Överlappningen mellan dataskydd och marknadsrätt

Dataskyddsförordningens tillämpning på marknads­föring och marknadsrättens tillämpning på kommersiell personuppgiftsbehandling

 

 

Av lektor HAJO MICHAEL HOLTZ och postdoktor JONAS LEDENDAL

 

Digitaliseringen gör det möjligt för näringsidkare att utveckla nya affärs­modeller, upptäcka nya marknader och att rationalisera sina verksamheter. En viktig aspekt i denna utveckling utgör att samla in, behandla och på olika sätt utnyttja personuppgifter av såväl befintliga som presumtiva kunder. Av den anledningen existerar ett naturligt samband mellan personuppgifter och näringsverksamhet och från ett juridiskt perspektiv en överlappning mellan rättsområdena dataskydd och marknadsrätt. Den här artikeln analyserar denna överlappning närmare. I artikeln görs en undersökning av såväl data­skyddsförordningens tillämpning på olika marknadsföringsåtgärder som mark­­nads­rättens tillämpning på kommersiella personuppgiftsbehandlingar.

 

1  Inledning

Uppgifter som avser en identifierad eller identifierbar fysisk person, med andra ord personuppgifter, har ett betydande ekonomiskt värde, utgör oljan i den nya datadrivna ekonomin och kontrollen över en stor mängd personuppgifter kan medföra en konkurrensfördel.^[1] De flesta kommersiella aktörerna behandlar individers personuppgifter och detta ofta i syfte att effektivisera marknadsföringen av sina varor eller tjänster. Exempel på konkreta marknadsföringsåtgärder som kan inne­bära behandling av personuppgifter är datasystem för kund­re­gister (CRM-system), olika former av direktmarknadsföring, per­sonali­serad reklam online eller handel med adresslistor för marknads­förings­ändamål. Datadrivna affärsstrukturer såsom onlineplattformar är dess­utom helt dominerande i den digitala miljön och en analys, behand­ling och försäljning av uppgifter om konsumentpreferenser och annat an­vändargenererat innehåll utgör tillsammans med reklam deras främsta intäktskälla.^[2] Sedan den 25 maj 2018 bildar förordningen (EU) 2016/679, den s.k. allmänna dataskyddsförordningen eller General Data Protection Regulation (”GDPR”),^[3] den rättsliga ramen för alla åtgärder och strukturer som inbegriper behandling av personuppgift. Data­skydds­förordningen ingår i Europeiska unionens strategi för den digi­tala inre marknaden och ska i det sammanhanget bl.a. säkerställa den fria rörligheten för personuppgifter i unionen.^[4] Syftet med data­skydds­reglering är generellt att upprätthålla en jämnvikt mellan det fria flödet av personuppgifter och rätten till skydd av personuppgifter och respekt för privatlivet.^[5] Därför kan personuppgiftsbehandlingar också ses som en marknadsrättslig fråga, framför allt i den mån dessa ingår i mark­nads­föringsåtgärder.^[6] Det existerar således en överlapp­ning mellan data­­skydd och marknadsrätt i den meningen att data­skydds­lagstiftning kan vara tillämplig på marknadsföring, samtidigt som marknadsrätts­liga regler kan gälla i samband med en kommersiell behandling av person­uppgifter. Denna överlappning existerar närm­are bestämt mellan dataskyddsförordningen å ena sidan och å andra sidan direktiv 2005/29/EG om otillbörliga affärsmetoder med hänsyn till person­upp­gifts­behandlingar inom ramen för marknadsförings­åtgärder, direk­tiv 2002/58/EG i fråga om icke begärd kommunikation och använd­ning­en av cookies samt direktiv 93/13/EEG om oskäliga avtalsvillkor vad gäller dataskyddsklausuler i allmänna villkor.^[7] För svensk del hand­lar frågan om förhållandet mellan förordningen och de nationella lagar som hittills implementerar de nämnda EU-direktiven.

Syftet med den här artikeln är att förtydliga förhållandet mellan rättsområdena dataskydd och marknadsrätt samt att undersöka deras ömsesidiga påverkan. Artikeln är upplagd på så sätt att det först görs en undersökning av dataskyddsförordningens tillämpning på marknadsföringsåtgärder som kan inbegripa behandling av personuppgifter, inklusive en analys av konkreta exempel. Sedan undersöks hur marknadsrättslig lagstiftning kan tillämpas på personuppgiftsbehandlingar. Sådan marknadsrättslig lagstiftning är lagen om avtalsvillkor i konsumentförhållanden (AVLK) vad gäller dataskyddsklausuler i allmänna villkor, samt marknadsföringslagen (MFL) med hänsyn till den generella frågan huruvida kommersiella personuppgiftsbehandlingar i strid med dataskyddsförordningen kan utgöra en otillbörlig affärsmetod. Då förordningen tillhandahåller ett eget sanktionssystem avrundas undersökningen med en diskussion om en möjlig spärrverkan av dataskyddsförordningen för det marknadsrättsliga sanktionssystemet. Avslutningsvis sammanfattas de huvudsakliga slutsatserna.

 

2  Dataskydd och marknadsföring

Personuppgiftsbehandlingar som utförs av kommersiella aktörer kan ha olika syften, exempelvis att fullgöra avtal med registrerade, såsom in­om e-handeln, eller att fullgöra rättsliga förpliktelser som åvilar den ansvarige, såsom på det arbetsrättsliga området. Det kan antas att många personuppgiftsbehandlingar i kommersiella sammanhang ut­förs för ändamål som på det ena eller andra sättet rör marknads­föring av varor eller tjänster. EU:s dataskyddsförordning är i princip tillämplig på all behandling av personuppgifter, vilket innefattar be­handling för marknadsföringsändamål. När behandling sker för detta ändamål gäl­ler dock särskilda krav, bl.a. beträffande den registrerades rätt att mot­sätta sig behandlingen, jfr artikel 21.2 i dataskydds­för­ord­ningen. I den här artikeln används begreppet ”marknadsföring” i be­ty­del­sen reklam och andra åtgärder i näringsverksamhet som är ägnade att främja av­sätt­ningen av varor eller tjänster, det vill säga såsom detta begrepp definierats i 3 § MFL.^[8] I det följande avsnittet undersöks data­skydds­­förordningens tillämpning på personuppgiftsbehandlingar i sam­­band med marknadsföring, framför allt vad gäller tillämpningen av de grund­­läggande principerna i artikel 5 samt rättslig grund i artikel 6 i dataskyddsförordningen. En analys görs även av några konkreta mark­nadsföringsåtgärder.

 

2.1  Grundläggande principer

All behandling av personuppgifter måste, oavsett om det sker för marknadsföringsändamål eller något annat syfte, uppfylla de allmänna krav som föreskrivs i artikel 5 i dataskyddsförordningen (grundläggande principer om dataskydd). Förordningen innehåller emellertid vissa lätt­nader för behandling som sker för särskilda ändamål såsom arkivändamål, vetenskaplig forskning och statistik.^[9] Medlemsstaterna har också ett visst utrymme att i sin nationella rätt införa andra lättnader, bl.a. när det är påkallat av allmänintresse.^[10] Det torde dock inte vara möjligt att införa några sådana nationella undantag för marknadsföringsändamål. Nedan behandlas i första hand principerna om laglighet, korrekthet, öppenhet, ändamålsbegränsning samt principen om uppgifts- och lagringsminimering, men behandlingen ska tillika överensstämma med övriga principer, såsom kravet på uppgifternas riktighet samt integritet och konfidentialitet.

2.1.1  Principen om laglighet

Personuppgiftsbehandling, oavsett om det sker för marknadsförings­ändamål eller något annat syfte, måste uppfylla kravet på laglighet i artikel 5.1 a i dataskyddsförordningen. Principen om laglighet innebär att behandlingen måste grundas på den registrerades samtycke eller någon annan rättslig grund som räknas upp i artikel 6.1 i förordningen. Det kan diskuteras huruvida principen om laglighet i dataskydds­för­ordningen ska tolkas som ett generellt krav på att behandlingen ska vara laglig, det vill säga att den inte får strida mot någon annan lag­stiftning, även utanför dataskyddsområdet. Ett sådant generellt krav på laglighet ställs nämligen inom marknadsrätten. Marknadsföring som står i strid med annan lagstiftning än själva marknadsföringslagen har enligt svensk rättspraxis ansetts otillbörlig enligt den s.k. lagstridighets­principen.^[11] Det har redan tidigare varit oklart om principen om lag­lighet i dataskyddsrätten skulle ha en sådan omfattande innebörd.^[12] Mycket tyder på att kravet på laglighet skiljer sig åt mellan dataskydds­rätten och marknadsrätten, även vid tillämpningen av dataskyddsför­ordningen. I dataskyddsrätten innebär principen om laglighet ett krav på att behandlingen är laglig enbart om den är tillåten i lag (förbud med tillståndsreservation), medan lagstridighetsprincipen i marknads­rätten innebär att marknadsföring är laglig såvida den inte strider mot lagstiftning (tillstånd med förbudsreservation). Det betyder att en behandling av personuppgifter bör vara laglig om den tillåts av själva dataskyddslagstiftningen. Den dataskyddsrättsliga principen om laglig­het kan därför inte ha någon självständig betydelse utan måste förstås som en hänvisning till de rättsliga grunderna i artikel 6.1 i dataskydds­förordningen.^[13] En extensiv tolkning av laglighetsprincipen i data­skydds­­rätten skulle dock teoretiskt vara möjlig.^[14] Ett mer långtgående krav på laglighet skulle utöver detta också kunna läsas in i principerna om korrekthet och ändamålsbegränsning, se mer i de följande av­snitten.

 

2.1.2  Principerna om korrekthet och öppenhet

Det är inte tillräckligt att behandlingen är laglig. Den måste enligt artikel 5.1 a i dataskyddsförordningen tillika vara korrekt och öppen i förhållande till den registrerade. Det framgår dessutom av artiklarna 13 och 14 i förordningen att skyldigheten att lämna information till den registrerade ska säkerställa att behandlingen är både ”rättvis och öppen”.^[15] Jämfört med principen om laglighet har korrekthetsprincipen en ännu otydligare innebörd. Med termen ”korrekt” i svenska språket avses i första hand att något är riktigt. Det är så termen normalt används i lagspråket. Eftersom det redan finns en princip om riktighet i förordningen är det däremot uppenbart att ”korrekthet” i artikel 5.1 a inte avser uppgifternas kvalitet, utan rör hur den personuppgiftsansvarige ska uppträda i förhållande till den registrerade.^[16] Det framgår på samma sätt vid en jämförelse med andra språkversioner att ”korrekthet” syftar på att behandlingen ska vara skälig eller rättvis mot den registrerade.^[17] Enligt förarbeten till den svenska dataskyddslagen kan termen ”korrekt” i artikel 5.1 a tolkas som ”i enlighet med god tro”, vilket betyder att en intresseavvägning ska göras. I det enskilda fallet kan det således vara oförenligt med principen om korrekthet att vidta en viss behandlingsåtgärd om behandlingen skulle vara oskälig eller otillbörlig i förhållande till den registrerade.^[18] Sådana regler om oskälighet respektive otillbörlighet finns särskilt inom marknadsrätten, närmare bestämt i form av AVLK samt MFL. Det konstateras redan explicit i skäl 42 i dataskyddsförordningen att i förväg formulerade förklaringar om samtycke inte får innehålla oskäliga villkor i den mening som avses i direktiv 93/13/EEG.^[19] Marknadsföringslagen å sin sida innehåller generella bestämmelser som tar sikte på näringsidkares beteende i förhållande till konsumenter som samtidigt kan vara registrerade. Det är därför inte uteslutet att personuppgifter som behandlas inom ramen för bl.a. en vilseledande affärsmetod vilken strider mot MFL inte kan anses ha behandlats på ett korrekt sätt enligt dataskyddsförordningen. En sådan tolkning verkar göras av Europeiska dataskyddsstyrelsen vad gäller avtalsrätten, inklusive konsumentskyddslagstiftning på det avtalsrättsliga området.^[20] Det har till och med hävdats att principen om korrekthet kan innebära ett krav på att personuppgifter ska behandlas på ett etiskt sätt.^[21] Det är med inspiration från marknadsrätten därför eventuellt möjligt att tala om att EU:s dataskyddsrätt innehåller ett krav på att all behandling av personuppgifter förutom att vara laglig också ska överensstämma med god sed för dataskydd.^[22] Vid en sådan tolkning skapar principerna i artikel 5.1 a tydliga samband mellan rättsområdena dataskydd och marknadsrätt och kan möjliggöra en växelverkan mellan dessa.

