TOSL-2023-114365 - TOSL-2023-114359

1. Saksgangen

Oslo tingrett mottok 3. og 4. august 2023 begjæringer fra Meta Platforms Ireland Limited (Meta Ireland) og Facebook Norway AS (Facebook Norway) om midlertidig forføyning mot staten v/Datatilsynet. I begjæringene ble det fremsatt krav om at Datatilsynet skulle forbys å iverksette vedtak 14. juli 2023 mot Meta Ireland og Facebook Norway. Vedtaket gjelder forbud mot at selskapene behandler personopplysninger for atferdsbasert markedsføring med grunnlag i GDPR art 6 (1) b) og f) i tilknytning til tjenestene Facebook og Instagram, og har en varighet på tre måneder. Frist for etterlevelse av vedtaket ble satt til 4. august 2023.

Saksøkerne ba om at retten avsa kjennelse uten at det var gjennomført forutgående muntlig forhandling. Det ble særlig vist til at Datatilsynet hadde varslet at det ville vurdere å ilegge selskapene tvangsbot ved manglende etterlevelse av vedtaket, og at det ikke var praktisk mulig å avholde muntlig forhandling før tvangsboten begynte å løpe.

Retten besluttet at partene skulle innkalles til muntlig forhandling før den tok stilling til begjæringene, jf. tvisteloven § 32-7 første ledd. Partene ble i brev 7. august 2023 innkalt til muntlig forhandling 22. og 23. august 2023.

Datatilsynet besluttet 7. august 2023 å ilegge Meta Ireland og Facebook Norway en felles tvangsbot (som solidarisk ansvarlige) for manglende oppfyllelse av vedtaket 14. juli 2023. Tvangsboten begynte å løpe fra 14. august 2023 og utgjør én million kroner for hver dag som går uten at forbudet er etterlevd.

I prosesskriv 10. august 2023 ba Meta Ireland og Facebook Norway om at retten på nytt vurderte om det var grunnlag for å avsi midlertidig forføyning uten forutgående muntlig behandling.

I skriftlige merknader til begjæringene (tilsvar) 11. august 2023 ba staten om at forhandlingene ble delt, slik at spørsmålet om sikringsgrunn ble behandlet først.

Retten meddelte i brev 13. august 2023 til partene at beslutningen om å gjennomføre muntlig forhandling før retten tok stilling til begjæringene ble opprettholdt, og at det ikke ble besluttet deling av forhandlingene.

Det ble gjennomført felles muntlig forhandling for begge saker i Oslo tinghus 22. og 23. august 2023. Forhandlingene ble gjennomført etter hovedinnleggsmodellen.

Side:2

2. Sakens bakgrunn

2.1 Kort om saksøkerne og sakskomplekset

Meta Ireland er et selskap med hovedforretningssted i Dublin. Selskapet er part i avtaler som leverer tjenestene Facebook og Instagram til brukere i Norge og resten av Europa, og er også behandlingsansvarlig for behandling av brukernes personopplysninger med det formål å tilby Facebook og Instagram.

Facebook Norway er et norsk aksjeselskap. Selskapet er datterselskap av Facebook Global Holdings II LLC, som igjen er et datterselskap av Meta Platforms Inc. Selskapet leverer tjenester knyttet til salgssupport og markedsføring, herunder videresalg av slike tjenester, jf. selskapets årsrapport for 2022.

Tvisten i denne saken inngår i et omfattende sakskompleks som vedrører lovligheten av Meta Irelands behandling av personopplysninger for atferdsbasert markedsføring etter EUs personvernforordning (Regulation (EU) 2016/679 – kalt General Data Protection Regulation - GPPR) artikkel 6 (1). Tvistene verserer både for forvaltningsorganer og domstoler, og partene har i denne saken ikke gitt noen uttømmende redegjørelse for hvilke forvaltningsorganer og domstoler som er involvert, hvilke spørsmål som disse sakene reiser og hva som er status i de ulike prosessene. Retten vil i det følgende gi en konsentrert og mer oversiktspreget fremstilling av bakgrunnen for saken, der det i begrenset grad redegjøres for det samlede sakskomplekset.

2.2 Nærmere om sakens bakgrunn

Den foreliggende tvisten har sin bakgrunn i klager som personvernorganisasjonen NOYB sendte til det østerrikske datatilsynet i mai 2018. Klagesakene gjaldt behandlingen av personopplysninger for atferdsbasert markedsføring gjennom tjenestene Facebook og Instagram.

Klagene ble behandlet av det irske datatilsynet – Data Protection Commission (DPC) – fordi det dreier seg om en grenseoverskridende behandling og Meta Ireland har sin hovedvirksomhet i Irland, jf. GDPR art. 4 (23) jf. art. 56.

DPC behandlet klagene i tråd med samarbeidsmekanismen som følger av GDPR art. 60, og sendte 6. oktober 2021 (vedr. tjenesten Facebook) og 1. april 2022 (vedr. tjenesten Instagram) ut utkast til vedtak i sakene til berørte tilsynsmyndigheter, herunder Datatilsynet. Det ble ikke oppnådd enighet mellom DPC og de ulike tilsynsmyndighetene om alle de spørsmålene som klagene reiste, og DPC forela derfor enkelte av spørsmålene for det europeiske personvernrådet (EDPB), jf. GDPR art. 65.

Side:3

EDPB traff avgjørelser i sakene vedrørende de aktuelle tjenestene – Facebook og Instagram – 5. desember 2022. Av avgjørelsen vedrørende tjenesten Facebook punkt 1 nr. 3 (Summary of the Dispute) fremgår det at klagen gjaldt spørsmålet om det forelå brudd på nærmere angitte bestemmelser i GDPR og EUs Charter of Fundamental Rights ved at Meta Ireland bygget behandlingen av personopplysninger på tvunget samtykke («forced consent»). I avgjørelsene ble det blant annet lagt til grunn at behandlingen av personopplysninger for atferdsbasert markedsføring ikke kunne hjemles i GDPR art. 6 (1) b), jf. binding decision 3/2022 vedr. Facebook avsnitt 484 og 4/2022 vedrørende Instagram avsnitt 451.

DPC traff deretter den 31. desember 2022 beslutninger om at Meta Ireland ikke kunne basere sin behandling av personopplysninger for formålet atferdsbasert markedsføring på GDPR art. 6 (1) b). Meta Ireland ble videre gitt en frist på tre måneder på å rette forholdet og samtidig ilagt betydelige overtredelsesgebyr/bøter, se vedtaket vedrørende Facebook avsnitt 10.44 og 10.45 og vedtaket vedrørende Instagram avsnitt 417 og 418.

I e-post 28. mars 2023 til Datatilsynet ba Meta Ireland om et møte for å redegjøre nærmere for sitt syn på enkelte spørsmål som gjaldt behandlingen av personopplysninger for formålet atferdsbasert markedsføring. Datatilsynet besvarte henvendelsen i e-post 14. april 2023 og viste til at saken var til behandling av DPC, som ledende tilsynsmyndighet. DPC hadde kommet med sin endelige vurdering/beslutning, og Datatilsynet henviste Meta Ireland til dialog med DPC vedrørende implementeringen av denne.

Meta Ireland redegjorde i brev 3. april 2023 fra sin advokatforbindelse til DPC for hvordan selskapet ville oppfylle kravene, slik disse fremgikk av DPCs vedtak 31. desember 2022.

Datatilsynet henvendte seg til DPC i e-post 5. april 2023. I e-posten ba Datatilsynet blant annet om DPCs syn på Meta Irelands endring av behandlingsgrunnlag for atferdsbasert markedsføring fra GDPR art. 6 (1) b) til art. 6 (1) f).

DPC oversendte etter dette Meta Irelands rapporter om hvordan selskapet planla å oppfylle kravene som DPC hadde satt til atferdsbasert markedsføring, jf. Datatilsynets brev 5. mai 2023 første avsnitt. Datatilsynet anmodet DPC i samme brev om å beslutte et midlertidig forbud som gikk ut på at Meta Ireland ikke kunne basere sin behandling av personopplysninger for formålet atferdsbasert markedsføring på GDPR art. 6 (1) f). For det tilfellet at DPC ikke ville følge opp anmodningen, varslet Datatilsynet at det ville vurdere mulighetene for å treffe midlertidige tiltak i Norge i medhold av GDPR art. 66, jf. brevet punkt 1. Brevet ble videresendt til Meta Irelands advokatforbindelse, jf. DPCs brev 25. mai 2023 og oppdatering til berørte tilsynsmyndigheter 31. mai 2023.

Side:4

I brev 31. mai 2023 kommenterte Meta Ireland via sin advokatforbindelse på merknadene som DPC hadde mottatt fra enkelte av de berørte tilsynsmyndighetene. Av brevet fremgår det at Meta Ireland særlig hadde merket seg innholdet av henvendelsen fra Datatilsynet.

DCP besvarte Datatilsynets henvendelse 5. mai 2023 om gjensidig bistand i melding sendt 2. juni 2023. Av meldingsskjemaet som ble benyttet fremgikk det at DPC ikke kunne etterkomme anmodningen om et midlertidig forbud («No, I cannot comply with the request»). Datatilsynet stilte 9. juni 2023 spørsmål om DCP uformelt kunne indikere om tilsynet kunne komme til å følge Datatilsynets anmodning på et senere tidspunkt. Samtidig formidlet Datatilsynet at det ville avvente DPCs tilbakemelding som var varslet mot slutten av juni 2023.

Datatilsynet ba 9. juni 2023 om svar fra DPC på hvorvidt Datatilsynets anmodning om et midlertidig forbud ville bli fulgt. Henvendelsen ble ikke besvart.

I henvendelse 13. juni 2023 til øvrige berørte tilsyn meddelte DPC at det ville avvente EU-domstolens avgjørelse i sak C-252/21 Facebook Inc. and Others v. Bundeskartellamt før det tok stilling til om Meta Ireland kunne basere behandlingen av personopplysninger i forbindelse med atferdsbasert markedsføring på art. 6 (1) b) eller f).

DPC kommenterte i brev 21. juni 2023 til Meta Ireland på enkelte spørsmål knyttet til saksbehandlingen i saker om hastetiltak. Ytterligere merknader som gjaldt den videre prosessen med å sikre etterlevelse ble oversendt i brev til DPC 30. juni 2023 fra Meta Irelands advokatforbindelse.

EU-domstolen traff 4. juli 2023 avgjørelse i saken C-252/21 og kom til at bestemmelsen i GDPR art. 6 (1) f) ikke kunne utgjøre rettslig grunnlag for den aktuelle behandlingen av personopplysninger for atferdsbasert markedsføring, se avgjørelsen avsnitt 116 og 117.

DPC sendte deretter ut en ny, foreløpig vurdering 11. juli 2023, der berørte tilsynsorganer ble invitert til å kommentere på DPCs vurdering om at Meta Ireland ikke behandlet personopplysningene i henhold til GDPR-regelverket. Videre orienterte DPC om at det ville formidle tilsynsorganenes synspunkter til Meta Ireland innen 4. august 2023, og at DCP ville ferdigstille sine vurderinger innen 21. august 2023.

I Datatilsynets e-post 14. juli 2023 ble DPC orientert om at Datatilsynet samme dag ville beslutte midlertidige tiltak mot Meta Ireland i Norge.

Side:5

I vedtak samme dag besluttet Datatilsynet at Meta Ireland og Facebook Norway ikke kunne basere behandlingen av personopplysninger for atferdsbasert markedsføring på bestemmelsene i GDPR art. 6 (1) b) eller f). Det fremgår av vedtaket at det gjaldt registrerte i Norge og at pålegget skulle ha en varighet på tre måneder. Samtidig ble det orientert om at forbudet ville bli opphevet dersom Meta Ireland og Facebook Norway traff tiltak som sikret at behandlingen var i tråd med GDPR art. 6 (1) og 21. Det ble videre varslet at Datatilsynet ville vurdere å ilegge Meta Ireland og Facebook Norway en tvangsbot på opptil én million kroner pr. dag, samlet eller hver for seg, dersom Meta Ireland og Facebook Norway ikke rettet seg etter forbudet.

DPC sendte 20. juli 2012 meddelelse til det europeiske personvernrådet og berørte tilsynsmyndigheter, der DPC forklarte at det ikke hadde hatt til hensikt å avvise Datatilsynets anmodning om gjensidig bistand, jf. meldingen 2. juni 2023. I brevet ble det videre redegjort for den videre planen for saksbehandlingen.

