Mediebolag får betala 13 miljoner för olaglig personuppgiftsbehandling
Integritetsskyddsmyndigheten (IMY) beslutade om en sanktionsavgift på 13 miljoner kronor för ett mediebolag på grund av otillåten personuppgiftsbehandling. Förvaltningsrätten har nu prövat frågan och bedömer att bolaget saknade rättslig grund för behandlingen. Domstolen anser även att sanktionsavgiften är proportionerlig.
Bakgrund
IMY genomförde en tillsyn av ett mediebolags personuppgiftsbehandling. Bolaget och flera anslutna företag inom samma koncern hade ett samarbete där uppgifter överförts till två koncerngemensamma databaser. Med hjälp av webbkakor samlades information om besökarnas aktivitet på företagens webbplatser, som sedan användes för att skapa beteendeprofiler. Denna information lagrades i en beteendedatabas.
I den gemensamma kunddatabasen sparades information såsom kunders namn, personnummer och telefonnummer. Dessa uppgifter användes för telefonförsäljning och direktmarknadsföring via post. I vissa fall kunde uppgifter från de två databaserna kopplas samman. IMY ansåg att bolaget behandlade personuppgifter utan rättslig grund och beslutade att det skulle betala en administrativ sanktionsavgift på 13 miljoner kronor. Bolaget överklagade beslutet till förvaltningsrätten.
Gällande rätt
Enligt artikel 6.1 f i förordning (EU) 2016/679 (GDPR) är en behandling av personuppgifter laglig om behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter.
Enligt artikel 5.3 i direktiv 2002/58/EG (ePrivacy-direktivet) krävs det informerat samtycke för att lagra eller använda information på en användares enhet. Det innebär att användare måste få aktivt välja om de godkänner användningen av webbkakor. Detta krav har genomförts i svensk rätt genom 9 kap. 28 § lagen (2022:482) om elektronisk kommunikation.
Förvaltningsrättens bedömning
Domstolen avgör först om informationen i beteendedatabasen utgör personuppgifter, även när den inte kan kopplas till direkta personliga identifierare såsom namn eller personnummer. Domstolen konstaterar att uppgifterna gör det möjligt att särskilja enskilda besökare och därför utgör personuppgifter enligt GDPR.
Nästa fråga är om bolagets personuppgiftsbehandling var laglig. För att vara tillåten måste den ha stöd i en rättslig grund enligt artikel 6.1 i GDPR. Bolaget baserade sin behandling på berättigat intresse, vilket enligt förordningen kräver att tre villkor är uppfyllda. Den huvudsakliga frågan rör det tredje villkoret, om de registrerades intresse för personuppgiftsskydd väger tyngre än bolagets intresse av att erbjuda profilerad marknadsföring och riktade annonser.
Förvaltningsrätten konstaterar att bolagets behandling byggde på data insamlade via webbkakor, och att sådan insamling kräver samtycke enligt artikel 5.3 i ePrivacy-direktivet och 9 kap. 28 § lagen om elektronisk kommunikation. Även om samtyckeskravet endast gäller själva insamlingen, menar domstolen att det ändå bör beaktas vid intresseavvägningen. Domstolen anser att det starka integritetsskyddet för insamling av information via webbkakor riskerar att urholkas om de insamlade uppgifterna senare används med berättigat intresse som rättslig grund. Förvaltningsrätten menar även att den aktuella behandlingen inte är något som de registrerade kunnat förvänta sig. Domstolen bedömer att mediebolaget har behandlat personuppgifter utan laglig grund, och att sanktionsavgiften är proportionerlig. Överklagandet avslås därmed.
Referat av Förvaltningsrätten i Stockholm 2025-02-04, mål nr 14531-23.
Av Tora Rosengren, biträdande redaktör.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 26 feb 2025