 

2.1.3  Principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering

Behandlingar av personuppgifter i marknadsföringssyfte måste även uppfylla de andra krav som ställs på ändamålsbegränsning samt uppgifts- och lagringsminimering enligt artikel 5.1 b–c och e i dataskyddsförordningen. Med principen om ändamålsbegränsning avses att den personuppgiftsansvarige innan behandlingen påbörjas måste specificera ändamålet med denna. Om den ansvarige avser att samla in och behandla personuppgifter i marknadsföringssyfte måste detta alltså an­ges och för att uppfylla principerna om korrekthet och öppenhet klart framgå för den registrerade. Det är enligt principen om ändamålsbegränsning heller inte tillåtet att behandla personuppgifter för andra ändamål än sådana som är förenliga med det ändamål för vilket de ursprungligen samlades in. Vad som ska anses vara förenligt framgår av artikel 6.4 i förordningen. För att den nya behandlingen ska vara laglig krävs den registrerades samtycke eller någon annan rättslig grund.^[23] Även om sådan finns måste den registrerade som huvudregel informeras om det nya ändamålet, se artikel 14.4 i dataskyddsförordningen.^[24] Förutom detta föreskriver principen om ändamålsbegränsning att personuppgifter endast får behandlas för berättigade ändamål. En behandling i syfte att begå en brottslig gärning, t.ex. bedrägeri, bör inte utgöra ett berättigat intresse. Således skulle en behandling av personuppgifter som utgör ett led i marknadsföring vilken strider mot MFL också kunna vara otillåten enligt dataskyddsförordningen. En sådan tolkning har gjorts av Artikel 29-gruppen, som i sina riktlinjer uttalade att ändamålet måste överensstämma med ”other applicable laws such as employment law, contract law, consumer protection law, and so on”.^[25]

Med uppgiftsminimering avses att den personuppgiftsansvarige inte får samla in eller behandla fler personuppgifter än vad som är nödvändigt för att uppfylla syftet med behandlingen. Uppgifterna ska tillika vara adekvata och relevanta. När uppgifterna inte längre behövs ska de enligt principen om lagringsminimering dessutom raderas eller om det är möjligt anonymiseras. Principerna ska alltså säkerställa att personuppgifter varken samlas in eller lagras, om det inte är nödvändigt med hänsyn till ändamålet med behandlingen, exempelvis marknadsföring. Det är alltså inte tillåtet att samla in och lagra stora mängder personuppgifter utan att det finns ett eller flera specifika syften. Principerna står i stark kontrast till hur vissa digitala plattformar och datamäklare samlar på sig stora datamängder om internetanvändare utan att det finns ett specifikt ändamål.^[26] Dessa datamängder kommer sedan inte sällan att användas för ändamål som rör olika former av marknadsföring, såsom personaliserad reklam online.

 

2.2  Rättslig grund vid marknadsföring

För att behandlingen ska vara tillåten krävs den registrerades samtycke eller någon annan rättslig grund. Detta innebär att minst ett av villkoren i artikel 6.1 i dataskyddsförordningen måste vara uppfyllt. Behandling av personuppgifter för marknadsföringsändamål kan framför allt grundas på samtycke eller den personuppgiftsansvariges eller tredje parts berättigade intresse efter en intresseavvägning. Behandling av särskilda kategorier av personuppgifter är förvisso som huvudregel förbjuden enligt artikel 9 i förordningen, men en behandling för marknadsföringsändamål bör inte per se vara omöjlig. När den registrerade har lämnat sitt uttryckliga samtycke eller om denne på ett tydligt sätt själv har offentliggjort uppgifterna skulle en behandling av sådana uppgifter kunna vara tillåten med hänvisning till artikel 9.2 a eller e i förordningen, även i marknadsföringssyfte.

 

2.2.1  Samtycke

Den registrerades samtycke utgör en av de viktigaste rättsliga grunderna vid behandling i marknadsföringssyfte. Vad som avses med samtycke definieras i artikel 4.11 i dataskyddsförordningen. Ett samtycke ska vara specifikt, frivilligt, informerat och otvetydigt. Dataskyddsförordningen innehåller inte några specifika regler om samtycke till att personuppgifter används för ändamål som rör marknadsföring, varför kommersiella aktörer måste ta hänsyn till de allmänna kraven i artiklarna 7 och 8 i dataskyddsförordningen när behandling av personuppgifter för marknasföringsändamål grundas på samtycke.^[27] Om marknadsföringen ska stödja sig på samtycke bör ”opt-in”-lösningar generellt vara ett krav, då tystnad, på förhand ikryssade rutor eller inaktivitet enligt skäl 32 i förordningen inte utgör en ”entydig bekräftande handling” i den mening som avses i artikel 4.11.^[28] Om behandlingen bredvid andra ändamål också ska ske för marknadsföring bör det krävas separata samtycken för varje ändamål, jfr igen skäl 32. Av skäl 42 i förordningen kan dessutom utläsas att samtyckesförklaringen endast får placeras i allmänna villkor under förutsättning att förklaringen tydligt kan särskiljas från de andra frågorna i avtalet, se artikel 7.2, vilket även gäller ett samtycke till marknadsföring. Att göra genomförandet av ett avtal beroende av ett samtycke till en behandling för marknadsföringsändamål, som inte är nödvändig för genomförandet av avtalet, kan vara förbjudet enligt artikel 7.4 i dataskyddsförordningen. Detta förbud skulle kunna bli ett problem för annonsfinansierade ”gratis”-tjänster på internet, inbegripet webbsidor, där personuppgifterna idag används som betalningsmedel, men där användarna inte har en genuin valmöjlighet att vägra samtycka till att deras personuppgifter används för riktade annonser.^[29] Ett samtyckes frivillighet bör däremot inte påverkas av att den personuppgiftsansvarige utlovar ett prisavdrag på en vara eller tjänst i utbyte mot ett samtycke till att abonnera på ett nyhetsbrev eller medlemskap i en kundklubb.^[30]

Samtycke till personuppgiftsbehandlingar för marknadsföringsändamål kan också användas när den registrerade är ett barn. Vid erbjudande av informationssamhällets tjänster direkt till barn får den som minst är 13 år själv samtycka till behandlingen, se artikel 8.1 i förordningen i kombination med 2 kap. 4 § i dataskyddslagen. Vid sådana tjänster och användningen av samtycke som rättslig grund måste samtycket således inhämtas av vårdnadshavaren, om barnet är under 13 år. Begreppet ”informationssamhällets tjänster direkt till barn” bör tolkas så att det omfattar både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs på det sättet, men där det på grund av tjänstens utformning, innehåll eller funktion är uppenbart att barn är en målgrupp.^[31] Exempel på sådana tjänster kan vara till barn riktade spelplattformar, sociala medier, pedagogiska tjänster eller olika typer av databaser, men inte automatiskt samtliga erbjudanden inom e‑handeln.^[32] Utanför tillämpningsområdet av artikel 8 i dataskyddsförordningen måste vid användningen av samtycke däremot en bedömning, liksom tidigare, göras i varje enskilt fall av barnets förmåga att förstå innebörden av ett lämnat samtycke.^[33] Som en logisk konsekvens bör samtycket återigen inhämtas från den som har föräldraansvaret för barnet om det saknar den mentala kapaciteten att förstå innebörden av ett lämnat samtycke.

En intressant, men mest rättsteoretisk fråga utgör samtyckets rättsliga karaktär. Det har diskuterats huruvida samtycke till en behandling av personuppgifter har karaktären av en rättshandling i avtalsrättslig mening.^[34] I praktiken hämtas samtycke till behandling av personuppgifter in på ett sätt som påminner om anbud-accept-modellen i avtalslagen. I svensk rätt används begreppet rättshandling främst för att beteckna viljeförklaringar som har till syfte att grundlägga, förändra eller upphäva ett rättsförhållande.^[35] Även om samtycke enligt dataskyddsförordningen inte kan betraktas som en ömsesidig rättshandling, och därmed inte som ett avtal, torde den i likhet med utfärdande av fullmakt kunna utgöra en ensidig sådan.^[36] Då dataskyddsförordningen innehåller specifika regler om vilka krav som ställs på ett samtycke, dess giltighet samt möjligheten till återkallelse kan frågan i slutändan anses ha begränsad praktisk betydelse. Eventuella problem behöver i vilket fall hanteras autonomt utifrån förordningens krav och oberoende av samtyckets rättsliga karaktär enligt medlemsstaternas nationella rättsordningar.^[37]

 

2.2.2  Intresseavvägning

Förutom samtycke bör behandling av personuppgifter i marknadsföringssyfte i första hand grundas på den s.k. intresseavvägningsregeln. Enligt artikel 6.1 f i dataskyddsförordningen är en behandling tillåten om den är nödvändig för att tillgodose ett berättigat intresse och den registrerades intressen inte väger tyngre. Det framgår av skäl 47, sista meningen i dataskyddsförordningen att ”direktmarknadsföring” utgör ett typexempel på ett sådant berättigat intresse. Detta begrepp definieras inte i dataskyddsförordningen, men kan förstås som varje åtgärd, där marknadsföraren försöker att direkt komma i kontakt med utvalda potentiella kunder, oavsett medium.^[38] Vid sådan marknadsföring bör även steg i behandlingsprocessen som inträffar innan själva kontakten omfattas av det berättigade intresset, såsom insamlingen och bearbetningen av personuppgifter för direktmarknadsföring.^[39] Andra former av marknadsföring eller reklam som innebär en behandling av personuppgifter, men som inte utgör direktmarknadsföring, måste argumentum a fortiori också kunna utgöra berättigade intressen, varför artikel 6.1 f i förordningen generellt bör kunna tillämpas på personuppgiftsbehandlingar för marknadsföringsändamål.^[40]

Ett berättigat intresse enligt dataskyddsförordningen kräver under alla omständigheter en noggrann bedömning i det enskilda fallet som inbegriper den registrerades rimliga förväntningar, se skäl 47, tredje meningen.^[41] På grund av den teknologiska utvecklingen bör den rimliga förväntningen idag vara av sådan art att personuppgifter normalt behandlas för marknadsföringsändamål. Den registrerade måste vid tillämpningen av intresseavvägningen anses vara tillräckligt skyddad, bl.a. genom rättigheterna i artikel 21 (invändning), artikel 18 (begränsning) och artikel 17 (radering). Av den anledningen kan man vid mark­nadsföring utgå från en form av presumtion för behandlingens lag­lighet, dvs. som grundregel bör en behandling av personuppgifter för ändamål som rör marknadsföring vara tillåten, om inte den registre­rades intressen i det enskilda fallet väger tyngre.^[42]

Intresseavvägningsregeln gäller enligt ordalydelsen även för en tredje parts berättigade intressen, varför led f kan åberopas som rättslig grund för såväl egen marknadsföring som marknadsföring för annans räkning. På samma sätt framgår av ordalydelsen i artikel 6.1 f att intresseavvägning kan tillämpas när den registrerade är ett barn.^[43] På grund av barns skyddsbehov måste avvägningen i ett sådant fall dock göras särskilt noggrant, i synnerhet vid användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas, jfr skäl 38 i dataskyddsförordningen.

