1. Innledning

Sammenlignet med andre jurisdiksjoner har EU relativt strenge regler knyttet opp mot personvern og databeskyttelse, der personvernet har fått en fremtredende plass. Utgangspunktet er at personopplysninger fritt kan overføres internt innen EU/EØS-området, mens det som hovedregel er forbudt å overføre slike opplysninger ut av dette området. Dette kan innebære åpenbare utfordringer for den som ønsker å overføre personopplysninger ut av EU. EU-kommisjonen kan imidlertid gi en form for godkjenning av spesifiserte mottakerland utenfor området gjennom såkalte adekvansbeslutninger^{(1)Se oversikt på Datatilsynets nettside: https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/omrader-med-tilstrekkelig-beskyttelsesniva/}. I praksis innebærer dette både generell godkjenning av overføring til alle virksomheter i enkelte land (som Sveits, Storbritannia, mv.) samt spesifikk godkjenning av konkrete områder og sektorer i andre land (slik som virksomheter som er underlagt den kanadiske personvernlovgivningen for privat sektor, virksomheter i USA som er ført opp på en egen liste over godkjente enheter er unntatt fra forbudet, mv.). Det kan altså overføres personopplysninger fra EU/EØS-området til godkjente virksomheter i mottakerlandet som om det var en virksomhet innenfor EU/EØS. Slike godkjente virksomheter i mottakerlandet må følge EU-kravene knyttet til behandling av personopplysninger.

Gjennom avgjørelsene i Schrems I (C-362/14, avsagt 6. oktober 2015) og II (C‑311/18, avsagt 16. juli 2020) har EU-domstolen gjort det klart at overføring av personopplysninger til USA krever tilstrekkelige sikkerhetsmekanismer. Domstolen slo fast at beskyttelsesnivået for personopplysninger i denne jurisdiksjonen var utilstrekkelig. Konsekvensen av dette var at det ikke forelå grunnlag for å gi unntak under adekvansbeslutning for overføring av personopplysninger til USA. Tidligere adekvansbeslutninger for USA ble kjent ugyldige. Schrems II medførte store utfordringer for virksomheter innen EU/EØS som hadde behov for å overføre personopplysninger til USA. Etterfølgende forhandlinger mellom EU-kommisjonen og USA førte etter hvert til at USA måtte styrke personvernet og skjerpe reglene for håndtering av personopplysninger. Blant annet skal slike opplysninger nå behandles i tråd med et nytt regelverk (EU-U.S Data Privacy Framework), samtidig som det skal tilbys uavhengige og gratis klageorganer. På denne bakgrunn ble ny adekvansbeslutning for USA fattet av EU-kommisjonen den 10. juli 2023.^{(2)https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal}

En nylig avsagt dom fra EUs General Court i sak T-354/22 Bindl v. EU-kommisjonen belyser problemene som kan oppstå når personopplysninger overføres til et mottakerland utenfor EU/EØS. Saken gir viktige avklaringer om overføring av data, institusjoners ansvar og individers rettigheter. En privatperson hadde i denne saken utfordret selve EU-kommisjonens behandling av hans personopplysninger. Den aktuelle overføringen fant riktignok sted i perioden etter Schrems II og før adekvansbeslutningen 10. juli 2023, der det altså ikke forelå noe gyldig adekvansgrunnlag for USA. Avgjørelsen er likevel relevant også etter den siste adekvansbeslutningen som har vært omdiskutert siden den ble fattet. Personverngruppen NOYB har dessuten nylig påpekt at Trump-administrasjonen allerede har gjennomført tiltak som svekker beskyttelsesnivået i USA og uthuler forutsetningene for adekvansbeslutningen. Det er ikke utenkelig at også denne beslutningen vil kunne bli kjent ugyldig.

2. Bindl-saken

Saken ble anlagt av en tysk statsborger, Thomas Bindl, som flere ganger i perioden 2021 og 2022 besøkte nettsiden til Conference on the Future of Europe (CFE). Under et slikt besøk 30. mars 2022 registrerte Bindl seg på CFE-nettsiden og til en konferanse kalt «GoGreen» via sin Facebook-konto.