Meta Ireland kommenterte Datatilsynets vedtak i brev 27. juli 2023 fra advokat Thomas Olsen. I brevet orienterte Meta Ireland om at selskapet var villig til å endre behandlingsgrunnlaget for atferdsbasert markedsføring til samtykke (GDPR art. 6 (1) a)). Videre ba Meta Ireland om at Datatilsynet opphevet forbudet og varslet om at selskapet ville bestride at det var grunnlag for å treffe vedtak med slikt innhold. Samme dag henvendte Meta Ireland – ved sin advokatforbindelse i Irland – seg til DPC og orienterte om at selskapet var villig til å gjøre tiltak for å etablere samtykke som grunnlag for behandlingen av personopplysninger i forbindelse med atferdsbasert markedsføring, jf. GDPR art. 6 (1) a). Det ble samtidig opplyst at Meta Ireland antakelig ville bruke minst tre måneder på å implementere denne endringen.

Den 31. juli 2023 ble det gjennomført et videomøte mellom Meta Ireland og Datatilsynet.

I brev 1. august 2023 fra DPC til Meta Irelands advokater, ble det kommunisert en plan/tidslinje for den videre saksbehandlingen.

Datatilsynet ba i brev 3./4. august 2023 om bekreftelse på at Meta Ireland og Facebook Norway ville etterkomme vedtaket 14. juli 2023 innen fristen 4. august 2023, herunder om selskapene ville innføre en midlertidig stans i den aktuelle behandlingen, og i så fall i hvilken utstrekning. I brev samme dag fra advokat Thomas Olsen til Datatilsynet gjorde Meta Ireland og Facebook Norway gjeldende at selskapene hadde oppfylt vedtaket fra Datatilsynet ved å bekrefte at Meta Ireland fremover ville basere behandlingen av personopplysninger for atferdsbasert markedsføring på samtykke. Videre ble det blant annet argumentert for at Datatilsynets forbud var urettmessig, ødeleggende for Meta Ireland og i strid med de interesser som GDPR skal ivareta.

Side:6

Meta Ireland og Facebook Norway påklaget i brev 1. august 2023 fra advokat Reusch Datatilsynets vedtak 14. juli 2023. Det ble anført at vedtaket var ugyldig og det ble krevd omgjøring av vedtaket. Samtidig ble det anmodet om utsatt iverksettelse så lenge Datatilsynet eller departementet behandler klagen. Det ble også varslet at selskapene ville inngi begjæring om midlertidig forføyning dersom vedtaket ikke ble omgjort eller utsatt iverksettelse ikke ble gitt senest 3. august 2023

I brev 3. august 2023 avviste Datatilsynet klagen og avslo å omgjøre vedtaket 14. juli 2023.

Meta Ireland og Facebook Norway oversendte 3. og 4. august 2023 begjæringer om midlertidig forføyning til Oslo tingrett.

DPC har i rapport 18. august 2023 kommet med sine endelige vurderinger i tilsynssakene og en plan for den videre håndteringen av sakene.

3. Partenes anførsler

3.1 Meta Platforms Ireland Limited og Facebook Norway AS har i korte trekk gjort gjeldende

Datatilsynets vedtak 14. juli 2023 er ugyldig.

Vedtaket kan ikke rettes mot Facebook Norway. Meta Ireland er ikke Facebook Norways morselskap, og Facebook Norway leverer begrensede tjenester til Meta Ireland-gruppen. Facebook Norway har ingen befatning med den aktuelle databehandlingen, er ikke behandlingsansvarlig etter GDPR art. 4 (7), og kan ikke etterleve vedtaket. Dette følger også av EU-domstolens dom i sak C-645/19 og LB-2020-170405. Facebook Norway er heller ikke involvert i DPC-prosessen.

Verken personopplysningsloven eller GDPR støtter oppfatningen om at Facebook Norway skal kunne holdes ansvarlig for et annet EØS-rettssubjekts forpliktelser som behandlingsansvarlig. Dette er også lagt til grunn i rettspraksis. Bestemmelsen i GDPR art. 60 (10) eller fortalen punkt 80 jf. art. 27 tilsier ikke en annen vurdering. Begrepet «etablering», som er brukt i GDPR art. 3 nr. 2, art. 56 og art. 79, skal tolkes snevert, og omfatter bare enheter som utfører relevante behandlingsaktiviteter og har reell tilknytning til den aktuelle databehandlingen.

Side:7

Meta Ireland og Facebook Norway mottok ikke noe forhåndsvarsel og fikk ikke anledning til å uttale seg på forhånd, jf. forvaltningsloven § 16 første og annet ledd. At partene var kjent med saken, er ikke tilstrekkelig. Særlig gjelder dette der det kan være aktuelt å ilegge den private parten en sanksjon. Selv om parten er kjent med at det kan treffes et vedtak, kan det være nødvendig med særskilt varsel om at forvaltningen nå faktisk vurderer dette.

Vedtaket bygger på omstendigheter som ikke tidligere hadde vært tema i saksbehandlingen for DPC, herunder spørsmålet om vilkårene i GDPR art. 66 var oppfylt, frister for etterlevelse, sanksjoner ved manglende overholdelse mv.

Datatilsynet kan ikke legge til grunn at Meta Ireland delte informasjon om prosessen med Facebook Norway.

Når det gjelder Meta Irelands kommunikasjon med DPC, viser Meta Ireland og Facebook Norway til at dette er et separat tilsyn i utlandet. Korrespondansen med slikt organ kan ikke utgjøre særskilt varsel eller innebære en oppfordring til å uttale seg.

Datatilsynets henvendelse om gjensidig bistand 5. mai 2023 utgjør ikke tilstrekkelig varsel. Henvendelsen nevner at Datatilsynet vurderer midlertidige tiltak, men forklarer ikke tilstrekkelig hva saken gjelder og inneholder heller ikke informasjon som gjør at saksøkerne kunne ivareta sine interesser. Henvendelsen mangler redegjørelse for omfanget av den akutte situasjonen, hvilke alternative annonseringsmodeller som kunne være gjennomførbare, tidsrammer og sanksjoner ved fortsatt krenkelse.

Datatilsynets etterfølgende provokasjoner i forføyningssakene styrker inntrykket av et vedtaket bygger å et mangelfullt faktisk grunnlag. I tillegg hadde DPC instruert Meta Ireland om å avvente med å svare til DPCs foreløpige vurdering var publisert, noe som først skjedde 11. juli 2023.

Av de ovennevnte grunner foreligger det også brudd på forvaltningsloven § 17, ved at saken ikke var så godt opplyst som mulig før vedtak ble truffet. Datatilsynet gjennomførte ingen utredninger for å begrunne vedtaket, eksempelvis vedrørende hastverk, skade eller reell etterlevelsesmulighet.

Både bruddene på kravet til forhåndsvarsling og forsvarlig utredning har virket inn på vedtaket, jf. forvaltningsloven § 41. Meta Ireland ville informert Datatilsynet om vesentlige aspekter, herunder at vedtaket er unødvendig (mangler aktualitet). Datatilsynet har videre tilsynelatende en uriktig forståelse av hvordan Meta Irelands tjenester fungerer, herunder skjul annonse-funksjonen, hva atferdsbasert markedsføring består i, hvordan lokaliseringsdata fungerer og hva brukerne forventer av tjenestene.

Side:8

Vilkårene for hastetiltak etter GDPR art. 61 (8) er ikke oppfylt. Hovedregelen er at nasjonale tilsynsmyndigheter ikke er kompetente til å gi pålegg i grenseoverskridende saker, jf. art. 56. Kompetansen ligger her til det ledende tilsynet, jf. GDPR art. 60, som etablerer en samarbeidsmekanisme. Formålet er å sikre lik anvendelse av regelverket og forutberegnelighet.

Datatilsynet har ikke påvist at DPC har unnlatt å respondere på dets anmodning om gjensidig bistand, jf. henvendelsen 5. mai 2023. Datatilsynet ba her om at DPC delte en tidsplan, noe som ble gjort ved flere anledninger. Datatilsynet har også akseptert svarene som DPC har gitt og har ikke tilkjennegitt at DPC har forsømt å svare på henvendelsene. DPCs vurdering 11. juli 2023 utgjør under enhver omstendighet et svar. At prosessen tar et par uker lengre tid enn tidsrammen bestemmelsen oppstiller, begrunner ikke at bestemmelsen kommer til anvendelse.

Den foreliggende saken er komplisert og krever omfattende saksbehandling. At tilsynene skal samarbeide fordrer uansett ikke en uforbeholden aksept av alle krav. DPC måtte uansett ha anledning til å følge relevante forvaltningsrettslige krav til saksbehandlingen. Vedtaket underminerer videre ettstedsmekanismen og motarbeider Meta Irelands evne til å etterleve prosessene for DPC. Videre er det heller ikke slik at Meta Ireland i lengre tid har vært klar over at samtykke er det eneste lovlige behandlingsgrunnlaget, jf. eldre rettspraksis som underbygger at også art. 6 (1) b) kunne komme til anvendelse.

Vilkårene for å treffe tiltak etter hasteprosedyren i artikkel 66 (1) er ikke oppfylt. Bestemmelsen kommer bare til anvendelse i særlige tilfeller og forutsetter et akutt behov for å treffe tiltak for å verne registrertes rettigheter og friheter. Bestemmelsen skal tolkes restriktivt, jf. det europeiske personvernrådets beslutning i sak 01/2021 avsnitt 165-167. Datatilsynet har ikke pekt på akutte omstendigheter som rettferdiggjør vedtaket.

Atferdsbasert markedsføring er svært utbredt og har pågått i mange år, herunder hele perioden GDPR har vært i kraft. Meta Ireland har i den senere tid gitt brukerne mer kontroll over egne personopplysninger, ved å gi anledning til å protestere mot behandlingen, noe som har redusert behovet for akutte tiltak. I tillegg vil hasteprosedyren forstyrre den pågående prosessen for DPC og i praksis representere en umulig forpliktelse. Vedtaket innebærer de facto at Meta Ireland midlertidig må stanse Facebook- og Instagram-tjenester i Norge.

Saksøkerne viser også til at Datatilsynet ikke hadde innvendinger mot DPCs foreløpige vurdering. Tilsynsorganene var enige om at overgangen til art. 6 (1) f) som behandlingsgrunnlag for atferdsbasert markedsføring ikke var rettmessig, jf. særlig Datatilsynets e-post 14. juli 2023 til DPC. Ingen av de øvrige berørte tilsynene har truffet hastetiltak.

Side:9

Det var heller ikke noe akutt behov for vedtaket som følge av avgjørelsen i Bundeskartellamt-saken. DPC bygde på denne avgjørelsen i sin vurdering. Videre er det heller ikke relevant at norsk forvaltningsrett muliggjør raskere behandling etter GDPR art. 66 (1). At DPC har forholdt seg til grunnleggende saksbehandlingskrav kan heller ikke utgjøre noen særlig eller akutt omstendighet som rettferdiggjør eksepsjonelle hastetiltak. I tillegg forsinker Datatilsynets prosess mulighetene Meta Ireland har for å finne en løsning.

Vedtaket er uforholdsmessig, jf. GDPR art. 83, 84 og fortalen punkt 4, 129 og 148, EMK og det forvaltningsrettslige forholdsmessighetsprinsippet. Vedtaket krever at Meta Ireland med tre ukers varsel og i løpet av femten virkedager skal gjøre fundamentale endringer i sine tjenester for norske brukere. Dette er ikke mulig, og det vil derfor også ha begrenset effekt å allokere om på ressurser for å oppfylle vedtaket, jf. også forvaltningsloven § 51 (2). Datatilsynets foreslåtte annonseringsmodell er videre ikke formålstjenlig. I tillegg viser Meta Ireland til at vedtaket allerede er oppfylt, ved at Meta Ireland allerede har forpliktet seg til å endre grunnlaget for den relevante databehandlingen til GDPR art. 6 (1) a). Det foreligger en detaljert etterlevelsesplan.

Vedtaket er videre selvmotsigende og uklart. Det er også i strid med øvrig lovgivning, herunder EMK art. 6.

Det foreligger sikringsgrunn, både etter alternativet i tvisteloven § 34-1 første ledd bokstav a) og b).

