08 oktober 2024

Viktig dom om GDPR: Kommersiella intressen erkänns som rättslig grund

Detta har hänt: EU-domstolen har i mål C-621/22 (KNLT mot AP) klargjort att ett kommersiellt intresse är ett berättigat och legitimt ändamål enligt GDPR. Därmed kan besättigat intresse användas som rättslig grund för behandling av personuppgifter enligt förordningen. Domen har skapat efterlängtad tydlighet för företag som förlitat sig på denna rättsliga grund, särskilt efter fem års osäkerhet.

Bakgrund: År 2019 bötfällde den nederländska dataskyddsmyndigheten (AP) Kungliga Nederländernas Tennisförbund (KNLT) med 525 000 euro för att de delade sina medlemmars personuppgifter med sponsorer utan att ha inhämtat deras samtycke. KNLT hade använt berättigat intresse som rättslig grund, något som AP ansåg inte var giltigt eftersom intresset endast var av kommersiell natur. KNLT överklagade och hävdade att ett berättigat intresse existerar så länge det är lagligt. Ärendet gick vidare till EU-domstolen för att avgöra hur begreppet ”berättigat intresse” ska tolkas. AP ifrågasatte att kommersiella intressen kan vara legitima och angav vidare att det krävs uttryckligt stöd i lag för behandlingar som grundas på ”berättigat intresse”.

Vad innebär det här? EU-domstolen klargör att renodlat kommersiella intressen är berättigade. Domstolen anger också att ett berättigat intresse inte behöver ha uttryckligt stöd i någon specifik lagstiftning men att det givetvis inte kan vara olagligt. För företag innebär detta att de fortsatt kan förlita sig på berättigat intresse som rättslig grund för marknadsföringsändamål. Domstolen går alltså på den linje som SWEDMA sedan flera år har rekommenderat.

Domen betyder inte att företag nu kan behandla personuppgifter fritt. Företagen måste fortfarande göra en intresseavvägning och säkerställa att:

●  Behandlingen är nödvändig för att uppnå deras syften och att det inte finns något mindre integritetskränkande sätt att uppnå samma resultat.

●  Behandlingen inte väger tyngre än individens rättigheter och friheter. Här måste företaget ta hänsyn till personernas förväntningar, omfattningen av databehandlingen och hur den påverkar de registrerade.

Domstolen betonade också vikten av att företag genomför en noggrann avvägning mellan sina egna intressen och individens rättigheter, är transparenta i sin kommunikation och säkerställer att personer har rätt att invända mot databehandlingen när som helst.

Denna dom ger industrin, särskilt mindre företag, den tydlighet de länge efterfrågat och stärker möjligheterna att använda berättigat intresse som grund för databehandling i linje med GDPR:s bestämmelser.

”Domen är mycket välkommen och en tydlig bekräftelse på att den tolkning som vi gjort i Branschkoden har varit riktig” säger SWEDMAs chefsjurist Mattias Grundström. ”Den visar också att de generella samtyckeskrav som vissa dataskyddsmyndigheter i Europa driver saknar juridiskt stöd. Det är nog tyvärr så att dessa länder kommer att återkomma med politiska krav istället men vi är beredda att agera om så skulle ske.”

Alla artiklar