EU-kommisjonen ved generaldirektoratet for kommunikasjon var behandlingsansvarlig for personopplysninger som ble behandlet i forbindelse med denne nettsiden. Bindl tok kontakt med EU-kommisjonen og hevdet at Amazon Web Services var blitt aktivert i bakgrunnen da han skulle logge seg på CFE-nettsiden. Han ba om å få opplyst hva slags personopplysninger tilknyttet ham som var blitt overført og hvilket rettslig grunnlag som forelå for en overføring til Amazon, som er et foretak registrert i USA.

EU-kommisjonen svarte på henvendelsen og oversendte samtidig en elektronisk lenke som genererte en oversikt over alle personopplysninger tilknyttet Bindl som var blitt behandlet i forbindelse med besøkene på det aktuelle nettstedet. Det ble samtidig opplyst at det ikke hadde skjedd noen overføring til land utenfor EU/EØS, og at hans opplysninger ble behandlet og lagret av CFE-nettsiden. Denne siste funksjonen ble håndtert av et Amazon-selskap registrert i Luxembourg (Amazon Web Services EMEA SARL). Det ble presisert i svaret at det var inngått en kontrakt med dette europeiske datterselskapet som presiserte at det ikke skulle skje overføringer til andre selskaper i Amazon-gruppen i USA, og at overføringer ut av EU/EØS-området ikke var tillatt.

Bindl fulgte opp med ytterligere spørsmål. Han viste til at en tilkobling til Microsoft hadde skjedd da han brukte sin Facebook-konto for å registrere seg på CFE-nettsiden. Han ba videre om oversikt over alle personopplysninger delt med tredjeparter, herunder Facebook, samt rettslig grunnlag for all deling og overføring av personopplysninger. Deretter ble saken etter noen purringer fra Bindl fremmet av ham som en klagesak til EU-domstolen. Bindl krevde annullering av selve dataoverføringene, fastsettelsesdom for at EU-kommisjonen ikke hadde fulgt opp forespørselen om innsyn og € 1 200 i erstatning for ikke-materiell skade, fordelt på € 800 for brudd på hans rett til informasjon og € 400 som kompensasjon for ulovlig overføring av personopplysninger. Det er verdt å merke seg at kravet ikke var forankret i GDPR (forordning (EU) 2016/679), men hovedsakelig i forordning (EU) 2018/1725^{(3)Full tittel: «Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC»} som gjelder EU-institusjoners behandling av personopplysninger. Forordningene er på sentrale områder sammenfallende, og det står i fortalepunkt 5 i forordning (EU) 2018/1725 at EU-domstolen skal tolke forordningen homogent med GDPR så langt det passer. Det innebærer også at rettspraksis under forordning (EU) 2018/1725 er relevant for virksomheter underlagt GDPR.

Retten la til grunn at de to første kravene måtte avvises, men valgte å behandle deler av kravet om erstatning.

Kravet om annullering av dataoverføringer gjaldt tre konkrete overføringer. Den første overføringen fant sted 30. mars 2022, hvor Bindl hevdet at det skjedde en overføring til Amazon Cloud Front. Den andre overføringen skal ha skjedd da Bindl registrerte seg via sin Facebook konto som omtalt ovenfor, og der personopplysninger skal ha blitt overført til Meta Platforms Inc. Den tredje overføringen skal ha skjedd 8. juni 2022, da opplysninger etter et besøk til CFE-nettsiden medførte at personopplysninger ble overført til Amazon CloudFront server i Newark, USA. Kravet om annullering ble avvist ettersom overføringene ikke utgjorde en «bindende juridisk handling» som kunne utfordres i henhold til artikkel 263 TEUF. Domstolen slo i avsnitt 33 i avgjørelsen fast at dette var tekniske dataoverføringer som ikke hadde direkte rettslige konsekvenser:

Med dette som utgangspunkt konkluderte retten med at overføringene ikke hadde noen slik rettslig virkning at disse kunne medføre noen endring i hans rettslige status eller posisjon. Retten viste her til tidligere avgjørelser i blant annet sakene C-351/15 og C-911-19 som allerede har slått fast dette prinsippet.

