Når kan behandlingsansvarlige belage seg på ’berettiget interesse’ som behandlingsgrunnlag? Nye retningslinjer fra EDPB
1. Innledning
Den 8. oktober kom EDPB med et forslag til en ny veileder som analyserer retten til å behandle personopplysninger på bakgrunn av berettigede interesser etter GDPR art. 6(1) (f).
Artikkelen oppstiller tre kumulative vilkår – for det første må det foreligge en «berettiget interesse» som begrunner behandlingen. Deretter må behandlingen være «nødvendig for formål» knyttet til disse interessene. Avslutningsvis må de berettigede interessene til den behandlingsansvarlige eller tredjeparter veie tyngre enn de registrertes interesser eller grunnleggende rettigheter og friheter etter en interesseavveining.
Veilederen er et førsteutkast, og det gjenstår fortsatt å se hva som blir det endelige resultatet av høringsprosessen. I denne artikkelen vil vi redegjøre for det vi anser som foreløpige nøkkelpunkter å ta med seg ved vurderingen av «berettiget interesse» som rettslig grunnlag, og se til hvordan kriteriet kan anvendes i praksis ved å peke på ulike typetilfeller som er særlig aktuelle for næringsdrivende.
2. Hva er en «berettiget interesse»?
a. En vurdering i tre steg
Veiledningen fremhever at det første steget i vurderingen av om artikkel 6 nr 1. bokstav f kan tjene som rettslig grunnlag, er å fastslå om behandlingen forfølger en «berettiget interesse». EDPB definerer en «interesse» som «a stake or benefit that a controller or third party may have in engaging in a specific processing activity» (s. 7). GPDR angir ingen definisjon av hva som skal til for at en interesse er «berettiget». Veiledningen fremhever at det derimot må foretas en konkret vurdering, hvor det oppstilles tre kumulative vilkår: (i) interessen må være lovlig, ved å ikke stride imot EU-retten eller nasjonal lovgivning, (ii) interessen må være tilstrekkelig presist angitt, ved å være definert på en klar og forståelig måte, og (iii) interessen må være til stede på tidspunktet på behandlingen, ved å ikke være spekulativ eller hypotetisk.
b. Kommersielle interesser kan være berettiget
I veiledningen anerkjenner EDPB, i det minste indirekte, at også en kommersiell interesse kan utgjøre en berettiget interesse. Veiledningen ble utgitt få dager etter at EU-domstolen avsa Koninklijke Nederlandse Lawn Tennisbond v Autoriteit Persoonsgegevens (C-621/22).
I veiledningen anerkjenner EDPB, i det minste indirekte, at også en kommersiell interesse kan utgjøre en berettiget interesse.
Spørsmålet for domstolen var om et tennisforbund manglet rettslig grunnlag for å dele medlemmers data med sponsorer for markedsføringsformål, fordi en slik kommersiell interesse ikke er lovfestet. Domstolen kom til at det er ingenting i veien for at en kommersiell interesse kan utgjøre en berettiget interesse, så lenge interessen ikke er direkte lovstridig. Til tross for hvor nært i tid dommen er avsagt veilederens publisering, har ikke dette gått EDPB hus forbi. Tilsynet viser i fotnote 28 til avgjørelsen, og tilslutter seg domstolens syn ved en presisering om at hvorvidt en kommersiell interesse faktisk er berettiget må vurderes konkret i den enkeltes sak.
Selv om dette har vært antakelsen i praksis, har det likevel vært tvil blant enkelte forfattere om rene kommersielle interesser faktisk ville holde som en berettiget interesse for domstolene. Denne avklaringen gir derfor næringsdrivende nyttig støtte for å behandle opplysninger etter artikkel 6(1) (f) når det gjelder det som i den gamle veilederen ble ansett å være mindre «aktverdige interesser», slik som muligheten til å drive markedsføring.
3. Nødvendighet
Dersom man kommer til at det foreligger en «berettiget interesse», avhenger vurderingen av hvorvidt bokstav f kan benyttes som rettslig grunnlag av om behandlingen er «nødvendig» for formål knyttet til de berettigede interessene som forfølges. Veiledningen fremhever at det i denne sammenheng er sentralt å huske på at nødvendighetskriteriet har en selvstendig betydning i EU-retten, og at forordningsteksten skal tolkes i lys av dette. Dette innebærer at dersom den berettigede interessen som forfølges kan oppnås på en måte som er mindre inngripende for den registrerte, vil behandlingen være ulovlig. Særlig prinsippet om dataminimering vil her være viktig, ved at behandlingen av personopplysninger skal begrenses til det som er adekvat, relevant og nødvendig for å oppnå formålet med behandlingen.
