlyden i § 29, jf. artikkel 58 nr. 6, klar når det gjelder tilsynets kompetanse. Lovforarbeidene til § 29 omtaler ikke samspillet mellom kompetansen til å ilegge tvangsmulkt etter § 29 og samarbeids- og konsistensmekanismen etter forordningens kapittel VII. Ved å gi Datatilsynet kompetanse til å fatte tvangsmulktvedtak ved pålegg etter loven «herunder personvernforordningen (…)», inkludert kapittel VII, må departementet imidlertid ha vurdert spørsmålet om denne type kompetanse, se Prop. 56 LS (2017-2018) kapittel 38, særmerknadene til § 29. Det at flere høringsinstanser uttrykte bekymringer rundt mulighetene for ileggelse av tvangsmulkt, taler for at departementet hadde en tydelig oppfordring til å ta stilling til dette før oversendelse til Stortinget. Personopplysningsloven § 29 kommer derfor til anvendelse også for vedtak truffet etter personvernforordningen kapittel VII og gir hjemmel for ileggelse av tvangsmulkt her.
Artikkel 58 nr. 6 setter ikke skranker for tolkningen av personopplysningsloven § 29. Ileggelse av tvangsmulkt i denne saken er egnet til å sikre en mer effektiv anvendelse av kapittel VII, nettopp ved å legge større press på etterlevelsen av det underliggende vedtaket fattet etter de aktuelle bestemmelsene i kapittel VII.
Tvangsmulktvedtaket 7. august 2023 griper ikke inn i en pågående prosess etter samarbeids- og konsistensmekanismen og innebærer ikke dobbeltsanksjonering. Tvangsmulkten er kun en «trussel om plikt til å betale penger» for å sikre overholdelsen av plikter som følger av lov, forskrift eller individuelle avgjørelser, jf. Prop. 62 L (2015-2016), særmerknadene til forvaltningsloven § 51. Vedtaket om tvangsmulkt har ingen selvstendig innvirkning på eller betydning for en eventuell pågående prosess hos den ledende tilsynsmyndigheten. Datatilsynet viser videre til Rt. 2015 s. 392, der Høyesterett uttalte at tvangsmulkt ikke er å regne som straff og at tidligere ilagt tvangsmulkt dermed ikke var til hinder for senere sanksjonering i form av bøter eller fengsel.
Datatilsynet legger til grunn av nemndas kompetanse er begrenset til vurderingstemaene som ikke knytter seg til eller direkte berører det underliggende vedtaket 14. juli 2023. I vedtaket skriver Datatilsynet at Meta Ireland og Facebook Norway kan klage på tvangsmulktens størrelse og viser til forvaltningsloven § 51 femte ledd. Når det gjelder vedtakets gyldighet, innhold eller om noen vilkår for oppfyllelse er oppfylt, legger Datatilsynet til grunn at loven ikke gir klageadgang og at Personvernnemnda ikke har kompetanse, jf. personopplysningsloven § 22 andre ledd.
I oversendelsesbrevet til Personvernnemnda 10. november 2023 legger Datatilsynet til grunn at Meta Ireland og Facebook Norway har klagerett på følgende problemstillinger som reises i klagen:
1. Om Datatilsynet hadde hjemmel for å vedta tvangsmulkt og om de materielle vilkårene for å ilegge tvangsmulkt etter personopplysningsloven § 29 var oppfylt,
2. Om betalingsforpliktelsen har inntruffet som angitt i tvangsmulktvedtaket, og
3. Tvangsmulktens størrelse.
Øvrige klagegrunner skal etter Datatilsynets vurdering avvises fordi Personvernnemnda ikke har kompetanse, jf. personopplysningsloven § 22 andre ledd.