Meta Irelands hovedkrav vil bli vesentlig vanskeliggjort dersom det ikke gis midlertidig sikring, jf. tvisteloven § 34-1 første ledd bokstav a). Saksøkerne vil i praksis fratas muligheten til rettslig prøving som følge av at vedtaket har en tidsbegrensning på tre måneder. Det vil ta vesentlig lengre tid å gjennomføre et søksmål. Meta Ireland vil potensielt kunne få kompensert påløpt dagmulkt i et slikt søksmål, men søksmålet vil vanskelig bidra til å erstatte omdømme- og omsetningstap som følger av vedtaket. En slik forføyning vil heller ikke utgjøre noen foregripelse av hovedkravet, jf. særlig LE-2008-48261.

Midlertidig forføyning er videre nødvendig for å unngå vesentlig skade og ulempe, jf. tvisteloven § 34-1 første ledd bokstav b). Vedtaket vil medføre irreversibel skade på tjenestenes omdømme – både i Norge og internasjonalt – og vil også påføre saksøkerne et betydelig økonomisk tap. Det er vanskelig å estimere hvor stort dette tapet vil bli. Meta Ireland og Facebook Norway viser her til negativ omtale i norske og internasjonale medier. Det er videre en rekke annonsører som har stilt spørsmål ved hvilke konsekvenser denne saken vil få.

At staten er søkegod kan det ikke legges avgjørende vekt på.

Side:10

Terskelen for å konstatere at det foreligger sikringsgrunn bør være vesentlig lavere for Facebook Norway. Selskapet har begrenset omsetning og grunnlaget for å pålegge selskapet handleplikter er svært tynt.

Det er ikke mulig å unngå de negative følgene av vedtaket uten midlertidig forføyning. Vedtaket er belastende og det er ikke mulig å etterkomme dette i den perioden vedtaket er i kraft. Skadevirkningene vil inntre dersom forføyning ikke gis. Forsøk på å gå veien om forvaltningsklage og begjæring om utsatt iverksettelse har ikke ført frem.

Midlertidig forføyning vil ikke påføre staten skade eller ulempe som står i åpenbart misforhold til den interesse saksøkerne har i at forføyning besluttes, jf. tvisteloven § 34-1 annet ledd. Det er urimelig at tvangsboten løper før gyldigheten av det underliggende vedtaket er rettskraftig avgjort. Videre er det ikke noe reelt hastverk i saken. Behandlingen av saken er allerede til vurdering av DPC og Meta Ireland har påtatt seg å endre behandlingsgrunnlaget til en samtykkemodell. Behovet for forføyning skyldes Datatilsynets mangelfulle utredning og manglende forhåndsvarsel. I tillegg er hovedkravets verdi betydelig.

Meta Platforms Ireland Limited har lagt ned slik påstand i sak 23-114365TVI-TOSL/08:

1. Vedtakets pålegg om innen 4. august 2023 å avstå fra å behandle «Personal data [...] for Behavioural Advertising based on Article 6 (1) b) og 6 (1) f) GDPR in the context of the Services» skal ikke være i effekt før det foreligger rettskraftig dom om vedtakets gyldighet.

2. Meta Platforms Ireland Limited skal ta ut søksmål innen to uker etter rettens kjennelse.

3. Meta Platforms Ireland Limited tilkjennes sakskostnader.

Facebook Norway AS har lagt ned slik påstand i sak 23-114359TVI-TOSL/08:

1. Vedtakets pålegg om innen 4. august 2023 å avstå fra å behandle «Personal data for Behavioural Advertising based on Article 6 (1) b) og 6 (1) f) GDPR in the context of the Services» skal ikke være i effekt før det foreligger rettskraftig dom om vedtakets gyldighet.

2. Facebook Norway AS skal ta ut søksmål innen to uker etter rettens kjennelse.

3. Facebook Norway AS tilkjennes sakskostnader.

Side:11

3.2 Staten v/Datatilsynet har i korte trekk gjort gjeldende

Datatilsynets vedtak 14. juli 2023 er gyldig.

Vedtaket kan også rettes mot Facebook Norway, som en «etablering» av Meta Ireland. Facebook Norway utøver effektiv og faktisk aktivitet i Norge, i form av markedsføringstjenester på Facebook og Instagram. Selskapet har en fast struktur og et fysisk kontor på norsk territorium. Dette er tilstrekkelig for å bli ansett som en etablering etter EU-domstolens praksis.

Verken bestemmelsen i GDPR art. 61 (8) eller art. 66 (1) regulerer hvem som skal være adressat for vedtaket. Hensynet til å sikre effektiv etterlevelse tilsier at vedtaket også kan rettes mot selskap i samme konsern. Hvorvidt etableringen kan kontrollere den aktuelle behandlingen, kan ikke være avgjørende, jf. GDPR art. 4 (16), art. 27 og fortalen punkt 80.

Vurderingstemaet er om vedtaket gjelder behandling av personopplysninger som utføres i sammenheng med etableringens aktiviteter, jf. EU-domstolens dom i sak C-645/19 Fcaebook Ireland avsnitt 85 og 96. Datatilsynets vedtak gjelder behandling av personopplysninger som utføres i sammenheng med Facebook Norways aktiviteter i Norge.

Saksøkerne har ikke sannsynliggjort saksbehandlingsfeil som kan ha virket inn på vedtakets innhold.

Meta Ireland og Facebook Norway har allerede uttalt seg i saken, jf. Meta Irelands brev 21. juni 2023, som inneholder en grundig redegjørelse for Meta Irelands syn på vilkårene for hastetiltak. Det ble der varslet om tiltak på norsk territorium. Det må legges til grunn at uttalelsen ble avgitt også på vege av Meta Irelands virksomhet i Norge. Datatilsynet tok alle disse innspillene i betraktning da vedtaket ble truffet.

Subsidiært anføres det at Meta Ireland og Facebook Norway er gitt mulighet til å uttale seg før vedtaket ble truffet. Datatilsynet varslet om mulige hastetiltak i anmodningen om gjensidig bistand 5. mai 2023. Det var klart ut fra varselet hva slags type vedtak det var aktuelt å treffe. Varselet ble delt med Meta Ireland av DPC i tråd med prosedyrene etter GDPR, jf. at det er ledende tilsynsmyndighet som skal være eneste kontaktpunkt, jf. GDPR art. 56 (6). Det er også sannsynlig at informasjonen ble delt med Meta Irelands virksomhet i Norge. Det er uansett Meta Irelands plikt å sørge for at hastetiltak blir gjennomført av deres etablering på norsk territorium, jf. GDPR art. 66 (19) og art. 60 (10). Staten viser videre til at ansatte i Facebook Norway har vært i kontakt med Datatilsynet vedrørende EDPB-avgjørelsen.

Side:12

Atter subsidiært anføres det at Meta Ireland og Facebook Norway på annen måte har fått kjennskap til at vedtak skal treffes og har hatt rimelig foranledning og tid til å uttale seg, slik at varsling må anses unødvendig, jf. forvaltningsloven § 16 tredje ledd c. Meta Ireland anførte i brevene fra juni 2023 mye av det samme som Datatilsynet tok i betraktning da vedtaket ble truffet. Argumentene ble uansett trukket frem i omgjøringsbegjæringen og i forkant av tvangsmulktvedtaket, uten at de førte frem.

Vilkårene for hastetiltak i GDPR artikkel 61 (8) er oppfylt. Datatilsynet fremsatte anmodning om gjensidig bistand til DPC den 5. mai 2023, der det blant annet ble bedt om at DPC delte en tidsplan for hvordan det ville sørge for at Meta Ireland raskt fulgte opp kravene etter GDPR. Fristen for å besvare henvendelsen var 5. juni 2023, men DPC la i brev 30. mai 2023 opp til å svare 30. juni 2023. I svar til Datatilsynet 2. juni 2023 meddelte DPC at det ikke ville etterkomme anmodningen («No, I cannot comply with the request»). Datatilsynet hørte ikke noe mer innen fristen 5. juni 2023, og fikk heller ikke noe svar på henvendelsen 9. juni 2023. DPC uttalte 13. juni 2023 at det ville vente på avgjørelsen i Bundeskartellamt-saken. Heller ikke i brev 11. juli 2023 ble det gitt informasjon fra DPC om eventuelle tiltak for å sikre etterlevelse.

Subsidiært anføres det at vilkårene for å treffe tiltak etter GDPR artikkel 66 (1) er oppfylt. Det foreligger i denne saken et «særlig tilfelle». I DPCs avgjørelser fra desember 2022 ble Meta Ireland gitt en tremånedersfrist for å sikre etterlevelse. Pr. juli 2023 var kravene ikke oppfylt. Meta Ireland ila heller ikke noe midlertidig forbud i etterkant av Bundeskartellamt-avgjørelsen. Samtidig trenerer Meta Ireland prosessen. Det foreligger alvorlige brudd på regelverket med omfattende ulovlig bruk av store datamengder, og det er et akutt behov for at tiltak treffes.

Datatilsynets vedtak er ikke uforholdsmessig, verken etter EØS-retten eller norsk intern forvaltningsrett.

Det er ikke uforholdsmessig å pålegge opphør av ulovlige aktiviteter. Saksøkernes interesser er først og fremst av økonomisk karakter. Disse interessene må sammenholdes med hensynet til norske brukeres personvern og rettigheter etter GDPR og omfanget av den ulovlige bruken av data.

Påstanden om at det ikke er mulig å etterkomme vedtaket er ikke sannsynliggjort. Det er ikke ført noen bevis som underbygger påstanden. Meta Ireland har allerede i dag en protestløsning som kan tenkes brukt, og har også truffet andre tiltak i senere tid, blant annet knyttet til barn. Det er ikke dokumentert at selskapet vil behøve tre måneder på å gjøre nødvendige endringer. Meta Ireland har heller ikke påvist at selskapet har satt i verk reparerende tiltak, ved å igangsette nye prosesser, etter at de ble kjent med kravene. Saksøkernes anførsel er utelukkende bygd på et partsinnlegg uten bevisverdi.

Side:13

Staten viser videre til at det gikk over én måned fra vedtaket ble truffet til tvangsmulkten begynte å løpe. Saksøkerne har videre hatt mange år på å sikre samsvar med regelverket, uten å gjøre tiltak eller forberedelser. Det vises blant annet til at det nå nesten er gått åtte måneder fra DPC-avgjørelsene kom uten at nødvendige endringer er gjort. Selve behandlingen har vært ulovlig i hvert fall siden 2018, jf. DPC-avgjørelsene 31. desember 2022.

Datatilsynets vedtak er ikke for vagt. Det er saksøkernes ansvar å sikre overholdelse av GDPR. Meta Ireland har ikke oppfylt vedtaket.

Datatilsynets vedtak er heller ikke ugyldig på annet grunnlag, herunder brudd på EMK art. 6, brudd på prinsippet om ulovlig samarbeid eller mangelfull begrunnelse.

Det foreligger ikke sikringsgrunn, verken etter bestemmelsen i tvisteloven §34-1 første ledd bokstav a eller b.

Gjennomføring av tvangsbotvedtaket kan ikke avverges ved midlertidig forføyning. Saksøkerne kan uansett få prøvd vedtaket ved en eventuell tvangsinndrivelse av mulkten. Eventuelle krav kan også fremmes gjennom et erstatningssøksmål mot staten.

Det er ikke sannsynliggjort at saksøkerne vil lide vesentlig skade i form av omdømmetap eller at de vil få en økonomisk belastning som følge av vedtaket. Det er tidligere fastslått, både av irsk tilsynsmyndighet, av europeisk tilsynsmyndighet og andre tilsynsmyndigheter i Europa, at behandlingen av personopplysninger for atferdsbasert markedsføring er ulovlig. Det er ikke sannsynliggjort noe ytterligere omdømmetap som følge av at det legges ned forbud mot den ulovlige behandlingen. Saken fikk mye negativ omtale, også før Datatilsynets vedtak. I denne er det Meta Ireland som stort sett er blitt omtalt.

Et eventuelt omdømmetap er uansett ikke irreversibelt. Hvis saksøkerne i ettertid får fastslått at Datatilsynets vedtak var ugyldig, kan et eventuelt omdømmetap korrigeres. Det anførte omdømmetapet er uansett uløselig tilknyttet saksøkers økonomiske interesser.

Det vil uansett være uforholdsmessig å beslutte en forføyning med det innholdet saksøkerne ber om.

Dersom det besluttes midlertidig forføyning i denne saken vil det gjøre Datatilsynets vedtak innholdsløst.

