Kilder for personvern/GDPR » Rettsavgjørelser og andre avgjørelser » Avgjørelser fra EU-domstolen – CJEU » C‑621/22 Koninklijke Nederlandse Lawn Tennisbond (KNBLT)

C‑621/22 Koninklijke Nederlandse Lawn Tennisbond (KNBLT)

EU-domstolens dom av 4. oktober 2024.

Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).

Sentrale artikler behandlet:
Artikkel 6(1)(f) (berettiget interesse)

Hovedpunkter

  • Berettigede interesser kan være et vidt spekter med interesser, også kommersielle interesser. Domstolen bekreftet altså at rent kommersielle interesser kan være berettigede, herunder markedsføring og annonsering.
  • Overføring av personopplysning om medlemmer i en sportsorganisasjon for kommersielle interesser kan bli ansett som å være berettiget, men under den forutsetning at behandlingen (dvs. overføringen) er strengt nødvendig for den behandlingsansvarliges berettigede interesser og de registreres personvern ikke går foran interessene.
  • For at berettiget interesse skal kunne benyttes som grunnlag må følgende være oppfylt: (1) Det foreligger en berettiget interesse, (2) behovet for å behandle personopplysninger er i henhold til formålet med de berettigede interessene, og (3) interessene eller personvernet til de registrerte må ikke gå foran de berettigede interessene.
  • Interessene og personvernet for de registrerte kan spesielt gå foran den behandlingsansvarliges berettigede interessene dersom personopplysningene behandles på måte som registrerte ikke med rimelighet kan forvente på tidspunkt for innsamling av opplysningene.
  • Omfanget av behandlingen, virkningen av behandlingen på de registrerte og forholdet mellom de registrerte og behandlingsansvarlig har betydning for vurderingen av om personvernet skal gå foran de berettigede interessene.
  • De berettigede interessene må ikke rimeligvis kunne oppnås like effektiv med andre midler som er mindre inngripende i de registrertes personvern, se også dataminimeringsprinsippet i artikkel 5(1)(c).
  • Å informere før overføringen (oppfylle pliktene til informasjon til de registrerte etter GDPR) og forespørre om de registrerte ønsker at deres opplysninger overføres til tredjeparter for annonsering og markedsføringsformål er et tiltak som er like effektivt.

Bakgrunn

KNBLT er en sportsorganisasjon som organiserer ulike tennisklubber. Når en person blir medlem i en tennisklubb blir denne også automatisk medlem av KNBLT.

KNBLT samarbeider med ulike sponsorer, og overførte personopplysninger om medlemmene til to av sine sponsorer, hvorav en solgte sportsutstyr og den andre drev bl.a. online kasinospill, for at disse skulle sende ut markedsføring til medlemmene.

Siden medlemmene ikke hadde samtykket til overføring av opplysningene, ble spørsmålene som domstolen skulle vurdere om KNBLT kunne overføre personopplysningene til sponsorene på grunnlag av organisasjonens berettiget interesse (artikkel 6(1)(f)).

Artikkel 6(1)(f) – Berettiget interesse for overføring av personopplysninger mot betaling

Domstolen minnet først på at om man behandler personopplysninger uten samtykke, så må grunnlaget tolkes strengt/restriktivt. Det er behandlingsansvarlig som har bevisbyrden for at behandlingen er lovlig innenfor behandlingsgrunnlaget, i henhold til artikkel 5(1)(a).

Det aktuelle behandlingsgrunnlaget i denne saken er artikkel 6(1), og herunder bokstav f som lyder:

(…) Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt: (…)

f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger (…).

Som det følger av tidligere avgjørelser fra EU-domstolen, så gjelder det tre vilkår som alle må være oppfylt for at behandlingen av personopplysninger skal være lovlig: (1) Det foreligger en berettiget interesse for den behandlingsansvarlige eller for en tredjepart, (2) behovet for å behandle personopplysninger er i henhold til formålet med de berettigede interessene, og (3) interessene eller de grunnleggende frihetene og rettighetene (dvs. personvernet) til de registrerte går ikke foran de berettigede interessene.

Hva gjelder det første vilkåret så finnes det ingen definisjon av «berettiget interesse» så vil et bredt spekter av interesser være egnet til å anses som legitime. Det følger også av fortalepunkt 47 at det kreves det heller ikke at interessene følger av lov, som ved at fortalepunktet bruker direkte markedsføring som eksempel på berettiget interesse.

47. De berettigede interessene til en behandlingsansvarlig, herunder de berettigede interessene til en behandlingsansvarlig som personopplysninger kan utleveres til, eller til en tredjepart, kan utgjøre et rettslig grunnlag for behandlingen, forutsatt at den registrertes interesser eller grunnleggende rettigheter og friheter ikke går foran, idet det tas hensyn til de registrertes rimelige forventninger på grunnlag av forholdet mellom dem og den behandlingsansvarlige. Det kan f.eks. foreligge en slik berettiget interesse når det er et relevant og passende forhold mellom den registrerte og den behandlingsansvarlige, f.eks. dersom den registrerte er kunde av den behandlingsansvarlige eller i vedkommendes tjeneste. (…)

For vilkåret om at behovet for behandling av personopplysningene er i henhold til formålet med de berettigede interessene for den behandlingsansvarlige, så er det et krav om at interessene kan ikke rimeligvis oppnås like effektiv med andre midler som er mindre inngripende i de registrertes personvern. I denne sammenheng bør man se hen til kravet om dataminimering etter artikkel 5(1)(c) ved at personopplysningene som behandles skal «være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».