Grundar sig en behandling för marknadsföringsändamål på en intres­se­avvägning har den registrerade enligt artikel 21 i förordningen rätt att när som helst invända mot behandlingen, inklusive profilering som har ett samband med marknadsföringen.^[44] Vid direktmarknads­föring är denna rätt absolut, dvs. personuppgifterna får vid en invänd­ning enligt artikel 21.2 inte längre behandlas för sådana ändamål, se artikel 21.3, medan rätten vid andra typer av marknadsföringsåtgärder är relativ, det vill säga beroende av om den ansvarige kan påvisa av­görande, berättigade och övervägande skäl för en fortsatt behand­ling, se 21.1 i dataskyddsförordningen.^[45] Invänder den registrerade (fram­gångsrikt) mot behandlingen ska uppgifterna utan onödigt dröjs­mål raderas i enlighet med artikel 17.1 c i dataskyddsförord­ningen.^[46] När en behandling för marknadsföringsändamål stödjer sig på sam­tycke kan intresseavvägningen ändå göras gällande som en alternativ grund när samtycket återkallas, jfr artikel 17.1 b i för­ord­ningen, förutsatt att den registrerade informeras om detta.^[47] Återkallas ett samtycke bör ge­nom tolkning avgöras om återkallelsen samtidigt ska förstås som en invändning enligt artikel 21 i dataskydds­förordningen.^[48]

 

2.2.3  Avtals ingående eller fullgörande

Under normala omständigheter bör en behandling av personuppgifter i marknadsföringssyfte inte betraktas som nödvändig för att ingå eller fullgöra ett avtal i den mening som avses i artikel 6.1 b i dataskydds­för­ordningen, såvida inte själva avtalet just handlar om marknadsföring. Exempelvis kan bestämmelsen enligt Europeiska dataskyddsstyrelsen inte utgöra en laglig grund för personaliserad reklam online samt pro­filering och tracking i detta sammanhang, även om sådan reklam indi­rekt finansierar tillhandahållandet av en tjänst på internet.^[49] Ett exem­pel på när denna rättsliga grund däremot skulle kunna bli aktuell kan vara avtalsbaserade kundklubbar och liknande lojalitetsprogram.^[50] I övrigt förefaller artikel 6.1 b svårtillämpad i samband med marknads­föring.

En generell fråga som uppkommer är hur denna rättsliga grund förhåller sig till samtyckesgrunden, eftersom förklaringar om samtycke lätt kan förväxlas med olika typer av avtalsvillkor.^[51] Ett samtycke karaktäriseras bl.a. av att det när som helst kan återkallas av den registrerade och att det inte får kopplas till genomförandet av ett avtal i strid med artikel 7.4 i dataskyddsförordningen. Ett avtal eller avtalsvillkor är däremot inte möjligt att ensidigt återkalla utan är bindande för den registrerade. Skyddet för den registrerade kan alltså till synes kringgås genom att behandlingen grundas på ett avtal. För att förhindra ett sådant kringgående skulle ett avtalsvillkor som till det yttre inte utformats som ett samtycke ändå kunna betraktas som en samtyckesförklaring i förordningens mening. Alternativt bör behandlingen inte vara nödvändig för att ingå eller fullgöra ett avtal om avtalets syfte är att kringgå reglerna om samtycke. Ett sådant avtalsvillkor skulle förmodligen vara oskäligt redan i enlighet med AVLK. I övrigt är det viktigt att de båda grunderna för laglig behandling av personuppgifter, det vill säga samtycke och avtal, inte slås ihop eller suddas ut utan hålls isär,^[52] vilket också gäller vid marknadsföring.

 

2.3  Exempel på behandling i marknadsföringssyfte

I praktiken bör intresseavvägningen vara den primära rättsliga grunden för behandlingar i marknadsföringssyfte. Förutom själva avvägningen måste de grundläggande principerna i artikel 5 i dataskyddsförordningen beaktas, exempelvis öppenhetsprincipen, principen om ändamålsbegränsning eller principen om uppgiftsminimering.^[53] Därtill spelar den ansvariges informationsskyldigheter enligt artiklarna 12–14 i dataskyddsförordningen en betydande roll vid behandlingar i samband med marknadsföring. Anledningen är bl.a. att den information som lämnas av den ansvarige kan påverka den registrerades ”rimliga förväntningar” inom ramen för intresseavvägningen och således behandlingens laglighet.^[54] Kan intresseavvägningen inte rättfärdiga behandlingen för marknadsföringsändamål måste den i stället stödjas på den registrerades samtycke eller någon annan rättslig grund beroende på omständigheterna i det enskilda fallet.

 

2.3.1  Cookies

Lagligheten av användningen av s.k. cookies i marknadsföringssyfte, exempelvis för att analysera hur effektiv utformningen av en webbplats eller en viss annonsering är, beror delvis på konkurrensförhållandet mellan dataskyddsförordningen och direktiv 2002/58/EG om integri­tet och elektronisk kommunikation.^[55] Om förordningen skulle vara tillämplig bredvid direktivet skulle teoretiskt till och med en intresse­avvägning kunna motivera användningen av cookies för marknads­förings­ändamål. Förhållandet mellan dessa rättsakter regleras i artikel 95 i dataskyddsförordningen, som slår fast att direktiv 2002/58/EG ska ha företräde när det gäller särskilda skyldigheter för samma ändamål som förordningen.^[56] Denna bestämmelse bör innefatta samtyckeskravet för användningen av cookies enligt artikel 5.3 i direktiv 2002/58/EG, som måste anses vara lex specialis i förhållande till dataskyddsförord­ningen.^[57] Även skäl 173 i dataskyddsförordningen talar för att direktiv 2002/58/EG ska gälla fram till den pågående översynen är avslutad och direktivet ersatts av den föreslagna e-privacyförordningen. Således kan själva användningen av cookies inte stödjas på en intresseavvägning enligt dataskyddsförordningen, utan det krävs fortfarande användar­nas samtycke i enlighet med direktiv 2002/58/EG, se för svensk del 6 kap. 18 § i lagen om elektronisk kommunikation (LEK).^[58] Med andra ord, om cookies kräver samtycke enligt e-privacydirektivet så kan inte de alternativa lagliga grunderna i dataskyddsförordningen åberopas för att placera dem.^[59] Enligt artikel 94.2 i dataskyddsförordningen i kombination med artikel 2 f i direktiv 2002/58/EG är det dessutom numera dataskyddsförordningens definition av samtycke som gäller även för cookies. S.k. opt-out-lösningar uppfyller därför inte lagkraven, vilket har bekräftats av EU-domstolen.[60] I stället krävs det en aktiv handling i form av att exempelvis en ruta kryssas i vid besök på en webbplats eller genom ett inställningsalternativ i webbläsaren (se skäl 32 i dataskyddsförordningen), förutsatt att samtycket är frivilligt, speci­fikt och informerat.^[61] Oberoende av om det finns samtycke till place­ringen av cookies i enlighet med LEK behöver den fortsatta behand­lingen av de personuppgifter som har samlats in med hjälp av cookies kunna stödjas på en av de rättsliga grunderna i artikel 6.1 i dataskydds­förordningen. Väljer den personuppgiftsansvarige samtycke som rätts­lig grund kan de två olika typerna av samtycke förenas, förutsatt att den registrerade otvetydigt informeras om vad han eller hon samtycker till.^[62]

 

2.3.2  Profilering, tracking och analyser

Behandlingar av personuppgifter i anslutning till användningen av cookies i marknadsföringssyfte kan bestå av olika former av profilering^[63], tracking och analyser, främst för att effektivisera utformningen av webbplatser eller för att kunna personalisera reklam utifrån en segmentering av kundgrupper.^[64] Förutsatt att ett separat cookie-samtycke har inhämtats eller förutsatt att dessa åtgärder utförs utan användning av cookies skulle lagligheten av själva personuppgiftsbehandlingen efter insamlingen kunna stödjas på en intresseavvägning i det enskilda fallet.^[65] Ett exempel kan vara när användarna rimligen kan förvänta sig en sådan behandling och den ansvarige använder sig av åtgärder för pseudonymisering.^[66] Enligt skäl 29 i dataskyddsförordningen bör ”allmänna analyser” inom en och samma personuppgiftsansvarigs verksamhet vara möjliga, förutsatt att pseudonymisering tillämpas. Om sådana åtgärder inte inbegriper automatiserat individuellt beslutsfattande är heller inte förbudet i artikel 22 i dataskyddsförordningen tillämpligt. I normalfallet har det automatiserade beslutet att visa personaliserad reklam inte sådana effekter på registrerade som artikel 22.1 kräver.^[67] Eftersom den registrerade normalt kan antas ha ett större intresse av reklam som är anpassad än reklam som är riktad till allmänheten bör olika former av profilering, tracking och analyser som har ett samband med marknadsföring inte under alla omständigheter vara beroende av ett samtycke.^[68] Att profilering för detta ändamål måste kunna grundas på en intresseavvägning framgår redan indirekt av artikel 21.1 och 21.2 i dataskyddsförordningen. Ju mer påträngande åtgärden är desto svårare blir det dock för personuppgiftsansvariga att motivera behandlingen utifrån den rättsliga grunden intresseavvägning.^[69] Sådana åtgärder bör i vilket fall inte gälla barn, jfr skäl 38 och skäl 71 sista meningen i dataskyddsförordningen.

 

2.3.3  Direktmarknadsföring

Behandlingar för ändamål som rör såväl analog som elektronisk direkt­marknadsföring, dvs. adresserad reklam via vanlig post, e-post eller på ett annat elektroniskt sätt, bör enligt dataskyddsförordningen normalt vara lagliga utan den registrerades samtycke, då dessa i stället kan stödjas på en intresseavvägning. För befintliga kunder framgår lag­lig­heten redan av skäl 47 i dataskyddsförordningen, men på liknande sätt kan intresseavvägningen i det enskilda fallet komma ifråga som rättslig grund gentemot potentiella kunder, exempelvis när det kan antas att den registrerade kan vara intresserad av reklamen. Så bör dock inte vara fallet när den registrerade tydligt har motsatt sig marknads­för­ing­en, jfr 21 § MFL. Har den registrerade anmält sig till ett spärr­register, såsom ”NIX adresserat” vad gäller direktreklam som sänds med vanlig post eller ”NIX-Telefon” i fråga om marknadsföring via telefon, bör den registrerade rimligen kunna förvänta sig att person­uppgifterna inte behandlas för marknadsföring som täcks av reklam­spärren.^[70] Den som vill använda personuppgifter för marknads­förings­åtgärder som om­fattas av ett spärregister bör därför vara skyldig att konsultera registren för att intresseavvägningen ska utfalla till förmån för direkt­marknadsföringen.^[71] Även beträffande digital direkt­mark­nads­föring existerar specialregler för själva kontakten med registrerade i mark­nads­föringssyfte. Enligt artikel 13 i direktiv 2002/58/EG krävs sam­tycke till elektronisk kommunikation och detta krav måste på samma sätt som artikel 5.3 i direktivet anses utgöra lex specialis i den mening som avses i artikel 95 i dataskyddsförordningen. Oberoende av om personuppgiftsbehandlingen för ändamål som rör direkt­mark­nads­föring via elektronisk kommunikation kan stödjas på intresse­avväg­ningen kan själva kontakten med registrerade, t.ex. via e‑post, således kräva ett samtycke i enlighet med direktiv 2002/58/EG, se för svensk del 19 § MFL.^[72] Grundas behandlingen av personupp­gifterna för så­dana ändamål redan på samtycke kan likaså dessa två olika typer av samtycke förenas om detta görs på ett tydligt sätt och om kraven i båda regelverken iakttas.