Staten v/Datatilsynet har lagt ned slik påstand i begge saker:

1. Begjæringen om midlertidig forføyning tas ikke til følge.

2. Staten v/Datatilsynet tilkjennes sakskostnader.

4. Rettens merknader

Etter tvisteloven § 34-1 jf. § 34-2 må saksøkeren – for å få medhold i en begjæring om midlertidig forføyning – som utgangspunkt sannsynliggjøre hovedkrav og sikringsgrunn. Sikringsgrunnen må alltid sannsynliggjøres; fra dette gjelder det ingen unntak, se Schei mfl., merknader til tvisteloven § 34-2 på Juridika, ajourført pr. 1. mars 2023, punkt 1.

Hovedkravet går ut på at Datatilsynets vedtak 14. juli 2023 er ugyldig. Det er ikke anført at vedtaket/beslutningen 7. august 2023 om å ilegge Meta Ireland og Facebook Norway tvangsbot er ugyldig på selvstendig grunnlag. Vedtaket om tvangsbot bygger imidlertid på Meta Irelands og Facebook Norways manglende oppfyllelse av vedtaket 14. juli 2023. Dersom vedtaket 14. juli 2023 er ugyldig vil det etter rettens syn heller ikke være grunnlag for å innkreve tvangsbøtene, og det er derfor ikke grunn til å foreta separate vurderinger av om de to vedtakene er ugyldige.

Retten vil først ta for seg spørsmålet om det er sannsynliggjort sikringsgrunn. Saksøkerne har anført at sikring av kravet både kan bygge på alternativet i tvisteloven § 34-1 første ledd bokstav a) og bokstav b).

4.1 Spørsmålet om det foreligger sikringsgrunn

Saksøkerne har, blant annet under henvisning til forarbeidene (Ot.prp. nr. 65 (1990-91) s. 292), gjort gjeldende at bestemmelsen i bokstav a) kan påberopes som sikringsgrunn også i tilfeller der det anførte hovedkravet går ut på at et forvaltningsvedtak er ugyldig.

Ved begjæringer om midlertidig forføyning som retter seg mot ugyldige forvaltningsvedtak er det normalt alternativet i tvisteloven § 34-1 første ledd bokstav b) som påberopes, jf. Flock, Midlertidig sikring, s. 143 og Schei mfl., merknader til tvisteloven § 34-1 punkt 4. Det er likevel ikke ansett utelukket at bestemmelsen i bokstav a) også kan brukes som forsvar mot ugyldige forvaltningsvedtak, jf. mindretallets merknader i Rt-1996-342, forarbeidene til bestemmelsen og Flock s. 97. Retten er imidlertid ikke kjent med at det foreligger nyere rettspraksis der alternativet i bokstav a) er benyttet som grunnlag for forføyning som er rettet mot et ugyldig forvaltningsvedtak. Som lagt til grunn av Flock s. 97, anser retten at det normalt vil være alternativet i bokstav b) som vil utgjøre det rettslige grunnlaget for å etablere sikringsgrunn der begjæringen retter seg mot et ugyldig forvaltningsvedtak.

Retten ser derfor først på spørsmålet om det er sannsynliggjort sikringsgrunn etter alternativet i tvisteloven § 34-1 første ledd bokstav b).

Side:15

Vurderingen av om det foreligger sikringsgrunn vil etter rettens syn være lik for Meta Ireland og Facebook Norway. Det foreligger ikke relevante, individuelle forskjeller mellom disse selskapene som tilsier at vurderingen kan falle ulikt ut. I dette ligger det at retten ikke anser at det er grunn til å legge avgjørende vekt på at Facebook Norway er finansielt svakere enn Meta Ireland eller at selskapet har en fjernere tilknytning til selve behandlingsaktiviteten.

4.1.1 Spørsmålet om det foreligger sikringsgrunn etter tvisteloven § 34-1 første ledd bokstav b)

Alternativet i tvisteloven § 34-1 første ledd bokstav b) oppstiller som vilkår at det er nødvendig med en midlertidig ordning i et omtvistet rettsforhold for å avverge en vesentlig skade eller ulempe. Bestemmelsen åpner for en sammensatt vurdering av hvor viktig det omtvistede rettsforhold er for saksøkeren, hvor stort behov saksøkeren har for midlertidig forføyning, hvor inngripende en midlertidig forføyning vil være, saksøktes adferd mv., jf. Rt-2002-108. Der forføyningen retter seg mot et forvaltningsvedtak, vil styrken i skaden/ulempen saksøkeren utsettes for ved vedtaket stå sentralt, se Flock s. 143.

Saksøkerne argumenterte innledningsvis i de foreliggende sakene med at det forelå sikringsgrunn etter alternativet i bokstav b) fordi det var aktuelt å ilegge Meta Ireland og Facebook Norway tvangsbøter på betydelige beløp. Det ble vist til at det er sterkt urimelig at tvangsbøtene skulle begynne å løpe før gyldigheten av det underliggende vedtaket var rettskraftig avgjort.

Utgangspunktet etter norsk prosesslovgivning er at midlertidig forføyning ikke kan benyttes for forsvare seg mot et pengekrav eller hindre inndrivelsestiltak som treffes av namsmyndighetene eller en domstol, jf. Rt-1993-1595, LB-2022-161199 jf. HR-2023-348-U (anken nektet fremmet), Schei mfl., merknader til tvisteloven § 32-1 punkt 3 og Flock s. 43 og s. 45-46. I disse tilfellene er saksøkeren henvist til å benytte de virkemidler som prosesslovgivningen sammenholdt med Norges folkerettslige forpliktelser og overenskomster med fremmede stater gir adgang til. I Borgarting lagmannsretts kjennelse i sak LB-2022-161199 er dette utlagt slik:

Begrunnelsen for lagmannsrettens syn er for det første at midlertidig forføyning etter tvisteloven § 32-1 tredje ledd kun kan kreves av den som har et krav som går ut på annet enn betaling av penger. Et krav som går ut på betaling av penger, kan ikke begrunne midlertidig forføyning. Det samme må gjelde når kravet i realiteten går ut på at det ikke er grunnlag for et påstått pengekrav, jf. Rt-1993-1595 og LE-1996-551. Selv om As krav formelt går på gyldigheten av et forvaltningsvedtak, er kravet i realiteten at det ikke er grunnlag for bidragskravet mot ham. Forvaltningsvedtakets formål og innhold er å gi rettslig grunnlag for å inndrive bidraget. Lagmannsretten

Side:16

har på denne bakgrunn kommet til at det ikke er anledning til å kreve midlertidig forføyning, jf. tvisteloven § 32-1 tredje ledd, og at begjæringen må avvises.

Bakgrunnen for at det er snevre rammer for å benytte midlertidig forføyning som forsvar mot et pengekrav, er at saksøkte/skyldneren har en vid adgang til å fremsette innvendinger under fullbyrdelsen, jf. Rt-1993-1595. I kjæremålsutvalgets kjennelse er det særlig vist til at det etter tvangsfullbyrdelsesloven § 4-2 tredje ledd er en vid adgang til å fremsette innvendinger mot et særlige tvangsgrunnlag (som for eksempel et forvaltningsvedtak) og at tvangsfullbyrdelsesloven § 6-6 åpner for at tvister som gjelder innvendinger fremsatt under fullbyrdelsen kan overføres til behandling ved allmennprosess. Under fullbyrdelsen vil det blant annet også være anledning til å gjøre gjeldende at det er umulig å oppfylle handleplikten, slik saksøkerne har gjort i denne saken, jf. tvangsfullbyrdelsesloven § 13-14 tredje ledd jf. § 13-8 fjerde ledd.

Formålet med en tvangsbot er at den skal være en «en pengestraff for en unnlatt oppfyllelse, utformet med særlig sikte på å oppnå sterkest mulig psykologisk effekt», jf. Andenæs mfl., Alminnelig strafferett, 6. utgave, s. 10 (avsnitt 36). Når det gjelder kravet mot Meta Ireland, er det imidlertid vanskelig å se at boten i seg selv vil ha en slik effekt. Partene er enige om at boten ikke kan fullbyrdes i Irland (eller noe annet land enn Norge), og Meta Ireland har etter det opplyste ikke verdier eller omsetning i Norge som det kan tas utlegg i. Det er etter dette vanskelig å se at tvangsbøtene som er rettet mot Meta Ireland utgjør noe reelt oppfyllelsespress.

Saksøkerne har – antakelig av de ovennevnte grunner – klargjort at anførselen om at det foreligger sikringsgrunn fordi Meta Ireland og Facebook Norway er ilagt tvangsbøter, ikke opprettholdes.

Dersom det skal foreligge sikringsgrunn må dette altså bygge på andre omstendigheter enn at saksøkerne er ilagt tvangsbøter.

I begjæringene om midlertidig forføyning ble det, som grunnlag for at det foreligger sikringsgrunn, anført at Meta Ireland og Facebook Norway ville bli tvunget til å måtte vurdere å begrense sine tjenester i Norge for å redusere håndhevingsrisikoen mens vedtaket er i kraft, noe som igjen ville påføre selskapene omdømmeskade og økonomisk tap. Det ble også vist til at brukerne vil lide irreversibel skade ved at tjenestene begrenses, jf. begjæringen fra Meta Ireland punkt 3.2.2.

Side:17

Meta Ireland og Facebook Norway har så langt ikke oppfylt Datatilsynets vedtak og tvangsbøtene har begynt å løpe. Selskapene har heller ikke varslet at de har til hensikt å etterleve vedtakene på et tidligere tidspunkt enn det som er lagt til grunn i dialogen mellom Meta Ireland og DPC, jf. blant annet Position Paper of DPC 18. august 2023, der 24. november 2023 er satt som endelig frist for etterlevelse. Meta Ireland og Facebook Norway har nå også gjort gjeldende at det er umulig å rette seg etter Datatilsynets vedtak, mens det opprinnelig altså synes å ha vært lagt til grunn at dette ville vært mulig, jf. argumentasjonen i begjæringene knyttet til dette og advokat Reuschs disposisjonen for hovedinnlegget punkt 5.4.2.

Etter rettens syn har saksøkerne av denne grunn heller ikke sannsynliggjort at de vil lide et omdømmetap eller økonomisk tap som følge av at selskapene begrenser tjenestene i tråd med Datatilsynets vedtak. Grunnen til dette er at det ikke er holdepunkter for at selskapene vil beslutte noen slik begrensning av tjenestene. Dersom selskapene ikke innretter seg etter vedtaket, vil konsekvensen være at det påløper tvangsbøter, men innvendinger mot disse bøtene kan altså fremsettes på fullbyrdelsesstadiet, og noe tvangsgrunnlag for å fullbyrde bøtene mot Meta Ireland utenfor Norge foreligger som nevnt ikke.

Etter rettens syn kan det heller ikke sees bort fra at det også vil kunne ha positive omdømmemessige og økonomiske virkninger, dersom Meta Ireland og Facebook Norway AS velger å innrette seg etter Datatilsynets vedtak. På denne måten vil selskapene kunne vise at de oppfyller regulatoriske krav og er innstilt på å gjøre raske tiltak for å bedre brukernes personvern. Verken saksøkerne eller staten har argumentert for at dette kan være en mulig effekt av å oppfylle vedtaket. Idet det ikke er sannsynlig at Meta Ireland og Facebook vil innrette seg etter vedtaket, er det ikke grunnlag for å gå nærmere inn på dette.

Spørsmålet er videre om selskapene vil lide et omdømmetap eller økonomisk tap som følge av Datatilsynets vurdering om at de opptrer i strid med GDPR. Meta Ireland og Facebook Norway har i denne forbindelse blant annet vist til at Datatilsynets behandling av saken har fått bred, negativ medieoppmerksomhet, og at selskapene vil kunne tape markedsandeler. Selskapene har også fremlagt anonymiserte henvendelser fra annonsører som stiller spørsmål ved hvilke konsekvenser Datatilsynets vedtak har, hvordan det vil påvirke annonsøren, hva denne kan svare sine kunder mv. Synspunktet er her – slik retten forstår det – at saksøkerne vil lide omdømmetap og annet økonomisk tap ved ikke å innrette seg etter Datatilsynets vedtak.

Etter rettens syn har ikke Meta Ireland og Facebook Norway sannsynliggjort at selskapene i vesentlig grad vil lide økonomisk tap eller omdømmetap ved ikke å oppfylle Datatilsynets vedtak.

