Kan manglende etterlevelse av GDPR også få konkurranserettsrettslige konsekvenser?
En ny sak under oppseiling i EU-domstolen (C-252/21) kan åpne for at manglende etterlevelse av GDPR også kan få konkurranserettslige konsekvenser. Dette vil potensielt medføre at både Konkurransetilsynet og Datatilsynet kan gi bøter og andre sanksjoner for samme GDPR-brudd.
Sakens bakgrunn
Tyske konkurranserettsmyndigheter ("the Bundeskartellamt") har over flere år undersøkt om Facebooks forretningsmodell innebærer at selskapet misbruker sin dominerende stilling. Forretningsmodellen består i å tilby en gratis sosiale medier-plattform til medlemsbrukere, og selge nettbasert og målrettet annonsering. Formålet er å vise produkter og tjenester som en Facebook-bruker kan være interessert i, basert på brukerens forbrukeratferd, interesser, kjøpekraft og andre personlige preferanser. Disse brukerpreferansene har Facebook samlet inn automatisk fra brukerne sine og fra tredjeparter. Disse personopplysningene blir så brukt til å lage profiler som blir vist reklame tilpasset profilen.
Ved å akseptere Facebooks vilkår, godtar brukerne at Facebook samler inn slike personlige preferanser og personopplysninger, og kobler disse dataene sammen med brukerkontoen for markedsføringsformål. Undersøkelsene fra tyske konkurransemyndigheter konkluderte med at denne innsamlingen av personopplysninger fra Facebook var i strid med GDPR og at databehandlingen derfor var en form for misbruk av Facebooks dominerende stilling innenfor sosiale medier-industrien.
Facebook brakte senere avgjørelsen inn for de tyske domstolene, som har henvist saken videre til EU-domstolen. Tirsdag 20. september i år kom Generaladvokaten med sin veiledende uttalelse i saken.
Hva uttaler Generaladvokaten?
Generaladvokatens avgjørelse inneholder flere interessante uttalelser. Vi vil i det følgende gå igjennom et utvalg.
GDPR-brudd som moment i misbruksvurderingen
Generaladvokaten tar til ordet for at ansvaret for håndheve GDPR ligger hovedsakelig hos europeiske datatilsynsmyndigheter, og at nasjonale konkurransemyndigheter som er klar hovedregel ikke har rett til å håndheve brudd på GDPR. Generaladvokaten mener likevel at konkurransemyndigheter har en begrenset mulighet til å vektlegge manglende etterlevelse av GDPR, dersom det er av betydning for vurderingen av om selskapet har misbrukt sin dominerende stilling i markedet. Relevante momenter i misbruksvurdering er blant annet om personvernvilkårene som må godtas for å kunne benytte seg av tjenesten er skadelige for kundene/brukerne, om samtykke ikke ville ha funnet sted under effektiv konkurranse og om vilkårene er urimelige. Ved vurderingen av sistnevnte vil eventuelle brudd på GDPR kunne tillegges vekt.
Vektlegging av manglende etterlevelse av GDPR krever imidlertid at konkurransemyndigheten og nasjonale datatilsyn samarbeider om lovtolkningen. Samarbeidsplikten innebærer blant annet at konkurransemyndigheten respekterer datatilsynets holdning til GDPR-dimensjonen, derunder at konkurransemyndigheten ikke skal ta en selvstendig og løsrevet vurdering av om det foreligger brudd på GDPR. Generaladvokaten poengterer at kun ved slikt samarbeid kan vektlegging av GDPR være lovlig moment i vurderingen av om en dominerende aktør har misbrukt sin dominerende stilling.
Dominerende foretaks behandling av personopplysninger
Når det gjaldt de konkrete bruddene på GDPR, mente tyske konkurransemyndigheter for det første at Facebooks markedsføringsprofiler omfattet særlige kategorier personopplysninger, som helseopplysninger og opplysninger om etnisitet. Bruk av slike personopplysninger er normalt ikke tillatt. Siden slike personopplysninger var samlet gjennom cookies på nettsider og andre sporingsteknologier, mente Facebook at brukerne hadde "uttrykkelig offentliggjort" de særlige kategoriene med personopplysninger. Følgelig mente Facebook at bruken av slike personopplysninger var lovlig.
Generaladvokaten var ikke enig med Facebook og kom frem til at Facebooks bruk av særlige kategorier personopplysninger var ulovlig. Deling av personopplysninger som skjer ved å besøke nettsider og apper, som deler dette videre med andre selskaper, innebærer ikke at personopplysninger "uttrykkelig" blir offentliggjort.
Videre uttalte Generaladvokaten at en dominerende stilling i et marked vil kunne ha betydning for om et samtykke som behandlingsgrunnlag vil være gyldig.
Hvilke konsekvenser kan uttalelsene få hvis de følges opp av Domstolen?
En innvending mot Generaladvokatens uttalelse er at den tilsynelatende legger opp til en mindre klar grensedragning mellom konkurranseretten og personvernretten. Selv om regelsettenes formål delvis er å verne forbrukere, kan det potensielle overlappet mellom de to rettsområdene medføre en risiko for flere sanksjoner mot samme forhold. I ytterste konsekvens kan et dominerende foretak kan ende opp med å få overtredelsesgebyr for manglende etterlevelse av GDPR to ganger; ett gebyr av konkurransemyndigheten og ett av datatilsynet. Avhengig av om avgjørelsen følges av den andre tilsynsmyndigheten, kan et dobbelt overtredelsesgebyr potensielt være problematisk i lys av forbudet mot dobbeltstraff.
Videre er det verdt å merke at rettsoppfatningen på mange måter har likhetstrekk med den nye foreslåtte Digital Markets Act ("DMA") artikkel 5 (a), som forbyr portvoktere ("gatekeepers") å kombinere personopplysninger om sluttkunden, med mindre det foreligger et informert og tydelig samtykke i henhold til GDPR artikkel 7.
Selv om uttalelsen ikke er bindende og EU-domstolen kan komme til et annet resultat, viser uttalelsen at konkurranseretten og personvernretten i kombinasjon kan stille strengere krav til større foretak med høye markedsandeler, særlig innenfor markedet for digitale tjenester. Endelig avgjørelse fra EU-domstolen vil derfor kunne oppklare forholdet mellom rettsområdene og gi verdifull veiledning i tolkningen av den kommende Digital Markets Act.