Personopplysningsloven § 22 andre ledd andre punktum sier at nemnda ikke kan overprøve vedtak etter artikkel 56 og kapittel VII. Rettsregelen er en lex specialis-regel og et klart unntak fra de generelle reglene om klagerett i personopplysningsloven og forvaltningsloven. Ettersom norsk lov viker for bestemmelser som tjener til å oppfylle Norges EØS-rettslige forpliktelser, jf. EØS-loven § 2, må norske forvaltningsrettslige regler tilpasses personvernforordningen, ikke motsatt. Ifølge Forvaltningslovutvalget eksisterer det i forvaltningen i dag muligheter for avskjæring av administrativ klageadgang med henvisning til domstolskontroll som en mulig alternativ overprøvingsmekanisme, se NOU 2019: 5 side 530. Meta Ireland vil ikke kunne oppnå en full prøving av alle klagegrunnene i tvangsmulktvedtaket, men alle grunnene vil kunne overprøves i norske domstoler. Ulike instanser har kompetanse til å overprøve Datatilsynets vurderinger knyttet til Facebook Norways og Meta Irelands klagegrunner. Meta Ireland og Facebook Norway har derfor full adgang til å sikre uavhengig overprøving av de underliggende vedtakene, både for nasjonale domstoler og gjennom rettslig prøving på europeisk nivå. Selskapene benytter seg aktivt av disse mulighetene i praksis.
Vedtaket om tvangsmulkt er uløselig tilknyttet vedtaket 14. juli 2023, som er fattet etter forordningen kapittel VII. En rekke av Meta Irelands og Facebook Norways anførsler knytter seg til direkte til vedtaket 14. juli 2023. En behandling av disse anførslene vil dermed i realiteten innebære en prøving av det underliggende vedtaket, og av Personvernrådets permanente hastebeslutning. Selv om forvaltningsloven § 51 siste ledd inneholder en særskilt klagerett for «forhold knyttet til ileggelsen av tvangsmulkt», så er denne klageretten begrenset til å kunne vurdere hvorvidt betingelsene for at tvangsmulkt kan påløpe er oppfylt.
Meta Irelands syn på saken i korte trekk
Klagen på tvangsmulktvedtaket kan behandles og skal ikke avvises
Klagen på tvangsmulktvedtaket kan behandles av nemnda, jf. forvaltningsloven §§ 28 og 51 femte ledd. Tvangsmulktvedtaket er ikke gitt i medhold av personvernforordningen, men i medhold av personopplysningsloven § 29. Forvaltningsloven § 51 gir ikke klagerett bare på tvangsmulktens størrelse, men også på den underliggende beslutningen, herunder om betingelsene for å ilegge tvangsmulkt var oppfylt og om det var hensiktsmessig å treffe vedtak om tvangsmulkt mv., se Prop. 62 L (2015-2016) side 208. Forvaltningsloven § 34 gir klageinstansen (Personvernnemnda) kompetanse til å prøve alle sider av saken og herunder ta hensyn til nye omstendigheter.
Datatilsynet bestrider ikke at disse bestemmelsene gjelder for tvangsmulktklagen og erkjenner at Meta Irelands klagerett ikke kun er begrenset til mulktens størrelse. Datatilsynet legger uriktig til grunn at det ikke foreligger klagerett for to av klagegrunnene.
Ettersom kompetansen til å ilegge tvangsmulkt følger av nasjonal rett, har ikke Personvernrådet – som er gitt i oppgave å løse konflikter under samarbeids- og konsistensmekanismen – jurisdiksjon til å løse en konflikt om utøvelsen av tvangsmulktmyndighet. Den eneste mekanismen for administrativ klage er klage til Personvernnemnda. Hvis Datatilsynet stod fritt til å ilegge tvangsmulkt etter personopplysningsloven § 29 uten at den behandlingsansvarlige kunne klage administrativt på alle aspekter ved en slik avgjørelse, ville retten til å klage under forvaltningsloven §§ 28 og 51 femte ledd innskrenkes urimelig og urettmessig.
Følges Datatilsynets logikk i avvisningsvedtaket, har parter ikke rettsmidler mot tvangsmulkter som ilegges på basis av vedtak som er (i) prosessuelt eller materielt ugyldig; eller (ii) som ikke er mulig å etterleve. Datatilsynet står dermed fritt til å binde parter med ugyldige eller umulige krav, og deretter fatte vedtak om mulkt overfor disse partene for manglende etterlevelse - samtidig som man forbyr forvaltningsrettslig klagebehandling av slike vedtak. Dette er en uakseptabel tildeling av ukontrollert forvaltningsmyndighet, direkte i strid med grunnleggende prinsipper om rettferdighet, proporsjonalitet og klagerett som nedfelt i forvaltningsloven § 28.
