Introduksjon til personvern-advarsel
Personvern-advarsel er et sentralt verktøy i personvernlovgivningen for å håndheve samsvar med personvernforordningen (GDPR). Siden ikrafttredelsen av GDPR i 2018 er selskaper og organisasjoner forpliktet til å være svært forsiktige ved behandling av personopplysninger. I tilfelle et brudd på disse kravene – for eksempel gjennom utilstrekkelig informasjon til brukerne eller ulovlig databehandling – kan en advarsel utstedes. Denne kan initieres ikke bare av personvernmyndigheter, men også av konkurrenter, forbrukerbeskyttelsesorganisasjoner eller til og med de berørte personene selv. Målet med en personvern-advarsel er å få selskapet til å opphøre personvernbruddet og å overholde personvernlovgivningen. For selskaper betyr dette at de må regelmessig gjennomgå og tilpasse sine prosesser og håndteringen av personopplysninger for å unngå advarsler og mulige etterfølgende søksmål.
Juridisk grunnlag
Det juridiske grunnlaget for advarsler innen personvernområdet finnes hovedsakelig i GDPR og i loven mot urettferdig konkurranse (UWG). GDPR regulerer detaljert hvordan personopplysninger kan samles inn, lagres og behandles. Brudd på disse forskriftene – for eksempel gjennom ulovlig databehandling eller manglende transparens – kan forfølges ikke bare av personvernmyndigheter, men også innenfor rammen av konkurranseretten. UWG beskytter konkurranse mot urettferdige forretningspraksiser og legger til rette for at et personvernbrudd også kan anses som et brudd på UWG hvis det gir et selskap en urettferdig fordel. Dermed kan advarsler om personvernbrudd utstedes både på grunnlag av GDPR og UWG. Selskaper bør derfor sørge for at de strengt overholder lovkravene til behandling av personopplysninger for å unngå advarsler og ytterligere juridiske konsekvenser.
Konkurrenter må gi advarsler – Dommer fra BGH I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Konkurrenter og forbrukerbeskyttelsesorganisasjoner kan gi advarsler til selskaper ved personvernbrudd; domstolen spiller en sentral rolle i avgjørelser om advarsler på grunn av personvernbrudd. Dette ble avgjort av den tyske forbundsdomstolen (BGH) i flere dommer av 27. mars 2025 (referansenummer I ZR 186/17, I ZR 222/19, I ZR 223/19). Ulike domstoler har tidligere tatt ulike beslutninger om advarselrett ved personvernbrudd. Antallet saker om personvernbrudd viser den praktiske betydningen av dette emnet. Den nåværende BGH-dommen klargjør at også konkurrenter og forbrukerorganisasjoner kan bli aktivt. BGH-dommene fra mars 2025 er av stor betydning for advarselspraksisen fordi de muliggjør forfølgelse av personvernbrudd av forbrukerorganisasjoner og konkurrenter for sivile domstoler. En GDPR-advarsel er en spesifikk form for advarsel som refererer til brudd på personvernforordningen og skiller seg fra andre advarsler på grunn av sitt personvernsrettslige innhold. Forbrukersentralen spiller en viktig rolle i håndhevelsen av personvernrettigheter. Forbrukerorganisasjoner er avgjørende i advarselen om personvernbrudd. Konkurrenter kan også forfølge personvernbrudd og dermed beskytte konkurransen. BGH-dommen har betydelige effekter på praksis og den juridiske vurderingen av personvernbrudd.
Personvernbrudd kan ikke bare straffes av tilsynsmyndigheter. Domstolenes beslutningskompetanse ved personvernbrudd er av sentral betydning. Som BGH-beslutningene viser, kan også konkurrenter og forbrukerorganisasjoner gå til sak mot bruddene. I slike saker spiller den anklagede part også en viktig rolle. For selskaper kan dette spesielt innen netthandel og behandling av sensitive data ha store konsekvenser, ifølge advokatfirmaet MTR Legal, som blant annet gir råd innen IT-rett og personvernrett. Brudd på GDPR kan føre til betydelige juridiske konsekvenser, spesielt når opphørsrettigheter gjøres gjeldende. Ved gjentatte GDPR-brudd truer skjerpede sanksjoner og ytterligere tiltak. Forfølgingen av personvernbrudd skjer både gjennom domstoler og organisasjoner. Betydningen av setning 1 og setning 1 nr. i de relevante paragrafene er avgjørende for den juridiske vurderingen. Saken har stor betydning for utviklingen av personvernretten og håndhevelsen av forbrukerrettigheter.
