Avklaring fra EU-domstolen – kommersielle formål kan utgjøre berettigede interesser etter GDPR

4. november 2024

Behandlingsgrunnlaget «berettiget interesse» kan også omfatte rent kommersielle formål. Det legger EU-domstolen til grunn i en fersk dom.

Dommen

Dommen gjaldt et nederlandsk tennisforbund sin praksis med å utlevere kontaktinfo om sine medlemmer til kommersielle tredjeparter. Ved innmelding i forbundet ble kontaktinfo automatisk videreformidlet til to samarbeidspartnere – et selskap som selger sportsutstyr og et nederlandsk pengespilleselskap.

Det rettslige temaet i dommen var rekkevidden av personvernforordningen (GDPR) artikkel 6.1 bokstav f. Bestemmelsen sier at en behandling av personopplysninger er lovlig dersom den er nødvendig for å oppnå en «berettiget interesse», og denne interessen veier tyngre enn de registrertes personverninteresser. Bestemmelsen legger opp til en interesseavveining, og benyttes ofte i tilfeller der andre behandlingsgrunnlag i artikkel 6 er utelukket.

 

Kommersielle formål kan være berettiget

Foranledningen til dommen var at det nederlandske datatilsynet hadde ilagt tennisklubben gebyr på 525 000 euro, og lagt til grunn at rent kommersielle formål ikke kan anses å utgjøre berettigede interesser. Tilsynet mente at en berettiget interesse må følge direkte eller indirekte av lov.

EU-domstolen på sin side fastslo at en berettiget interesse ikke trenger å følge av lov, men kan gjelde et bredt spekter av formål, herunder kommersielle. Dette er en viktig avklaring ettersom det nederlandske datatilsynet ikke tidligere har akseptert noen form for kommersielle formål i vurderingen av berettiget interesse. I Norge fremhever Datatilsynet offentlige og ideelle formål/interesser, mens kommersielle formål ikke er nevnt.

EU-domstolen forutsatte imidlertid at dersom en idrettsorganisasjon utleverer kontaktinfo om sine medlemmer til kommersielle tredjeparter med grunnlag i berettiget interesse, så må utleveringen være strengt nødvendig.  Dette hever igjen terskelen for å akseptere rene kommersielle formål som berettigede.

 

Hvilke vilkår må være oppfylt?

For at behandling av personopplysninger skal være lovlig etter GDPR artikkel 6.1 bokstav f, må den behandlingsansvarlige gjøre en konkret interesseavveining og dokumentere at følgende tre vilkår er oppfylt:

  1. Det må foreligge en berettiget interesse
  2. Den aktuelle behandlingen av personopplysninger må være nødvendig for å oppnå den berettigede interessen
  3. Hensynet til de registrertes interesser, rettigheter og friheter må ikke veie tyngre enn hensynet til den berettigede interessen

 

Hva kan vi utlede av dommen?

Dommen presiserer at GDPR art 6.1 bokstav f er ment å omfatte et bredt spekter av interesser. Man bør imidlertid være varsom med å benytte «berettiget interesse» som behandlingsgrunnlag ved behandling av personopplysninger til kommersielle formål, eksempelvis utlevering av kontaktinfo til tredjeparter.

I de tilfellene hvor en utlevering er «strengt nødvendig» av kommersielle hensyn, vil den kunne stå seg. Det kan for eksempel gjelde situasjoner hvor virksomhetens eksistensgrunnlag er avhengig av en slik utlevering. Utlevering av personopplysninger til kommersielle tredjeparter bør likevel, som den klare hovedregel, være basert på frivillig samtykke fra de registrerte.

I alle tilfeller må behandlingsansvarlig sørge for at de registrerte blir informert om overføring av personopplysninger til tredjeparter, herunder hvilke opplysninger som overføres, hvem de overføres til og til hvilket formål.

Ta kontakt med Harris Advokatfirma dersom du trenger hjelp til å vurdere behandlingsgrunnlag for overføring av personopplysninger til tredjeparter, herunder bistand ved utforming av samtykke, informasjonsskriv eller gjennomføring av interesseavveining etter GDPR art 6.1 bokstav f.

Dommen kan leses i sin helhet her.