Tvangsmulktvedtaket er ugyldig
Vedtaket 14. juli 2023 er ulovlig, uberettiget, uforholdsmessig og skadelig for Meta Ireland. Vedtaket er ugyldig av mange grunner. Fordi tvangsmulktvedtaket 7. august 2023 er knyttet til 14. juli-vedtaket, er dermed også tvangsmulktvedtaket ugyldig. Det er feil av Datatilsynet å avvise denne delen av klagen. Personvernnemnda har kompetanse til å prøve om tvangsmulktvedtaket er ugyldig.
Det er ingenting i forarbeidene til personopplysningsloven som tilsier at departementet så for seg at Datatilsynet skulle ilegge tvangsmulkt mot en behandlingsansvarlig i en sak om behandlingsaktiviteter som er underlagt pågående behandling hos ledende tilsynsmyndighet under samarbeids- og konsistensmekanismen i forordningen kapittel VII. Denne problemstillingen er ikke drøftet av departementet og kan synes oversett.
Personvernforordningen artikkel 58 nr. 2 angir de korrigerende tiltakene som er tilgjengelig for tilsynsmyndigheten og nevner ikke tvangsmulkt som et tiltak. Artikkel 58 nr. 6 åpner imidlertid for at medlemstatene kan tildele deres tilsynsmyndighet «mer omfattende myndighet», men presiserer at «[u]tøvelsen av nevnte myndighet skal ikke hindre en effektiv anvendelse av kapittel VII». Personopplysningsloven må tolkes på en måte som er i samsvar med og ikke undergraver personvernforordningen, og i tilfelle konflikt vil forordningen gå foran bestemmelser i annen lov som regulerer samme forhold, se EØS-loven § 2. Artikkel 58 nr. 6 setter dermed skranker for tolkningen av personopplysningsloven § 29. Tvangsmulktvedtaket er i strid med artikkel 58 nr. 6 fordi det undergraver og forhindrer samarbeids- og konsistensmekanismen etter kapittel VII.
Meta Ireland har etterlevd pålegget i 14. juli-vedtaket
Tvangsmulktvedtaket bryter med personopplysningsloven § 29 fordi det straffer Meta Ireland, til tross for at selskapet har tatt skritt som oppfyller vilkårene i 14. juli-vedtaket. Meta har iverksatt avhjelpende tiltak som innebærer tilfredsstillende og tilstrekkelige forpliktelser til å sikre overholdelse av artikkel 6 nr. 1 og artikkel 21.
14. juli-vedtaket er umulig å etterleve
Tvangsmulktvedtaket er i strid med forvaltningsloven § 51 femte ledd fordi etterlevelse av 14. juli-vedtaket er umulig innen de fastsatte tidsrammene. Det er også tilsynet klar over og da blir tvangsmulktvedtaket en sanksjon, ikke et middel for å sikre etterlevelse.
Det er feil av Datatilsynet å avvise denne delen av klagen. Personvernnemnda har kompetanse til å prøve også denne anførselen.
Tvangsmulktvedtaket er uforholdsmessig og sterkt urimelig
Tvangsmulktvedtaket er uforholdsmessig og åpenbart urimelig ettersom det i praksis innebærer et nytt og overlappende gebyr i tillegg til det gebyret som det irske datatilsynet allerede har ilagt Meta Ireland, med andre ord en dobbel administrativ sanksjon.
Tvangsmulktvedtaket er en «straff» etter EMK art. 6, fordi fristen som er satt er så kort at den er umulig å overholde, jf. Rt. 2015 s. 392 avsnitt 29. Personvernforordningens samarbeids- og konsistensmekanisme har til hensikt å beskytte partene mot å bli straffet flere ganger for samme påståtte brudd, jf. fortalepunkt 149 og artikkel 84. Meta Ireland er ilagt et overtredelsesgebyr på 390 millioner euro under artikkel 83 basert på den samme databehandlingen som tvangsmulktvedtaket er basert på. Det er derfor åpenbart at tvangsmulkten representerer en dobbeltsanksjonering av de samme bruddene.
Subsidiært, dersom tvangsmulktvedtaket ikke oppheves, bør tvangsmulktens størrelse reduseres betydelig i lys av den inngåtte samtykkeforpliktelsen.