 

2.3.4  Åtgärder som involverar tredje part

Till och med behandlingar av personuppgifter som involverar en tredje part kan baseras på intresseavvägning som rättslig grund, se orda­lyd­elsen i artikel 6.1 f i dataskyddsförordningen. Exempel på mark­nads­förings­åtgärder för att tillgodose tredje parts intressen kan vara adress­handel, användningen av tredjepartscookies eller bilagor från tredje part i egna utskick. Frågor som kan aktualiseras i samband med sådana åtgärder är bl.a. följande: Om personuppgifter ska behandlas för ända­mål som rör en tredje parts marknadsföring måste detta ända­mål anges redan vid insamlandet av uppgifterna, se principen om ända­måls­begränsning (artikel 5.1 b). Är detta ändamål inte redan be­stämt vid tidpunkten för insamlandet får en sådan behandling enbart ske under de förutsättningar som anges i artikel 6.4 i data­skydds­förord­ningen. Om inte ett separat samtycke av den registrerade för denna ytter­ligare behandling inhämtas måste den ansvarige fastställa huru­vida behand­lingen för tredje parts intressen skulle vara förenlig med det ursprung­liga ändamålet. Vid detta kompatibilitetstest kan återigen den regi­stre­ra­des rimliga förväntningar eller huruvida pseudonymisering tillämpas eller inte vara av betydelse.^[73] Vid sidan av ända­måls­problematiken utgör den registrerades rätt till information, som en konkretisering av öppen­hetsprincipen (artikel 5.1 a), ytter­ligare en viktig aspekt i samband med marknadsföringsåtgärder som innefattar tredje part. Enligt artikel 13 i dataskyddsförordningen ska den regi­strerade i förekommande fall informeras om bl.a. den tredje partens berättigade intressen, even­tu­ella mottagare eller kategorier av mot­tagare av personuppgifterna samt rätten att göra invändningar enligt artikel 21. I övrigt kan reglerna om personuppgifts­biträden och tredje­landsöverföring aktualiseras i sam­band med åt­gärder som inne­fattar en tredje part, exempelvis använd­ningen av tredjepartstjänster såsom Google Analytics, Facebook-pixeln eller externa CRM-system.

En användning av tredjepartstjänster kan i det enskilda fallet också innebära ett personuppgiftsansvar för den tredje parten, beroende på om denne har utrymme för att bestämma ändamålen med och medlen för behandlingen av uppgifterna. Om parterna gemensamt fastställer ändamålen med och medlen för behandlingen är båda gemensamt ansvariga i enlighet med artikel 26 i dataskyddsförordningen.^[74] Detta gäller exempelvis för insamlingen och överföringen av personuppgifter till Facebook genom att integrera Facebook-gilla-knappen på en webbsida.^[75] Samma bör gälla vid placeringen av tredjepartscookies, till exempel sådana som används av s.k. annons- eller affiliatenätverk.^[76] Ett personuppgiftsansvar för en tredje part förändrar däremot inte ansvaret för den som anlitar en sådan aktör eller möjliggör att den får tillgång till uppgifterna.[77] Den som anlitar en tredjepartsaktör eller överför uppgifterna till denne är emellertid inte längre ansvarig för den behandling som tredjepartsaktören självständigt utför efter att uppgifterna har överförts.^[78] För att kunna grunda ett utlämnande av personuppgifter till en tredjepartsaktör på en intresseavvägning ska båda parterna ha ett berättigat intresse.^[79] I likhet med profilering blir ett utlämnande till tredje part dock svårare att motivera desto mer påträngande åtgärden är.^[80] Får personuppgifterna lagligen lämnas ut till tredje part för att behandlas för ändamål som rör dennes marknadsföring har den parten sedan en egen informationsskyldighet i enlighet med artikel 14 i förordningen, vilket exempelvis gäller vid adressköp.^[81]

 

3  Marknadsrätt och kommersiell personuppgiftsbehandling

En växelverkan mellan dataskydd och marknadsrätt framträder inte enbart i det faktum att många marknadsföringsåtgärder inbegriper en behandling av personuppgifter som måste utföras i enlighet med dataskyddslagstiftningen; omvänt kan personuppgiftsbehandlingar som sådana vara kommersiellt beteende som kan bli föremål för marknadsrättslig lagstiftning. Relevant sådan lagstiftning i samband med en behandling av personuppgifter är lagen om avtalsvillkor i konsumentförhållanden (AVLK) vad gäller dataskyddsklausuler i allmänna villkor samt marknadsföringslagen (MFL) med hänsyn till den generella frågan huruvida kommersiella behandlingar av personuppgifter i strid med dataskyddsförordningen kan utgöra en otillbörlig affärsmetod.

 

3.1  Dataskyddsklausuler i allmänna villkor

3.1.1  Tillämpligheten av AVLK

AVLK gäller enligt 1 § avtalsvillkor som näringsidkare använder när de erbjuder varor, tjänster eller andra nyttigheter till konsumenter. Om ett avtalsvillkor är oskäligt mot konsumenten får Patent- och marknads­domstolen enligt 3 § AVLK förbjuda näringsidkaren att i framtiden i liknande fall använda samma eller väsentligen samma villkor, om förbudet är motiverat från allmän synpunkt eller annars ligger i konsu­menternas eller konkurrenternas intresse. AVLK syftar till skyddet av konsumenternas kollektiva intressen genom att generellt bekämpa användningen av oskäliga avtalsvillkor.^[82] Begreppet ”avtalsvillkor” de­fini­eras varken i AVLK eller i direktiv 93/13/EEG, men bör förstås så att det avser en klausul som ska reglera avtalets innehåll.^[83] En avtals­klausul med bäring på dataskyddsfrågor är framför allt en i förväg formu­lerad samtyckesförklaring, men likaså andra typer av dataskydds­klausuler är tänkbara i allmänna villkor, såsom en ändamåls­bestämning enligt artikel 5.1 b i dataskyddsförordningen eller klausuler som inne­håller obligatorisk information i enlighet med artiklarna 12–14.^[84] Huru­vida så­dana klausuler kan anses som ”avtalsvillkor” i den bemärk­else som lagen avser är emellertid oklart. Anledningen är att data­skydds­klausuler normalt inte i egentlig mening reglerar ett avtals inne­håll, alltså parternas rättigheter och skyldigheter gentemot varandra.^[85] Avgörande för tillämpligheten av AVLK bör dock vara huruvida använ­daren gör anspråk på friheten att formulera avtalet och huruvida den andra parten enbart har valet mellan att acceptera avtalet som helhet eller inte alls.^[86] Konsumenterna kan ha ett skyddsbehov även vid andra typer av klausuler än ”avtalsvillkor” i egentlig mening, förutsatt att de ingår i ett avtalsförhållande.^[87] Det är därför inte uteslutet att AVLK kan tillämpas på dataskyddsklausuler. I varje fall bör lagen gälla för i förväg formulerade samtyckesförklaringar i allmänna villkor, se den konkreta hänvisningen till direktiv 93/13/EEG i skäl 42 i dataskyddsförord­ningen.

 

3.1.2  Dataskyddsklausulers oskälighet

Ett avtalsvillkor kan vara oskäligt enligt 3 § AVLK om det medför en sådan snedbelastning i fråga om parternas rättigheter och skyldigheter enligt avtalet att en genomsnittligt sett rimlig balans mellan parterna inte längre föreligger.^[88] En betydande obalans mellan parterna existerar bl.a. när ett avtalsvillkor avviker från gällande lagstiftning respektive allmänna rättsprinciper eller när det givits en vilseledande eller oklar utformning.^[89] Dataskyddsklausuler i allmänna villkor kan till exempel vara oskäliga när de på ett otydligt sätt beskriver ändamålet med behandlingen, vilket kan avvika från artikel 5.1 b i dataskyddsförordningen (principen om ändamålsbegränsning) eller från kravet på att samtycket ska vara specifikt i enlighet med artikel 4.11. Förformulerade samtyckesförklaringar som bygger på ”opt-out”-lösningar eller som använder på förhand ikryssade rutor utgör inte en entydig bekräftande handling i enlighet med artikel 4.11 i dataskyddsförordningen och kan därför också vara oskäliga. Oskäligt kan tillika vara när samtyckesförklaringar i allmänna villkor i strid med artikel 7.2 i dataskyddsförordningen inte tydligt särskiljs från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Ytterligare exempel på oskäliga dataskyddsklausuler kan vara obligatorisk information enligt artiklarna 13 och 14 i allmänna villkor som i strid med artikel 12.1 är oklart och obegripligt formulerad, avtalsvillkor som försvårar utövandet av den registrerades rättigheter i strid med artikel 12.2^[90] eller avtalsvillkor som reglerar orimliga avgifter i strid med artikel 12.5. Alla dessa tänkbara fall av oskäliga dataskyddsklausuler i allmänna villkor påminner starkt om konsumentskyddsfrågor och utgör därför ett annat exempel på överlappningen mellan rättsområdena dataskydd och marknadsrätt vad gäller marknadsrättens konsumentskyddande dimension.

 

3.2  Behandling av personuppgifter som otillbörlig affärsmetod

3.2.1  Tillämpligheten av MFL

För att kunna tillämpa marknadsföringslagen måste en behandling av personuppgifter kunna ses som en form av marknadsföring, respektive måste utgöra en affärsmetod i lagens mening.^[91] MFL är tillämplig på all reklam och andra åtgärder i näringsverksamhet som är ägnade att främja avsättningen av varor eller tjänster, oavsett om åtgärden vidtas före, under eller efter försäljningen eller leveransen, se definitionen i 3 § MFL. Begreppet ”affärsmetod” har en synnerligen vid definition och omfattar alla beteenden som ingår i en näringsidkares affärsstrategi och direkt syftar till marknadsföringen och försäljningen av näringsidkarens varor eller tjänster.^[92] Marknadsföringslagen är därför tillämplig på näringsverksamhet vid den tidpunkt då det finns en direkt relation till främjandet av avsättningen av varor eller tjänster, oavsett om det rör sig om en näringsidkares handling, underlåtenhet, beteende, företrädande eller kommersiella meddelande.^[93] Lagens tillämpning är oberoende av den konkreta affärsmodellen och omfattar annonsfinansierade tjänster på internet som inte kräver betalning av tjänsternas användare, såsom sökmotorer eller sociala medier.^[94]

Flera typer av personuppgiftsbehandlingar bör kunna klassas som en affärsmetod i lagens mening. Särskilt behandlingar av personuppgifter för ändamål som rör direktmarknadsföring, såsom registerföring och profilbildning för det ändamålet, kan anses vara åtgärder som direkt syftar till att främja avsättningen av varor eller tjänster.^[95] Ännu tydligare är relationen till avsättningsfrämjandet när det gäller person­uppgifts­behandlingar i samband med pågående kundrelationer, exempelvis behandlingar för att tillhandahålla själva tjänsten (såsom ett socialt medium), tillämpa individanpassad prissättning, hantera betalningar, fullgöra leveranser eller för att ta hand om reklamationer.^[96] Andra typer av personuppgiftsbehandlingar står däremot inte i en sådan relation till avsättningen av varor eller tjänster att de i sig kan anses utgöra en affärsmetod. Hit hör rent interna behandlingar av person­upp­gifter hos näringsidkare, till exempel behandlingar av de anställdas person­upp­gifter eller behandlingar för ändamål som rör produkt­ut­veckling. Inte heller personuppgiftsbehandlingar i samband med marknads­under­sökningar behöver nödvändigtvis direkt relatera till av­sättningen av varor eller tjänster. Sammanlagt bör ändå många be­handlingar av person­uppgifter för kommersiella ändamål principiellt omfattas av mark­nadsföringslagens tillämpningsområde, antingen direkt som en självständig affärsmetod eller indirekt som en del i en affärsmetod.