4. Interesseavveiningen
Videre må behandlingen ikke utveies av den registrertes interesser eller grunnleggende rettigheter. Det må foretas en avveining av virksomhetens behov for behandlingen mot den den registrertes personvern, hvor den behandlingsansvarlige må identifisere og beskrive de aktuelle rettighetene og interessene som skal ivaretas, behandlingens innvirkning på de registrerte, de registrertes berettigede forventninger til behandlingen og eksistensen av risikoreduserende tiltak. Risikoreduserende tiltak må ikke forveksles med de kravene den behandlingsansvarlige allerede er underlagt for å sikre overholdelse av GDPR, og går altså ut på å utvide de registrertes eksisterende rettigheter. Det understrekes at formålet med å foreta en interesseavveining ikke er å unngå alle personverninngrep, men å unngå uforholdsmessige inngrep ved å balansere aktuelle interesser på begge sider mot hverandre.
5. Transparens
Når det kommer til de registrertes rettigheter i forbindelse med behandlingen, fremheves særlig viktigheten av å oppfylle kravene til transparens og informasjon til de registrerte i henhold til artikkel 13, 14 og 15. Dette innebærer at de registrerte på en enkel og tydelig måte skal gis informasjon om behandlingens grunnlag. For eksempel er en generell henvisning til «bekjempelse av svindel» ikke tilstrekkelig. I tillegg bør de registrerte gis informasjon om vurderingene som er gjort i forkant av innhentingen, herunder vurderingen av om det foreligger en berettiget interesse, og av behandlingens nødvendighet og forholdsmessighet. Informasjonen kan gjerne gis lagvis i en personvernerklæring. I alle tilfeller bør den registrerte opplyses om muligheten til å be om slik informasjon
6. Avklaring rundt praktiske eksempler
Overordnet
Veilederen beskriver en rekke praktiske scenarier der artikkel 6(1) (f) kan utgjøre et relevant behandlingsgrunnlag. Selv om interessene i disse tilfellene kan vurderes som berettigede, kreves det en konkret vurdering i hver enkelt sak basert på de gjennomgåtte vilkårene – behandlingen kan ikke skje automatisk. Denne avklaringen tilfører imidlertid noe nytt, da det tidligere har vært usikkerhet om flere av disse praktiske eksemplene faktisk kunne kvalifisere som berettigede interesser.
Behandling av barns personopplysninger
Når bestemmelsen anvendes for behandling av barns personopplysninger, påpeker EDPB behovet for spesiell beskyttelse, ettersom barn har begrenset forståelse av risikoene de utsettes for. EDPB presiserer at hensynet til barns personvern bør vanligvis gis forrang, særlig ved profilering og markedsføring av tjenester rettet mot barn. Den behandlingsansvarlige må dokumentere at barnets beste har vært et ledende hensyn i vurderingen, og dokumentasjonen bør tilpasses barnets alder og forståelsesnivå.
Svindelforebygging
Svindelforebygging kan også utgjøre en berettiget interesse, og dette omfatte avdekking av svindel. Selv om behandlingsansvarlig kan ha en berettiget interesse i å rapportere svindel til myndighetene, må dette gjøres på en måte som er relevant og nødvendig for å nå formålet, og ellers være i tråd med GDPRs grunnprinsipper.
Behandling som utføres av offentlige myndigheter
Det presiseres at offentlige myndigheter i noen tilfeller også kan bruke artikkel 6(1) (f) som grunnlag for behandling. Dette er imidlertid kun aktuelt når behandlingen ikke er relatert til utførelsen av deres spesifikke oppgaver eller utøvelsen av deres spesielle rettigheter som offentlige myndigheter, men omhandler andre aktiviteter som lovmessig utføres, der dette er tillatt av det nasjonale rettssystemet.