Facebook Norways syn på saken i korte trekk
Klagen på tvangsmulktvedtaket kan behandles og skal ikke avvises
Klagen på tvangsmulktvedtaket kan behandles av nemnda, jf. forvaltningsloven §§ 28 og 51 femte ledd. Tvangsmulktvedtaket er ikke gitt i medhold av personvernforordningen, men i medhold av personopplysningsloven § 29. Forvaltningsloven § 51 gir ikke klagerett bare på tvangsmulktens størrelse, men også på den underliggende beslutningen, herunder om betingelsene for å ilegge tvangsmulkt var oppfylt og om det var hensiktsmessig å treffe vedtaket om tvangsmulkt mv., se Prop. 62 L (2015-2016) side 208. Forvaltningsloven § 34 gir klageinstansen (Personvernnemnda) kompetanse til å prøve alle sider av saken og herunder ta hensyn til nye omstendigheter.
Datatilsynet bestrider ikke at disse bestemmelsene gjelder for tvangsmulktklagen og erkjenner at Facebook Norways klagerett ikke kun er begrenset til mulktens størrelse. Datatilsynet legger uriktig til grunn at det ikke foreligger klagerett for to av klagegrunnene.
Ettersom kompetansen til å ilegge tvangsmulkt følger av nasjonal rett, har ikke Personvernrådet – som er gitt i oppgave å løse konflikter under samarbeids- og konsistensmekanismen – jurisdiksjon til å løse en konflikt om utøvelsen av tvangsmulktmyndighet. Den eneste mekanismen for administrativ klage er klage til Personvernnemnda. Hvis Datatilsynet stod fritt til å ilegge tvangsmulkt etter personopplysningsloven § 29 uten at den behandlingsansvarlige kunne klage administrativt på alle aspekter ved en slik avgjørelse, ville retten til å klage under forvaltningsloven §§ 28 og 51 femte ledd innskrenkes urimelig og urettmessig.
Følges Datatilsynets logikk i avvisningsvedtaket, har parter ikke rettsmidler mot tvangsmulkter som ilegges på basis av vedtak som er (i) prosessuelt eller materielt ugyldig; eller (ii) som ikke er mulig å etterleve. Datatilsynet står dermed fritt til å binde parter med ugyldige eller umulige krav, og deretter fatte vedtak om mulkt overfor disse partene for manglende etterlevelse - samtidig som man forbyr forvaltningsrettslig klagebehandling av slike vedtak. Dette er en uakseptabel tildeling av ukontrollert forvaltningsmyndighet, direkte i strid med grunnleggende prinsipper om rettferdighet, proporsjonalitet og klagerett som nedfelt i forvaltningsloven § 28.
Tvangsmulktvedtaket er ugyldig
Vedtaket fra 14. juli 2023 er ulovlig, uberettiget, uforholdsmessig og skadelig for Facebook Norway. Vedtaket er ugyldig av mange grunner. Fordi tvangsmulktvedtaket 7. august 2023 er knyttet til 14. juli-vedtaket er dermed også tvangsmulktvedtaket ugyldig. Det er feil av Datatilsynet å avvise denne delen av klagen. Personvernnemnda har kompetanse til å prøve om tvangsmulktvedtaket er ugyldig.
Det er ingenting i forarbeidene til personopplysningsloven som tilsier at departementet så for seg at Datatilsynet skulle ilegge tvangsmulkt mot en behandlingsansvarlig i en sak om behandlingsaktiviteter som er underlagt pågående behandling hos ledende tilsynsmyndighet under samarbeids- og konsistensmekanismen i forordningen kapittel VII. Denne problemstillingen er ikke drøftet av departementet og kan synes oversett.
Personvernforordningen artikkel 58 nr. 2 angir de korrigerende tiltakene som er tilgjengelig for tilsynsmyndigheten og nevner ikke tvangsmulkt som et tiltak. Artikkel 58 nr. 6 åpner imidlertid for at medlemstatene kan tildele deres tilsynsmyndighet «mer omfattende myndighet», men presiserer at «[u]tøvelsen av nevnte myndighet skal ikke hindre en effektiv anvendelse av kapittel VII». Personopplysningsloven må tolkes på en måte som er i samsvar med og ikke undergraver personvernforordningen, og i tilfelle konflikt vil forordningen gå foran bestemmelser i annen lov som regulerer samme forhold, se EØS-loven § 2. Artikkel 58 nr. 6 setter dermed skranker for tolkningen av personopplysningsloven § 29. Tvangsmulktvedtaket er i strid med artikkel 58 nr. 6 fordi det undergraver og forhindrer samarbeids- og konsistensmekanismen etter kapittel VII.
