Artikel 29-gruppens riktlinjer - Behandling av personuppgifter i direktmarknadsföringssyfte: I

3 GDPR

3.2.3 Artikel 29-gruppens riktlinjer

3.2.3.1 Behovet av harmonisering

Vilken följd den nytillkomna skrivelsen får vid intresseavvägningen är svårt att fast-ställa eftersom relevant praxis saknas. För vägledning finns den s.k. Artikel 29-gruppens yttrande från 2014 angående den personuppgiftsansvariges legitima intres-sen.⁸⁴ Arbetsgruppen, som består av en företrädare från respektive medlemslands till-synsmyndighet, har fått sitt namn genom Artikel 29 i dataskyddsdirektivet. I artikeln föreskrivs att arbetsgruppen ska vara oberoende och rådgivande i dataskyddsfrågor samt verka för att en enhetlig tillämpning av direktivet sker inom EU.⁸⁵ Utredningen utgår från gällande rätt som för tiden är dataskyddsdirektivet, dock sker resonemangen och slutsatserna i ljuset av det dåvarande förslaget till GDPR.⁸⁶

81 Ferretti, s 858.

82 A a.

83 Roosendaal, s 188.

84 Opinion 06/2014.

85 Se artiklarna 29 och 30 dataskyddsdirektivet.

86Se proposal for a regulation of the European Parliament and of the Council on the protection of indi-viduals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation).(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)).

32 3.2.3.2 Berättigat intresse

Artikel 29-gruppen konstaterar inledningsvis att studier utförda av Kommissionen och efter kommunikation mellan dataskyddsombud inom EU talar för att intresseavvägning-en i artikel 7 f) i GDPR på ett otillfredsställande sätt har implemintresseavvägning-enterats i medlemssta-terna. Till följd har bestämmelsen inom unionen tolkats olika beroende på nationell lag-stiftning och i vissa fall har intresseavvägningen blivit en ”slasktratt” för att rättfärdiga behandling av personuppgifter då annan laglig grund inte varit tillämplig.⁸⁷

Vid tolkningen av artikel 7 f) krävs en väl avvägd bedömning och den personupp-giftsansvarige ska tillförsäkras en nödvändig flexibilitet under förutsättning att en otill-börlig inverkan på den registrerade inte sker. Samtidigt måste bedömningen innebära tillräckliga garantier gentemot den registrerade att metoden inte kommer att missbru-kas.⁸⁸ I syfte att uppnå en önskad intresseavvägning krävs att det s.k. balanstestet utförs, vilket nedan kommer att förklaras mer ingående. För att balanstestet ska bli aktuellt be-höver den personuppgiftsansvariges intresse vara berättigat, vilket framgår av både dataskyddsdirektivet och GDPR. Som exempel på berättigade intressen räknas av Arti-kel 29-gruppen upp bl.a. konventionell marknadsföring och andra former av marknads-föring eller reklam. Ett legitimt intresse måste vidare vara, för att bli tillämpligt under artikel 7 f) i GDPR, tillräckligt precist och klart för att möjliggöra ett balanstest mot den enskildes fri- och rättigheter samt vara ett reellt och aktuellt intresse. Spekulativa intres-sen från den registrerade kan därför inte bli föremål för en intresseavvägning.⁸⁹

3.2.3.3 Balanstestet

Det är, som konstaterats ovan, inte bara den enskildes fri- och rättigheter som ingår i intresseavvägningen utan alla intressen av relevans för denne ska beaktas. Intresseav-vägningen då dessa intressen samt den registrerades fri- och rättigheter vägs mot den personuppgiftsansvariges eller tredje mans intressen kallas för balanstestet.⁹⁰ Balans-testet är en komplex bedömning där relevanta faktorer att beakta är den registrerades berättigade intresse, följderna för den registrerade, vilka ytterligare säkerhetsåtgärder som vidtas för att förhindra en otillbörlig påverkan på den registrerade, den

87 A a s 5.

88 A a s 10.

89 A a s 25.

90 A a s 23.

des ansvarsskyldighet samt transparens och rätten för den registrerade att invända mot en behandling.⁹¹