 

3.2.2  Lagstridighetsprincipen

För det första skulle behandlingar av personuppgifter för ändamål som rör marknadsföring i strid med dataskyddsförordningen också kunna strida mot god marknadsföringssed i den mening som avses i 5 § MFL och sålunda utgöra en otillbörlig affärsmetod.^[97] I ”god marknadsföringssed” ligger bl.a. att åtgärder, i enlighet med den s.k. lagstridighetsprincipen, ska vara lagliga, vilket betyder att dessa inte får strida mot annan lag.^[98] För att lagstridighetsprincipen ska anses vara uppfylld krävs ett brott mot en relevant bestämmelse utanför själva MFL och EU-förordningar utgör därvid lämpliga lagliga bestämmelser.^[99] Till det kommer transaktionstestet i enlighet med 6 § MFL. Dessutom borde det krävas att den lagliga bestämmelsen i fråga reglerar marknadsbeteende i marknadsaktörernas intresse; annars kan inte de lagbrott identifieras som ska kunna sanktioneras marknadsrättsligt.^[100] Ett ingripande enligt MFL bör enbart vara motiverat av hänsyn till ekonomiska intressen.^[101]

EU:s dataskyddsförordning är en lämplig rättskälla inom ramen för lagstridighetsprincipen, men frågan är om det framstår som legitimt att beivra överträdelser av dataskyddsförordningen med hjälp av marknadsföringslagen. Dataskyddslagstiftning syftar traditionellt till att skyd­da fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, se artikel 2.2 i dataskyddsförordningen, inte människor i egenskap av konsumenter.^[102] Det har emellertid kunnat konstateras att dataskyddsförordningen parallellt ska gynna den fria rörligheten av personuppgifter inom den digitala inre marknaden genom att skapa lika villkor för företag vad gäller behandlingen av personuppgifter och att den därmed också har en kommersiell eller marknadsinriktad dimension.^[103] Ytterligare tecken på denna dimension är den nya effektlandsprincipen i artikel 3.2 som har ”lånats” från marknadsföringsrätten och de nya sanktionsavgifterna i artikel 83 som har konkurrensrätten som förebild.^[104] Av den anledningen existerar goda skäl för att hävda att dataskyddsförordningen i alla fall delvis reglerar marknadsbeteende i marknadsaktörernas intresse och att tillämpningen av lagstridighetsprincipen därför förefaller vara legitim och ändamålsenlig.^[105]

På grund av dataskyddsförordningens integritetsskyddande dimen­sion och dess komplexitet kan dock inte varje överträdelse automatiskt bli relevant från ett marknadsrättsligt perspektiv. Snarare bör en bedömning göras i varje enskilt fall, beroende på vilken bestämmelse överträdelsen gäller. Överträdelser som kommer i fråga som marknads­rättsligt relevanta är framför allt sådana som avser kapitlen II och III i dataskyddsförordningen, såsom behandlingar utanför ändamåls­be­gräns­­ningen i strid med artikel 5.1 b, behandlingar utan rättslig grund i strid med artikel 6, överträdelser av villkoren för samtycke enligt artikel 7, bristande information i strid med artiklarna 12–14 eller en fortsatt behandling för ändamål som rör direktmarknadsföring efter en invändning i strid med artikel 21.3.^[106] Bestämmelser i dataskydds­förordningen av administrativ eller organisatorisk karaktär bör däre­mot under normala omständigheter inte vara aktuella som be­stäm­melser inom ramen för lagstridighetsprincipen, såsom över­trädelser av en lämplig säkerhetsnivå i strid med artikel 32 i data­skydds­för­ord­ningen.

Utgör en bestämmelse i dataskyddsförordningen en relevant marknadsregel i lagstridighetsprincipens mening behöver dessutom transaktionstestet vara uppfyllt. Enligt 6 § MFL är marknadsföring som strider mot god marknadsföringssed att anse som otillbörlig om den i märkbar mån påverkar eller sannolikt påverkar mottagarens förmåga att fatta ett välgrundat affärsbeslut. Ett affärsbeslut är enligt 3 § MFL ett beslut bl.a. om huruvida, hur och under vilka förutsättningar en vara eller tjänst ska köpas eller om huruvida en avtalsenlig rättighet ska utnyttjas. Överträdelser av dataskyddsförordningen i samband med olika typer av marknadsföringsåtgärder, till exempel otillåten profilbildning eller bristande information, kan ha dessa effekter. Att annonsfinansierade tjänster på internet inte kräver betalning med pengar av tjänsternas användare ändrar inte den bedömningen, förutsatt att tjänsterna erbjuds i näringsverksamhet.

 

3.2.3  Vilseledande

Det andra som kan diskuteras när det gäller kommersiella behandlingar av personuppgifter är vilseledande marknadsföring, såväl i form av handling som också i form av underlåtenhet. Enligt 10 § första stycket MFL får en näringsidkare vid marknadsföringen inte använda sig av felaktiga påståenden eller andra framställningar som är vilseledande. Första stycket gäller särskilt framställningar som rör varans eller tjänstens utmärkande egenskaper, leveransvillkor för varan eller tjänsten, näringsidkarens åtagande att följa uppförandekoder eller kundernas rättigheter enligt lag eller annan författning, se 10 § andra stycket MFL. Använder sig en näringsidkare av dataskydd som ett säljargument i sin marknadsföring kan det vara vilseledande, om kraven i dataskyddsförordningen faktiskt inte uppfylls, exempelvis vid felaktiga påståenden om behandlingens laglighet, de registrerades lagliga rättigheter eller innebörden av personuppgiftsansvaret. Likaså felaktiga påståenden i relation till dataskyddsrättsliga uppförandekoder och certifieringar är tänkbara.

Enligt 10 § tredje stycket MFL får en näringsidkare inte heller utelämna väsentlig information i sin marknadsföring; med det avses även sådana fall när den väsentliga informationen ges på ett oklart, obe­gripligt, tvetydigt eller annat olämpligt sätt. Väsentlig information är sådan information som antingen näringsidkaren är tvungen att upp­lysa om enligt speciallagstiftning eller som genomsnitts­konsu­menten, beroende på sammanhanget, behöver för att fatta ett välgrundat affärs­beslut.^[107] Här skulle sådan information som en näringsidkare ska lämna till registrerade enligt dataskydds­för­ord­ningen kunna anses vara väsent­­lig information.^[108] Informationsplikter enligt speciallagstiftning är först och främst sådana som bygger på de konsumentskyddsdirektiv som listas i bilaga II till artikel 7 femte stycket i direktiv 2005/29/EG (som 10 § tredje stycket MFL implementerar). I den listan förekom redan inte informationsskyldigheter enligt data­skydds­direktivet och arti­kel 7 femte stycket gäller enligt orda­lydelsen dessutom ”informa­tionskrav som avser kommersiella meddelanden”, dvs. framför allt reklam. Det är därför inte givet att ett utelämnande av information om hur närings­idkare hanterar personuppgifter alltid kan anses som en vilseledande underlåtenhet. Avgörande bör vara genom­snittskonsu­mentens infor­ma­tions­behov i fråga om dataskydd i det enskilda fallet. Intar behand­lingen av personuppgifter en central roll i avtalsför­håll­andet mellan den ansvarige och den registrerade kan informationen vara av väsentlig betydelse, däremot inte när den enbart utgör en aspekt bland många.^[109] Om den information som ska lämnas enligt dataskyddsförordningen är av väsentlig karaktär skulle 10 § tredje stycket MFL kunna tillämpas när informationen inte ges på ett klart och tydligt sätt, exempelvis i fall av en svårbegriplig dataskydds­policy.

Är ett påstående rörande dataskydd att anse som vilseledande kan detta påverka mottagarnas förmåga att fatta ett välgrundat affärsbeslut när de väljer mellan två konkurrerande varor eller tjänster med liknande kvalitet och pris. Kan information enligt dataskyddsförordningen anses vara väsentlig bör ett utelämnande på samma sätt ha en effekt på mottagarna, då ett välgrundat affärsbeslut förutsätter relevant information.^[110] Därför bör vilseledande marknadsföring som handlar om dataskydd också vara otillbörlig i den mening som avses i 8 § första stycket MFL (transaktionstestet).

 

3.2.4  Övrigt

Slutligen kan några övriga regler i MFL bli aktuella i samband med en behandling av personuppgifter. Den nära kopplingen mellan rätts­om­rådena dataskydd och marknadsrätt visar sig inte minst i form av reg­lerna om obeställd direktmarknadsföring. Enligt 19 § första stycket MFL, som implementerar artikel 13 i direktiv 2002/58/EG, får en näringsidkare vid marknadsföring till en fysisk person använda elek­tro­nisk kommunikation, främst e-post och sms, bara om den fysiska per­sonen har samtyckt till det på förhand.^[111] Kravet på samtycke gäller dock inte gentemot befintliga kunder för marknadsföring som avser närings­idkarens egna, likartade produkter, se 19 § andra stycket MFL.^[112] Enligt artikel 94.2 i dataskyddsförordningen i kombination med artikel 2 f i direktiv 2002/58/EG är det numera dataskyddsförordningens defini­tion av samtycke som gäller även inom ramen för 19 § MFL. Bestäm­melsens syfte är att skydda mottagarna mot intrång i integriteten genom icke begärda kommunikationer för direktmarknadsföring, se skäl 40 i direktiv 2002/58/EG. MFL som sådan tar däremot sikte på att skydda konsumenters och näringsidkares ekonomiska intressen.^[113] Av den anledningen är 19 § MFL som integritetsskyddande bestämmelse atypisk inom marknadsrätten och skulle lika gärna kunna vara placerad i dataskyddslagstiftningen.^[114]

Vad gäller obeställd direktmarknadsföring får en näringsidkare också använda andra metoder för individuell kommunikation på distans än sådana som avses i 19 § MFL, om inte den fysiska personen tydligt motsatt sig att metoden används, se 21 § MFL. Konsumenten har med andra ord även enligt MFL en möjlighet att göra invändningar mot direktmarknadsföring. Medans rätten att göra invändningar enligt data­skyddsförordningen avser behandlingen av personuppgifter hand­lar rätten att göra invändningar enligt MFL om att inte behöva utstå vissa former av direktmarknadsföring. Där ett system etablerats för att ge konsumenterna möjlighet att anmäla att de inte vill ta emot direkt­marknadsföring, t.ex. NIX-registren, eller när konsumenten på annat sätt undanbett sig direktmarknadsföring ska detta respekteras och till­godoses.^[115] Näringsidkare bör därför vara skyldiga att konsultera spärr­registren innan konsumenter kontaktas och underlåtenhet att utföra en sådan kontroll bör strida mot god marknadsföringssed i den mening som avses i 5 § MFL.^[116]

Till och med några punkter i bilaga I till direktiv 2005/29/EG, den s.k. svarta listan, kan diskuteras. Enligt punkt 9 är det under alla om­ständigheter otillbörligt att ange eller på annat sätt skapa intryck av att det är lagligt att sälja en produkt när så inte är fallet. Bestämmelsen, som kan anses som en speciell lagstridighetsprincip, tar främst sikte på marknadsföring av produkter som är olagliga i sig.^[117] En behandling av personuppgifter i strid med dataskyddsförordningen som sker i sam­band med erbjudandet av varor eller tjänster kan dock svårligen klassas som en sådan affärsmetod som avses i punkt 9 i svarta listan. En olaglig personuppgiftsbehandling gör inte varan eller tjänsten i sig olaglig, utan är snarare en form av lagstridighet i enlighet med den allmänna principen i 5 § MFL. Sedan kan punkt 20 i svarta listan övervägas an­gående annonsfinansierade ”gratis”-tjänster på internet. Enligt den punk­ten är det under alla omständigheter otillbörligt att beskriva en vara eller tjänst som ”gratis”, ”kostnadsfri”, ”utan avgift” eller liknande om så inte är fallet. Används personuppgifter som en alternativ form av betalning för en vara eller tjänst skulle det kunna vara vilseledande att i så fall marknadsföra varan eller tjänsten som gratis eller kostnadsfri.^[118] Om näringsidkaren inte heller informerar konsumenten om att de person­uppgifter, som han eller hon måste lämna för att få tillgång till tjänsten, kommer att användas för kommersiella ändamål kan detta dessutom strida mot punkt 22 i svarta listan och förbudet mot att dölja det kommersiella syftet bakom en affärsmetod.^[119]