Spill-app poster data
I saken under referansenummer I ZR 186/17 handlet det om et såkalt «App-senter» i et sosialt nettverk, der tredjepartsleverandører tilbød spill. App-senteret fungerer som en sentral plattform der forskjellige tredjepartsapplikasjoner tilbys. I app-senteret spiller nettspill en betydelig rolle, da de utgjør en stor del av tilbudet. Ved bruk av appen kan også personopplysninger som din e-postadresse behandles. Før en bruker kunne starte et spill, fikk vedkommende beskjed om at applikasjonen ville få visse tillatelser, for eksempel til å poste statusmeldinger. Disse henvisningene var imidlertid vage og informerte ikke om hvilke spesifikke data som ble behandlet, hvem mottakerne var, og til hvilket formål dette skjedde. Dette ble utfordret av paraplyorganisasjonen for forbrukersentralene i delstatene med suksess.
BGH klargjorde at en slik uklar og generell informasjon ikke oppfyller kravene i personvernforordningen (GDPR). Allerede ved innsamling av data gjennom appen må brukerne informeres grundig. Også omfanget av innsamlede og behandlede data må presenteres transparent. Den rettslige formuleringen av bruksformål i personvernerklæringen er av særlig betydning. Informasjonspliktene etter art. 12 og 13 GDPR krever en klar, presis og forståelig opplysning av de berørte personene. Siden disse GDPR-kravene samtidig regulerer markedsadferd i henhold til konkurranseretten (§ 3a UWG), representerer brudd en konkurranseforbrytelse. Konkurrenter eller kvalifiserte forbrukerbeskyttelsesorganisasjoner kan derfor gå sivilt rettslig til sak mot slike personvernbrudd, ifølge BGH. Dette gjelder uavhengig av om en bruker har klaget.
Apotekere selger medisiner på nettet
Lignende spørsmål ble behandlet i sakene med referansenummer I ZR 222/19 og I ZR 223/19. Her hadde to apotek solgt legemidler gjennom plattformen Amazon. Personopplysninger til kundene, inkludert helseopplysninger som navn, adresse eller bestilte medisiner med informasjon om individualisering, ble behandlet. Innsamlingen av disse helseopplysningene av apotekene var sentralt tema i sakene. Flere tilfeller av personvernbrudd innen apoteksektoren ble aktuelle i denne sammenhengen. Andre apotekere hadde gått til sak mot dette. Også disse søksmålene hadde suksess: BGH tydeliggjorde at bestillingsdataene i henhold til art. 9 avsn. 1 GDPR er helseopplysninger. Dette gjelder også når medisinene ikke er reseptbelagte. Dataene kan kun behandles hvis det foreligger et uttrykkelig samtykke fra kundene, noe apoteket imidlertid ikke hadde skaffet.
BGH bekreftet vurderingen til Den europeiske unions domstol, at helseopplysninger allerede foreligger når bestillingen kan gi innsikt i helsetilstand eller medikasjon. I sakene spilte den anklagede en sentral rolle, siden de var ansvarlige for databehandlingen. Viktigheten av å beskytte berørte personer ved behandling av helseopplysninger ble spesielt vektlagt. Også her så BGH en konkurranseforbrytelse. Art. 9 avsn. 1 GDPR er en markedsatferdsregel i henhold til § 3a UWG, slik at brudd på denne bestemmelsen kan forfølges av en konkurrent gjennom et konkurranserettslig søksmål ved de sivile domstolene, ifølge dommerne i Karlsruhe. Betydningen av setning 1 og setning 1 nr. i de relevante paragrafene ble uttrykkelig fremhevet.