Datatilsynets ileggelse av tvangsmulkt påla i realiteten dobbeltvirkende, uforholdsmessige og straffende bøter som er et brudd på forordningens forbud mot dobbelt- og uforholdsmessige sanksjoner, jf. fortalepunkt 149 og artikkel 84.
14. juli-vedtaket er umulig å etterleve og tvangsmulktvedtaket er uforholdsmessig og åpenbart urimelig
Personopplysningsloven § 29 gir Datatilsynet hjemmel til å ilegge tvangsmulkt «inntil pålegget er oppfylt». Formålet med tvangsmulkt er å sikre etterlevelse av et pålegg, og det skal ikke brukes som sanksjon.
I denne saken er det umulig for Facebook Norway å etterleve 14. juli-vedtaket da selskapet ikke tilbyr Facebook eller Instagram og ikke er den relevante behandlingsansvarlige for disse tjenestene. Av den grunn blir tvangsmulkten en ren sanksjon mot Facebook Norway, ikke et middel for å sikre etterlevelse. Det er derfor klart uforholdsmessig og åpenbart urimelig.
Tvangsmulktvedtaket er i strid med forvaltningsloven § 51 første ledd og personopplysningsloven § 29, og bør oppheves.
Tvangsmulkten er satt for høyt
Subsidiært, dersom tvangsmulktvedtaket ikke oppheves, bør dagmulktsummen vesentlig reduseres. Tvangsmulktbeløpet – én million kroner per dag – er åpenbart urimelig. Det er det høyest mulige beløpet etter vedtaket, noe som er helt urimelig ettersom Facebook Norway ikke har anledning til å etterleve 14. juli-vedtaket. Tvangsmulkten bør derfor reduseres til kr 0, subsidiært settes til et ubetydelig beløp.
Personvernnemndas vurdering
Personvernnemnda har kommet til at tvangsmulktvedtaket rettet mot Meta Ireland og Facebook Norway må oppheves fordi det ikke har hjemmel i lov.
Nemndas kompetanse
Nemnda vil først gjøre nærmere rede for sitt syn på kompetansen til å overprøve Datatilsynets vedtak. Nemndas kompetanse følger av personopplysningsloven § 22 andre ledd:
«Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.»
Artikkel 56 og bestemmelsene i kapittel VII gir regler om behandling av saker under forordningens samarbeids- og konsistensmekanisme, og departementet begrunnet begrensingen av Personvernnemndas kompetanse med at forordningen inneholder detaljerte saksbehandlingsregler for slike saker som ikke kan forenes med en klage til nemnda, jf. Prop. 56 LS (2017-2018) side 219.
Det følger av artikkel 63 at formålet med konsistensmekanismen er «å bidra til en ensartet anvendelse av denne forordning i hele Unionen». Artikkel 60 nedfeller generelle prinsipper for samarbeidet mellom den ledende tilsynsmyndighet og de berørte tilsynsmyndigheter, mens artiklene 61 og 62 gir nærmere regler for gjensidig bistand (særlig innhenting av informasjon og gjennomføring av undersøkelser) og for tilsynsmyndighetenes felles aktiviteter (særlig felles undersøkelser og felles håndhevingstiltak).
Det følger videre av forordningen artikkel 66 nr. 2 at en tilsynsmyndighet som har truffet et hastevedtak med hjemmel i artikkel 66 nr. 1, og «som anser at det omgående må treffes endelige tiltak, kan ... anmode om en hasteuttalelse eller en bindende hastebeslutning fra Personvernrådet ...». I foreliggende sak traff Personvernrådet 27. oktober 2023 – på forespørsel fra Datatilsynet – en bindende avgjørelse i saken mot Meta Ireland. Det ble konkludert med at selskapets behandling av personopplysninger for atferdsbasert markedsføring med grunnlag i artikkel 6 nr. 1 bokstav b (avtale) og bokstav f (berettiget interesse) er ulovlig, og at det er mulig for Meta Ireland å stoppe den ulovlige behandlingen innen én uke etter at selskapet er orientert om den bindende avgjørelsen.
