Sommerens største nyhet på personvernfronten er at Amazon er ilagt et overtredelsesgebyr fra Luxembourgs databeskyttelseskommisjon på rundt 7,8 milliarder norske kroner. Men hvorfor har selskapet fått denne reaksjonen? La meg prøve å gi et svar.
Foreløpig har mediene skrevet lite om bakgrunnen for rekordgebyret, og også Digi.no har kortfattet nevnt at den luxembourgske nasjonale kommisjon for databeskyttelse (CNPD) «kom til at selskapets praksis ikke var i overensstemmelse med EU-regelverket (GDPR)». GDPR er som kjent EUs personvernforordning, som også gjelder i Norge gjennom personopplysningsloven.
Uvanlig nok har det vært sped informasjonstilgang om hvorfor Amazon har fått gebyret, mens det vanligvis er en omfattende dekning i ulike medier når gebyrene er store. Hovedgrunnen er at Luxembourgs datatilsyn er underlagt taushetsplikt så lenge saken fremdeles er underlagt forvaltningsbehandling – og dette vil fortsatt gjelde hvis Amazon klager på avgjørelsen.
Noen opplysninger har kommet ut
Heldigvis slipper vi å vente lenge for å få litt innsikt i saken, for allerede nå er det kommet ut spredte opplysninger som belyser saksforholdet. Mye er lite tilgjengelig og kun i fransk språkdrakt. Jeg vil derfor forsøke å samle noen tråder fra materialet.
Opprinnelig ble saken kjent gjennom at Amazons verdipapirrapportering til amerikanske myndigheter omtalte gebyret. Det viser seg at CNDP den 16. juli 2021 traff en beslutning om å ilegge gebyret for brudd på GDPR-forpliktelser.
Da opplysningene ble kjent, uttalte den franske personvernorganisasjonen La Quadrature du Net at avgjørelsen er en konsekvens av tidligere skritt organisasjonen og 10.000 personer tok i mai 2018, da det ble inngitt en kollektiv klage på Amazons praksis.
Nærmere bestemt knytter praksisen seg til det målrettede annonsesystemet som Amazon benytter, og som ble hevdet å utgjøre et brudd på GDPR. La Quadrature du Net fryktet at datatilsynene i Frankrike og Luxembourg ville se mellom fingrene på behandlingen av personopplysninger, men uttrykker nå lettelse.
– Er du også tankeleser?
En rekke brudd
La Quadrature du Net har senere offentliggjort et brev fra det franske datatilsynet, CNIL, som bekrefter at tilsynet mener det foreligger en rekke brudd på GDPR. Omtrent samtidig offentliggjorde CNIL også selv at Amazon (ved selskapet Amazon Europe Core) får gebyret med grunnlag i klagen fra La Quadrature du Net. Både brevet og uttalelsen påpeker at CNIL oversendte klagen til CNDP og at disse tilsynsorganene har samarbeidet tett med saken.
Men hva er det konkret Amazon får gebyret for?
Klagen fra La Quadrature du Net og et stort antall enkeltmennesker fokuserte på manglende rettslig grunnlag. All behandling av personopplysninger skal i prinsippet ha en «hjemmel» som er nedfelt i GDPR artikkel 6. Typisk vil dette være samtykke, rettslig plikt, kontraktsoppfyllelse eller at det foreligger tungtveiende «berettigede interesser». Klagen uttrykte at det ikke foreligger et egnet rettslig grunnlag og gjennomgikk alternativene som kunne være egnet.
I beslutningen fra CNPD, slik den beskrives i brevet fra CNIL, konstateres det imidlertid brudd på flere ulike forpliktelser.
For det første er CNPD enig med klagerne i at det mangler et rettslig grunnlag etter artikkel 6 for behandlingen av personopplysninger i forbindelse med målrettet reklame.
For det annet påpekes det at Amazon også må sørge for å få behandlingen av personopplysninger i samsvar med åpenhetskravene i artiklene 12, 13 og 14. Disse krever blant annet at det skal oppgis hva formålet med opplysningsbehandlingen er, hvem informasjonen utleveres til og hva slags rettslig grunnlag Amazon har for behandling av personopplysninger.
For det tredje må Amazon følge opp og svare personene som får informasjon om seg selv brukt i markedsføringsøyemed ved enhver forespørsel om tilgang, retting eller sletting av personopplysninger – i samsvar med artiklene 15 til 17 i GDPR.
«Retten til å protestere»
Interessant nok, som et fjerde punkt, vises det til at Amazon også må sørge for å få på plass en mekanisme for å ivareta «retten til å protestere» etter GDPR artikkel 21. Litt enkelt sagt innebærer «retten til å protestere» at en protest mot opplysningsbehandlingen vil stanse Amazons adgang til å bruke personopplysningene – med mindre nærmere bestemte grunner taler for fortsatt behandling. Denne retten skal ifølge CNDP gjelde alle aspekter ved den målrettede markedsføringen.
Amazon har fått en frist for å oppfylle kravene i GDPR, med forsinkelsesgebyrer om selskapet ikke følger opp. Selskapet har selv avvist at det har skjedd et sikkerhetsbrudd eller at det er utlevert personopplysninger til uvedkommende.
Så lenge alle klagemuligheter ikke er brukt opp, er det som nevnt i samsvar med luxembourgsk lov fremdeles hemmelighold av selve avgjørelsen. Den vil imidlertid senere bli publisert på CNPDs nettsider. Inntil da får alle personverninteresserte håpe på nye lekkasjer om saken.
Vet de noe vi ikke vet? Amazon tar forbehold om zombie-apokalypsen i lisensavtale