Brexit – så förbereder du dig
15 januari, 2020
Privacy Talk 13/10
14 oktober, 2020
Den nederländska dataskyddsmyndigheten De Autoriteit Persoonsgegevens (AP) publicerade den 3 mars sitt beslut om att påföra det nederländska tennisförbundet (NT) en sanktionsavgift om € 525 000. Bakgrunden till detta var att man under 2018 sålde personuppgifter rörande deras medlemmar till två av NTs sponsorer, vilka i sin tur skulle kunna kontakta dessa medlemmar i syfte att erbjuda dem tennisrelaterade produkter och tjänster. De två sponsorerna kontaktade NTs medlemmar antingen via adresserad direktreklam eller via telefon.
Bakgrund till fallet
En individs personuppgifter samlas in av NT när denne blir medlem i en tennisklubb i Nederländerna. Under 2000-talet minskade antalet registrerade spelare i Nederländerna så pass mycket att NT ansåg att man var tvungen att hitta andra sätt att få in pengar för att kunna fortsätta ge individer en möjlighet att börja spela tennis. 2007 beslutade därmed medlemmarna i NT att tillåta förbudet att sälja medlemsuppgifterna till tredje parter för att användas för adresserad direktreklam. Alla medlemmar informerades om detta och gavs en möjlighet att invända mot att deras uppgifter skulle säljas vidare. 2017 beslöt man på samma sätt att även tillåta att uppgifterna skulle kunna användas för telemarketing. Samtliga medlemmar har informerats om detta och getts möjlighet att invända mot att deras uppgifter säljs vidare.
Som rättslig grund för att sälja vidare sina medlemmars personuppgifter har NT hävdat att de har ett berättigat intresse enligt 6.1(f) GDPR då deras intresse att inte höja medlemsavgiften väger tyngre än det intrång det innebär för medlem att bli kontaktad. Dessutom så kan man enkelt tacka nej till vidareförsäljning och att sponsorerna var tvungna att respektera de existerande motsvarigheterna till relevanta NIX-register.
APs beslut
AP har tagit upp ärendet i två delar, dels om det fanns en rättlig grund överhuvudtaget till att sälja vidare personuppgifter till de medlemmar som blev medlemmar i NT före 2007, dels vilken rättslig grund man skulle kunna använda för de medlemmar som anslöts till NT efter 2007.
Låt oss koncentrera oss endast på den andra delen av APs beslut. AP anser nämligen att det inte går att hävda ett berättigat intresse om det inte finns ett stöd i lag för detta. Skälet för detta påståendet är att skyddet för en individs personuppgifter är en fundamental rättighet vilket inte ska kunna åsidosättas lättvindigt.
När det gällde NTs skäl som de angav för sitt berättigade intresse, att man var tvungen att få in mer pengar, så menar AP att tanken på att det i princip skulle tillåtas tjäna pengar genom att välja att kränka någon grundläggande rättigheter är oförenlig med den registrerades rättigheter. Att ett dylikt argument skulle kunna väga så tungt i en intresseavvägning kan inte vara avsikten med GDPR och är inte nämnd, tillåten eller förespråkad av EDPB, enligt AP.
På grund av detta anser AP att det krävs ett samtycke från NTs samtliga medlemmar för att man ska kunna sälja vidare uppgifterna till en tredje part.
Finns det något berättigat intresse?
Då kommer vi till den intressanta frågan – när ska man kunna använda sig av berättigat intresse som rättslig grund?
Enligt den nederländska dataskyddsmyndigheten måste man alltså ha stöd i en annan lag eller liknande, något som skulle minska möjligheten för att använda berättigat intresse drastiskt. Själva marknadsföringen, att man använder sig av adresserad direktreklam eller telemarketing, hade enligt detta resonemang varit tillåtet i Sverige med stöd av 21§ marknadsföringslagen.
Frågan blir då huruvida man kan sälja vidare uppgifterna om man har informerat om att man avser att göra detta?
Om vi följer APs linje så är det ett klart nej, men syftet med GDPR var inte endast att skydda den enskilde individen, utan även att säkra ett fritt flöde av personuppgifter enligt Artikel 1 GDPR. Även i skäl 4 till GDPR anges det att individens skydd inte är absolut utan att man även ska väga in andra grundläggande rättigheter varav näringsfrihet är en.
Vad är då ett berättigat intresse? Enligt den svenska datainspektionen så är det en rättslig grund som kan användas efter det görs en intresseavvägning där man ser till en organisations intresse att få behandla personuppgifter för ett visst ändamål och att den registrerades intresse av skydd för sina personuppgifter inte väger tyngre. Det är alltså ändamålet som avgör och organisationen måste därför vara tydlig och koncis i sin motivering.
När man sedan vill hävda berättigat intresse för en överföring till tredje part är dessutom viktigt att den utlämnande parten har stämt av med motparten om vad de ska använda personuppgifterna till och om de verkligen behöver uppgifterna.
Slutligen kan det även nämnas att det står i skäl 47 GDPR att behandling av personuppgifter för direktmarknadsföring kan betraktas som ett berättigat intresse.
Det är på grund av detta som jag ställer mig tveksam till APs syn att man inte skulle kunna använda sig av berättigat intresse som rättslig grund i fallet med NTs överföring till sina sponsorer. NT har tydligt informerat om att detta kan ske samtidigt som man har givit de registrerade medlemmarna en möjlighet att motsätta sig förfarandet. Ytterligare en förmildrande omständighet är om uppgifterna används i ett syfte, som i detta fall, är direkt knutet till NT, marknadsföring av tennisrelaterade varor och tjänster.
Låt oss hoppas att den nederländska dataskyddsmyndigheten kommer på bättre tankar och omprövar sitt beslut.