Det norske, midlertidige forbudet mot atferdsbasert markedsføring på Facebook og Instagram ble med avgjørelsen fra Personvernrådet gjort permanent, og det ble utvidet til å gjelde i hele EU/EØS. Det er ikke tvilsomt at Datatilsynets vedtak 14. juli 2023 – med anmodningen til Personvernrådet etter artikkel 66 nr. 2, og Personvernrådets bindende avgjørelse 27. oktober 2023 – hører under forordningens konsistensmekanisme i kapittel VII. Det følger da av personopplysningsloven § 22 andre ledd andre punktum at nemnda ikke har kompetanse til å behandle klagen fra Meta Ireland og Facebook Norway på Datatilsynets vedtak 14. juli 2023.
Avgjørelsen fra Personvernrådet omfattet imidlertid ikke Datatilsynets vedtak 7. august 2023 om tvangsmulkt på én million kroner per dag for manglende oppfyllelse av vedtaket 14. juli 2023. Vedtaket om tvangsmulkt var rettet mot Meta Ireland og Facebook Norway som solidarisk ansvarlige. Tvangsmulkten løp fra og med 14. august 2023.Vedtaket ble truffet med henvisning til personopplysningsloven § 29. En avgjørelse om å ilegge tvangsmulkt er et selvstendig enkeltvedtak og dette kan dermed i utgangspunktet påklages etter lovens alminnelige regler om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd.
Datatilsynet, Meta Ireland og Facebook Norway er enige om at nemnda har kompetanse til å behandle klagen på dette vedtaket, jf. personopplysningsloven § 22 andre ledd første punktum. Uenigheten mellom Datatilsynet og klagerne knytter seg til hvilke nærmere rammer som gjelder for nemndas klagebehandling.
Datatilsynet gjør gjeldende at nemnda verken kan prøve 14. juli-vedtakets gyldighet, innhold, eller om vilkårene for oppfyllelse er oppfylt. Nemnda kan bare ta stilling til om tilsynet hadde hjemmel for å vedta tvangsmulkt og om de materielle vilkårene for å ilegge tvangsmulkt etter personopplysningsloven § 29 var oppfylt, om betalingsforpliktelsen har inntruffet som angitt i vedtaket 7. august 2023 og størrelsen på tvangsmulkten. Meta Ireland og Facebook Norway på sin side gjør gjeldende at nemndas kompetanse følger av de alminnelige reglene om forvaltningsklage i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klager i saker om tvangsmulkt.
Med det resultat nemnda har kommet til, nemlig at tvangsmulktvedtaket 7. august 2023 ikke har hjemmel i lov, er det ikke nødvendig for nemnda å ta endelig stilling til hvilke begrensninger artikkel 58 nr. 6 andre punktum setter for nemndas kompetanse i klagesaker om tvangsmulkt.
Hjemmelsspørsmålet – tolkningen av personopplysningsloven § 29
Personvernforordningen gir ikke hjemmel for å ilegge tvangsmulkt, verken i hastesaker etter artikkel 66 nr. 1 eller i andre saker. Hvilke tiltak berørte tilsynsmyndigheter kan beslutte framkommer av artikkel 58 nr. 2. I samme artikkel nr. 6 gis imidlertid medlemsstaten kompetanse til å fastsette at den nasjonale tilsynsmyndigheten kan gis en mer omfattende myndighet enn den som følger av artikkel 58 nr. 1, 2 og 3. Det presiseres videre at denne myndigheten ikke må hindre en effektiv anvendelse av kapittel VII.
Personopplysningsloven § 29 første ledd, som gir Datatilsynet en mer omfattende myndighet enn den som følger av forordningen (nemlig å ilegge tvangsmulkt for å sikre etterlevelsen av vedtak), lyder slik:
«Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.»
