Logga in

Glömt ditt lösenord?

EU-domstolen utvecklar sin praxis gällande berättigat intresse som rättslig grund för personuppgiftsbehandling

EU-domstolen har i ett förhandsavgörande redogjort för tolkningen av begreppet berättigat intresse enligt artikel 6.1 första stycket f i dataskyddsförordningen. Vår expert Ranja Bunni har analyserat avgörandet.  

Bakgrund  

Mål C-621/22, även känt som KNLTB-fallet, avser tolkningsfrågor kopplade till möjligheten att med stöd av artikel 6.1 första stycket f i dataskyddsförordningen (EU) 2016/679, motivera att en idrottsförening, i utbyte mot ersättning, lämnar ut sina medlemmars personuppgifter till sponsorer för säljfrämjande åtgärder. 

Fallet uppkom efter att den nederländska dataskyddsmyndigheten (AP) bötfällde utfärdat en sanktionsavgift för det nederländska idrottsförbundet KNLTB för att ha delat medlemmars personuppgifter med tredje parter i kommersiellt syfte utan deras uttryckliga samtycke.  

KNLTB som är ett idrottsförbund lämnade under 2018 ut personuppgifter om sina medlemmar till två av sina sponsorer: ett bolag som säljer sportprodukter och ett bolag som är den största leverantören av hasardspel och kasinospel i Nederländerna. KNLTB erhöll ersättning från sina sponsorer för att ha lämnat ut personuppgifterna i fråga. 

Under juni 2018 lämnade KNLTB ut namn, adress och hemvist för sina medlemmar till TennisDirect i syfte att skicka ut en broschyr med erbjudanden. För att göra detta överlämnade TennisDirect i sin tur dessa uppgifter till PostNL för tryckning av denna broschyr. 

Vidare utlämnade KNLTB den 29 juni 2018 dessutom till NLO, förutom medlemmarnas namn, adresser och hemvist, födelsedatum, fasta telefonnummer, mobiltelefonnummer och epostadresser samt namnen på de tennisklubbar som medlemmarna var anslutna till. Syftet med detta utlämnande var en kampanj för telefonsamtal, inom ramen för vilken NLO överförde dessa uppgifter till callcenters som NLO hade anlitat för detta ändamål. 

Efter klagomål från vissa av KNLTB:s medlemmar fann AP att KNLTB hade åsidosatt artikel 6.1 första stycket a och f i dataskyddsförordningen, jämförd med artikel 5.1 a i samma förordning, eftersom KNLTB hade lämnat ut sina medlemmars personuppgifter, utan deras samtycke och utan legitim grund för att lämna ut deras uppgifter. Genom beslut av den 20 december 2019 ålade AP därför KNLTB böter på 525 000 euro. 

AP ansåg att berättigade intressen, i den mening som avses i artikel 6.1 första stycket f i dataskyddsförordningen, endast är intressen som är stadfästa och fastställda i lag. Enligt AP måste det röra sig om intressen som unionslagstiftaren eller den nationella lagstiftaren anser vara skyddsvärda. Något sådant föreligger dock inte i det aktuella fallet. 

KNLTB gjorde gällande att ett berättigat intresse inte nödvändigtvis måste följa av en grundläggande rättighet eller en rättslig princip, utan att alla intressen kan utgöra ett berättigat intresse, såvida de inte strider mot lagen.  

Frågan till EU-domstolen 

Rechtbank Amsterdam (Domstolen i Amsterdam) ställde följande frågor till EU-domstolen: 

  1. Hur ska [den hänskjutande domstolen] tolka termen berättigat intresse [i den mening som avses i artikel 6.1 första stycket f i dataskyddsförordningen]? 
  2. Ska term tolkas såsom AP tolkar det? Rör det sig endast om till lagen hörande, lag utgörande, i en lag fastställda intressen? Eller: 
  3. Kan varje intresse vara ett berättigat intresse, så länge det intresset inte strider mot lagen? Mer specifikt, kan ett rent kommersiellt intresse och det intresse som här är i fråga, nämligen tillhandahållande av personuppgifter mot betalning utan den berörda personens samtycke, under vissa omständigheter anses utgöra ett berättigat intresse?  