Når det gjaldt kravet om fastsettelsesdom for manglende oppfølgning fra EU-kommisjonen, ble det vist til at EU-kommisjonen hadde fulgt opp forespørselen etter at kravet var blitt fremmet for retten. Det hadde ingen betydning at innholdet i EU-kommisjonens svar ikke samsvarte med Bindls posisjon. Retten uttaler om dette i avsnitt 42:

Det gjenværende spørsmålet ble dermed om det forelå grunnlag for kravet om erstatning.

Artikkel 65 i forordning (EU) 2018/1725 slår fast at enkeltpersoner som lider materiell eller ikke-materiell skade på grunn av et brudd på forordningen har rett til erstatning fra det aktuelle EU-organet. Retten viser i avsnitt 48 og 49 til tre kumulative vilkår som må være oppfylt for å konstatere ansvar utenfor kontrakt i denne situasjonen: Et tilstrekkelig alvorlig brudd på EU-retten, faktisk og sikker skade samt direkte årsakssammenheng mellom regelbruddet og skaden. Et tilstrekkelig alvorlig brudd oppstår når en EU-institusjon åpenbart og grovt overskrider sin kompetanse. Kravet til at skaden må være faktisk og sikker, innebærer at hypotetisk eller ubestemt skade ikke er tilstrekkelig for erstatning. Kravet til årsakssammenhengen innebærer i praksis at institusjonens handlinger er den direkte og avgjørende årsaken til skaden.

Retten drøftet først kravet på € 800 som var basert på at EU-kommisjonen ikke svarte på Bindls henvendelse i tide og at det angivelig ble gitt feil opplysninger om overføringene. Anførselen fra Bindl var at dette gjorde det umulig for ham å utøve noen kontroll over egne personopplysninger, som forårsaket en ikke-materiell skade.

Retten anerkjente at EU-kommisjonen opptrådte i strid med artikkel 14(4) i forordning (EU) 2018/1725 ved å overstige svarfristen på én måned med omtrent to måneder. Imidlertid konkluderte retten med at Bindl ikke hadde bevist faktisk og sikker ikke-materiell skade. Han hadde allerede mottatt et delvis svar på en tidligere, vesentlig lik forespørsel i desember 2021. Dette reduserte den faktiske virkningen av forsinkelsen. Ettersom klageren ikke klarte å bevise skade som direkte følge av forsinkelsen, var det allerede her klart at samtlige tre vilkår for erstatning ikke var til stede. Retten avviste følgelig denne delen av erstatningskravet.

Det neste spørsmålet var kravet på € 400 for ikke-materiell skade forårsaket av overføringen av personopplysninger til USA ved tre separate anledninger som beskrevet ovenfor. Kravet var bygget på at overføringen til USA var forbudt og manglet rettslig hjemmel. Retten går her gjennom en rekke punkter der begreper knyttet til overføring av personopplysninger klargjøres, og viser i avsnitt 99–100 til at USA ikke lenger var omfattet av noen gyldig adekvansbeslutning:

Fraværet av en adekvansbeslutning for USA på det aktuelle tidspunktet etter Schrems II-dommen plasserte derfor ytterligere samsvarsbyrder på EU-kommisjonen som den behandlingsansvarlige. Dette innebærer tekniske og organisatoriske tiltak for å beskytte dataoverføringer, inkludert overføringer som ble utført under standard kontraktklausuler. Det er verdt å merke seg hvor grundig domstolen her går til verks, spesielt ved gjennomgangen av kontrakten som regulerer håndtering av data mellom CFE-nettstedet og Amazon. Det som kommer frem gjennom denne drøftelsen er at avtalen med Amazon viser at en rekke ulike lokasjoner benyttes til håndtering av personopplysninger fra nettstedet. Enkelte av disse er gjennom selskaper eid av Amazon, mens enkelte lokasjoner driftes av tredjeparter som underleverandører. Dette oppsummeres i avsnitt 116:

Etter å ha slått fast hvordan den tekniske overføringen av personopplysninger var lagt opp, drøftes de tre ulike datoene der overføringene skal ha skjedd. Det er et poeng å merke seg at opplysningene som overføres ikke kan karakteriseres som spesielt sensitive. Det skal ha vært snakk om Bindls IP-adresse, samt standard opplysninger som nettstedet henter fra nettleseren og brukerens datamaskin. Likevel går altså domstolen meget grundig gjennom alle leddene i denne operasjonen.