Etter sin ordlyd gir bestemmelsen hjemmel til å ilegge tvangsmulkt for å sikre etterlevelse av alle typer pålegg etter loven. Sammenholdt med personopplysningsloven 2000 innebar den nye loven en utvidelse av Datatilsynets kompetanse til å bruke tvangsmulkt for å sikre etterlevelse av vedtak. Dette var tilsiktet, jf. Prop. 56 LS (2017-2018) punkt 24.5. Formuleringen «etter loven her» kunne isolert sett tilsi at kompetansen til å ilegge tvangsmulkt etter § 29 skulle være begrenset til bestemmelsene i personopplysningsloven, og ikke omfatte bestemmelsene i forordningen. Det følger av personopplysningsloven § 1 at forordningen «gjelder som norsk lov». Det ligger ikke i dette at forordningen ble gjort til en integrert del av personopplysningsloven; forordningen ble inkorporert i norsk rett som et selvstendig sett av lovregler. Det presiseres imidlertid i særmerknadene til § 29 at hjemmelen til å ilegge tvangsmulkt gjelder «ved pålegg etter loven, herunder personvernforordningen», jf. Prop. 56 LS (2017-2018) punkt 38.1. Personopplysningsloven § 29 er derfor ikke til hinder for at Datatilsynet, for å sikre etterlevelse av hastevedtak etter forordningen artikkel 66 nr. 1, også fatter vedtak om tvangsmulkt.
Lovforarbeidene omtaler ikke samspillet mellom kompetansen til å ilegge tvangsmulkt etter § 29 og forordningens konsistensmekanisme i kapittel VII. Datatilsynet gjør likevel gjeldende at departementet må ha vurdert dette spørsmålet. Det vises til at det var flere høringsinstanser som uttrykte bekymring rundt mulighetene for å ilegge tvangsmulkt, og at departementet derfor hadde en tydelig oppfordring til å ta stilling til dette. Etter nemndas vurdering er det ikke grunnlag for en slik slutning basert på høringsinnspillene, og nemnda nøyer seg her med å påpeke at ingen av høringsinnspillene reiste spørsmål om tvangsmulkt og konsistensmekanismen.
Som allerede nevnt ovenfor, er Datatilsynet, Meta Ireland og Facebook Norway enige om at tvangsmulktvedtaket 7. august 2023 er et selvstendig enkeltvedtak som kan påklages til nemnda, jf. personopplysningsloven § 22 andre ledd. Da er utgangspunktet at det er de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak som setter rammene for nemndas klagebehandling.
Av sentral betydning i foreliggende sak er særlig bestemmelsen i forvaltningsloven § 34 andre ledd, som gir klageorganet kompetanse til å prøve «alle sider ved saken». I klagesaker om tvangsmulkt suppleres bestemmelsene i forvaltningsloven kapittel VI av forvaltningsloven § 51, som blant annet fastsetter at «[f]orhold knyttet til ileggelsen av tvangsmulkt kan påklages særskilt», jf. femte ledd. Med «forhold knyttet til ileggelsen» siktes det til «de forholdene forvaltningen må ta stilling til for å konstatere om betingelsene for å ilegge tvangsmulkten er oppfylt», jf. Prop. 62 L (2015-2016) side 208. Forvaltningslovutvalget legger til grunn som gjeldende rett at retten til å klage etter § 51 første ledd for det første gjelder «spørsmål om hvordan vedtaket er å forstå, og om det faktisk er etterlevd», jf. NOU 2019: 5 side 452. Videre samme sted skriver utvalget at «[s]iden det er et vilkår for iverksetting at det underliggende vedtaket er gyldig, må klagen også kunne gjelde gyldigheten av dette vedtaket, hvis ikke klageren allerede har fått prøvd dette ved en tidligere klage over vedtaket eller ved søksmål».
Slik nemnda ser det, vil en prøving av tvangsmulktvedtaket i tråd med reglene i forvaltningsloven kapittel VI og § 51 femte ledd i utgangspunktet også måtte innebære en full prøving av Datatilsynets vedtak 14. juli 2023 om midlertidig forbud mot behandling av personopplysninger. Nemnda må da prøve om det er hensiktsmessig å ilegge tvangsmulkt, størrelsen på mulkten, hvorvidt det foreligger umulighet (slik at tvangsmulkten faller bort), samt hvorvidt pålegget, som er bakgrunnen for tvangsmulkten, er oppfylt. Nemnda viser som et eksempel til Prop. 62 L (2015-2016) om endringer i forvaltningsloven, hvor departementet på side 207 utaler seg om vurderingen av umulighetsvilkåret:
«Om etterlevelse blir umulig, må vurderes ut fra den fristen for etterlevelse som er satt i vedtaket om tvangsmulkt. Kravet om umulighet er utformet for å understreke at det ikke skal være kurant å påberope seg vanskeligheter med å oppfylle. På den annen side må ikke terskelen for umulighet praktiseres så strengt at tvangsmulkten innebærer en sanksjon mot allerede begåtte lovbrudd.»