Direkte markedsføring
EDPB bekrefter også at direkte markedsføring kan være en berettiget interesse. Dette har ikke vært umiddelbart klart, og denne presiseringen er derfor praktisk for annonsører. Selv om fortalen 47 nevner berettiget interesse som et mulig rettslig grunnlag for direkte markedsføringsformål, understreker EDPB at dette ikke er en generell godkjenning. Vurdering av berettiget interesse krever en detaljert vurdering som tar hensyn til markedsføringens art (mer eller mindre inngripende metoder), forholdet til den registrerte (f.eks. er behandlingen mindre inngripende dersom den registrerte har et løpende kundeforhold), og de registrertes forventninger.
I norsk reguleres dette allerede av markedsføringsloven (mfl.) § 15, hvor det fremgår at det er forbudt å sende elektroniske markedsføringshenvendelser til enkeltpersoner uten at de på forhånd har gitt sitt samtykke. Unntaket er hvis det allerede eksisterer et kundeforhold der kundeinformasjonen er samlet inn i forbindelse med et salg. Det vises også til at visse markedsføringsmetoder kan anses som særlig påtrengende fra den registrertes perspektiv, særlig hvis de baseres på omfattende behandling av potensielt ubegrensede data. For eksempel vil balansevurderingen sjelden gi et positivt resultat for påtrengende profilering og sporing, som innebærer å spore individer på tvers av flere nettsteder, enheter eller tjenester.
EDPB minner oss på at den registrerte uansett for alle tilfeller av direkte markedsføring – påtrengende eller ei – har en uberettiget rett til å protestere etter GDPR artikkel 21(2).
Konsernintern overføring for interne administrative formål
Dersom den behandlingsansvarlige er en del av et konsern, kan konsernselskapene ha en berettiget interesse i å overføre personopplysninger innenfor konsernet for interne administrative formål. Dette kan ifølge EDPB omfatte behandling av kunders eller ansattes personopplysninger for å blant annet forbedre tjenester, lage statistikk over kundeforhold, og for å vurdere om organisatoriske endringer må gjøres for bedre å beholde kundene i fremtiden.
Overføring av personopplysninger til kompetente myndigheter
En viktig presisering EDPB gjør er å bekrefte at virksomheter kan ha en berettiget interesse i å dele personopplysninger med myndigheter i enkelttilfeller eller ved gjentatte kriminelle handlinger eller trusler mot offentlig sikkerhet. I Meta v. Bundeskartellamt (C-252/21) vurderte EU-domstolen om Meta kunne samle inn og dele data med politiet for å håndtere kriminelle handlinger, brudd på regler og skadelig atferd. Domstolen konkluderte med at private aktører ikke kan anse dette som en berettiget interesse, da det ikke er knyttet til deres økonomiske mål. EDPB modifiserer dette noe, ved å understreke at private aktører kan bruke berettigede interesser for å rapportere om kriminelle handlinger de tilfeldigvis blir kjent med, men ikke kan samle inn data systematisk for politiformål hvor virksomheten er økonomisk og kommersiell i sin natur. I tillegg kan en behandlingsansvarlig ha en berettiget interesse i å dele data med myndigheter utenfor EU for å unngå sanksjoner, men dette er kontekstavhengig og kan overstyres av den registrertes rettigheter.
7. Avsluttende kommentarer
Veiledningen presiserer hvordan behandlingsansvarlige skal vurdere om behandlingen er lovlig etter artikkel 6(1) (f). Sentralt står «trestegsvurderingen» som må foretas ved vurderingen av om interessen som forfølges er berettiget. I tillegg understreker veiledningen at berettiget interesse ikke skal benyttes som en «siste utvei» når andre behandlingsgrunnlag er utilgjengelige. Likevel er vurderingen av hva som utgjør en berettiget interesse ofte kompleks. Hva kunden forventer av behandlingen, og om den er overraskende for kunden, kan være vanskelig å forutsi for den behandlingsansvarlige, noe som kan skape usikkerhet både for den behandlingsansvarlige og den registrerte. Det er derfor viktig at behandlingsansvarlige nøye vurderer disse faktorene for å sikre at behandlingen er forutsigbar og rettferdig for den registrerte.
Veiledningen er et førsteutkast og var på høring frem til 20. november. Den er derfor fortsatt åpen for endringer i tråd med eventuelle høringsinnspill som ble sendt inn innen fristen. Likevel antas det at mye av innholdet, spesielt det som bygger på nyere rettspraksis- og utvikling fra EU-domstolen, vil bli videreført etter at høringsarbeidet er avsluttet.