EU-domstolens trestegsmetod för bedömning av berättigat intresse
 

EU-domstolen betonar att enligt artikel 5.1 a i dataskyddsförordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. 

EU-domstolen konstaterar sedan, utifrån sin tidigare praxis, att det krävs tre kumulativa villkor för att uppfylla kraven i artikel 6.1 första stycket f i dataskyddsförordningen om berättigat intresse.  

  1. Den personuppgiftsansvarige eller tredje part eftersträva ett berättigat intresse.  
  2. Personuppgiftsbehandlingen ska vara nödvändig för att tillgodose det aktuella berättigade intresset.  
  3. Intressena eller de grundläggande fri- och rättigheterna för den person vars personuppgifter ska skyddas ska inte väga tyngre än den personuppgiftsansvariges eller tredje parts berättigade intresse. 

Steg 1: Finns det ett berättigat intresse för aktuella behandlingen? 

Enligt EU-domstolen ska i det första steget besvaras om den aktuella behandlingen kan utgöra ett berättigat intresse.  

EU domstolen hänvisar till skäl 47 i dataskyddsförordningen, som avser begreppet ”berättigade intressen”, och påpekar att unionslagstiftaren inte har krävt att det intresse som en personuppgiftsansvarig eftersträvar ska vara föreskrivet i lag för att den personuppgiftsansvariges behandling av personuppgifter ska vara laglig. Även om begreppet ”berättigat intresse”, inte är begränsat till intressen som är stadfästa och fastställda i lag, kräver det emellertid att det åberopade berättigade intresset är lagligt. 

EU-domstolen hänvisar vidare till artikel 13.1 d i dataskyddsförordningen om den personuppgiftsansvariges skyldighet att i samband med att personuppgifter samlas in från den registrerade, informera denna om vilka berättigade intressen som eftersträvas, när behandlingen baseras på ett berättigat intresse. 

EU-domstolen konstaterar sedan att ett kommersiellt intresse hos den personuppgiftsansvarige kan utgöra ett berättigat intresse i den mening som avses i artikel 6.1 första stycket f i dataskyddsförordningen, förutsatt att det inte strider mot lag. Det ankommer emellertid på den hänskjutande domstolen att från fall till fall bedöma huruvida ett sådant intresse föreligger med beaktande av tillämpliga bestämmelser och samtliga omständigheter i målet. 

För det fall ett sådant intresse anses vara berättigat, ska den personuppgiftsansvarige, uppfylla alla andra skyldigheter som åligger denne enligt denna förordning. 

Steg 2: Är behandlingen nödvändig för det legitima intresset? 

Det andra steget utgörs av frågan om personuppgiftsbehandlingen är nödvändig för att uppnå det berättigade intresset.  

Detta villkor innebär att det berättigade intresse som eftersträvas med behandlingen av personuppgifter inte rimligen kan uppnås på ett lika effektivt sätt genom andra medel som är mindre ingripande i de registrerades grundläggande fri- och rättigheter.  

EU domstolen hänvisar till sin tidigare praxis och understryker att villkoret om att behandlingen ska vara nödvändig ska prövas tillsammans med principen om ”uppgiftsminimering” i artikel 5.1 c i dataskyddförordningen, enligt vilken personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.  

EU-domstolen konstaterar sedan att det bland annat är möjligt för ett idrottsförbund som KNLTB, som vill lämna ut sina medlemmars personuppgifter mot ersättning till tredje man, att i förväg informera sina medlemmar och fråga dem om de vill att deras uppgifter ska lämnas ut till tredje man för reklam eller marknadsföring. 