Både vurderingen av om pålegget er oppfylt og vurderingen av om den fristen som er satt er tilstrekkelig slik at tvangsmulkten ikke i realiteten innebærer «en sanksjon mot allerede begåtte lovbrudd», vil etter nemndas vurdering være vanskelige å foreta uten at det også innebærer en tolkning og vurdering av tilsynets vedtak 14. juli 2023.
Dersom Personvernnemndas kompetanse skulle være begrenset ved klage over tvangsmulktvedtak som Datatilsynet treffer for å sikre etterlevelse av vedtak truffet med hjemmel i artikkel 66 nr. 1, ville dette innebære en ikke uvesentlig begrensning av behandlingsansvarliges rett til forvaltningsklage mot slike avgjørelser. Datatilsynets tolkning av personopplysningsloven § 22 andre ledd legger opp til en klageordning i saker om tvangsmulkt som i betydelig grad avviker fra de alminnelige forvaltningsrettslige klagereglene. Og den tolkning av personopplysningsloven § 29 som Datatilsynet gjør gjeldende, innebærer også et markert avvik fra bestemmelsen i forvaltningsloven § 51 femte ledd om klageadgangen i saker om tvangsmulkt.
Nemnda er enig med Datatilsynet i at tvangsmulktvedtaket kan bringes inn for domstolene, men vil likevel påpeke at prøvingskompetansen ved domstolene vil være noe begrenset sammenlignet med en forvaltningsklage. Domstolene er varsomme med å prøve forvaltningens frie skjønn. Og ettersom kompetansen til å ilegge tvangsmulkt følger av nasjonal rett, har heller ikke Personvernrådet kompetanse til å behandle klager over ileggelse av tvangsmulkt. Dette gjelder selv om den underliggende begrunnelsen for ileggelse av tvangsmulkt – som her – er manglende oppfyllelse av et vedtak som er truffet med hjemmel i personvernforordningen artikkel 66 nr. 1, jf. artikkel 58 nr. 2 bokstav f.
Denne saken reiser med andre ord en rekke grunnleggende prosessuelle spørsmål knyttet til forvaltningsrettslige klager over slike vedtak. Nemnda nøyer seg her med å vise til uenigheten mellom Datatilsynet, Meta Ireland og Facebook Norway om hvilke begrensninger som gjelder for nemndas behandling av klagen på vedtaket om tvangsmulkt. Etter nemndas syn er det ingen holdepunkter i forarbeidene til personopplysningsloven som skulle tilsi at departementet også mente å innføre en adgang for tilsynsmyndigheten til å ilegge tvangsmulkt for hastevedtak etter kapittel VII. Dersom meningen var at personopplysningsloven § 29 skulle gi slik hjemmel, er det nærliggende å forvente at departementet i forarbeidene til personopplysningsloven hadde foretatt inngående vurderinger og avklaringer av spørsmålet om nemndas kompetanse i slike saker. Legalitetsprinsippet tilsier videre at det i loven ble inntatt prosessuelle bestemmelser som regulerte avvikene fra de alminnelige reglene om klage og omgjøring i forvaltningsloven kapittel VI og spesialbestemmelsen i § 51 femte ledd om klage på tvangsmulktvedtak. Dette er spørsmål som etter nemndas vurdering ikke egner seg for avklaring gjennom forvaltningsorganenes egen praksis.
Nemnda har etter dette kommet til at vilkåret «pålegg etter loven her» i personopplysningsloven § 29 må tolkes innskrenkende slik at bestemmelsen ikke gir hjemmel for Datatilsynet som berørt tilsynsmyndighet til å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av et hastevedtak truffet med hjemmel i artikkel 66 nr. 1. Bestemmelsen gir bare hjemmel for å treffe vedtak om tvangsmulkt for å sikre etterlevelsen av pålegg i ikke-grenseoverskridende saker.
Meta Ireland og Facebook Norway får medhold i sin klage.
Konklusjon
Datatilsynets vedtak om å ilegge Meta Ireland og Facebook Norway tvangsmulkt oppheves.
Vedtaket er enstemmig.
Oslo, 18. juni 2024
Mari Bø Haugstad
Leder