Side:18

Ved denne vurderingen legger retten for det første vekt på at det er høyst uklart om det er Meta Ireland og/eller Facebook Norway som vil utsettes for et eventuelt økonomisk tap som følge av Datatilsynets vedtak, eller om det er andre selskaper i samme konsern. Det er ikke opplyst om inntektene fra annonsesalg i Meta Ireland-/Facebook-konsernet går til noen av disse selskapene. Utgangspunktet er at skaden/ulempen som begrunner sikringsgrunnen må ramme saksøkeren, jf. Flock s. 105.

Det kan likevel ikke sees bort fra at også skade/ulempe som rammer andre selskaper i konsernet/gruppen kan begrunne at det foreligge sikringsgrunn i forhold til saksøkerne. Den negative omtalen som det er vist til vil antakelig uansett ramme Meta Ireland og Facebook Norway, fordi disse inngår i samme konsern/gruppe. Til tross for dette må det etter rettens syn legges vekt på at det ikke er fremlagt opplysninger om eller forsøkt underbygd at den negative omtalen mv. vil ha direkte økonomiske konsekvenser for disse to selskapenes virksomhet.

For det andre viser retten til at Datatilsynets vedtak ikke vil være bindende for Meta Ireland og Facebook Norway dersom det er ugyldig; selskapene trenger ikke respektere vedtaket, se Eckhoff/Smith, Forvaltningsrett, 12. utgave, 2022, s. 500. Det er ikke holdepunkter for at selskapene vil utsette seg for straff eller andre sanksjoner ved ikke å etterkomme vedtaket, ut over at det vil påløpe tvangsbøter.

For det tredje legger retten vekt på at et eventuelt omdømmemessig og økonomisk tap vil være tidsbegrenset, jf. LB-2019-119376. Retten viser her til at Datatilsynets vedtak har en tidsbegrensning på tre måneder, og at Meta Ireland har bekreftet at selskapet har til hensikt å oppfylle vedtaket fra slutten av november 2023, jf. DPCs tidsplan. Retten anser det ikke sannsynliggjort at Meta Ireland og Facebook Norway vil bli påført et varig og irreversibelt økonomisk eller ikke-økonomisk tap i denne korte perioden. Omsetningstap som måtte oppstå i perioden vedtaket er i kraft, kan kompenseres gjennom erstatning, jf. LB-2018-4746.

For det fjerde legger retten vekt på at Meta Ireland – ved å bekrefte at selskapet vil oppfylle Datatilsynets vedtak i løpet av noen måneder og ved å samarbeide med DPC – har signalisert vilje til å etterkomme regulatoriske krav. Under disse omstendighetene er det vanskelig å se at det vil representere noen stor omdømmemessig eller kommersiell belastning å kommunisere at selskapene vil behøve noen måneder på å implementere nødvendige endringer i sine systemer.

For det femte viser retten til at det bare er Datatilsynet som har truffet hastevedtak, og at øvrige europeiske tilsyn forholder seg til prosessen som ledes av DPC. Det er i denne forbindelse blant annet fremlagt en uttalelse fra det danske datatilsynet til danske medier, der det fremgår at tilsynet – i likhet med øvrige europeiske tilsyn – avventer utfallet av den irske prosessen. Selv om Datatilsynets vedtak i denne saken får medieomtale også i

Side:19

utlandet, kan ikke retten se at det er holdepunkter for at dette vil ha negative omdømmemessige eller kommersielle konsekvenser utenfor Norge. Særlig gjelder dette idet Meta Ireland har bekreftet at selskapet vil oppfylle kravene som er fastsatt av DPC innen aktuelle frister.

For det sjette er det usikkert om negative omdømmemessige konsekvenser for Meta Ireland og Facebook Norway skyldes Datatilsynets vedtak eller at selskapene fortsetter å behandle personopplysninger for atferdsbasert markedsføring uten samtykke, og i strid med de kravene som europeiske tilsyn og domstoler har utledet av GDPR.

For det syvende kan det reises spørsmål ved om eventuelle negative omdømmemessige konsekvenser ikke kan reverseres ved en rettskraftig dom som slår fast at Datatilsynets vedtak var ugyldig, eventuelt at dette blir konklusjonen etter at Meta Ireland og Facebook Norway fremsetter innvendinger under fullbyrdelsen av tvangsbøtene, jf. særlig LB-2018-4746, der dette momentet er trukket frem.

Selv om det legges til grunn at Meta Ireland og Facebook vil lide skade eller ulempe ved at vedtaket ikke settes til side, anser retten uansett ikke at terskelen for at dette utgjør sikringsgrunn er nådd, jf. ordlyden «vesentlig».

Spørsmålet om hvilken vekt det skal legges på at en virksomhet må foreta tilpasninger i omsetningen av varer og tjenester som følge av endrede rammevilkår var til behandling i Borgarting lagmannsretts sak LB-2018-4746. Norske myndigheter hadde vedtatt nye regler om standard forpakning av snus, som saksøker – Swedish Match AB – anførte var i strid med EØS-retten. De nye reglene medførte kostnader til omlegging av produksjonen for å oppfylle krav til emballasje mv. som var anslått til i størrelsesorden 40 millioner kroner. I tillegg innebar de nye kravene detaljerte og inngripende krav til forpakningen, herunder farge og glansgrad, flater mv., jf. tobakksskadeloven § 30 og forskrift om innhold i og merking av tobakksvarer mv.

I avgjørelsen viste lagmannsretten til at kostnader til produksjonstilpasning ikke utgjør vesentlig skade eller ulempe som nødvendiggjør forføyning, fordi konsekvensene av påbudet – dersom dette viste seg å være ulovlig – kunne kreves erstattet av staten. Lagmannsretten pekte på at det i saken dreide seg om et rent økonomisk tap som kunne kompenseres gjennom et erstatningssøksmål, og at staten uansett var søkegod, jf. også LB-2019-119376 og LB-2023-87007.

Side:20

At det kan være krevende å kvantifisere og dokumentere tapet, var etter lagmannsrettens syn ikke noe avgjørende argument for at det forelå sikringsgrunn, fordi det i en erstatningssak er tilstrekkelig å sannsynliggjøre et tap. Lagmannsretten viste til at det i denne vurderingen ofte ligger et vesentlig element av skjønn. Retten viste også til at saksøkeren hadde begrenset seg til å antyde at påbudet over tid ville påvirke salget, og at effekten av tiltaket dermed fremstod som fjern og usikker.

Avgjørelsen i LB-2018-4746 viser etter rettens syn at anvendelsesområdet til forføyningsinstituttet, i tilfeller som utelukkende gjelder økonomiske interesser og der staten er motpart, er snevert. Dette gjelder særlig der tiltaket som søkes avverget ved forføyningen ikke truer saksøkers eksistens eller medfører uopprettelig skade. Hvorvidt den som rammes av lovgivningen/vedtaket har gode muligheter til å nå frem i et eventuelt senere søksmål, tillegges ikke avgjørende vekt, jf. lagmannsrettens henvisning til at det ikke var nødvendig å vurdere dette. At det i LB-2018-4746 dreide seg om gjennomføring av en lov/forskrift, og ikke et vedtak, tilsier ikke at vurderingen blir en annen i nærværende sak.

Etter rettens syn er det ikke sannsynlig at virksomheten, verken i Meta Ireland eller Facebook Norway, vil bli truet av eventuelle tap som har sammenheng med Datatilsynets vedtak. Det er usikkert om noe tap vil inntre overhodet, jf. rettens merknader ovenfor. Under alle omstendigheter vil en part som har lidt et økonomisk tap fordi en avgjørelse ikke er behandlet på riktig måte, normalt ha rettskrav på å få dekket dette tapet av vedkommende forvaltningsorgan etter alminnelige erstatningsrettslige regler, uten at det er nødvendig å påvise skyld, jf. Bernt, merknader til forvaltningsloven § 41 på Rettsdata, note 1042.

Et ytterligere vilkår etter bestemmelsen i tvisteloven § 34-1 første ledd bokstav b) er at forføyningen er nødvendig for å «avverge» en vesentlig skade eller ulempe, jf. Rt-1999-1220. Forføyningskravet går her ut på at Datatilsynets pålegg om innen 4. august 2023 å avstå fra å behandle personopplysninger for atferdsbasert markedsføring ikke skal ha effekt før det foreligger rettskraftig dom om vedtakets gyldighet. Spørsmålet er hva det vil si at vedtaket ikke skal være «i effekt», jf. forføyningskravet slik dette fremkommer av påstanden. Ileggelsen av tvangsbøtene kan som nevnt ikke utgjøre et grunnlag for å konstatere at det foreligger sikringsgrunnlag. Noen andre direkte og merkbare konsekvenser for saksøkerne har vedtaket ikke, ut over at det tilkjennegir Datatilsynets vurdering av lovmessigheten av Meta Irelands og Facebook Norways behandling av personopplysninger for atferdsbasert markedsføring. Domstolene kan ikke gripe inn og pålegge Datatilsynet å treffe vedtak med et annet innhold, men kan – i en prejudisiell vurdering – konstatere at Datatilsynets vedtak er ugyldig. Spørsmålet er om en slik prejudisiell vurdering fra en førsteinstansdomstol i en kjennelse som ikke nødvendigvis vil bli rettskraftig i den perioden vedtaket er i kraft, i det hele tatt er egnet til å «avverge» den skade eller ulempe som Datatilsynets vedtak vil påføre saksøkerne. Etter rettens syn er

Side:21

dette lite trolig, og også dette tilsier at vilkåret om sikringsgrunn etter tvisteloven § 34-1 første ledd bokstav b) ikke er oppfylt.

Retten konkluderer på denne bakgrunn med at det ikke er sannsynliggjort sikringsgrunn etter tvisteloven § 34-1 første ledd b).

4.1.2 Spørsmålet om det foreligger sikringsgrunn etter tvisteloven § 34-1 første ledd bokstav a)

Meta Ireland og Facebook Norway har videre anført at det foreligger sikringsgrunn etter alternativet i tvisteloven § 34-1 første ledd bokstav a).

Etter denne bestemmelsen foreligger det sikringsgrunn «når saksøktes adferd gjør det nødvendig med en midlertidig sikring av kravet fordi forfølgningen eller gjennomføringen av kravet ellers vil bli vesentlig vanskeliggjort».

Sikringsgrunnen i bokstav a) kan ikke innebære en foregrepet oppfyllelse av hovedkravet. Hovedkravet går i dette tilfellet ut på at Datatilsynets vedtak er ugyldig. Forføyningskravet går på sin side ut på at vedtaket ikke skal ha effekt frem til det foreligger en rettskraftig avgjørelse i saken.

Saksøkerne har gjort gjeldende at medhold i forføyningskravet ikke vil utgjøre noen foregrepet oppfyllelse av hovedkravet. Det er i denne forbindelse anført at hovedkravet ikke er en «forhåndsfullbyrdelse av ugyldighetsspørsmålet», men et midlertidig forbud mot å iverksette Datatilsynets vedtak.

Når man ser bort fra tvangsbøtene, er det ikke noe igjen å iverksette. Det saksøkerne ber om, er at retten skal stadfeste at vedtaket ikke har rettsvirkninger. Dette er etter rettens syn tilnærmet det samme som at retten konstaterer at vedtaket er ugyldig, fordi det forvaltningsrettslige utgangspunktet er at et ugyldig forbud eller påbud ikke får rettsvirkninger i samsvar med innholdet, jf. Eckhoff/Smith s. 498 og Hans Petter Graver, Alminnelig forvaltningsrett, 5. utgave, s. 571. Dersom det dreier seg om et tyngende vedtak, slik som et påbud, vil vedtaket som hovedregel anses som en nullitet, jf. Eckhoff/Smith s. 499.

Slik retten ser det, representerer forføyningskravet med dette en foregrepet oppfyllelse av hovedkravet. Allerede av denne grunn kan det ikke saksøkerne få medhold i anførselen om at det foreligger sikringsgrunn etter tvisteloven § 34-1 første ledd bokstav a).

Side:22

Behovet for forføyning etter alternativet i bokstav a) må skyldes «saksøktes atferd» og det må være «nødvendig» å gripe inn mot denne atferden. I forarbeidene er det vist til at det «vanligvis må foreligge en viss ytre handlemåte eller opptreden som gir grunn til å frykte for at det vil skje en krenkelse av en rettighet hvis det ikke blir grepet inn», jf. Ot.prp. nr. 65 (1990-91) s. 262. Spørsmålet her er hvilke av saksøkernes rettigheter som eventuelt blir krenket ved Datatilsynets vedtak og som begrunner at det er nødvendig å gripe inn.