For det tredje vilkåret om at personvernet til de registrerte ikke må gå foran den behandlingsansvarliges berettigede interesser, så må hensynet til personvernet vurderes mot de berettigede interessene etter forholdene i den konkrete saken. Her følger det av fortalepunkt 47 at interessene og personvernet for de registrerte kan spesielt gå foran de berettigede interessene dersom personopplysninger behandles på måte som de registrerte ikke med rimelighet kan forvente på tidspunkt for innsamling av opplysningene.

47. (…) En berettiget interesse krever i alle tilfeller en nøye vurdering, herunder av om en registrert på tidspunktet for og i forbindelse med innsamling av personopplysninger med rimelighet kan forvente at disse behandles for nevnte formål. Den registrertes interesser og grunnleggende rettigheter kan særlig gå foran den behandlingsansvarliges interesser dersom personopplysningene behandles under omstendigheter der de registrerte med rimelighet forventer at opplysningene ikke viderebehandles. (…) Behandling av personopplysninger i forbindelse med direkte markedsføring kan anses for å være en berettiget interesse.

I denne saken er de berettigede interessene for behandlingsansvarlig (KNBLT) kommersielle interesser ved at for at mottakeren av opplysningene skal kunne annonsere og markedsføre, og sende tilbud, overfor organisasjonens medlemmer. I tidligere saker har domstolen kommet til at kommersielle interesser kan være berettigede under artikkel 6(1)(f), forutsatt at dette er i overensstemmelse med lov.

I denne saken mente domstolen også at kommersielle interesser kan være berettigede, herunder markedsføring og salg.

48 In that regard, the Court has not ruled out the possibility that a commercial interest of the controller which consists in the promotion and sale of advertising space for marketing purposes may be regarded as a legitimate interest within the meaning of point (f) of the first subparagraph of Article 6(1) of the GDPR (…).

Men det må vurderes konkret for den enkelte sak om det foreligger en berettiget interesse, og det er av betydning om den behandlingsansvarlige har overholdt de øvrige bestemmelser i GDPR.

50 Where such an interest is regarded as legitimate, it is also necessary, in order for the pursuit of that interest to allow the processing of personal data pursuant to point (f) of the first subparagraph of Article 6(1) of the GDPR, that the controller comply with all its other obligations under that regulation. (…)

Siden det er et krav om at de berettigende interessene ikke kan rimeligvis oppnås like effektiv med andre midler som er mindre inngripende i personvernet, så mener domstolen de organisasjonen kunne informert medlemmene før overføringen og forespurt om de ønsker at deres opplysninger overføres til tredjeparter for annonsering og markedsføringsformål.

51      (…) as regards the condition that such processing be necessary for the purposes of that interest and, in particular, the existence of means that are less restrictive of the fundamental rights and freedoms of data subjects and equally appropriate, it must be stated that it would, in particular, be possible for a sports federation such as the KNLTB, wishing to disclose its members’ personal data to third parties for consideration, to inform its members beforehand and to ask them whether they want their data to be transmitted to those third parties for advertising or marketing purposes.

Dette ville gitt medlemmene mulighet – i henhold til dataminimeringsprinsippet – til å ha kontroll over sine egne personopplysninger og overføring av disse.

52      That solution would make it possible for the members concerned, in accordance with the data minimisation principle referred to in paragraph 43 of the present judgment, to retain control over the disclosure of their personal data and thus to limit the disclosure of those data to what is in fact necessary and relevant in relation to the purposes for which those data are transmitted and processed (…)

Dette vil gi et mindre inngrep i retten til konfidensialitet over de registrertes personopplysninger, og allikevel vil gi behandlingsansvarlig en mulighet – like effektivt – å følge de berettigede interessene.

53      A procedure such as that described in the preceding paragraph of the present judgment may involve the least intrusion in the right to protection of the confidentiality of the data subject’s personal data, whilst allowing the controller to pursue, in an equally efficient manner, the legitimate interest on which it relies (…)

Hva gjelder vurdering av forholdet mellom personvernet til de registrerte og de berettigede interessene for behandlingsansvarlig, må det også hensyntas omfanget av behandlingen og hvilke virkninger har på den enkelte registrert.

I tillegg, som nevnt, har de rimelige forventningene som de registrerte hadde ved innsamling av personopplysningene, som da var ved registrering i den enkelte tennisklubb betydning for vurderingen, om opplysningene skulle brukes til annonsering og markedsføring, betydning.

Opplysningene skal også overføres til tredjeparter som ikke har medfører et åpenbart forhold mellom de registrerte og behandlingsansvarlig, og domstolen er også kritisk til overføring til gambling-selskap siden det kan eksponere medlemmene for risiko knyttet til spillavhengighet.

Basert på ovennevnte fant domstolen at overføring av personopplysning om medlemmer i en sportsorganisasjon for kommersielle interesser kan bli ansett som å være berettiget, men under den forutsetning at behandlingen (dvs. overføringen) er strengt nødvendig for den behandlingsansvarliges berettigede interesser i den individuelle sak om de registreres personvern ikke må gå foran disse interessene. Selv om det ikke kreves at slike interesser følger av lov, må de berettigede interessene være lovlige.

Kurs for smu00e5 og mellomstore bedrifter