Denna lösning skulle enligt EU-domstolen göra det möjligt för de berörda medlemmarna att bevara kontrollen över utlämnandet av deras personuppgifter och på så sätt begränsa utlämnandet av dessa till vad som faktiskt är nödvändigt och relevant med hänsyn till de ändamål för vilka uppgifterna utlämnas och behandlas. Detta resulterar i att behandlingen blir mindre ingripande för den registrerade samtidigt som den gör det möjligt för den personuppgiftsansvarige att på ett lika effektivt sätt tillgodose det berättigade intresset hos den berörda tredje parten.   

Steg 3: Avvägning mellan olika intressen 

I det tredje och sista steget förklarar EU-domstolen hur avvägningen mellan de aktuella rättigheterna och intressena som står emot varandra avgörs.  

EU-domstolen hänvisar till skäl 47 i dataskyddsförordningen som anger att den registrerades intressen, och grundläggande rättigheter i synnerhet, kan väga tyngre än den personuppgiftsansvariges intressen, om personuppgifter behandlas under omständigheter där den registrerade inte rimligen kan förvänta sig någon sådan behandling.  

EU-domstolen påpekar sedan att det ankommer på den hänskjutande domstolen att vid en sådan intresseavvägning bland annat ta hänsyn till den registrerades rimliga förväntningar, omfattningen av den aktuella behandlingen och dess inverkan på den registrerade.  

Mot denna bakgrund ska särskild vikt fästas vid frågan huruvida dessa medlemmar, vid tidpunkten för insamlingen av deras personuppgifter för att bli medlemmar i en tennisförening, rimligen kunde förvänta sig att dessa uppgifter skulle lämnas ut mot ersättning till tredje man, i förevarande fall till sponsorer vid KNLTB, i reklam- och marknadsföringssyfte. 

EU-domstolen påpekar att i det aktuella fallet ska den hänskjutande domstolen beakta den omständigheten att de aktuella personuppgifterna bland annat överförts till en leverantör av hasardspel och kasinospel (NLO). Även om NLO:s reklam och marknadsföring är laglig, så utförs den i ett sammanhang som inte tycks kännetecknas av ett relevant och lämpligt förhållande mellan de registrerade och den personuppgiftsansvarige. Dessutom skulle behandlingen av sådana uppgifter under vissa omständigheter kunna ha en negativ inverkan på de berörda tennisföreningarnas medlemmar, eftersom denna verksamhet kan utsätta dessa medlemmar för de risker som är förknippade med utveckling av spelberoende. 

EDPB:s riktlinjer om berättigat intresse efter domen  

Den 8 oktober 2024 publicerade EDPB förslag på nya riktlinjer gällande den rättsliga grunden berättigat intresse.  

EDPB:s förslag på riktlinjer om berättigat intresse, innehåller en identisk trestegsmetod som EU-domstolen har använt sig av samt en mer gedigen sammanfattning från tidigare praxis.  

I de föreslagna riktlinjerna förtydligar EDPB dessutom det första steget i trestegsmetoden att ett intresse kan betraktas som berättigat om följande kumulativa kriterier är uppfyllda: 

  • Intresset är lagligt, det vill säga får inte strida mot EU:s eller medlemsstaternas lagar. Begreppet berättigat intresse är inte begränsat till intressen som är inskrivna i lag men kräver att det berättigade intresset är lagligt. 
  • Intresset är tydligt och precist.  
  • Intresset är verkligt och närvarande och inte spekulativt. Det berättigade intresset måste vara närvarande och gälla vid datumet för behandlingen och inte får vara hypotetiskt. 

EDBP:s förslag till riktlinjer innehåller även mer detaljer kring det tredje steget i trestegsmetoden som handlar om avvägningen mellan den personuppgiftsansvariges intresse eller tredje parts intressen mot de registrerades intressen.  

Egna reflektioner kring rättsfallet 

Rättsfallet i sig innehåller inga överraskningar utan ger en trestegsmetod kring den rättsliga grunden berättigat intresse. Denna trestegsmetod är inte heller någon nyhet då EU-domstolen i tidigare praxis använt sig av samma metod (EU-domstolen 2023-07-04, mål nr C-252/21, Meta v. Bundeskartellamt, p. 106 och EU-domstolen 2019-12-11, C-708/18, Asociatia de Proprietari bloc M5A-ScaraA, p 40.] 