Når det gjelder muligheten til – ved forføyning – å avverge at tvangsbøter påløper, viser retten til merknadene ovenfor knyttet til alternativet i tvisteloven § 34-1 første ledd bokstav b). De samme synspunktene gjør seg gjeldende ved vurderingen etter alternativet i bokstav a). Noen andre direkte gjennomføringstiltak er ikke aktuelle. Spørsmålet blir derfor om det representerer en krenkelse av Meta Irelands og Facebook Norways rettigheter at Datatilsynet har truffet et vedtak som eventuelt er ugyldig, og som det er nødvendig å gripe inn mot, for at saksøkerne skal få den beskyttelsen som lovgivningen gir dem krav på. Retten viser her til vurderingen under alternativ b) knyttet til hvilket handlingsrom saksøkerne har og hvilke negative konsekvenser Datatilsynets vedtak vil ha for Meta Ireland og Facebook Norway. Momentene som det er pekt på der, tilsier at det heller ikke er nødvendig at retten fastsetter forholdsregler som gjør at saksøkerne uhindret kan utøve sine rettigheter, jf. Flock s. 97.

Etter ordlyden er det videre et vilkår at forfølgningen eller gjennomføringen av kravet vil bli vanskeliggjort om forføyning ikke besluttes, jf. ordet «ellers». Det kan stilles spørsmål ved om dette vilkåret er oppfylt dersom hovedkravet går ut på å få kjent et forvaltningsvedtak ugyldig. Den som utsettes for et (ugyldig) vedtak i form av et påbud eller forbud, kan som nevnt velge å unnlate å rette seg etter det. Vedkommende vil som regel ikke miste muligheten til å få satt til side vedtaket (som ugyldig) selv om det ikke besluttes midlertidig forføyning, men vil fremdeles kunne forfølge dette kravet også uten en forføyning. Verken forfølgningen eller gjennomføringen av kravet på at vedtaket kjennes ugyldig vanskeliggjøres dersom forføyning ikke gis.

Spørsmålet er om dette stiller seg annerledes i denne saken fordi det aktuelle vedtaket har en tidsbegrensning på tre måneder. Saksøkerne har gjort gjeldende at de på grunn av vedtakets tidsbegrensning i praksis vil fratas muligheten til rettslig prøving fordi det vil ta vesentlig lengre tid å gjennomføre et ordinært søksmål. Det er vist til at saksøkerne potensielt vil kunne få kompensert dagmulkt i et slikt søksmål, men at det vil være vanskelig å erstatte omdømmetap eller økonomisk tap som følge av vedtaket. Retten forstår anførslene slik at fokuset er på konsekvensene av det ugyldige vedtaket – ikke på muligheten til å få satt det ugyldige vedtaket til side gjennom et ordinært søksmål.

Side:23

Retten legger til grunn at spørsmålet om vedtakets gyldighet både kan trekkes inn i et søksmål som gjelder erstatning for uberettigede tvangsbøter og erstatning for annet økonomisk tap. Saksøkerne vil ha en aktuell interesse i å påberope ugyldighetsgrunnene i et slikt søksmål, uavhengig av den tidsmessige begrensningen av vedtaket, jf. tvisteloven § 32-2 jf. § 1-3 annet ledd og LB-2011-90334. Dersom det ugyldige vedtaket derimot ikke har hatt noen konsekvenser for saksøkerne, for eksempel i form av omdømmemessig eller økonomisk tap, er det uansett vanskelig å se at det er «nødvendig» med noen midlertidig sikring av kravet, jf. rettens vurdering av sikringsgrunn etter alternativet i tvisteloven § 34-1 første ledd bokstav b) ovenfor.

Retten er etter dette kommet til at det ikke er sannsynliggjort sikringsgrunn, verken etter bestemmelsen i tvisteloven § 34-1 første ledd bokstav a) eller b). Det er etter dette ikke nødvendig for retten å ta stilling til om forføyning som krevd vil være uforholdsmessig ut fra en interesseavveining, jf. tvisteloven 34-1 andre ledd.

Begjæringene om midlertidig forføyning tas etter dette ikke til følge.

4.2 Spørsmålet om det er sannsynliggjort et hovedkrav

Hovedkrav og sikringsgrunn er i utgangspunktet selvstendige vilkår for at det kan besluttes forføyning. Det er i utgangspunktet ikke noe i veien for at retten tar stilling til et av vilkårene isolert, se til illustrasjon, jf. LB-2018-4746 og LB-2019-119376. Når det gjelder spørsmålet om det foreligger sikringsgrunn, vil det i enkelte tilfeller likevel kunne være en sammenheng mellom vurderingen av dette vilkåret og om det er sannsynliggjort et hovedkrav, jf. Flock s. 107 og eksemplene som er trukket frem der.

Etter rettens syn står vi i denne saken ikke overfor et tilfelle der det er grunn til å stille lempeligere krav til sikringsgrunnen fordi Datatilsynets vedtak er beheftet med en eller flere klare ugyldighetsgrunner. Som retten straks vil komme nærmere inn på, reiser spørsmålet om det foreligger et hovedkrav en rekke kompliserte rettslige spørsmål, jf. LB-2019-119376, der det dreide seg om avtaletolkning basert på et komplekst og omfattende faktum. Samtidig foreligger det ikke tungtveiende momenter som tilsier at det foreligger sikringsgrunn; den foreliggende saken utgjør etter rettens syn ikke et grensetilfelle. Retten viser her til vurderingen under punkt 4.1 ovenfor.

Av disse grunnene er det etter rettens syn heller ikke nødvendig å gå nærmere inn på om det er sannsynliggjort et hovedkrav for at retten på forsvarlig vis skal kunne ta stilling til spørsmålet om sikringsgrunn.

Side:24

Retten vil likevel kort og mer oversiktspreget kommentere de mest sentrale anførslene som saksøkerne har gjort gjeldende knyttet til hovedkravet. Vurderingene må sees i lys av at retten har kommet til at begjæringene ikke kan føre frem fordi det ikke foreligger sikringsgrunn. Oppmerksomheten som er viet hovedkravet må også sees i sammenheng med at det her dreier seg en forføyningssak hvor partene har behov for en rask avklaring.

4.2.1 Spørsmålet om vedtaket kan rettes mot Facebook Norway AS

Meta Ireland og Facebook Norway har gjort gjeldende at forbudet mot å behandle personopplysninger for atferdsbasert markedsføring med grunnlag i GDPR art. 6 (1) bokstav b) eller f) ikke kan rettes mot Facebook Norway fordi selskapet ikke er behandlingsansvarlig etter GDPR art. 4 nr. 7.

I vedtaket 14. juli 2023 er beslutningen om å rette pålegget også mot Facebook Norway begrunnet med at dette selskapet er en etablering av behandlingsansvarlig, jf. vedtaket s. 4:

Facebook Norway AS, whose stated purpose is related to sales of digital advertising, is also addressed as a recipient of this order as it is a Norwegian establishment of the controller.

Datatilsynet har videre vist til at beslutningen om å rette vedtaket også mot Facebook Norway skyldes at dette er nødvendig for å sikre etterlevelse av vedtaket. Det er også trukket frem at Facebook Norway legger til rette for og muliggjør den ulovlige behandlingsaktiviteten i Norge.

Det er ikke omtvistet at Facebook Norway ikke er behandlingsansvarlig, og ikke bestemmer formålet med behandlingen eller hvilke midler som benyttes, jf. også LB-2020-170405. Det er heller ikke omtvistet at selskapet ikke er et datterselskap av Meta Ireland. Selskapets virksomhet knytter seg til salg, kjøp og formidling av nettbasert annonsering på Facebook og Instagram, jf. selskapets årsrapport for 2022, selskapets vedtektsfestede formål og LB-2020-170405.

Staten har vist til at Facebook Norway er kontraktspart i avtaler med annonsører, og har fremlagt Metas betingelser for selvbetjent annonsering for å underbygge dette. Av disse betingelsene fremgår det at enkelte bestillinger av annonser i Norge kan skje gjennom Facebook Norway, slik at selskapet også er kontraktspart i avtaler med annonsørene, jf. betingelsene punkt 16 og «Spesielle bestemmelser som gjelder for bestemte annonsører i Norge». Retten oppfatter ikke at dette er omtvistet.

Det er som nevnt videre ikke noen uenighet om at Datatilsynets vedtak om tvangsbot ikke kan tvangsfullbyrdes mot Meta Ireland i Irland, eller at selskapet har verdier i Norge som det kan søkes dekning (for tvangsboten) i.

Side:25

Spørsmålet er om forbudet mot den aktuelle behandlingen av personopplysninger for atferdsbasert markedsføring, eventuelt påbudet om å opphøre med slik behandling, kan rettes mot Facebook Norway, selv om selskapet ikke kan påvirke innholdet i tjenestene.

Det rettslige grunnlaget for hastetiltaket som Datatilsynet har truffet, er GDPR art. 61 nr. 8 og/eller art. 66 nr. 1. Ordlyden i disse bestemmelsene avklarer ikke om tiltak også kan rettes mot selskaper som ikke er behandlingsansvarlig eller kan påvirke innholdet i tjenestene.

Staten har særlig pekt på at de aktuelle bestemmelsene kun gir hjemmel for å treffe tiltak på den aktuelle medlemsstatens territorium. Retten kan imidlertid ikke se at dette gir noe bidrag til løsningen av det aktuelle tolkningsspørsmålet. Det samme gjelder etter rettens syn statens henvisning til bestemmelsen i GDPR art. 4 nr. 16 a), som definerer begrepet «hovedvirksomhet». Bestemmelsen regulerer hvor en behandlingsansvarlig skal anses å ha sin hovedvirksomhet, noe som særlig har betydning for å fastslå hvilken tilsynsmyndighet som har kompetanse overfor virksomheten. Utgangspunktet er at det er stedet for behandlingsansvarliges hovedadministrasjon som er avgjørende. Unntak gjelder dersom beslutninger om «formål og midler i forbindelse med behandlingen av personopplysninger» treffes ved et annet av virksomhetens kontorer innen EØS-området, og dette kontoret har myndighet til å få gjennomført beslutningene. Dette gjelder også der behandlingen finner sted i et konsern, jf. fortalepunkt 36 og Skullerud mfl., Personvernforordningen, lovkommentar på Juridika, oppdatert pr. 1. april 2023, merknader til art. 4 (16). Det er også her foretaket med avgjørelsesmyndighet som skal regnes som hovedvirksomheten; unntak gjelder der «formålet med behandlingen og midlene som brukes fastsettes av et annet foretak» (rettens understrekning). Facebook Norway har imidlertid ikke slik avgjørelsesmyndighet og Norge er heller ikke det stedet der de fleste behandlingsaktivitetene finner sted.

Staten har videre vist til bestemmelsene i GDPR art. 27 og fortalepunkt 80, som gjelder representanter for virksomheter som ikke er etablert i EØS-området. Av fortalepunkt 80 fremgår det at den utpekte representanten bør være underlagt håndhevelsestiltak i tilfelle manglende overholdelse fra den behandlingsansvarliges eller databehandlerens side.

Etter rettens syn gir heller ikke disse bestemmelsene noen føringer for tolkningsspørsmålet i denne saken; om hastetiltak kan rettes mot andre selskaper i et konsern, som ikke er behandlingsansvarlig eller har noen avgjørelsesmyndighet med hensyn til den aktuelle behandlingen. Begrunnelsen for at det skal oppnevnes en representant er å sikre at tilsynsmyndigheter og registrerte som har rettigheter etter forordningen kan holde den behandlingsansvarlige eller databehandleren ansvarlig for at behandling skjer i samsvar med forordningens bestemmelser. Uten en representant som er underlagt håndhevingstiltak i EØS, vil det i praksis ofte være umulig å utøve offentlig myndighet eller gjøre gjeldende rettigheter overfor virksomheter som ikke selv er etablert her. Det er derfor vanskelig å se

Side:26

hvorfor bestemmelsen skal gi noen føringer for vurderingen av om en nasjonal tilsynsmyndighet kan treffe tiltak der alle de berørte virksomhetene er etablert innenfor EØS.

Etter rettens syn gir heller ikke bestemmelsen i GDPR art. 60 (10) noe bidrag til løsningen av tolkningsspørsmålet. Bestemmelsen pålegger behandlingsansvarlig plikt til å treffe nødvendige tiltak for å sikre overholdelse av denne avgjørelse med hensyn til behandlingsaktiviteter som utføres i forbindelse med «alle vedkommendes virksomheter» i EØS. Bestemmelsen regulerer ikke hvem den ledende tilsynsmyndigheten – eller andre tilsynsmyndigheter – kan rette et vedtak mot.

Staten har videre vist til at det følger av rettspraksis fra EU-domstolen at hastetiltak også kan rettes mot Facebook Norway, i egenskap av å være en etablering av Meta Ireland, jf. GDPR fortalepunkt 22. Fortalepunkt 22 bestemmer at forordningen kommer til anvendelse der behandlingsansvarlig har virksomhet innenfor EØS-området uavhengig av hvordan denne virksomheten er organisert, og uavhengig av hvor behandlingen av personopplysninger finner sted. I denne saken er det på det rene at alle de aktuelle virksomhetene er etablert innenfor EØS-området og at også den relevante behandlingen finner sted her.

Sentralt i statens argumentasjon står avgjørelsen i C-645/19 Facebook Ireland Ltd. mfl. Saken gjaldt blant annet spørsmål om hvorvidt en nasjonal tilsynsmyndighet (den belgiske) kunne bringe en sak om grenseoverskridende behandling av personopplysninger (i dette tilfellet behandlingen av opplysninger om belgiske borgere) inn for en belgisk domstol. Virksomheten til det belgiske selskapet – Facebook Belgium BVBA – var i hovedtrekk parallell med den virksomheten Facebook Norway driver (reklame og salg av annonseplass), se dommen avsnitt 94. Avgjørelsen gjaldt håndhevelsestiltak, jf. art. 58 nr. 5. EU-domstolen konstaterte at virksomheten til det belgiske selskapet var tett forbundet med den aktuelle behandlingen av personopplysninger, som Facebook Ireland var ansvarlig for. På denne bakgrunn konkluderte domstolen med at behandlingen ble utført som ledd i aktiviteter som utføres for en behandlingsansvarlig, jf. GDPR artikkel 3 nr. 1. Når det gjaldt spørsmålet om den belgiske tilsynsmyndigheten (som ikke var ledende tilsynsmyndighet) kunne innlede tilsynssaker mv. mot etableringen i Belgia, la domstolen til grunn (avsnitt 96):

In the light of all the foregoing, the answer to the third question referred is that Article 58(5) of Regulation 2016/679 must be interpreted as meaning that the power of a supervisory authority of a Member State, other than the lead supervisory authority, to bring any alleged infringement of that regulation to the attention of a court of that Member State and, where appropriate, to initiate or engage in legal proceedings, within the meaning of that provision, may be exercised both with respect to the main establishment of the controller which is located in that authority’s

Side:27

own Member State and with respect to another establishment of that controller, provided that the object of the legal proceedings is a processing of data carried out in the context of the activities of that establishment and that that authority is competent to exercise that power, in accordance with the terms of the answer to the first question referred.

Av dette følger det at en nasjonal tilsynsmyndighet som ikke er ledende tilsynsmyndighet i forordningens forstand, også kan iverksette tiltak mot en etablering på tilsynets eget territorium. Forutsetningen er at prosessene som iverksettes gjelder behandling av personopplysninger som er foretatt innenfor rammen av denne etableringens aktiviteter og at prosedyrene for samarbeid og ensartet anvendelse av regelverket er fulgt, jf. GDPR kapittel VII.

I den aktuelle saken hadde den belgiske domstolen reist spørsmål ved om tolkningen som EU-domstolen hadde lagt til grunn i sak C-210/16 Wirtschaftsakademie Schleswig-Holstein, om at tyske tilsynsmyndigheter hadde kompetanse til å treffe avgjørelse i tvist om beskyttelse av personopplysninger, selv om behandlingsansvarlig var Facebook Ireland og datterselskapet Facebook Germany kun drev med salg av reklametjenester og markedsføringsaktiviteter, kunne opprettholdes under den nye forordningen, jf. avsnitt 38 og 39.

Problemstillingen som ble forelagt for EU-domstolen i C-210/16 er etter rettens syn derfor parallell med det spørsmålet som denne saken reiser, jf. dommen avsnitt 45. EU-domstolen konkluderte med at den tyske tilsynsmyndigheten kunne treffe tiltak overfor den lokale etableringen selv om denne utelukkende drev med markedsføringsaktiviteter, jf. dommen avsnitt 64. Retten her oppfatter at det er dette spørsmålet som EU-domstolen kommenterte i sak C-645/19 avsnittene 85-96. Det avgjørende her er altså om tiltaket gjelder en behandling som er foretatt innenfor rammene av den aktuelle etableringens aktiviteter, jf. avsnitt 96. I begge avgjørelsene er det lagt til grunn at aktiviteten som etableringene foretar knyttet til markedsføring mv. er nært forbundet med – eller utgjør en integrert del av – virksomheten til Facebook Ireland, jf. C-645/19 avsnitt 93-95 og C-210/16 avsnitt 60.

Retten er etter dette kommet til at Datatilsynet hadde rettslig grunnlag for å rette vedtaket også mot Facebook Norway, selv om dette selskapet ikke var behandlingsansvarlig eller på selvstendig grunnlag kunne påvirke hvordan den aktuelle behandlingen av personopplysninger fant sted. Vedtaket kan derfor ikke anses ugyldig på dette punktet.

Side:28

4.2.2 Spørsmålet om vedtaket er ugyldig som følge av brudd på pliktene til forhåndsvarsling og forsvarlig utredning, jf. forvaltningsloven § 16 og 17

For at en saksbehandlingsfeil skal føre til ugyldighet, er det tilstrekkelig at det ikke er en helt fjerntliggende – eventuelt reell eller rimelig – mulighet for at feilen har hatt betydning for vedtaket, jf. forvaltningsloven § 41 og HR-2017-2376-A avsnitt 24. Det er ikke er nødvendig å bevise eller sannsynliggjøre at vedtaket ikke ville vært truffet eller gjort så tyngende uten feilen; det er nok at «det er grunn til å regne med» at feilen «kan» ha hatt betydning, jf. Rt-2009-661 avsnitt 72, Bernt, merknader til forvaltningsloven § 41 på Rettsdata, note 1040, og Eckhoff/Smith s. 486. Vurderingen beror på de konkrete forhold i saken, herunder hvor grov feilen er og vedtakets karakter. Der saksbehandlingsfeilen har ledet til mangelfullt eller uriktig avgjørelsesgrunnlag på et punkt av betydning for vedtaket, eller feilen på annen måte innebærer tilsidesettelse av grunnleggende krav til forsvarlig behandling, skal det gjennomgående nokså lite til for å konstatere at vedtaket er ugyldig, jf. Rt-2009-661 avsnitt 72.

I juridisk teori er det lagt til grunn at det normalt skal lite til for å konstatere ugyldighet der det foreligger brudd på reglene om forhåndsvarsel. Dette gjelder særlig der noen utsettes for et særlig byrdefullt inngrep og det er holdepunkter for at saken ikke har fått en forsvarlig behandling.

Meta Ireland og Facebook Norway har blant annet gjort gjeldende at vedtaket er unødvendig og at selskapene ville informert Datatilsynet om vesentlige aspekter av betydning for vedtaket. Det er blant annet pekt på at Datatilsynet har en tilsynelatende uriktig forståelse av hvordan Meta Irelands tjenester fungerer, både når det gjelder «skjul annonse»-funksjonen, hva «atferdsbasert markedsføring» er og hvordan lokaliseringsdata fungerer. Saksøkerne har også pekt på at Datatilsynet har en uriktig forståelse av brukernes forventninger. I tillegg er det vist til at vedtaket er vagt og umulig å oppfylle innen de frister som er satt, og at dette ville blitt oppklart dersom selskapene hadde blitt varslet på forsvarlig vis.

Retten anser ikke at det er grunn til å gå nærmere inn på spørsmålet om kravene til forhåndsvarsling og utredning er brutt, idet den uansett har kommet til at ytterligere opplysninger ikke ville ført til at vedtaket ville fått et annet innhold, jf. Bernt, merknader til forvaltningsloven § 41 på Rettsdata, note 1052. Slik retten ser det, foreligger det ikke holdepunkter for at det foreligger svikt i beslutningsgrunnlaget som potensielt kan ha påvirket vedtakets innhold.

Side:29

Ved denne vurderingen viser retten for det første til at Meta Ireland og Facebook Norway har bekreftet at de vil rette seg etter tolkningen av GDPR art. 6 som DPCs og Datatilsynets vedtak bygger på. Saksøkerne har i tilknytning til dette gjort gjeldende at Datatilsynets vedtak ikke er «aktuelt» fordi det allerede er oppfylt, jf. advokat Reuschs disposisjon for hovedinnlegget punkt 5.6. Ved at Meta Ireland og Facebook Norway har opplyst at de vil etterkomme påleggene fra tilsynsmyndighetene innen den tidsrammen som DPC har lagt opp til, knytter tvisten her seg hovedsakelig til behovet for at det treffes hastetiltak.

I lys av dette er det noe vanskelig å se på hvilken måte opplysningene som saksøkerne har trukket frem, og som Datatilsynet enten ikke skal ha vektlagt eller har misforstått, kunne ha ledet til at vedtaket fikk et annet innhold. Ved denne vurderingen legger retten også vekt på at anførslene om at Datatilsynet skal ha misforstått sentrale begreper eller sentrale funksjoner ikke er forklart eller underbygd nærmere i bevisførselen. Dette gjelder eksempelvis definisjonen av atferdsbasert markedsføring, slik dette er forklart i vedtaket s. 3 og s. 14–15. Det er heller ikke forklart hva «skjul annonsen»-funksjonen består i og hvorfor Datatilsynet har hatt en uriktig oppfatning av hvordan denne fungerer. Tilsvarende gjelder bruken av lokasjonsdata, som er omtalt i vedtaket s. 15. Når det gjelder spørsmålet om hva som er brukernes forventninger/ønsker, er dette kommentert i vedtaket s. 15–17.

Saksøkerne har videre argumentert for at de omfattende «bevisprovokasjonene» som staten har fremsatt i denne saken viser at vedtaket bygger på et mangelfullt beslutningsgrunnlag. Retten vil til dette bemerke at provokasjonene ikke er etterkommet, og at det fremstår sannsynlig at de aktuelle opplysningene heller ikke ville blitt fremlagt under den forvaltningsmessige behandlingen, jf. at det er argumentert for at dokumentasjonen/opplysninger omhandler vernede (taushetsbelagte) forretningshemmeligheter. I Metas prosesskriv 18. august 2023 er provokasjonene beskrevet som «irrelevante». Dersom provokasjonene var irrelevante, er det imidlertid vanskelig å forstå at beslutningsgrunnlaget sviktet ved at den aktuelle dokumentasjonen eller opplysningene ikke ble fremlagt. Under alle omstendigheter kunne saksøkerne valgt å føre bevisene for å sannsynliggjøre at Datatilsynets beslutningsgrunnlag sviktet, jf. tvisteloven § 22-12.

Når det gjelder tvangsboten, viser retten til at denne ble varslet i vedtaket 14. juli 2023 punkt 3.

Retten viser videre til at Meta Ireland og Facebook Norway i brev 1. august 2023 fremsatte klage på Datatilsynets vedtak. Klagen var omfattende (på 25 sider) og inneholdt henvisninger til undersøkelser og vurderinger som selskapene mente Datatilsynet burde hensyntatt i vedtaket 14. juli 2023, blant annet knyttet til brukernes forventninger (s. 12). Retten legger til grunn at selskapene i denne klagen hadde anledning til å ta opp alle de omstendigheter som nå anføres som grunnlag for at vedtaket 14. juli 2023 er ugyldig som følge av manglende forhåndsvarsling. Datatilsynet behandlet spørsmålet om omgjøring i

Side:30

brev 3. august 2023, og konkluderte med at det ikke var fremlagt nye opplysninger som endret konklusjonen i vedtaket.

Meta Ireland og Facebook Norway fremsatte ytterligere merknader i brev 4. august 2023 fra advokat Thomas Olsen. Både brevet/klagen 1. august og brevet 4. august 2023 ble kommentert i Datatilsynets brev og vedtak 7. august 2023, der tvangsboten ble besluttet. Det fremgår av vedtaket at Datatilsynet har vurdert anførslene om at de fastsatte fristene var for korte (s. 3) og også anførslene knyttet til at vedtaket er oppfylt (s. 4). Retten kan etter dette ikke se at Meta Ireland og Facebook Norway har påberopt faktiske eller rettslige omstendigheter som Datatilsynet ikke har vurdert.

