Vejledning om kontrakter som behandlingsgrundlag sendt i høring
Det Europæiske Databeskyttelsesråd har sendt deres vejledning om kontrakter i forbindelse med levering af online-tjenester til de registrerede som behandlingsgrundlag i offentlig høring.
Indtil den 24. maj er der mulighed for at kommentere på Det Europæiske Databeskyttelsesråds (EDPB) vejledning 2/2019 om behandling af oplysninger under Databeskyttelsesforordningens (GDPR) artikel 6, stk. 1, litra b. Vejledningen omhandler brugen af kontrakten med den registrerede som behandlingsgrundlag i forbindelse med levering af online-tjenester, eksempelvis i form af sociale medier, e-handel, bestilling af rejser, kommunikation mv.
EDPB fastslår i sin vejledning, at persondata skal behandles i overensstemmelse med både GDPR, og den Europæiske Unions Charter om Grundlæggende Rettigheders artikel 8, hvorefter persondata skal behandles rimeligt, til udtrykkeligt angivne formål, og på grundlag af de berørte personers samtykke eller på et andet, berettiget ved lov, fastsat grundlag.
GDPR artikel 6, stk. 1 angiver en række mulige behandlingsgrundlag. Ved valget af behandlingsgrundlag angiver EDPB, at den dataansvarlige skal tage hensyn til den betydning, valget af behandlingsgrundlaget har for den registreredes rettigheder, så det respekterer rimelighedsprincippet.
Det fremgår af artikel 6, stk. 1, at behandling kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f gør sig gældende. Litra b lyder således:
”Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.”
Selvom den dataansvarlige har et behandlingsgrundlag, fritager det ikke vedkommende for at overholde de øvrige krav i GDPR, herunder artikel 5, der fastslår, at persondata skal behandles på en lovlig, rimelig og gennemsigtig måde, ligesom persondata skal behandles i overensstemmelse med principperne om formålsbegrænsning og dataminimering. Principperne er især relevante i forbindelse med kontrakter for online-tjenester, der typisk ikke forhandles på individuelt niveau.
Den teknologiske udvikling gør det muligt for dataansvarlige at indsamle og behandle langt flere persondata end tidligere, og der er efter EDPBs mening en alvorlig risiko for, at dataansvarlige søger at inkludere generelle behandlingsbetingelser i kontrakterne (for brug af tjenesten) for at indsamle flest mulige data under behandlingsgrundlaget i artikel 6, stk. 1, litra b, uden tilsvarende at specificere formålene hermed, eller respektere princippet om dataminimering.
En række online-tjenester kan anvendes uden brugerens betaling, og tjenesterne finansieres således typisk ved salg af brugernes online adfærd, der giver mulighed for at målrette markedsføring til den registrerede. Sporingen af brugeres opførsel på internettet til sådant markedsføringsbrug udføres ofte på en måde, så brugeren ikke er klar over, at sporingen finder sted, og det er ikke nødvendigvis tydeligt for brugeren, at den type tjeneste der anvendes, medfører en sådan sporing. Dette gør det praktisk taget umuligt for den registrerede at føre nogen form for kontrol over brugen af deres data.
Blot fordi behandlingsbetingelserne medtages i kontrakten – altså eksempelvis en tjenesteudbyder, der skriver behandlingen af persondata ind i betingelserne for brugen af tjenesten – er dette ikke ensbetydende med, at artikel 6, stk. 1, litra b, kan anvendes som behandlingsgrundlag for indsamlingen af alle de persondata, der måtte være skrevet ind i kontrakten. Behandlingsgrundlaget vedrører kun nødvendige oplysninger. Derudover skal det være tydeligt for brugeren, hvilken behandling der sker af dennes persondata, samt hvilke persondata der behandles af den dataansvarlige.
Artikel 6, stk. 1, litra b og nødvendigheden af persondata
Ved brugen af GDPR artikel 6, stk. 1 litra b, som behandlingsgrundlag, er det vigtigt at være opmærksom på, at behandlingen af data skal være i begge parters interesse – både den dataansvarliges og den registreredes.
