EU-domstolens dom av 4. oktober 2024.
Sentrale artikler behandlet:
– Artikkel 5(1)(b) og (c)
– Artikkel 9(1) og (2)(e)
Hovedpunkter
- Dataminimeringsprinsippet i artikkel 5(1)(c) begrenser bruken av alle personopplysninger samlet inn av et sosiale nettverk fra de registrerte eller tredjeparter, samlet inn innenfor eller utenfor nettverket, fra å bli aggregert, analysert eller behandles for personalisert annonsering, uten at det er begrensning i tid og type opplysninger som behandles.
- Et sosiale nettverk kan ikke behandle personopplysninger med den hensikt å personalisere annonser om en persons seksuelle legning, herunder til å aggregere og analysere data, selv om denne personen har selv gjort opplysningene offentlige.
Bakgrunn
Meta Platforms Ireland (Meta) gjør det sosiale nettverket Facebook tilgjengelig innenfor EU, og er behandlingsansvarlig for personopplysninger som behandles i Facebook. Forretningsmodellen til Facebook er tilby personalisert annonsering tilpasset den enkelte bruker gjennom dennes interesser, aktiviteter og personlige situasjon.
Personopplysningene i nettverket ble behandlet på en avtale ved at brukere akseptere vilkårene for tjenesten når de registrerer seg. Vilkårene viste til nettverkets personvernerklæring om behandling av personopplysninger og bruk av informasjonskapsler (cookies) hva gjelder innsamling og behandling av opplysninger om brukere og enheter disse benyttet både i og utenfor nettverket.
Opplysninger samlet om aktiviteter utenfor nettverket kom fra besøk på tredjeparts nettsider og apper som er knyttet til nettverket, samt bruk av andre løsninger fra Meta, som Instagram og WhatsApp. Meta benyttet seg av cookies og lignende teknologier (som pixels) for å samle inn data utenfor nettverket. Dette ga Meta informasjon om bl.a. hvilke tredjeparts nettsider som var besøkt, IP-adresse, tid for besøket mv. Dette omfattet også nettsider med sensitive og særlige kategorier personopplysninger, som politiske partiers nettsider, nettsider for seksuell orientering mv. Meta kunne derfor følge brukeres nettaktiviteter på tredjeparts nettsider som benyttet seg av Metas teknologi, som like-knapper og pixels.
Etter GDPR trådte i kraft ble behandlingen av personopplysninger basert på samtykke. Maximillian Schrems, som er den registrerte i denne saken, samtykket ikke til behandling av personopplysninger med det formål å gi personaliserte annonser innhentet fra annonsører og aktiviteter utenfor Facebook. Schrems la heller ikke inn noen informasjon om sin seksuelle legning på sin Facebook-profil, kun hans “venner” kunne se hans aktiviteter og poster, “vennene” var ikke offentlig tilgjengelig, og Schrems hadde ikke akseptert at Meta kunne bruke informasjon fra hans profil til personaliserte annonser.
Til tross for dette kunne Meta identifisere Schrems’ interesser knyttet til sensitive forhold som helse, seksuell orientering [anm.: Schrems er en åpen homofil, men la aldri informasjon om dette på Facebook], etniske grupper og politiske partier. Meta leverte tilpassede annonser til Schrems basert på denne informasjonen, samt basert på tolkning av informasjon tilgjengelig om Schrems fra tredjeparts nettsteder og apper.
Schrems mente at Meta behandlet personopplysninger om han ulovlig, mens Meta på sin side mente at de behandlet personopplysningene i henhold til sine vilkår, som var i overensstemmelse med GDPR.
Spørsmålene som domstolen skulle vurdere var da om dataminimeringsprinsippet i artikkel 5(1)(c) setter grenser for om et sosiale nettverk kan behandle av personopplysninger samlet inn av nettverket fra de registrerte eller tredjeparter, innenfor eller utenfor nettverket uten begrensning til tid og type opplysninger som behandles, og om et sosialt nettverk kan behandle opplysninger om seksuell orientering som en person selv har offentliggjort etter artikkel 9(2)(e).