Når det gjaldt overføringen som skjedde 30. mars 2022 konkluderer domstolen med at de aktuelle opplysningene ble overført fra CFE-nettstedet via Amazon CloudFront til en server i München, Tyskland. Denne serveren var del av nettverket som omtalt i avsnitt 116 sitert ovenfor. Det var altså klart at det ikke forelå noen overføring ut av EU/EØS-området. Spørsmålet var da om Bindls anførsel om at dette likevel var krenkende kunne føre frem. Det ble hevdet at eierselskapet Amazon vil måtte følge opp utleveringspålegg fra myndigheter i USA, også for informasjon som ligger tilgjengelig på selskapets nettverk i Europa – herunder serverparken i München. Det var ikke godtgjort at noen slik utlevering hadde funnet sted, slik at domstolen måtte vurdere om den teoretiske muligheten i seg selv var tilstrekkelig grunnlag. Anførselen førte ikke frem, og domstolen konstaterer i avsnitt 135 at muligheten for at et land utenfor EU krever eller får tilgang til personopplysningene ikke i seg selv er tilstrekkelig til å konstatere brudd på regelverket.

Den neste overføringen, som fant sted 8. juni 2022 innebar derimot en overføring av Bindls personopplysninger til USA. På dette tidspunktet var Bindl selv i München, og besøkte CFE-nettsiden en rekke ganger. Disse besøkene ble ikke håndtert av en enkelt Amazon CloudFront server. Bindls IP-adresse ble registrert på flere Amazon-servere rundt om i Europa og USA. Den store geografiske spredningen gjorde det klart at Bindl ikke var fysisk tilstede i disse områdene, men hele tiden befant seg fysisk i München.

07:13 München, Tyskland

11.13 London, Storbritannia

12:56 Hillsboro, USA

13:05 Newark, USA

19.12 Frankfurt am Main, Tyskland

CFE-nettsiden hadde denne dagen 4548 sidevisninger fordelt på 18 ulike IP-adresser. Retten kommenterer ikke misforholdet mellom antall unike sidevisninger og IP-adresser, men påpeker at det kun var IP-adressen til Bindl som koblet seg opp mot servere utenfor EU. Normalt fungerer denne typen servere etter et såkalt proximity-prinsipp der brukeren dirigeres til nærmeste server. I praksis beregnes dette basert på en beregning av forventet treghet i selve overføringshastigheten gjennom nettverket (latency). Det var på det rene at det ikke var noen tekniske problemer med nettsiden eller serverne som skulle medføre at IP-adressen til Bindl dukket opp hos de ulike serverne. Det kan fremstå som om Bindl har benyttet en VPN-tjeneste, som i praksis vil innebære at brukeren får tilordnet en IP fra en lokal server med en annen geografisk plassering enn der brukeren fysisk befinner seg. Dette blir imidlertid en spekulasjon, og domstolen nøyer i avsnitt 157 seg med å konstatere at Bindl ser ut til å ha manipulert sitt digitale fotavtrykk og at dette medførte overføringen av IP-adressen til USA:

Overføringen skjedde altså ikke som en konsekvens av noen feil eller unnlatelse fra EU-kommisjonens side, men skyldtes Bindls egen handling som var den direkte og umiddelbare årsaken. Det forelå dermed ikke tilstrekkelig årsakssammenheng med overføringen av personopplysningen, Bindls IP-adresse til server utenfor EU/EØS. Vilkåret om årsakssammenheng var dermed ikke oppfylt, og denne delen av erstatningskravet ble altså ikke tatt til følge.

