Överlappningen mellan dataskydd och marknadsrätt
Dataskyddsförordningens tillämpning på marknadsföring och marknadsrättens tillämpning på kommersiell personuppgiftsbehandling
Av lektor HAJO MICHAEL HOLTZ och postdoktor JONAS LEDENDAL
Digitaliseringen gör det möjligt för näringsidkare att utveckla nya affärsmodeller, upptäcka nya marknader och att rationalisera sina verksamheter.
En viktig aspekt i denna utveckling utgör att samla in, behandla och på olika sätt utnyttja personuppgifter av såväl befintliga som presumtiva kunder. Av den anledningen existerar ett naturligt samband mellan personuppgifter och näringsverksamhet och från ett juridiskt perspektiv en överlappning mellan rättsområdena dataskydd och marknadsrätt. Den här artikeln analyserar denna överlappning närmare. I artikeln görs en undersökning av såväl dataskyddsförordningens tillämpning på olika marknadsföringsåtgärder som marknadsrättens tillämpning på kommersiella personuppgiftsbehandlingar.
1 Inledning
Uppgifter som avser en identifierad eller identifierbar fysisk person, med andra ord personuppgifter, har ett betydande ekonomiskt värde, utgör oljan i den nya datadrivna ekonomin och kontrollen över en stor mängd personuppgifter kan medföra en konkurrensfördel.1 De flesta kommersiella aktörerna behandlar individers personuppgifter och detta ofta i syfte att effektivisera marknadsföringen av sina varor eller tjänster. Exempel på konkreta marknadsföringsåtgärder som kan innebära behandling av personuppgifter är datasystem för kundregister (CRM-system), olika former av direktmarknadsföring, personaliserad reklam online eller handel med adresslistor för marknadsföringsändamål. Datadrivna affärsstrukturer såsom onlineplattformar är dessutom helt dominerande i den digitala miljön och en analys, behandling och försäljning av uppgifter om konsumentpreferenser och annat användargenererat innehåll utgör tillsammans med reklam deras främsta intäktskälla.2 Sedan den 25 maj 2018 bildar förordningen (EU) 2016/679, den s.k. allmänna dataskyddsförordningen eller General Data
Protection Regulation (”GDPR”),3 den rättsliga ramen för alla åtgärder
1 Jfr Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 9. 2 Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 26. 3 I den här framställningen används beteckningen ”dataskyddsförordning” eller enbart ”förordning”.