”Berättigat intresse”

ej laglig grund för att lämna ut personuppgifter till sponsorer

Lena Seratelius, Advokatfirman ReklamJuridik, reder ut begreppen

Holländska dataskyddsmyndigheten (Autoriteit Persoonsgegens), AP, har beslutat att ålägga det holländska tennisförbundet, KNLTB, böter på Euro 525 000 för att ha lämnat ut sina medlemmars personuppgifter till två av sina sponsorer, vilka sedan använt uppgifterna i egen marknadsföring. Tennisförbundet har bl a angivit ”berättigat intresse” som laglig grund för utlämnandet av personuppgifterna.

Bakgrund
KNLTB behandlar medlemmars personuppgifter för olika ändamål, varav ett är att kunna genomföra medlemsavtalet. I bolagsordningen från 2005 anges bl a ändamålen att främja utövandet av tennis, att utveckla tennissporten i Holland samt att kunna lämna uppgifterna vidare till tredje part (men utan ange vilken denne tredje part kan vara eller hur uppgifterna kan användas av denne).

2007 definierade KNLTB ett nytt ändamål, nämligen att generera inkomster genom att lämna ut sina medlemmars personuppgifter till sponsorer för användning i marknadsföring. AP delar upp sin bedömning på två olika situationer; de som blev medlemmar innan
2007 och de som blev det efter 2007.

Medlemmar före 2007
Vid tidpunkten då personuppgifterna samlades in hade medlemmar inte informerats om att dessa skulle kunna lämnas vidare till sponsorer.

KNLTB menar att det ursprungliga ändamålet och syftet med den fortsatta behandlingen är nära besläktade och i linje med varandra, eftersom syftet är att ge bästa möjliga mervärde för medlemmarna. Vidare, att medlemmarna bör kunna förvänta sig att deras personuppgifter också kan komma att tillhandahållas sponsorer för marknadsföringsaktiviteter, för att generera inkomst till förbundet.

AP anger att om ändamålet med vidare behandling av personuppgifter är förenligt med ett av de ursprungliga ändamålen, krävs ingen separat rättslig grund. Vidare behandling är då inte olaglig, förutsatt att det nya ändamålet överensstämmer med det ursprungliga (se ändamålsbegränsningsprincipen, artikel 5 1 b) GDPR).

AP finner att för medlemmar som anslöt sig före 2007 är den vidare behandlingen för att generera inkomst inte förenlig med det ursprungliga ändamålet, bl a på grund av att tillhandahållande av personuppgifter till förbundets sponsorer inte ligger i linje med vad medlemmarna rimligen kan förvänta sig. Detta också med hänsyn till att KNLTB är en ideell organisation och att medlemmarna inte kan förvänta sig att uppgifterna kan komma att användas av sponsorer med kommersiella motiv. Även om medlemmarna informerats om den aktuella användningen av personuppgifterna och att de kunnat motsätta sig behandlingen, så lämnades informationen först efter
det att personuppgifterna hade samlats in.

Medlemmar efter 2007
För dessa medlemmar antogs ändamålet att generera mer inkomster genom att tillhandahålla personuppgifter till sponsorer vara känt. Vad gäller den lagliga grunden för behandlingen, menar KNLTB att man haft ett berättigat intresse att tillhandahålla uppgifterna till sponsorerna. Enligt artikel 6 f) GDPR som KNLTB alltså anger som laglig grund, är behandlingen av personuppgifter laglig om den är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

I beslutet säger AP att ett ”berättigat intresse” endast är motiverat om intresset kan specificeras i lag eller rättslig princip. AP anser att ett rent kommersiellt intresse, såsom att ge mervärde för medlemskapet genom att generera (extra) inkomster, inte i sig kan betraktas som ett legitimt intresse.

Beslut
AP anser att KNLTB:s ifrågavarande behandling av medlemmarnas personuppgifter är olaglig, eftersom samtycke inte har inhämtats.

KNLTB har överklagat beslutet.

Avslutande kommentarer
Datainspektionerna i Europa arbetar för en ökad samsyn, varför en myndighets bedömning kan påverka hur myndigheter i andra länder bedömer ett motsvarande ärende. Om beslutet står sig och svenska Datainspektionen skulle göra samma bedömning i ett motsvarande ärende, får det konsekvenser för såväl rättighetsinnehavare som sponsorer.

Föreningar bör se över sina stadgar för att säkerställa att ändamålen med behandling av personuppgifter är tillräckligt tydligt specificerade och för det fall ändamålen för ytterligare behandling har ändrats över tid, kontrollera att de överensstämmer med
de ursprungliga ändamålen. Att lämna ut medlemmars personuppgifter till sponsorer baserat på berättigat intresse kan visa sig vara olagligt, varför samtycke kan krävas som laglig grund.

Rättighetsinnehavare bör också se över sina sponsoravtal för att säkerställa att man beträffande medlemmars personuppgifter inte lovar sina samarbetspartners mer än man kan hålla.

Lena Seratelius
Advokatfirman ReklamJuridik