GDPR også konkurranserettslig relevant
Dommerne viser at GDPR-reglene – og her spesielt informasjonsplikt og samtykkekrav – også er konkurranserettslig relevante. Under bestemte omstendigheter kan fortjeneste oppnådd gjennom personvernbrudd tilbakekalles; dette er i sammenheng med bøter og andre straffetiltak som kan ilegges i henhold til personvernforordningen og loven. Selskaper som behandler personopplysninger eller sensitive data uten tilstrekkelig informasjon eller uten gyldig samtykke, handler i strid med konkurranselovgivningen. Ikke bare personvernmyndigheter, men også konkurrenter eller kvalifiserte interesseorganisasjoner kan gå til sak mot slike brudd. Dermed har BGH betraktelig utvidet anvendelsesområdet til konkurranseloven. Selskaper som bryter personvernreglene, kan foruten bøter fra personvernmyndighetene også utsettes for kostbare advarsler og oppholdssøksmål fra konkurrenter og forbrukerorganisasjoner.
Bedrifter er godt tjent
Selskaper er derfor godt tjent med å nøye gjennomgå informasjonspliktene og oppfylle dem. Dette inkluderer å informere brukere transparent, forståelig og grundig om hvilke data som behandles til hvilket formål, på hvilket juridisk grunnlag, hvem mottakerne er og hvilke rettigheter de berørte har. Det må også innhentes og dokumenteres et eksplisitt samtykke før behandling av sensitive data – som for eksempel helseopplysninger. Generelle eller skjulte klausuler er ikke tilstrekkelig.
Nettmarkedsplasser og personvern
Nettmarkedsplasser som Amazon Marketplace er uunnværlige i moderne e-handel. Men nettopp her er overholdelse av personvern av særlig betydning. Leverandører som er aktive på slike plattformer må ved behandling av kundeopplysninger – som navn, adresser eller bestillingsdata – overholde GDPRs strenge krav. BGH-beslutningene i sakene I ZR 186/17, I ZR 222/19 og I ZR 223/19 har klargjort at brudd på GDPR – som eksempelvis behandling av helseopplysninger uten eksplisitt samtykke fra kundene – kan få ikke bare personvernsrettslige, men også konkurranserettslige konsekvenser. Advarsler fra konkurrenter eller forbrukerorganisasjoner er mulige i slike tilfeller og kan føre til betydelige konsekvenser for selskapene. Forbundsdomstolens avgjørelser understreker at overholdelse av personvern på nettmarkedsplasser ikke bare er et spørsmål om samsvar, men også om konkurranse.
Konsekvenser av en advarsel
En personvern-advarsel kan ha omfattende konsekvenser for selskaper. I tillegg til forpliktelsen til umiddelbart å stanse den kritiserte behandlingen av personopplysninger, truer betydelige bøter eller sanksjoner i tilfelle fortsettelse av brudd. GDPR fastsetter beløp opptil 20 millioner euro eller 4 % av den globale årsomsetningen – avhengig av hvilket beløp som er høyere. Videre kan en advarsel også varig skade et selskaps omdømme, da et brudd på personvernet oppfattes som en alvorlig tillitsbrudd av kunder og offentligheten. Selskaper bør derfor av både juridiske og omdømmemessige årsaker legge stor vekt på å overholde personvernreglene.
Forsvar mot advarsler
For å effektivt beskytte seg mot advarsler innen personvernområdet bør selskaper regelmessig vurdere sine personvernpraksiser og tilpasse dem til de nåværende kravene i GDPR. Dette inkluderer spesielt utarbeidelse av en transparent og fullstendig personvernerklæring, innhenting av uttrykkelige samtykker for behandling av sensitive data og implementering av tekniske og organisatoriske tiltak for å beskytte dataene. I tilfelle en advarsel er det lurt å reagere raskt og søke juridisk råd for best mulig å ivareta egne interesser. Ved å handle proaktivt og konsekvent overholde personvernreglene kan selskaper i betydelig grad redusere risikoen for advarsler og ytterligere juridiske skritt.
MTR Legal Rechtsanwälte gir råd om personvern, GDPR og andre emner innen IT-rett.
Ta gjerne kontakt med oss!
