EU-domstolens dom av 12. september 2024.
Sentrale artikler behandlet:
– Artikkel 6(1)(b)
– Artikkel 6(1)(c)
– Artikkel 6(1)(f)
Hovedpunkter
- Behandling for å oppfylle kontrakt (artikkel 6(1)(b)): Behandlingen må være objektivt nødvendig for et formål som er integrert i kontraktsforpliktelsen beregnet på den registrerte. Det kan påvises hvordan hovedgjenstanden i kontrakten ikke kan oppnås uten behandlingen. Behandlingen er sentral for oppfyllelse av avtalen, og det foreligger ikke mindre inngripende alternative behandlinger.
- Behandling som følge av rettslig forpliktelse (artikkel 6(1)(c)): Behandling kan skje på grunnlag av rettspraksis, men denne må være «tydelig og presist», og proporsjonalt til formålet med behandlingen som kun kan skje så langt det er strengt nødvendig.
- Behandling som følge av berettiget interesse (artikkel 6(1)(f)): Et bredt spekter av interesser vil kunne være berettigede, men behandlingen må ikke kunne med rimelighet oppnås like effektivt på andre måter som er mindre inngripende og må være strengt nødvendige.
- For at berettiget interesse skal kunne benyttes som grunnlag må følgende være oppfylt: (1) Det foreligger en berettiget interesse, (2) behovet for å behandle personopplysninger er i henhold til formålet med de berettigede interessene, og (3) interessene eller personvernet til de registrerte må ikke gå foran de berettigede interessene.
- Interessene og personvernet for de registrerte kan spesielt gå foran den behandlingsansvarliges berettigede interessene dersom personopplysningene behandles på måte som registrerte ikke med rimelighet kan forvente på tidspunkt for innsamling av opplysningene.
- Omfanget av behandlingen, virkningen av behandlingen på de registrerte og forholdet mellom de registrerte og behandlingsansvarlig har betydning for vurderingen av om personvernet skal gå foran de berettigede interessene.
- De berettigede interessene må ikke rimeligvis kunne oppnås like effektiv med andre midler som er mindre inngripende i de registrertes personvern, se også dataminimeringsprinsippet i artikkel 5(1)(c).
Bakgrunn
Bakgrunnen for saken er om det kan kreves av en stiftelse å opplyse om kontaktinformasjon om sine deltakere med indirekte eierandeler i investeringsfond. Det er ikke noe forbud etter tysk rett om å utlevere slik informasjon, og så er spørsmålet om det er anledning til å utlevere opplysningene etter GDPR, dvs. om utleveringen som behandling har lovlig grunnlag.
Artikkel 6 gir ikke noen rett til å kreve utlevert opplysninger, men kun en rett til å behandle opplysninger i forbindelse med selve utleveringen (en for så vidt unødvendig påminnelse fra domstolen).
Det var derfor spørsmål om de øvrige grunnlag etter GDPR artikkel 6(1) og da spesielt bokstav b (tiltak for å forberede eller oppfylle en avtale), bokstav c (lovmessig plikt) eller bokstav f (berettiget interesse) gir grunnlag for å behandle personopplysningene i form av utlevering.
GDPR artikkel 6(1)(b) – oppfyllelse av kontrakt
For bokstav b så må utleveringen anses nødvendig for oppfyllelse av en kontrakt om den er objektivt nødvendig for et formål som er integrert i kontraktsforpliktelsen beregnet på den registrerte. Den behandlingsansvarlige må derfor kunne påvise hvordan hovedgjenstanden i kontrakten ikke kan oppnås dersom den aktuelle behandlingen ikke finner sted.
43 (…) in order for the processing of personal data to be regarded as necessary for the performance of a contract within the meaning of that provision, it must be objectively indispensable for a purpose that is integral to the contractual obligation intended for the data subject. The controller must therefore be able to demonstrate how the main subject matter of the contract cannot be achieved if the processing in question does not occur (..).
Det følger videre av dommen at, for å benytte bokstav b som grunnlag, så må behandlingen være sentral for oppfyllelse av avtalen mellom behandlingsansvarlig og den registrerte, og at det ikke foreligger mindre inngripende alternative behandlinger.
44 (…) the processing of personal data by the controller must be essential for the proper performance of the contract concluded between the controller and the data subject and, therefore, that there are no workable, less intrusive alternatives (…)
I denne saken så forbød avtalen utlevering av opplysningene, så da kan avtalen (og bokstav b) klart ikke benyttes som grunnlag for utlevering. Dette til tross for at det kan være andre gode grunner for at utlevering skal skje etter avtalen.