Til slutt så domstolen på den siste overføringen, som fant sted 30. mars 2022. Det var da Bindl registrerte seg på «GoGreen»-konferansen. Han ble formidlet fra CFE-nettsiden videre til EU-login, en nettside som håndterte selve registreringen av Bindl. EU-login åpner for at brukere blant annet kan registrere seg ved bruk av eksisterende kontoer på ulike sosiale plattformer. Bindl valgte altså å registrere seg via Facebook, og han hevdet at dette medførte at hans IP-adresse samtidig ble overført til Facebook og eierselskapet Meta i USA. Selv om han kun hadde akseptert «nødvendige» cookies, mente Bindl at hans epostadresse, profilbilde, samt for- og etternavn var blitt overført til Meta-servere i USA. EU-kommisjonen viste på sin side til at EU-login ga flere muligheter for å registrere seg, slik at brukeren selv kunne velge fremgangsmåte. Det ble også fremhevet at de aktuelle personopplysningene aldri ble samlet inn av EU-kommisjonen, som da heller ikke kunne anses å stå for selve overføringen.

Domstolen gjorde igjen en detaljert gjennomgang av faktum. Blant annet ble de underliggende tekniske datatransaksjonene mellom tjenestefunksjonene for registrering gjenstand for en grundig analyse. Deretter vises det til at det rent faktisk har skjedd en overføring av personopplysninger til USA uten et adekvansgrunnlag, og derfra er veien kort til å konstatere ansvarsgrunnlaget i form av et tilstrekkelig alvorlig brudd på EU-retten. Som det fremgår av avsnitt 191 legger domstolen vekt på at EU-kommisjonen ikke har implementert noen mekanismer for å sikre håndtering av personopplysninger på riktig måte.

EU-kommisjonen hadde altså selv skapt omstendighetene som medførte at overføringen fant sted, uten at det forelå noen sikkerhetsforanstaltninger eller adekvansbeslutning. Det neste skrittet ble deretter å se om kravene til skade og årsakssammenheng var oppfylt for den aktuelle overføringen til USA. Her legger domstolen til grunn en lav terskel for konstatering av skade, og uttaler at begrepet omfatter «[n]ot only ‘material damage’ but also ‘non-material damage’ suffered as a result of an infringement of that regulation gives rise to a right to compensation, without any reference being made to any threshold of seriousness…». I dette tilfellet fant domstolen det tilstrekkelig at Bindl som en følge av overføringen hadde mistet kontroll over sine personopplysninger, samt at hans rettigheter var krenket. Det forelå etter dette en direkte årsakssammenheng mellom overføringen og den påførte skaden.

På dette grunnlaget fant domstolen altså at EU-kommisjonen var ansvarlig for overføringen som fant sted 30. mars 2022 og tilkjente Bindl € 400 i erstatning, samt halvparten av kravet for sakskostnader. Bindl hadde tapt saken på de to første kravene, og bare vunnet frem med ett av de tre anførte grunnlagene for erstatning.

I dette tilfellet var beløpet beskjedent, men automatisert behandling og overføring av personopplysninger vil kunne innebære at et stort antall enkelt­personer rammes – og vil ha krav på erstatning.

Avgjørelsen i T-354/22 Bindl v. EU-kommisjonen markerer en viktig utvikling innen personvernretten i EU. Den understreker at EU-institusjoner må ta ansvar for eventuelle dataoverføringer og at individer kan kreve erstatning for ikke-materiell skade. Denne saken er så langt jeg har kunnet bringe på det rene det første eksempelet på erstatning for overføring av personopplysninger til et land utenfor EU/EØS som ikke er forhåndsgodkjent og uten at det foreligger tilstrekkelig overføringsgrunnlag. I dette tilfellet var beløpet beskjedent, men automatisert behandling og overføring av personopplysninger vil kunne innebære at et stort antall enkeltpersoner rammes – og vil ha krav på erstatning. I jurisdiksjoner som åpner for gruppesøksmål vil slike krav kunne kumuleres og få store konsekvenser for den ansvarlige. I Norge har vi regler for dette i tvistelovens kapittel 35 om gruppesøksmål.