Artikkel 5(1)(c) – Dataminimeringsprinsippets grenser for behandling av et sosiale nettverk
Etter artikkel 5(1)(c) skal personopplysninger som behandles være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Dette kalles dataminimeringsprinsippet.
Spørsmålet domstolen vurderte var om dataminimeringsprinsippet satt grenser for at Meta kunne behandle, herunder aggregere og analysere, personopplysninger i Facebook for data som var innhentet fra kilder utenfor Facebook med det formål å levere personaliserte annonser uten begrensning til tid og uten hensyn til hvilke opplysninger som ble behandlet.
Domstolen presiserte først at GDPR skal sikre personvernet til fysiske personer (artikkel 1(2)) og at all behandling må være lovlig (artikkel 5(1)(a)), og behandles for spesifikke formål (artikkel 5(1)(b)).
Etter tidligere dommer fra EU-domstolen så gjelder det et krav om proporsjonalitet etter dataminimeringsprinsippet (dvs. behandlingen må stå i forhold til formålet med behandlingen), og etter ansvarlighetsprinsippet i artikkel 5(2) må den behandlingsansvarlige påvise at behandlingen skjer i henhold til prinsippene i artikkel 5(1).
I tidligere praksis har også domstolen kommet frem til at dataminimeringsprinsippet krever at behandlingsansvarlig begrenser perioden for innsamling av personopplysninger til hva som er strengt tatt nødvendig etter formålet for behandlingen.
52 In the second place, as regards the temporal limitation on the processing of personal data such as that at issue in the main proceedings, it should be borne in mind that the Court has held previously that the principle of data minimisation requires the controller to limit the period of collection of the personal data in question to what is strictly necessary in the light of the objective of the envisaged processing (…).
Desto lenger lagrings- og behandlingsperioden er, desto større virkning har behandlingen på personvernet til den registrerte, og dermed vil kravene til lovligheten for behandling av personopplysningene være strengere.
Domstolen minnet også på kravene etter artikkel 5(1)(e) om at personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for (lagringsbegrensning). Det er klart etter denne bestemmelsen at den behandlingsansvarlige må kunne påvise at personopplysninger kun behandles så lenge det er nødvendig for formålet for behandlingen.
55 It is thus unequivocally clear from the wording of that article that the principle of ‘storage limitation’ requires the controller to be able to demonstrate, in accordance with the principle of accountability referred to in paragraph 51 of the present judgment, that personal data are kept only for as long as is necessary for the purposes for which they were collected or for which they have been further processed (…)
Er ikke behandling nødvendig for fomålet opplysningene ble innsamlet for, må de slettes så snart de ikke lenger er nødvendige.
Domstolen mente at et sosiale nettverk kan ikke behandle personopplysninger om brukere i en ubegrenset periode for å kunne tilby personaliserte annonser, selv om dette er opp til den nasjonale domstolen å vurdere. Også det at personopplysninger ble samlet inn på et generelt og diskriminerende grunnlag, ble aggregert, analysert og behandlet for å tilby personaliserte annonser, uten hensyn til hvilken type opplysninger dette er, er ikke i overensstemmelse med dataminimeringsprinsippet.
Domstolen minnet også om at etter kravene til innebygd personvern etter artikkel 25(2) kreves det at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det bare er personopplysninger som er nødvendige for hvert spesifikke formål med behandlingen, som behandles. Dette får betydning for den mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet.
Opplysningene som Meta samler inn er spesielt omfattende siden det gjelder potensielt ubegrensede mengder data og som har omfattende betydning for brukeren, hvor en stor andel – om ikke alle – overvåkes online av Meta. Dette gir en opplevelse av konstant overvåkning. Dette inneværer et alvorlig inngrep i de registretes rett til personvern som ikke rettferdiggjør personalisert annonsering.
Behandlingen av Meta bryter med kravet til proporsjonalitet for brukere av Facebook, og domstolen mente derfor dataminimeringsprinsippet begrenser bruken av alle personopplysninger samlet inn av et sosiale nettverk fra de registrerte eller tredjeparter, samlet inn innenfor eller utenfor nettverket, fra å bli aggregert, analysert eller behandles for personalisert annonsering uten begrensning til tid og type opplysninger som behandles.