 

3.3  Branschregler

Från ett marknadsrättsligt perspektiv kan avslutningsvis kort nämnas att frågan om en behandling av personuppgifter för marknadsförings­ändamål tillika behandlas i olika typer av branschregler, främst Inter­nationella Handelskammarens (ICC) regler för reklam och mark­nads­kommunikation, den s.k. ICC-koden i sin uppdaterade version från 2018. Regler som har bäring på en behandling av personuppgifter i ICC-koden är i synnerhet artikel 19 som innehåller allmänna krav på en behandling av personuppgifter, inklusive barns personuppgifter, samt artikel C22 om personaliserad reklam online, också kallad in­tresse­­b­­aserad reklam.^[120] Bredvid ICC-koden existerar andra etiska reg­ler om hur en behandling av personuppgifter för marknads­förings­ändamål bör ske, exempelvis inom ramen för Swedish Direct Marketing Association (SWEDMA) vad gäller marknadsföring till privatpersoner via e-post eller adresserad direktmarknadsföring via vanlig post.^[121] Inget av dessa etiska regelverk reglerar emellertid något som inte redan di­rekt eller indirekt skulle följa av tvingande lagstiftning. Eventuella upp­för­ande­koder för branscher, där personuppgifter hanteras för huvud­sakligen kommersiella ändamål, skulle i vilket fall vara be­grän­sade till att specificera hur dataskyddsförordningen bör tillämpas i vissa situa­tioner, se artikel 40.2 i dataskyddsförordningen.^[122] Även om det är fri­villigt att ansluta sig till uppförandekoder om dataskydd som regleras i dataskyddsförordningen är det tänkbart att sådana koder kan ge ut­tryck för god sed på dataskyddsrättens område. I så fall kan god data­skyddssed vara kongruent med god affärssed. Existensen av etiska regler samt uppmuntran till utarbetandet av uppförandekoder i för­ordningen är ett uttryck för personuppgiftsbehandlingars kommer­si­ella betydelse och deras nära samband med avsättningen av varor eller tjänster. Mer generellt utgör branschregler alltså ett ytterligare exem­pel på överlappningen mellan rättsområdena dataskydd och marknads­rätt samt deras ömsesidiga påverkan.

 

4  Spärrverkan för det marknadsrättsliga sanktionssystemet

Dataskyddsförordningen tillhandahåller ett eget sanktionssystem med flera olika typer av rättsföljder för överträdelser av förordningens olika föreskrifter (kapitel VIII, artiklarna 77­–84). Av den anledningen ställer sig frågan huruvida dessa rättsföljder är uttömmande med anledning av överträdelser av dataskyddsförordningen och således har spärrverkan i förhållande till andra nationella rättsmedel, ansvarsregler och sanktioner.^[123] Dataskyddsförordningen behövs för att säkerställa en enhetlig skyddsnivå och för att undvika avvikelser som hindrar den fria rörligheten av personuppgifter inom den inre marknaden, varför bl.a. sanktionerna i alla medlemsstater ska bli likvärdiga, se skäl 13, första meningen i dataskyddsförordningen. Marknadsrättsliga rättsmedel kan vara en förbudstalan enligt 23 § MFL av de enligt 47 § MFL taleberättigade, främst Konsumentombudsmannen och konkurrenter, samt en förbudstalan av Konsumentombudsmannen enligt 3 § AVLK.^[124]

 

4.1  Argument för spärrverkan

Ett argument för en spärrverkan av dataskyddsförordningens sank­tionssystem skulle kunna utläsas ur artikel 79.1 i dataskyddsförord­ningen som talar om att den inte påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol. Argumentum e contrario skulle artikel 79.1 i dataskyddsförordningen kunna tolkas så att den utgör ett hinder för andra rättsmedel i dom­stol.^[125] För en möjlig spärrverkan av dataskyddsförordningens sank­tions­­system talar dessutom artikel 80.2 som innehåller en öppnings­klausul i fråga om en rätt för ideella organisationer att utan den regi­stre­rades mandat föra talan i ärenden och mål om behandling av person­uppgifter. Argumentum e contrario kan den bestämmelsen tolkas så att andra, främst kommersiella aktörer inte ska vara behöriga att föra självständiga talan på grund av överträdelser av dataskyddsförord­ningen.^[126] Ett ytterligare argument skulle kunna utvinnas ur en jäm­för­else med artikel 21.2 i förslaget på en ny e-privacyförordning.^[127] Den bestämmelsen reglerar — till skillnad från dataskydds­förord­ningen — en självständig rätt av varje fysisk eller juridisk person, som påverkas negativt, att vidta rättsliga åtgärder. Det faktum att dataskydds­förord­ningen saknar en motsvarande bestämmelse skulle kunna tala för att luckan är avsiktlig och att sanktionssystemet ska vara uttöm­mande.

 

4.2  Argument mot spärrverkan

Å andra sidan existerar argument som talar mot en spärrverkan av dataskyddsförordningens sanktionssystem, för det första existensen av artikel 84 i dataskyddsförordningen. Enligt artikel 84 ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av dataskyddsförordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. Om avsikten av den europeiska lagstiftaren hade varit att skapa ett uttömmande sanktionssystem med spärrverkan skulle en sådan bestämmelse inte finnas. För det andra kan existensen av flera konfliktregler i dataskyddsförordningen vara ett argument mot en spärrverkan, bl.a. skäl 42 (direktiv 93/13/EEG),^[128] artikel 2.4 (direktiv 2000/31/EG) och artikel 95 (direktiv 2002/58/EG), som explicit fastställer att förordningen inte ska ha en spärrverkan i dessa avseenden. Följaktligen bör den allmänna dataskyddsförordningen inte heller vara ett hinder för andra, mer speciella regler. Att det saknas en konfliktregel i dataskyddsförordningen vad gäller dess förhållande till direktiv 2005/29/EG om otillbörliga affärsmetoder utesluter därför inte en parallell tillämpning av detta direktiv och dataskyddsförordningen, förutsatt att de specifika kraven i direktivet är uppfyllda. För det tredje kan principen om effet utile inom EU-rätten anföras som ett mer allmänt argument mot en spärrverkan av dataskyddsförordningens sanktionssystem. Den principen innebär att EU-domstolen är benägen att tillämpa en tolkning av EU-rätten som leder till att den får sitt genomslag och en ändamålsenlig verkan i medlemsstaternas rättssystem.^[129] En förbudstalan enligt 23 § MFL av bl.a. Konsumentombudsmannen och den personuppgiftsansvariges konkurrenter skulle åtminstone indirekt också gynna enskilda registrerade samt rent generellt bidra till att bekämpa överträdelser av dataskyddsförordningen i kommersiella sammanhang.

 

4.3  Diskussion

Mot de ovan anförda argumenten för en spärrverkan kan följande invändningar göras: Vad gäller artikel 79 i dataskyddsförordningen så är det mer övertygande att tolka den nämnda meningen — som i variationer dessutom förekommer i artikel 77 och 78 — i stället så att de olika rättsmedlen i dataskyddsförordningen inte ska utesluta varandra, att de inte ska vara beroende av varandra och att de kan göras gällande kumulativt, alltså att exempelvis ett klagomål till tillsynsmyndigheten enligt artikel 77.1 inte utesluter och inte heller är ett krav för ett rättsmedel mot den ansvarige enligt artikel 79.1 i dataskyddsförordningen.^[130] Det argument som kan härledas från artikel 80.2 i dataskyddsförordningen har onekligen en viss tyngd, men helt övertygande är det ändå inte. Artikel 80.2 i dataskyddsförordningen kan nämligen likaså tolkas bokstavligen på så sätt att bestämmelsen enbart ska reglera möjligheten till organisationstalan för att effektivisera verkställigheten av rättsskyddet, men samtidigt inte ska utesluta andra rättsmedel.^[131] Slutligen förefaller jämförelsen med förslaget på en ny e-privacyförordning vara av begränsat värde, då dataskyddsförordningen utgör den äldre rättsakten. Existensen av artikel 21.2 i förslaget på en ny e-privacyförordning kan på samma sätt tyda på att luckan i dataskyddsförordningen var oavsikt­lig och att samma fråga numera ska regleras i e-privacyförordningen. Sammanlagt är argumenten för en spärrverkan inte så pass övertygande att de kan väga upp argumenten mot en sådan, i synnerhet principen om effet utile. Då själva dataskyddsförordningen tiger i fråga om dess förhållande till marknadsrättsliga sanktioner i enlighet med direktiv 2005/29/EG bör man därför som utgångspunkt utgå från en parallell tillämpning och inte från en spärrverkan, i alla fall fram till dess EU-domstolen fastslår något annat.

 

5  Slutsatser

Sammanfattningsvis kan konstateras att det existerar en överlappning och en ömsesidig påverkan mellan rättsområdena dataskydd och marknadsrätt. Med det menas för det första att dataskyddslagstiftning kan vara tillämplig på olika typer av affärsmetoder som inbegriper behandling av personuppgifter. De flesta behandlingar av personuppgifter för ändamål som rör marknadsföring bör kunna motiveras med ett samtycke eller efter en intresseavvägning. I det sammanhanget har samtycke till marknadsföring ett annat användningsområde än intresseavvägningen. Mindre påträngande åtgärder kan stödjas på intresseavvägningen, medan mer påträngande åtgärder i samband med marknadsföring — exempelvis påträngande former av profilering, tracking och analyser eller ett utlämnande av personuppgifter till tredje part som inte rimligen kan förväntas — kan kräva samtycke. Kan båda rättsliga grunderna tillämpas bör de i princip vara utbytbara med varandra, dvs. en fortsatt behandling för marknadsföringsändamål skulle kunna stödjas på samtycke när en invändning görs respektive intresseavvägningen när ett samtycke återkallas.^[132] När marknadsföringsåtgärder används som redan kräver samtycke med utgångspunkt i annan lagstiftning — framför allt cookies och icke begärd elektronisk kommunikation — ligger det likväl nära till hands att samtidigt också hämta in ett samtycke enligt dataskyddsförordningen för den behandling av personuppgifter som utförs innan, under eller efter dessa åtgärder, förutsatt att den registrerade otvetydigt informeras om vad den samtycker till.

För det andra yttrar sig överlappningen mellan rättsområdena i det faktum att marknadsrättsliga regler kan vara tillämpliga i samband med kommersiell personuppgiftsbehandling och därför samtidigt som dataskyddslagstiftningen, vilket tyder på att dataskydd också är en konsumentskyddsfråga. Relevant marknadsrätt är AVLK vad gäller dataskydds­klausuler i allmänna villkor samt MFL angående den generella frågan om behandlingar av personuppgifter i strid med dataskyddsförordningen utgör en otillbörlig affärsmetod. Mycket talar för att AVLK kan tillämpas på olika typer av dataskyddsklausuler, åtmin­stone på i förväg formulerade förklaringar om samtycke i allmänna villkor. På samma sätt bör många behandlingar av personuppgifter för kommersiella ändamål utgöra en självständig affärsmetod, i varje fall en del i en affärsmetod, och omfattas av marknadsföringslagens tillämpningsområde, särskilt personuppgiftsbehandlingar för ändamål som rör direktmarknadsföring. Dessa behandlingar kan sedan vara otillbörliga på grund av olika anledningar, främst lagstridighetsprincipen (generellt vid överträdelser av dataskyddsförordningen), ett vilseledande (felaktiga påståenden relaterade till dataskydd) eller en vilseledande underlåtenhet (utelämnande av väsentlig information om dataskydd). Vad gäller lagstridighetsprincipen kan dock inte varje överträdelse av dataskyddsförordningen automatiskt bli relevant från ett marknadsrättsligt perspektiv, utan bör bero på vilken bestämmelse överträdelsen gäller. Inte heller i fråga om vilseledande underlåtenhet bör information enligt dataskyddsförordningen alltid anses som väsentlig, utan avgörande bör vara genomsnittskonsumentens informationsbehov i fråga om dataskydd i det enskilda fallet.