Dommen reiser også spørsmål om hvordan Kommisjonen og andre institusjoner vil tilpasse sine praksiser i lys av de strenge kravene til personvern. Det er verdt å presisere at dommen ikke direkte tar stilling til bruken av Amazon CloudFront og distribusjonen av servere som lå i denne løsningen, men utelukkende vurderer EU-kommisjonens ansvar utenfor kontrakt. Dette fremgår uttrykkelig av avsnitt 144:

Avgjørelsen sender et tydelig signal om at ingen er unntatt fra EUs strenge personvernregler, selv ikke EU-institusjonene selv. Reglene her gjelder også offentlige virksomheter og ideelle organisasjoner, uten at det er åpenbart at disse lever opp til de strenge kravene som legges til grunn her. Bruken av tredjepartstjenester for å verifisere epostadresse eller identitet ved registrering og pålogging er allerede godt utbredt inne EU/EØS.

Et annet aspekt ved denne saken er at rettspraksis innenfor EU-retten på mange fronter ser ut til å bli drevet fremover av enkeltpersoner som ønsker å prøve utvalgte spørsmål for retten. I dette tilfellet synes det klart at Bindl fremprovoserer det aktuelle tapet av kontroll over IP-adressen sin. Vi ser her at det også legges til grunn en ekstremt lav terskel for hva som kan utgjøre skade i forordningens forstand. Dersom en person er «in a position of some uncertainty as regards the processing of his personal data, in particular of his IP address», så er dette altså tilstrekkelig til å utløse et krav på erstatning. I dette tilfellet ble det sendt informasjon til Facebook/Meta som inneholdt for- og etternavn, profilbilde og epostadresse. Jeg mener det er grunn til å stille spørsmål ved om dette i realiteten er en overføring i lovens forstand, og spesielt ved måten det har skjedd på i dette tilfellet. Årsaken til at tredjeparten Facebook benyttes ved denne type registrering er normalt for å verifisere brukerens epostadresse. Det må legges til grunn at Facebook allerede satt inne med alle brukeropplysningene, og at formålet altså var å sjekke at denne brukeren – med den aktuelle IP-adressen, er den samme som tidligere registrert hos Facebook. Det er altså koblingen mellom IP-adresse og brukerens registrerte informasjon som er poenget, og selve overføringen har mer en karakter av å bekrefte eksisterende opplysninger enn å overføre ny informasjon. Dette innebærer også at det i realiteten er snakk om et meget begrenset «kontrolltap». Vi vet at IP-adresse generelt sett er ansett som en personopplysning, men kanskje settes terskelen i laveste laget i dette tilfellet. Domstolen bekrefter for øvrigstatus i EU-retten per i dag at selv dynamiske IP-adresser utgjør personopplysninger: «Even ‘dynamic’ IP addresses – which by nature change over time – correspond to a precise identity at a given point in time, which, in this case, coincides with the point in time at which the visit to the CFE website took place». I Bindl-saken hadde brukeren tilsynelatende bevisst forsøkt å fremkalle overføringer utenfor EU, som fremgår blant annet fra hendelsesforløpet 8. juni 2022. En konkret vurdering av hele hendelsesforløpet og klagene til Bindl vitner samtidig om at han fortløpende logget og utøvde en sterk grad av kontroll over nettopp hvor og hvordan hans opplysninger ble behandlet og overført. Dette virker vanskelig å forene med erstatning for at han skal ha mistet kontroll over egen IP-­adresse. Det er i alle fall klart at kombinasjonen av en lav terskel for hva som utgjør en relevant overføring av personopplysning og kravet til skade på nivået «[s]ome uncertainty as regards the processing of his personal data…» vil kunne åpne opp for en rekke gruppesøksmål som omtalt ovenfor.

Dommen er altså avsagt av General Court, og kan således ankes til neste instans. Det er grunn til å ønske en slik anke velkommen, og at vi i neste instans fikk en tilnærming som i større grad hensyntar at denne type «minimums-skade» ikke nødvendigvis bør utløse et umiddelbart krav på erstatning. I rettens vektlegging av skade, kunne det også være naturlig å se hen til hvorvidt saksøker selv har fremkalt situasjonen hvor det oppstår «kontrolltap» over sine personopplysninger – og i hvilken grad det skal tillegges noen vekt.