GDPR artikkel 6(1)(f) – berettiget interesse
For bokstav f (behandling på grunnlag av berettiget interesse), så gjelder det tre vilkår som alle må være oppfylt for at behandlingen av personopplysninger skal være lovlig: (1) Det foreligger en berettiget interesse for den behandlingsansvarlige eller for en tredjepart, (2) behovet for å behandle personopplysninger er i henhold til formålet med de berettigede interessene, og (3) interessene eller de grunnleggende frihetene og rettighetene (dvs. personvernet) til de registrerte går ikke foran de berettigede interessene.
49 (…) first, the pursuit of a legitimate interest by the data controller or by a third party; second, the need to process personal data for the purposes of the legitimate interests pursued; and, third, that the interests or fundamental freedoms and rights of the person concerned by the data protection do not take precedence (…)
For «berettiget interesse» vil et bredt spekter av interesser er i prinsippet egnet til å anses som legitim, men de berettigede interessene må ikke med rimelighet kunne oppnås like effektivt på andre måter mindre begrensende for de rettighetene og frihetene til de registrerte også ref. dataminimeringsprinsippet i artikkel 5.
51 (…) the legitimate data processing interests pursued cannot reasonably be achieved just as effectively by other means less restrictive of the fundamental rights and freedoms of data subjects, in particular the rights to respect for private life and to the protection of personal data guaranteed by Articles 7 and 8 of the Charter (…)
Det fremgår imidlertid av dommen at det er kun berettigede interesser som er strengt nødvendig som vil gå foran rettighetene og frihetene til de registrerte.
76 Point (f) of the first subparagraph of Article 6(1) of the GDPR must be interpreted as meaning that such processing may be regarded as being necessary for the purposes of legitimate interests pursued by a third party, within the meaning of that provision, only on condition that that processing is strictly necessary to achieve such a legitimate interest and that, in the light of all the relevant circumstances, the interests or fundamental rights and freedoms of those partners do not override that legitimate interest.
Den registrertes interesser og grunnleggende rettigheter kan overstyre den behandlingsansvarliges interesser der personopplysninger behandles under omstendigheter der de registrerte ikke med rimelighet forventer slik behandling.
54 Furthermore, recital 47 of the GDPR states that the interests and fundamental rights of the data subject may in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect such processing (…)
I saken ble det å utlevere kontaktopplysningene for å innhente personopplysninger knyttet til den andre indirekte partnere i dette partnerskapet med sikte på å inngå kontrakt med dem eller forhandle med dem om kjøp av aksjer, eller koordinere med dem for å oppnå konsensus i forbindelse med vedtak fra alle partnerne ansette å være en berettiget interesse.
Etter bokstav f kreves det også at behandlingen skal være nødvendig for formålet knyttet til de berettigede interessene, som innebærer at det kan ikke foreligge mindre inngripende måter for behandling. I saken var det mindre inngripende måter å gjennomføre behandlingen på, som at man forespurte om at forespørsler ble videreført, og domstolen fant da at behandlingen ikke var nødvendig.
I vurderingen av den berettigede interessen mot personvernet til den registrerte (som også omtales som balansetesten), så må det vektlegges at de registrerte kunne ikke forvente behandlingen av personopplysningene. Her ble de registrertes økonomiske interesser vektlagt, samt det at det var forutsatt at opplysningene om de indirekte partnerne i investeringsfondet skulle holdes konfidensielt.
Domstolen fant derfor at det i dette tilfelle at personopplysningene ikke kunnes behandles på grunnlag av bokstav f – berettiget interesse.
GDPR artikkel 6(1)(c) – rettslig forpliktelse
For behandling på grunnlag av bokstav c (nødvendig på grunnlag av en rettslig forpliktelse) så følger det av artikkel 6(3) at formålet med behandlingen skal være fastsatt i det rettslige grunnlaget. Etter fortalepunkt 41 kreves det ikke lovhjemmel, men kan følge av annet rettslig grunnlag bare dette er «Nevnte rettslige grunnlag eller lovgivningsmessige tiltak bør imidlertid være «tydelig og presist, og anvendelsen av det bør være forutsigbar for personer som omfattes av det».
I denne saken var ikke behandlingen basert på lovhjemmel, men rettspraksis (dvs. avgjørelser fra domstoler). Da kreves det også at rettspraksis er «tydelig og presist», og proporsjonalt til det formål og behandlingen må kun skje så langt denne er strengt nødvendig.
73 Furthermore, in accordance with the case-law referred to in paragraph 67 of this judgment, that case-law must constitute a legal basis, meeting an objective of public interest, it must be proportionate to that objective and the processing concerned must be carried out only in so far as is strictly necessary (…)