Ett problem som överlappningen ger till resultat är en möjlig konflikt mellan rättsområdenas sanktionssystem och frågan om dataskyddsförordningen utgör ett hinder för marknadsrättsliga sanktioner. En sådan spärrverkan existerar i alla fall inte gentemot AVLK vad gäller i förväg formulerade samtyckesförklaringar i allmänna villkor, men även i övrigt bör man som utgångspunkt och tills vidare kunna utgå från en parallell tillämpning av marknadsrättsliga sanktioner och inte från en spärrverkan. I slutändan kräver den frågan, i likhet med flera andra frågor som har diskuterats i den här undersökningen, ett förtydligande svar från EU-domstolen.

Vid en parallell tillämpning av dataskydd och marknadsrätt blir en nationell följdfråga förhållandet mellan de två tillsynsmyndigheterna, Datainspektionen och Konsumentverket. Dessa tillsynsmyndigheter behöver i så fall utveckla sin samverkan, förtydliga avgränsningen av sina ansvarsområden samt koordinera eventuella åtgärder.^[133]

 

---

[1]  Jfr Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 9.

[2]  Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 26.

[3]  I den här framställningen används beteckningen ”dataskyddsförordning” eller enbart ”förordning”.

[4]  Europeiska kommissionens meddelande ”En strategi för en inre digital marknad i Europa”, COM(2015) 192 final.

[5]  Jfr redan EU-domstolen, dom 2003-11-06 i mål C-101/01 (Lindqvist), punkt 97.

[6]  Med ”marknadsrätt” avses här marknadsföringsrätt. Förhållandet mellan dataskydd och konkurrensrätt behandlas inte i denna undersökning. Se i detta avseende t.ex. beslutet av det tyska konkurrensverket (Bundeskartellamt) mot Facebook om sammanföringen av personuppgifter från olika tjänster av 2019-02-07 (upphävt efter överklagande).

[7]  Observera att det s.k. e-privacydirektivet (2002/58/EG) i en snar framtid ska ersättas av en ny e-privacyförordning, se Europeiska kommissionens förslag, COM(2017) 10 final, i ärende 2017/0003 (COD).

[8]  Det är dock inte säkert att begreppet har exakt samma innebörd i EU:s dataskyddsrätt.

[9]  Undantag görs från principerna om ändamålsbegränsning och lagringsminimering när behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål. Undantagen förutsätter att lämpliga skyddsåtgärder vidtas för att skydda de registrerade i enlighet med artikel 89 i dataskyddsförordningen.

[10]  Se artikel 23 i dataskyddsförordningen, som reglerar när den registrerades rättigheter får begränsas i unionsrätten eller nationell rätt. En begränsning enligt denna bestämmelse kan även omfatta principerna i artikel 5 i den utsträckning dessa motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 och 34 i förordningen.

[11]  Prop. 2007/08:115, s. 70. Se mer om lagstridighetsprincipen nedan avsnitt 3.2.2.

[12]  Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 111.

[13]  Jfr prop. 2017/18:105 s. 47.

[14]  Se närmare Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 112 med hänvisningar.

[15]  Det är värt att lägga märke till att termen ”korrekt” i den betydelse som avses i artikel 5.1 a i förordningen i den svenska språkversionen endast förekommer i denna bestämmelse. I både ingressen och artikeldelen används termen ”rättvis” i stället genomgående. Se bl.a. skäl 60 där det talas om principen om rättvis behandling.

[16]  Principen om riktighet återfinns i artikel 5.1 d i förordningen. I ursprunglig lydelse benämndes principen ”korrekthet”, men bestämmelsen har rättats till ”rik­tig­het” genom EUT L 127/6, 2018-05-23.

[17]  Jfr den engelska språkversionens ”fairness”, den franskas ”loyauté”, den tyskas ”Treu und Glauben”.

[18]  Jfr prop. 2017/18:105, s. 47.

[19]  Det är värt att observera att näringsidkaren kan uppfylla direktivets krav genom att ”handla lojalt och rättvist mot den andre parten, vars legitima intressen han måste beakta”, se skäl 16 i direktiv 93/13/EEG.

[20]  Jfr Europeiska dataskyddsstyrelsen, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, punkt 9 och 13.

[21]  Jfr European Union Agency for Fundamental Rights, Handbook on European data protection law (2018), s. 119.

[22]  God sed kan anses komma till uttryck genom det frivilliga system av godkända uppförandekoder för dataskydd som lagstiftaren uppmuntrar genom artikel 40 i dataskyddsförordningen. Det framgår bl.a. av artikel 40.2 a att en sådan kod kan användas för att precisera innebörden av vad som avses med kravet på ”rättvis och öppen behandling”. Se om god sed även nedan avsnitt 3.3.

[23]  Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 253.

[24]  Undantag kan enligt punkt 5 i samma bestämmelse dock bl.a. göras om det skulle medföra en oproportionerlig ansträngning för den personuppgiftsansvarige. Om uppgifterna ska användas för utskick kan informationen normalt lämnas först i samband med själva utskicket.

[25]  Se Artikel 29-gruppen, Opinion 03/2013 on purpose limitation, WP203, s. 19 f.

[26]  Se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverkets rapport 2017:4, s. 16 ff.

[27]  Se generellt i fråga om samtycke Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 249 f.

[28]  Skäl 32 talar dock om ”något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen”. Detta tyder på att en samtyckesförklaring till och med kan lämnas genom konkludent handlande.

[29]  En lösning skulle kunna vara att erbjuda en valmöjlighet mellan ett gratis- och ett betalalternativ, jfr Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 72. Vid tillämpningen av intresseavvägningen som rättslig grund skulle problemet i stället handla om rätten att kunna invända mot behandlingen enligt artikel 21 i dataskyddsförordningen.

[30]  Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 7, punkt 29.

[31]  Jfr prop. 2017/18:105, s. 69.

[32]  Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 8, punkt 15 f.

[33]  Prop. 2017/18:105, s. 67.

[34]  Se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 32 samt s. 39; Öman & Lindblom, Personuppgiftslagen — En kommentar, 4 uppl. (2011), s. 108.

[35]  Jfr Adlercreutz m.fl., Avtalsrätt I, 14 uppl. (2016), s. 25.

[36]  Klassificeringen som en rättshandling är däremot inte självklar från ett kontinentaleuropeiskt perspektiv. Enligt tysk förståelse skulle samtycket också kunna vara en realhandling, eftersom intrånget i den personliga integriteten, som genom ett samtycke tillåts, i sig utgör en faktisk handling, se Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 7, punkt 9.

[37]  Ingold i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 7, punkt 13. Se även artikel 8.3 i dataskyddsförordningen.

[38]  Jfr Bernitz, Svensk och europeisk marknadsrätt 2 (2013), s. 17; jfr också defini­tionen i Internationella Handelskammarens regler för reklam och marknads­kommunikation, den s.k. ICC-koden, kapitel C.

[39]  Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 6, punkt 69.

[40]  Direktmarknadsföring bör normalt vara mer integritetskänslig än andra former av marknadsföring, jfr Artikel 29-gruppen, Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, WP 217, s. 26 och 48 f.

[41]  Andra relevanta omständigheter inom ramen för avvägningen kan vara konsekvenserna för den registrerade, omfattningen av insamlingen, uppgifternas art eller hur uppgifterna behandlas, jfr redan Artikel 29-gruppen, Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, WP 217, s. 39 ff.

[42]  Detta framgår redan indirekt av artikel 21.2 i dataskyddsförordningen.

[43]  Artikel 8 i dataskyddsförordningen gäller enbart vid tillämpningen av artikel 6.1 a, alltså när behandlingen ska grunda sig på ett barns samtycke.

[44]  Det existerar en parallell rätt att göra invändningar mot direktmarknadsföring i enlighet med MFL, se mer nedan avsnitt 3.2.4.

[45]  I stället för ”avgörande” användes ursprungligen termen ”tvingande”, se EUT L 127/7, 2018-05-23.

[46]  Huruvida raderingsskyldigheten enligt artikel 17.1 i dataskyddsförordningen gäller automatiskt eller är beroende av att den registrerade begär raderingen är i viss mån oklart.

[47]  Oklart är vad som gäller när samtycket är ogiltigt. Enligt Artikel 29-gruppen får den personuppgiftsansvarige inte byta från samtycke till andra rättsliga grunder när det har uppstått problem med att erhålla giltigt samtycke, se Artikel 29-gruppen, Riktlinjer om samtycke enligt förordning (EU) 2016/679, WP259 rev.01, s. 24.

[48]  Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 21, punkt 20.

[49]  Europeiska dataskyddsstyrelsen, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, punkt 51 ff.

[50]  Jfr Frydlinger m.fl., GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen (2018), s. 186.

[51]  Den rättsliga grunden ”avtal” föreligger redan när det finns en avsikt att ingå ett avtal, jfr skäl 44 i dataskyddsförordningen.

[52]  Se Artikel 29-gruppen, Riktlinjer om samtycke enligt förordning (EU) 2016/679, WP259 rev.01, s. 24. Det kan till och med vara olämpligt att begära samtycke när behandlingen är nödvändig för att fullgöra en avtalsförpliktelse, då uppgifterna lämnas över i tron att den registrerade har mer kontroll än vad som är fallet.

[53]  Huruvida principerna beaktas som självständiga krav på behandlingens laglighet eller som faktorer inom ramen för intresseavvägningen bör inte vara avgörande för bedömningen.

[54]  Jfr även Frydlinger m.fl., GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen (2018), s. 180. I detta avseende existerar en viss överlappning med öppenhetsprincipen.

[55]  Dataskyddsförordningen är tillämplig på cookies om användningen innebär en behandling av personuppgifter, såsom IP-adresser som kan kopplas till fysiska personer, jfr skäl 30 i dataskyddsförordningen.

[56]  Se även Europeiska dataskyddsstyrelsen, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities.

[57]  På samma sätt Artikel 29-gruppen, Opinion 2/2010 on online behavioural advertising, WP 171, s. 10 i fråga om förhållandet till direktiv 95/46/EG (data­skydds­direktivet).

[58]  Samtycke krävs inte för cookies som behövs för att överföra ett elektroniskt meddelande eller som är nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt. Enligt artikel 8.1 i förslaget på en ny e-privacyförordning ska samtycke inte heller krävas för cookies som är nödvändiga för mätning av webbpublik.

[59]  Information Commissioner’s Office (ICO), Guidance on the use of cookies and similar technologies, 2019-07-03, s. 20.

[60]  Se EU-domstolens dom 2019-10-01 i mål C-673/17 (Planet49), punkt 63.

[61]  På grund av bristande entydighet bör den fortsatta användningen av en webbsida efter en cookie-varning likställas med tystnad eller inaktivitet och inte anses som ett konkludent samtycke. Webbsidor som inte ger användaren en genuin valmöjlighet att vägra sitt samtycke till cookies, t.ex. vid vissa typer av cookie-väggar, uppfyller sannolikt inte heller lagkraven.