Ifølge EDPB er et af kriterierne for anvendelsen af litra b, at de oplysninger, der behandles på baggrund af dette grundlag, objektivt set er nødvendige for at kunne opfylde en kontrakt, som den registrerede er part i.
Hvad der er nødvendigt for opfyldelse af en kontrakt, er dermed ikke det samme som, hvad der er muliggjort for den dataansvarlige eller skrevet ind i betingelserne eller kontrakten. Den dataansvarlige kan derfor ikke selv bestemme, hvad der er nødvendigt til brug for levering af tjenesten i den forstand, uanset at det er belejligt for den dataansvarlige at indsamle dataene.
Hvis kontrakten realistisk set kan opfyldes på en mindre indgribende måde over for den registrerede, dvs. der kun behøver at ske behandling af persondata i et mindre omfang, end det der reelt sker eller fremgår af betingelserne eller kontrakten, er behandlingen ikke nødvendig. Hvis behandlingen i henhold til kontrakten kan udføres uden indsamlingen af data, så er disse data ikke nødvendige for opfyldelse af kontrakten.
Artikel 6, stk. 1, litra b kan aldrig anvendes som behandlingsgrundlag for persondata, der er nyttige for den dataansvarlige, men som ikke er nødvendige for opfyldelse af kontrakten, heller ikke selvom dataene er nødvendige for den dataansvarliges øvrige forretningsformål.
En nødvendig behandling kan eksempelvis være i tilfælde af, at det kræver betaling at anvende en online-tjeneste, så vil det være nødvendigt for den dataansvarlige at behandle oplysninger om betalingsdetaljer om den registrerede.
Brugen af artikel 6, stk. 1, litra b i specifikke situationer
Hvis der sker behandling af persondata i form af indsamling af detaljerede oplysninger om, hvordan brugere af en online-tjeneste anvender tjenesten, sker dette ofte med det formål ”at forbedre tjenesten”, ”udvikle nye services til tjenesten” og lignende. Indsamling til brug for sådanne formål kan ifølge EDPBs vurdering ikke anses for at være nødvendige for opfyldelse af en kontrakt.
På samme måde kan eksempelvis indsamling og behandling af data med det formål at forhindre svindel og lignende indebære overvågning og profilering af brugere, hvilket sandsynligvis vil gå videre end, hvad der er nødvendigt for opfyldelsen af en kontrakt.
Reklamer baseret på online adfærd og dertil hørende sporing og profilering af datasubjekter anvendes ofte til at finansiere online-tjenester, men EDPB udtaler, at kontraktlig nødvendighed ikke kan anvendes som behandlingsgrundlag herfor, fordi det ikke er nødvendigt at udføre profilering for at kunne levere selve tjenesten.
Hvis artikel 6, stk. 1, litra b ikke kan bruges som behandlingsgrundlag
Blot fordi artikel 6, stk. 1, litra b ikke altid kan anvendes som behandlingsgrundlag, er det ikke ensbetydende med, at indsamlingen og behandlingen af persondata ikke kan foretages på lovlig vis, eksempelvis profilering mv. Det betyder blot, at den dataansvarlige skal finde et andet behandlingsgrundlag i artikel 6, stk. 1.
Et andet behandlingsgrundlag kan eksempelvis være samtykke, jf. artikel 6, stk. 1, litra a. Her skal det dog erindres, at der stilles specifikke krav til et samtykke i databeskyttelsesretlig forstand, ligesom der er krav til samtykke i markedsføringsretlig forstand.
EDPBs vejledning er relevant i forbindelse med mange typer online-tjenester, forudsat at behandlingsgrundlaget i artikel 6, stk. 1, litra b anvendes. Den dataansvarlige skal dog også holde sig for øje, at anden lovgivning såsom inden for forbrugerbeskyttelse, konkurrenceret, kontraktsret mv. stadig skal tages i betragtning.