Generaladvokaten: GDPR-överträdelser kan vara brott mot konkurrensrätten

Nationella konkurrensmyndigheter kan ha rätt att pröva om ett företag har missbrukat sin dominerande marknadsställning genom överträdelser av dataskyddsförordningen (GDPR). Det konstaterar EU-domstolens generaladvokat Athanasios Rantos i ett nytt förslag till avgörande (mål C-252/21). Enligt generaladvokaten ska GDPR:s krav på frivilligt samtycke från registrerade också tolkas med hänsyn till om ett företag har en dominerade marknadsställning.

Målet i EU-domstolen har sin bakgrund i ett beslut från 2019 av den tyska konkurrensmyndigheten (Bundeskartellamt). I beslutet fastslog myndigheten att Meta Platforms, tidigare Facebook Inc, genom datainsamling och behandling av personuppgifter via bolagets sociala medie-plattformar (bland annat Facebook och Instagram) har hanterat användarnas uppgifter i strid med dataskyddsförordningen.

Konkurrensmyndigheten förelade Meta Platforms att upphöra med den aktuella behandlingen. Som skäl angav myndigheten att Meta Platforms behandling utgjorde ett missbruk av bolagets dominerade ställning på marknaden för sociala onlinenätverk enligt konkurrenslagstiftningen.

Beslutet kom att överklagas till Regionöverdomstolen i Düsseldorf, som i sin tur begärde ett förhandsavgörande från EU-domstolen. Tolkningsfrågorna till EU-domstolen gäller bland annat om en nationell konkurrensmyndighet har behörighet att granska och bedöma ett företags efterlevnad av GDPR, och hur förordningens krav på frivilligt samtycke från registrerade ska tolkas när den personuppgiftsansvarige har en dominerande marknadsställning.

Nu har generaladvokat Athanasios Rantos lämnat sitt förslag till avgörande i målet. Generaladvokatens förslag till avgöranden är inte bindande för EU-domstolen, men förslaget kan vara en indikation på hur det slutliga avgörandet kommer att formuleras.

Brott mot GDPR kan vara missbruk av dominerande ställning

Enligt generaladvokatens förslag till avgörande, som publicerades den 20 september, är det förenligt med behörigheten för en nationell konkurrensmyndighet – inom ramen för en bedömning om ett visst beteende strider mot konkurrensrätten – att även pröva och fatta beslut om ett beteende strider mot GDPR.

Brister i efterlevnaden av GDPR kan nämligen, enligt generaladvokaten, med hänsyn till omständigheterna vara ett tydligt tecken på att beteendet utgör ett brott mot konkurrensrättens förbud mot missbruk av dominerande ställning.

I sitt förslag betonar dock generaladvokaten att konkurrensmyndigheten, inom ramen för sin tillsyn, behöver beakta de uppgifter och befogenheter som tillkommer den nationella dataskyddsmyndigheten. Konkurrensmyndigheten förutsätts bland annat informera och samråda med dataskyddsmyndigheten och ta hänsyn till dataskyddsmyndighetens eventuella beslut och utredningar. Konkurrensmyndighetens agerande får inte, framhåller generaladvokaten, påverka dataskyddsmyndighetens befogenheter enligt GDPR.

Frivilliga samtycken till en dominerande aktör?

När det gäller möjligheterna att inhämta de registrerades samtycke till personuppgiftsbehandlingen konstaterar generaladvokaten att det inte nödvändigtvis ska betraktas som uteslutet för aktörer med dominerande marknadsställning att utverka ett giltigt samtycke enligt GDPR.

Att den personuppgiftsansvarige har en dominerande ställning har dock betydelse vid bedömningen om samtycket ska anses frivilligt.  Generaladvokaten skriver (punkt 72-73):

Enligt artikel 4 led 11 i dataskyddsförordningen betyder samtycke av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

När det närmare bestämt gäller villkoret om frivilligt samtycke […] framhåller jag att samtycke enligt skäl 42 i dataskyddsförordningen inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

Generaladvokaten anser att frågan om frivillighet måste bedömas i varje enskilt fall – med beaktande av den personuppgiftsansvariges marknadsställning. Vid bedömningen ska det, enligt generaladvokaten, dels åligga den dominerande aktören (den personuppgiftsansvarige) att visa att samtycket är frivilligt, dels beaktas att det kan finnas en uppenbar obalans i styrkeförhållandet mellan de registrerade och den dominerande aktören.

Avsikt att behandla känsliga personuppgifter inte förutsättning för ansvar

I anledning av de frågor som ställts av den tyska domstolen berör generaladvokaten även ett antal ytterligare dataskyddsfrågor – bland annat frågor om behandling av känsliga personuppgifter.

Generaladvokaten framhåller att sådan storskalig behandling av uppgifter som Meta Platforms ägnar sig åt, genom att uppgifter om användarna inhämtas via både olika sociala medie-tjänster och andra webbplatser och appar, kan strida mot GDPR:s förbud mot behandling av känsliga personuppgifter (artikel 9.1).

Enligt generaladvokaten aktualiseras förbudet om de insamlade uppgifterna möjliggör för operatören av ett socialt onlinenätverk att profilera användarna utifrån sådana kategorier som förordningen definierar som känsliga personuppgifter (bland annat uppgifter om hälsa, politiska åsikter och enskildas sexualliv eller sexuella läggning).

Huruvida operatören haft för avsikt att få fram känsliga uppgifter, eller faktiskt kategoriserat individer utifrån känsliga personuppgifter, saknar enligt generaladvokaten avgörande betydelse.

Besök och ”klick” på webbplats innebär inte ”offentliggörande” av känsliga personuppgifter

Generaladvokaten lämnar också anvisningar om i vilken utsträckning en personuppgiftsansvarig kan grunda sin behandling av känsliga personuppgifter på de registrerades beteenden på internet. Frågan knyter an till att GDPR tillåter behandling av känsliga personuppgifter i den utsträckning uppgifterna har offentliggjorts på ett tydligt sätt av den registrerade (artikel 9.2 (e)).

Generaladvokaten understryker att den registrerade måste vara medveten om vilken specifik åtgärd eller handling som medför ett offentliggörande av känsliga personuppgifter för att undantaget ska vara tillämpligt. I det hänseendet konstaterar generaladvokaten att ett relevant offentliggörande inte kan anses ske genom att en registrerad anger eller fyller i uppgifter vid besök på webbplatser och appar.

Generaladvokatens förslag till avgörande i mål C-252/21 är tillgängligt i sin helhet här.

Om du har frågor om dataskyddsförordningen eller konkurrensrätten, är du välkommen att kontakta
Esa Kymäläinen, advokat och partner, eller Firel Danho, biträdande jurist, på TIME DANOWSKY Advokatbyrå.