65 In the light of the foregoing, the answer to the second question is that Article 5(1)(c) of the GDPR must be interpreted as meaning that the principle of data minimisation provided for therein precludes all of the personal data obtained by a controller, such as the operator of an online social network platform, from the data subject or third parties and collected either on or outside that platform, from being aggregated, analysed and processed for the purposes of targeted advertising without restriction as to time and without distinction as to type of data.
Artikkel 9(2)(e) – Behandling av særlig kategorier opplysninger gjort offentlige
Domstolen vurderte så om det forhold at en person hadde gjort informasjon om sin seksuelle legning tilgjengelig (i dette tilfelle i en paneldebatt) gir tilbyderen av et sosiale nettverk rett til å behandle, herunder aggregere og analysere data, slik informasjon utenfor plattformen på nettsider og apper for å tilby personaliserte annonser. Herunder om Schrems, ved å gjøre særlige kategorier personopplysninger tilgjengelig ikke er beskyttet av artikkel 9(1).
Seksuell orientering er en særlig kategori personopplysning etter artikkel 9(1). Etter fortalepunkt 51 skal særlige kategorier personopplysninger, som opplysninger om seksuell orientering, ha et særskilt vern, og slike opplysninger bør ikke behandles med mindre behandlingen er tillatt i særlige tilfeller fastsatt i GDPR.
Artikkel 9(1) forbyr behandling av særlige kategorier personopplysninger, uavhengig av om opplysningene er korrekt og uavhengig av om det er behandlingsansvarliges formål å samle inn og behandle særlige kategorier personopplysninger.
Behandling av særlige kategorier personopplysninger kan allikevel være tillatt om ett av unntakene etter artikkel 9(2) kommer til anvendelse. Et slikt unntak er artikkel 9(2)(e), om behandlingen gjelder særlige kategorier personopplysninger som det er åpenbart at den registrerte har offentliggjort.
Domstolen har i tidligere praksis slått fast at unntakene etter artikkel 9(2) skal tolkes strengt. Det er dermed viktig å klarlegge om den registrerte hadde som intensjon, eksplisitt og med tydelige handlinger, å gjøre opplysningene tilgjengelig for allmennheten.
77 It follows that, for the purposes of the application of the exception laid down in Article 9(2)(e) of the GDPR, it is important to ascertain whether the data subject had intended, explicitly and by a clear affirmative action, to make the personal data in question accessible to the general public
I dette tilfellet ble opplysningene gjort allment tilgjengelig av Schrems, og domstolen mener disse opplysningene og måten omfattes av unntaket i artikkel 9(2)(e) ved at det var åpenbart at Schrems gjorde disse offentlige.
Dette gir imidlertid ikke rett til å behandle disse personopplysningene uten hensyn til de øvrige bestemmelser i GDPR og det vern som slike opplysninger gis under artikkel 9(1).
81 Thus, it would be contrary to the restrictive interpretation that should be made of Article 9(2)(e) of the GDPR to find that all data relating to the sexual orientation of a person fall outside the scope of protection under Article 9(1) thereof solely because the data subject has manifestly made public personal data relating to his or her sexual orientation.
Det å offentliggjøre opplysninger om sin seksuelle orientering medfører ikke et samtykke til at et sosiale nettverk kan behandle opplysningene etter artikkel 9(2)(a).
Domstolen kom derfor til at Meta hadde ikke anledning til å behandle opplysninger om Schrems’ seksuelle legning selv om Schrems hadde gjort opplysningene offentlig tilgjengelig selv.
83 (…) Article 9(2)(e) of the GDPR must be interpreted as meaning that the fact that a person has made a statement about his or her sexual orientation on the occasion of a panel discussion open to the public does not authorise the operator of an online social network platform to process other data relating to that person’s sexual orientation, obtained, as the case may be, outside that platform using partner third-party websites and apps, with a view to aggregating and analysing those data, in order to offer that person personalised advertising.