Oppsummeringsvis anser retten det som en fjerntliggende – eller mer teoretisk – mulighet at manglende forhåndsvarsling eller utredning kan ha innvirket på vedtaket. Det er grunn til å regne med at en slik feil ikke kan ha virket bestemmende på vedtakets innhold, jf. forvaltningsloven § 41. Retten anser at det ved denne vurderingen ikke er grunn til å skille mellom Meta Ireland og Facebook Norway, og viser til at de faktiske omstendighetene som vedtaket bygger på i hovedsak er de samme, og at klage/begjæring om omgjøring er inngitt på vegne av begge selskapene.

4.2.3 Spørsmålet om vilkårene for hastetiltak etter GDPR art. 61 (8) eller art. 66 (1) var oppfylt

Datatilsynet har i vedtaket 14. juli 2023 vist til GDPR art. 66 (1) som grunnlag for beslutningen om å treffe hastetiltak. Subsidiært er det vist til GDPR art. 61 (8).

Av GDPR art. 66 (1) fremgår det:

In exceptional circumstances, where a supervisory authority concerned considers that there is an urgent need to act in order to protect the rights and freedoms of data subjects, it may, by way of derogation from the consistency mechanism referred to in Articles 63, 64 and 65 or the procedure referred to in Article 60, immediately adopt provisional measures intended to produce legal effects on its own territory with a specified period of validity which shall not exceed three months. The supervisory authority shall, without delay, communicate those measures and the reasons for adopting them to the other supervisory authorities concerned, to the Board and to the Commission.

Side:31

Spørsmålet er om det foreligger ekstraordinære omstendigheter som gjør at det er behov for å handle omgående for å verne registrertes rettigheter og friheter. Bestemmelsen har sin bakgrunn i at saksbehandling etter prosedyrene i art. 60 til 65 kan ta lang tid, jf. Skullerud mfl., merknader til art. 66 på Juridika. Det er ikke omtvistet at de øvrige vilkårene som følger av ordlyden, blant annet knyttet til tidsbegrensning og rekkevidden av vedtaket, er oppfylt.

Ordlyden trekker i retning av at det skal mye til for at unntaksbestemmelsen skal komme til anvendelse. Retten viser til bruken av ordene «exceptional»/«exceptionnelles»/ außergewöhnlichen og formuleringene «urgent need»/«urgent d'intervenir»/«dringender Handlungsbedarf», sammenholdt med fortalepunkt 137, der det er vist til at det kan være grunnlag for å treffe hastetiltak hvor det er fare for at håndhevelsen av registrertes rettigheter kan bli vesentlig vanskeliggjort. Retten legger til grunn at unntaksbestemmelsen skal praktiseres restriktivt, jf. EDPBs beslutning 01/2021 avsnitt 167 vedr. GDPR art. 66 (2) og EU-domstolens avgjørelse i sak C-645/19 avsnitt 63 flg.

Staten har gjort gjeldende at bestemmelsen åpner for at tilsynsmyndighetene har et skjønn ved vurderingen av om vilkårene er oppfylt. Ordlyden kan trekke i denne retning, jf. formuleringen «considers»/«kann»/«considère»/«mener».

Når det gjelder den nærmere tolkningen av bestemmelsen, er det fremlagt sparsomt med autoritative kilder. Det er henvist til generaladvokat Bobeks forslag til avgjørelse i sak C-645/19 Facebook Ireland Ltd. avsnitt 135, der det fremgår at sendrektig saksbehandling fra den ledende tilsynsmyndighetens side kan tilsi at bestemmelsen kommer til anvendelse, uten at retten kan se at dette gir noen nevneverdig veiledning, jf. art. 61 (8) annet punktum.

Staten har fremlagt et vedtak 10. mai 2021, der tyske tilsynsmyndigheter (The Hamburg Comission for Data protection and freedom of information) la ned forbud mot behandling/overføring av personopplysninger som gjaldt brukere av applikasjonen WhatsApp fra behandlingsansvarlig(e) for denne tjenesten til Facebook Ireland. I den aktuelle saken hadde tyske tilsynsmyndigheter henvendt seg til irske myndigheter, men den irske tilsynsmyndigheten hadde ikke besvart/håndtert henvendelsen, se vedtaket s. 11–12. I vedtaket ble det lagt til grunn at Meta Ireland ikke kunne behandle personopplysningene for egne formål (behandlingsgrunnlag manglet), og spørsmålene som var tema i saken har etter rettens syn likhetspunkter med nærværende sak. Hvorvidt omstendighetene i den tyske saken var mer alvorlige eller akutte enn i nærværende sak og om den ledende tilsynsmyndigheten hadde opptrådt mer eller mindre sendrektig, er det imidlertid vanskelig for retten her å ta stilling til uten nærmere bevisførsel. Partene i denne saken har i liten grad forsøkt å belyse i hvilken grad den tyske saken har likhetspunkter med – eller skiller seg fra – saken som behandles her.

Side:32

Det samme gjelder et vedtak truffet av italienske tilsynsmyndigheter 21. desember 2022 rettet mot Meta Ireland. Vedtaket omhandler blant annet behandling som gikk ut på å fjerne innlegg på Facebook og Instagram, der brukerne ble frarådet å stemme ved det kommende parlamentsvalget i Italia, jf. vedtaket punkt 1.1. I vedtaket vises det til at den italienske tilsynsmyndigheten over en lengre periode ikke hadde mottatt noen tilbakemelding eller vurdering fra DPC som ledende tilsynsmyndighet, se vedtaket punkt 3 annet og nest siste avsnitt.

Det knytter seg etter dette tvil til den nærmere rekkevidden av GDPR art. 66 (1). Dette gjelder både spørsmålet om terskelen for når bestemmelsen kommer til anvendelse, hvorvidt tilsynsmyndigheten har en skjønnsadgang etter bestemmelsen som eventuelt er unndratt prøving, betydningen av at den ledende tilsynsmyndigheten har en pågående saksbehandling og hvorvidt private parter kan påberope bestemmelsen direkte mv.

Saksøkerne har gjort gjeldende at bestemmelsen i art. 66 (1) ikke kommer til anvendelse fordi vedtaket ikke haster. Det er blant annet vist til at saken er til behandling hos det ledende tilsynet (DPC), at Datatilsynet ikke har hatt innvendinger mot DPCs opplegg for saksbehandlingen, at atferdsbasert markedsføring er vanlig praksis og har vært ansett lovlig i lang tid, og at det ikke har noen betydning at Datatilsynet har mulighet til å agere raskere enn DPC.

Etter rettens syn er disse momentene relevante ved vurderingen av om vilkårene etter GDPR art. 66 (1) er oppfylt. Det er ikke slik at regelverksbruddet i dette tilfellet knytter seg til et bestemt fremtidig tidspunkt, og der det er nødvendig å gripe inn før dette inntrer (for eksempel der opplysninger skal overføres til en tredjepart). Som anført av saksøkerne har behandlingen av opplysninger for atferdsbasert markedsføring uten samtykke pågått over år. Retten viser også til at det i dette tilfellet pågår en aktiv saksbehandling hos DPC, som involverer en rekke tilsyn og der de fleste av disse har besluttet å forholde seg til planen som DPC har lagt. Samlet sett trekker disse argumentene i retning av at det ikke bør gjøres unntak fra samarbeidsmekanismen i GDPR art. 60 flg.

Staten har på sin side vist til vurderingen i vedtaket punkt 7.3 og 7.4 (vedtaket s. 27–30), der det blant annet er pekt på at behandlingen av personopplysninger for atferdsbasert markedsføring mangler rettslig grunnlag, at den er omfattende (vedrører mange personer) og innebærer behandling av private og sensitive personopplysninger. I vedtaket legger Datatilsynet til grunn at behandlingen av personopplysninger har foregått i mange år, men at det særlig er Meta Irelands manglende etterlevelse av DPCs vedtak 31. desember 2022, som hadde en tremåneders frist for etterlevelse, sammenholdt med at Meta Ireland har foretatt ulovlige tilpasninger som følge av vedtaket, som gjør det nødvendig å treffe umiddelbare tiltak (s. 28). I vedtaket redegjøres det videre for kontakten med DPC og de tilbakemeldinger som Datatilsynet har mottatt.

Side:33

Etter rettens syn er også momentene som staten har pekt på relevante for vurderingen av om det er grunnlag for å treffe hastetiltak. At regelverksbruddet skjer løpende, og ikke er knyttet til en bestemt fremtidig begivenhet, kan etter rettens syn ikke tillegges avgjørende vekt. Særlig må dette gjelde i tilfeller som den foreliggende, der den ulovlige behandlingen er omfattende, inngripende og vedrører store grupper. I en situasjon der det er usikkert hvor den nærmere terskelen for å anvende unntaksbestemmelsen ligger, er retten –– under betydelig tvil – kommet til at vilkårene i GDPR art. 66 (1) for å treffe hastetiltak er oppfylt.

Retten går etter dette ikke inn på om vilkårene etter GDPR art. 61 (8) er oppfylt.

4.2.4 Øvrige anførsler

Meta Ireland og Facebook Norway har videre anført at vedtaket er uforholdsmessig, uklart, umulig å oppfylle, i strid med annen lovgivning (herunder EMK) og at det allerede er oppfylt.

Etter rettens syn kan ingen av disse anførslene føre frem.

Ved vurderingen av om vedtaket er uforholdsmessig viser retten til at spørsmålet i denne saken ikke er om den aktuelle behandlingen er lovlig eller om Meta Ireland og Facebook Norway vil rette seg etter vedtakene. Begge selskaper har bekreftet at de vil følge pålegget om å endre behandlingsgrunnlaget. Retten er enig med staten i at det vanskelig kan anses uforholdsmessig å pålegge opphør av en ulovlig aktivitet. Særlig gjelder dette når saksøkernes interesse i første rekke er av økonomisk karakter og det foreligger klare og omfattende brudd på kravene til behandling av personopplysningene. Det er ikke sannsynliggjort gjennom bevisførselen at endringene som er nødvendig for å etterleve vedtaket vil få større, negative konsekvenser for brukerne av tjenestene. Etter rettens syn har saksøkerne heller ikke påvist at det vil være umulig å etterkomme vedtaket innen fastsatte frister. Saksøkerne har fremlagt informasjon om hvilke arbeidsprosesser som er nødvendig å utføre for å etterleve samtykkeforpliktelsen, men denne informasjonen er ikke nærmere underbygd med bevisførsel, jf. eksempelvis det fremlagte hjelpedokumentet («Etterlevelse var ikke mulig innen Datatilsynets frister»). Det er heller ikke mulig å lese ut av saksøkernes redegjørelse/argumentasjon at arbeidet vil ta minst tre måneder, eller at det ikke vil være mulig å gå raskere frem ved å etablere midlertidige løsninger som ikke fremstår like gjennomarbeidet.

Side:34

4.3 Sakskostnader

Staten har vunnet sakene, og har etter hovedregelen i tvisteloven § 32-2 jf. § 20-2 annet jf. første ledd krav på å få dekket sine sakskostnader. Det foreligger ikke tungtveiende grunner som gjør det rimelig å frita Meta Ireland og Facebook Norway fra kostnadsansvaret, jf. tvisteloven § 20-2 tredje ledd.

Advokat Jahren har innlevert kostnadsoppgaver, som viser at det er arbeidet 114 timer i saken som er reist av Meta Ireland og 33 timer i saken som gjelder Facebook Norway. Det er benyttet en timesats på 1600 kroner. Samlet kostnadskrav utgjør henholdsvis kroner 182 400 og kroner 52 800. Retten anser at kostnadene har vært nødvendige og legger oppgavene til grunn.

I sak nr. 23-114359TVI-TOSL/08

1. Begjæringen tas ikke til følge.

2. I sakskostnader betaler Facebook Norway AS til staten v/Datatilsynet 52 800 – femtittotusenåttehundre – kroner innen 2 – to – uker fra forkynnelsen av kjennelsen.

I sak 23-114365TVI-TOSL/08

1. Begjæringen tas ikke til følge.

2. I sakskostnader betaler Meta Platforms Ireland Limited til staten v/Datatilsynet 182 400 – etthundreogåttitotusenfirehundre – kroner innen 2 – to – uker fra forkynnelsen av kjennelsen.