Om behandlingen är nödvändig för att säkerställa en grundläggande rättighet eller annars är i det allmännas sociala, kulturella eller rättsliga intresse talar mycket för att intresset är berättigat.⁹² Vilka följder behandling får för den registrerade tar sikte på huruvida behandlingen avser känsliga personuppgifter eller om uppgifterna inhämtats från allmänt tillgängliga källor. Även den registrerades rimliga förväntningar vägs in i bedömningen samt relationen mellan den personuppgiftsansvarige och den registre-rade.⁹³ Nu nämnda synsätt harmoniserar bra med EU-domstolens yttranden men även med svensk praxis där den godtagbara behandlingen rörande reklamutskick till CSN-studenter och till mjölkbönderna bestod av inhämtade uppgifter från allmänna register. I domskälen påpekades även vikten av att inte behandla känsliga uppgifter med stöd av en intresseavvägning samtidigt som mjölkbönderna i form av näringsidkare förutsattes att tåla ett större intrång i den personliga integriteten än privatpersoner.

Negativa följder för den registrerade kan uppkomma om personuppgifterna lämnas ut till en stor mängd personer eller om en stor mängd personuppgifter behandlas eller kombineras med andra personuppgifter. Det kan vara ett legitimt intresse för den per-sonuppgiftsansvarige att få reda på deras kunders personliga preferenser i syfte att fram-föra bättre personliga erbjudanden och slutligen erbjuda produkter och tjänster som bättre möter behovet från kunderna. I vissa fall kan då en intresseavvägning vara en tillämplig legal grund för behandling.⁹⁴ Detta betyder dock inte att den personuppgifts-ansvarige kan luta sig tillbaka mot en intresseavvägning när denne otillbörligen överva-kar kunders online- eller offlineaktiviteter och kombinerar omfattande data om kunder från olika källor tagna ur olika kontexter samt för olika syften. En sådan profileringsak-tivitet är i regel ett intrång i den enskildes privatliv och den personuppgiftsansvariges intresse blir då åsidosatt av den enskildes intressen och rättigheter.⁹⁵

Säkerhetsåtgärder till skydd för den enskilde tar i huvudsak sikte på principerna för behandling i artikel 5 GDPR. Om den personuppgiftsansvarige iakttar kravet på upp-giftsminimering, d.v.s. inhämtar endast adekvata och relevanta uppgifter för ändamålet och kontinuerligt raderar uppgifter efter behov, talar det till fördel för denne vid en

tresseavvägning. Detta gäller även då den personuppgiftsansvarige tillämpar anonymi-seringstekniker eller andra privacy by design-metoder samt tillgodoser den enskildes rätt till opt-out, dataportabilitet och andra förfaranden för att förbättra den enskildes kontroll över sina personuppgifter.⁹⁶ Sett till hur GDPR utformats är nu samtliga nämnda faktorer uttryckliga bestämmelser i förordningen, vilket betyder att den person-uppgiftsansvarige har en skyldighet att följa kraven. Vid direktmarknadsföring är t.o.m.

opt-out för den registrerade en absolut rättighet.⁹⁷

Att i ett balanstest ha med ovan nämnda krav där de beroende på efterlevnad påver-kar testet åt båda hållen är svårtillämpat och den personuppgiftsansvarige bör inte belö-nas vid intresseavvägningen för att ha agerat i enlighet med förordningen. Visserligen kan den personuppgiftsansvarige erbjuda olika nivåer av t.ex. privacy by-design och i GDPR är kravet att de tekniska och organisatoriska metoderna ska vara lämpliga i pro-portion till dagens teknik, kostnader, syftet med behandlingen och risker för den enskil-des fri- och rättigheter.⁹⁸ Att det skulle löna sig för den personuppgiftsansvarige att er-bjuda ett skydd ”utöver” lämpliga metoder är däremot tveksamt. Har lämpliga metoder vidtagits har den registrerades fri- och rättigheter skyddats till den nivå som är nödvän-dig. De nu nämnda säkerhetsåtgärderna till skydd för den enskilde bör därför med an-ledning av GDPR inte kunna påverka ett balanstest till fördel för den personuppgiftsan-svarige.

In document Behandling av personuppgifter i direktmarknadsföringssyfte: I ljuset av GDPR och ePrivacy-förordningen (Page 31-34)