[62]  Artikel 29-gruppen, Opinion 02/2013 on apps on smart devices, WP 202, s. 14. Jfr även EU-domstolens dom 2019-10-01 i mål C-673/17 (Planet49).

[63]  Artikel 4.4 i dataskyddsförordningen definierar ”profilering” bl.a. som varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person.

[64]  Se omfattande om olika former av personaliserad reklam SOU 2018:1, s.196 ff.

[65]  Enligt Artikel 29-gruppen bör s.k. digitala fingeravtryck omfattas av samtyckeskravet för cookies, se Yttrande 9/2014 om tillämpningen av direktiv 2002/58/EG på digitala fingeravtryck, WP 224. Se även artikel 8.1 i förslaget på en ny e-privacyförordning.

[66]  Artikel 4.5 i dataskyddsförordningen definierar ”pseudonymisering” bl.a. som behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används.

[67]  Artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, s. 22. Något annat skulle kunna gälla när användarnas sårbarheter exploateras eller vid profilering i syfte att tillämpa individanpassad prissättning, se ibid.

[68]  På samma sätt Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 6, punkt 87 ff. En annan fråga är huruvida en ytterligare användning av personuppgifter utanför ändamålsbestämningen kräver samtycke eller inte, se artikel 6.4 i dataskyddsförordningen.

[69]  Jfr Artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, s. 15. Ett exempel på en påträngande åtgärd kan vara spårning av individer över flera olika enheter, s.k. cross-device tracking, eller över flera olika webbsidor eller tjänster.

[70]  Samma bör gälla adresskällor som tillämpar reklamspärr, såsom Statens personadressregister.

[71]  Jfr SOU 2004:6, s. 266. Se även Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 362. En motsvarande skyldighet följer av MFL, se mer nedan avsnitt 3.2.4.

[72]  Se mer om 19 § MFL nedan avsnitt 3.2.4.

[73]  I det avseendet kan olika former av profilering, tracking och analyser som har ett samband med direktmarknadsföring bli problematiska, jfr Artikel 29-gruppen, Opinion 03/2013 on purpose limitation, WP203, s. 46.

[74]  Se generellt närmare Kahn & Gustafsson, Gemensamt personuppgiftsansvar — vanligare under GDPR?, JP 2/2017, s. 273 ff.

[75]  Se EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID). Angående ett gemensamt ansvar för en Facebook-sida se EU-domstolens dom 2018-06-05 i mål C‑210/16 (Wirtschaftsakademie Schleswig-Holstein). Även vid användningen av tjänst­erna Facebook Custom Audiences eller Google Analytics kan ett personuppgiftsansvar av Facebook eller Google diskuteras.

[76]  Jfr Artikel 29-gruppen, Opinion 2/2010 on online behavioural advertising, WP 171, s. 10.

[77]  Jfr Westman, ledaren i Lov&Data nr 134, 2/2018, s. 3. Se även Europeiska datatillsynsmannen, Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, 2019-11-07, s. 10.

[78]  Jfr EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID), punkt 76.

[79]  EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID), punkt 97, vad gäller ett gemensamt personuppgiftsansvar. Utlämnandet kan även vara tillåtet om det endast kan grundas på tredje parts berättigade intresse, jfr artikel 6.1 f i dataskyddsförordningen.

[80]  Ett exempel på en påträngande åtgärd kan vara ett utlämnande av person­uppgifter i syfte att samköra dessa med ett redan befintligt register såsom en profil på sociala medier. Andra exempel kan vara oförutsebara utlämnanden som inte rimligen kan förväntas.

[81]  Adressköp bör kunna stödjas på intresseavvägningen, om utlämnandet ingår i ändamålsbestämningen och säljaren informerar de registrerade i enlighet med arti­kel 13 i dataskyddsförordningen.

[82]  Bernitz, Standardavtalsrätt, 9 uppl. (2018), s. 211. Individuella intressen i ett konkret avtalsförhållande skyddas i stället med hjälp av 36 § avtalslagen.

[83]  Jfr för det tyska rättsläget Bundesgerichtshof (BGH), dom i mål VIII ZR 32/08 (Mobiltelefon), Gewerblicher Rechtsschutz und Urheberrecht (GRUR) 2009, s. 506, punkt 14.

[84]  När klausulerna är placerade i en dataskyddspolicy eller liknande dokument bör det krävas att dokumentet har inkluderats i avtalet, t.ex. genom en hänvisning eller som en bilaga.

[85]  Det har också påpekats att det är tveksamt om dataskyddsklausuler erbjuds till registrerade i deras egenskap av konsumenter, se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 33.

[86]  Jfr för det tyska rättsläget BGH, dom i mål I ZR 241/97 (Telefonwerbung IV), GRUR 2000, s. 818, punkt 17.

[87]  Jfr för det tyska rättsläget BGH, dom i mål I ZR 169/10 (Einwilligung in Werbeanrufe II), GRUR 2013, s. 531, punkt 20 i fråga om samtycke till marknads­föringssamtal via telefon. Direktiv 93/13/EEG utgör ett minimidirektiv, se artikel 8, och hindrar därför inte en extensiv tolkning av begreppet ”avtalsvillkor”.

[88]  MD 2015:3, punkt 31.

[89]  Prop. 1994/95:17, s. 64 f.

[90]  Exempelvis rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen, jfr MD 2002:23.

[91]  Begreppen ”marknadsföring” och ”affärsmetod” har samma innebörd, se prop. 2007/08:115, s. 63.

[92]  EU-domstolen, dom 2010-01-14 i mål C‑304/08 (Plus Warenhandelsgesellschaft), punkt 37 samt dom 2013-10-17 i mål C‑391/12 (RLvS Verlagsgesellschaft), punkt 36.

[93]  Jfr med definitionen av begreppet ”affärsmetod” i artikel 2 d i direktiv 2005/29/EG.

[94]  Jfr Bernitz, Svensk och europeisk marknadsrätt 2 (2013), s. 47.

[95]  Jfr även Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28.

[96]  Sådana personuppgiftsbehandlingar kan sammanfalla med andra åtgärder, såsom vilseledande handlingar, och behöver därför inte nödvändigtvis bedömas som självständiga affärsmetoder.

[97]  Jfr redan Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 263.

[98]  MD 2013:9, punkt 94. Lagstridighetsprincipen som en del i god marknadsföringssed har bekräftats i Patent- och marknadsdomstolens rättspraxis, se t.ex. dom i mål PMT 11078-16, s. 16.

[99]  Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 129.

[100]  Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 141.

[101]  Inom tillämpningsområdet av direktiv 2005/29/EG om otillbörliga affärsmetoder skyddar MFL konsumenters ekonomiska intressen, se skäl 7 samt artikel 1 i direktivet.

[102]  Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 31.

[103]  Se Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 241. Denna dimension ges bl.a. uttryck för i skälen 9–13 i dataskyddsförordningen.

[104]  Wolff, UWG und DS-GVO: Zwei separate Kreise? Qualifizierung von Datenschutzbestimmungen der DS-GVO als Marktverhaltensregelungen, Zeitschrift für Datenschutz (ZD) 6/2018, s. 248, 251. Jfr även hänvisningen till artiklarna 101 och 102 i FEU-fördraget i skäl 150 i dataskyddsförordningen.

[105]  Tillämpningen hindras inte heller av direktiv 2005/29/EG, då dataskyddsförordningen kan anses ge uttryck för god yrkessed i direktivets mening. Jfr i fråga om en direktivkonform tolkning av lagstridighetsprincipen Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 124.

[106]  Även placeringen av cookies i strid med 6 kap. 18 § LEK bör anses som marknadsrättsligt relevant.

[107]  Jfr artikel 7 första och femte stycket i direktiv 2005/29/EG samt prop. 2007/08:115, s. 148.

[108]  Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28; Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rap­port 2017:4, s. 37; SOU 2018:1, s. 249.

[109]  Vid ”gratis”-tjänster på internet skulle information om hur personuppgifter behandlas kunna vara väsentlig. I så fall skulle det finnas en skyldighet att upplysa om detta, jfr även Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28.

[110]  Enligt prop. 2007/08:115, s. 149 bör kravet på väsentlighet och transaktionstestet enligt 8 § MFL normalt kunna vägas samman.

[111]  19 § MFL gäller även andra liknande automatiska system för individuell kommunikation. Internet of Things skulle kunna vara ett sådant liknande system, se SOU 2018:1, s. 251.

[112]  Marknadsföring av tredje parts varor eller tjänster via e-post kräver därför samtycke.

[113]  Prop. 2007/08:115, s. 61.

[114]  När den planerade e-privacyförordningen har trätt i kraft kommer den att tillämpas i stället för 19 § MFL och bestämmelsen kommer behöva upphävas.

[115]  MD 2016:9, punkt 113.

[116]  På samma sätt Brink i Svensson m.fl., Praktisk marknadsrätt, 8 uppl. (2010), s. 660. Underlåtenhet kan därför bli relevant inom både MFL och dataskyddsförordningen, se ovan avsnitt 2.3.3.

[117]  MD 2009:33, s. 8. Se även Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 135.

[118]  Jfr SOU 2018:1, s. 251 f.

[119]  Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28.

[120]  Numera innehåller artikel C22 i ICC-koden specifika regler om användning av geografisk platsinformation och regler om s.k. cross-device tracking i samband med intressebaserad reklam online.

[121]  SWEDMA har än så länge inte antagit etiska regler om den specifika tillämpningen av dataskyddsförordningen för ändamål som rör direktmarknadsföring.

[122]  Se även SOU 2017:52, s. 150 ff. Genom beslut av Europeiska kommissionen kan uppförandekoder dock få allmän giltighet inom unionen, se artikel 40.9 i dataskyddsförordningen.

[123]  Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 263.

[124]  Även sammanslutningar av konsumenter, näringsidkare eller löntagare kan vara taleberättigade enligt MFL såväl som AVLK. Frågan om spärrverkan ställer sig också mellan AVLK och MFL, se Holtz, Oskäliga avtalsvillkor som otillbörlig marknadsföring, SvJT 2016 s. 383, 395 f.

[125]  Kreße i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 79, punkt 29 f.

[126]  Köhler i Köhler/Bornkamm/Feddersen, Gesetz gegen den unlauteren Wettbewerb (UWG), 36 uppl. (2018), § 3a UWG, punkt 140a och 1.74b; Barth, Wettbewersbrechtliche Abmahnung von Verstößen gegen das neue Datenschutz­recht, Wettbewerb in Recht und Praxis (WRP) 2018, s. 790, 792; Kreße i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 80, punkt 17; Europeiska kommissionen, yttrande parlamentariska frågor E‑004117/2018.

[127]  Artikel 21.1 i förslaget hänvisar till artiklarna 77–80 i dataskyddsförordningen.

[128]  Därför måste åtminstone en förbudstalan enligt 3 § AVLK vad gäller förformulerade samtyckesförklaringar vara möjlig.

[129]  Bernitz & Kjellgren, Europarättens grunder, 6 uppl. (2018), s. 198.

[130]  På samma sätt Werkmeister i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 79, punkt 3.

[131]  På samma sätt Wolff, UWG und DS-GVO: Zwei separate Kreise?, Zeitschrift für Datenschutz (ZD) 2018, s. 248, 251 f.

[132]  Det är dock inte uteslutet att en återkallelse av ett samtycke samtidigt kan innebära en invändning i enlighet med artikel 21 i dataskyddsförordningen. Om intresseavvägningen kan åberopas när samtycket är ogiltigt är däremot inte säkert. Se för båda frågorna ovan avsnitt 2.2.2.

[133]  Jfr redan Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 43. Vid en parallell tillämpning av dataskydd och konkurrensrätt, t.ex. på grund av marknadsmissbruk, skulle samma gälla för förhållandet mellan Datainspektionen och Konkurrensverket.