Rättsfallet bekräftar i det mesta tidigare praxis på nytt. EDPB:s nya förslag på rekommendationer omfattar dessutom en mer gedigen sammanfattning av tidigare praxis.     

Att det berättigade intresset inte behöver vara förskrivet i lag är inte heller någon överraskning.  

Rättsfallet tydliggör samspelet mellan artikel 5 och 6 i dataskyddsförordningen. I synnerhet lyfter EU-domstolen uppgiftsminimeringsprincipen och öppenhetsprincipen.   

EU-domstolen framhåller vikten av att informera de registrerade när personuppgiftsbehandlingen grundar sig på berättigat intresse (öppenhetsprincipen). Även EDPB:s föreslagna riktlinjer om berättigat intresse innehåller ett helt kapitel specifikt om de registrerades rättigheter. Kontentan blir att vid användningen av den rättsliga grunden berättigat intresse är det av särskild vikt att även göra bedömningar om de registrerades rättigheter. Rent konkret innebär detta att vid dokumentationen av den ovannämnda trestegsmetoden även detaljerat dokumentera hur registrerades rättigheter uppfylls.  

I det tredje steget i trestegsmetoden tar EU-domstolen omständigheterna i det enskilda fallet såsom de registrerades förväntningar, kontexten där behandlingen sker samt konsekvenserna för de registrerade. EU-domstolen tar bland annat upp i slutet av domen omständigheten att personuppgifterna har lämnats till en leverantör av kasinospel som är förknippade med utveckling av spelberoende och att detta kan inverka de registrerade negativt. Detta innebär att tolkningen av vad som får inrymmas i bedömningen av konsekvenserna för de registrerade är bred samt att hänsyn ska tas till även indirekta konsekvenser för de registrerade.  

EU-domstolens omfattande praxis om berättigat intresse samt EDPB:s nya vägledning gällande denna rättsliga grund kastar ljus på just vikten av att göra metodiska bedömningar gällande berättigat intresse som idag används av många verksamheter samt vikten av att dokumentera dessa bedömningar.  

Frågan är om vi kommer att se tilltagande tillsyn gällande användningen av berättigat intresse efter att verksamheterna fått så mycket vägledning i frågan?  

Personligen så misstänker jag att så kommer att vara fallet, även om detta är en ren spekulation från min sida. Min rekommendation till verksamheter är att se över deras dokumentation gällande berättigat intresse samt att vara metodisk i sin dokumentation.  

Efter detta tydliga avgörande från EU-domstolen samt förslaget på riktlinjerna från EDPB finns det idag ett mindre utrymme för verksamheter att använda sig av egna metoder när det gäller bedömningar av den rättsliga grunden berättigat intresse.  

Analys  av EU-domstolen 2024-10-04, mål nr C-621/22 (KNLTB).

Ursprungligen publicerad i JP Juridiskt bibliotek.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 3 dec 2024

Ranja Bunni

Associerad partner, Passacon

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

GDPR i skolan – fördjupningskurs
GDPR i skolan – fördjupningskurs
Utbildning av dataskyddsombud, dataskyddssamordnare och dataskyddsansvarig
Utbildning av dataskyddsombud, dataskyddssamordnare och dataskyddsansvarig
Öppna data-lagen och dess legala krav
Öppna data-lagen och dess legala krav
Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Vad gäller när den svenska implementeringen av NIS2 har försenats?
IT och dataskydd

Vår dataskyddsjurist Beata Rosvall svarar på frågan. 

2 dec 2024

NIS2 och CER-direktivet
IT och dataskydd

Vår rådgivare och jurist Beata Rosvall berättar i detta JP play-avsnitt om vad som händer med NIS2 och CER-direktivet.

2 dec 2024

Nya regler för att öka cybersäkerheten i EU:s kritiska entiteter och nätverk
IT och dataskydd

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor