SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 141 och strukturer som inbegriper behandling av personuppgift. Dataskyddsförordningen ingår i Europeiska unionens strategi för den digitala inre marknaden och ska i det sammanhanget bl.a. säkerställa den fria rörligheten för personuppgifter i unionen.4 Syftet med dataskyddsreglering är generellt att upprätthålla en jämnvikt mellan det fria flödet av personuppgifter och rätten till skydd av personuppgifter och respekt för privatlivet.5 Därför kan personuppgiftsbehandlingar också ses som en marknadsrättslig fråga, framför allt i den mån dessa ingår i marknadsföringsåtgärder.6 Det existerar således en överlappning mellan dataskydd och marknadsrätt i den meningen att dataskyddslagstiftning kan vara tillämplig på marknadsföring, samtidigt som marknadsrättsliga regler kan gälla i samband med en kommersiell behandling av personuppgifter. Denna överlappning existerar närmare bestämt mellan dataskyddsförordningen å ena sidan och å andra sidan direktiv 2005/29/EG om otillbörliga affärsmetoder med hänsyn till personuppgiftsbehandlingar inom ramen för marknadsföringsåtgärder, direktiv 2002/58/EG i fråga om icke begärd kommunikation och användningen av cookies samt direktiv 93/13/EEG om oskäliga avtalsvillkor vad gäller dataskyddsklausuler i allmänna villkor.7 För svensk del handlar frågan om förhållandet mellan förordningen och de nationella lagar som hittills implementerar de nämnda EU-direktiven.
    Syftet med den här artikeln är att förtydliga förhållandet mellan rättsområdena dataskydd och marknadsrätt samt att undersöka deras ömsesidiga påverkan. Artikeln är upplagd på så sätt att det först görs en undersökning av dataskyddsförordningens tillämpning på marknadsföringsåtgärder som kan inbegripa behandling av personuppgifter, inklusive en analys av konkreta exempel. Sedan undersöks hur marknadsrättslig lagstiftning kan tillämpas på personuppgiftsbehandlingar. Sådan marknadsrättslig lagstiftning är lagen om avtalsvillkor i konsumentförhållanden (AVLK) vad gäller dataskyddsklausuler i allmänna villkor, samt marknadsföringslagen (MFL) med hänsyn till den generella frågan huruvida kommersiella personuppgiftsbehandlingar i strid med dataskyddsförordningen kan utgöra en otillbörlig affärsmetod. Då förordningen tillhandahåller ett eget sanktionssystem avrundas undersökningen med en diskussion om en möjlig spärrverkan av dataskyddsförordningen för det marknadsrättsliga sanktionssystemet. Avslutningsvis sammanfattas de huvudsakliga slutsatserna.

4 Europeiska kommissionens meddelande ”En strategi för en inre digital marknad i Europa”, COM(2015) 192 final. 5 Jfr redan EU-domstolen, dom 2003-11-06 i mål C-101/01 (Lindqvist), punkt 97. 6 Med ”marknadsrätt” avses här marknadsföringsrätt. Förhållandet mellan dataskydd och konkurrensrätt behandlas inte i denna undersökning. Se i detta avseende t.ex. beslutet av det tyska konkurrensverket (Bundeskartellamt) mot Facebook om sammanföringen av personuppgifter från olika tjänster av 2019-02-07 (upphävt efter överklagande). 7 Observera att det s.k. e-privacydirektivet (2002/58/EG) i en snar framtid ska ersättas av en ny e-privacyförordning, se Europeiska kommissionens förslag, COM(2017) 10 final, i ärende 2017/0003 (COD).

142 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 2 Dataskydd och marknadsföring
Personuppgiftsbehandlingar som utförs av kommersiella aktörer kan ha olika syften, exempelvis att fullgöra avtal med registrerade, såsom inom e-handeln, eller att fullgöra rättsliga förpliktelser som åvilar den ansvarige, såsom på det arbetsrättsliga området. Det kan antas att många personuppgiftsbehandlingar i kommersiella sammanhang utförs för ändamål som på det ena eller andra sättet rör marknadsföring av varor eller tjänster. EU:s dataskyddsförordning är i princip tillämplig på all behandling av personuppgifter, vilket innefattar behandling för marknadsföringsändamål. När behandling sker för detta ändamål gäller dock särskilda krav, bl.a. beträffande den registrerades rätt att motsätta sig behandlingen, jfr artikel 21.2 i dataskyddsförordningen. I den här artikeln används begreppet ”marknadsföring” i betydelsen reklam och andra åtgärder i näringsverksamhet som är ägnade att främja avsättningen av varor eller tjänster, det vill säga såsom detta begrepp definierats i 3 § MFL.8 I det följande avsnittet undersöks dataskyddsförordningens tillämpning på personuppgiftsbehandlingar i samband med marknadsföring, framför allt vad gäller tillämpningen av de grundläggande principerna i artikel 5 samt rättslig grund i artikel 6 i dataskyddsförordningen. En analys görs även av några konkreta marknadsföringsåtgärder.

2.1 Grundläggande principer
All behandling av personuppgifter måste, oavsett om det sker för marknadsföringsändamål eller något annat syfte, uppfylla de allmänna krav som föreskrivs i artikel 5 i dataskyddsförordningen (grundläggande principer om dataskydd). Förordningen innehåller emellertid vissa lättnader för behandling som sker för särskilda ändamål såsom arkivändamål, vetenskaplig forskning och statistik.9 Medlemsstaterna har också ett visst utrymme att i sin nationella rätt införa andra lättnader, bl.a. när det är påkallat av allmänintresse.10 Det torde dock inte vara möjligt att införa några sådana nationella undantag för marknadsföringsändamål. Nedan behandlas i första hand principerna om laglighet, korrekthet, öppenhet, ändamålsbegränsning samt principen om uppgifts- och lagringsminimering, men behandlingen ska tillika överensstämma med övriga principer, såsom kravet på uppgifternas riktighet samt integritet och konfidentialitet.

8 Det är dock inte säkert att begreppet har exakt samma innebörd i EU:s dataskyddsrätt. 9 Undantag görs från principerna om ändamålsbegränsning och lagringsminimering när behandlingen sker för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål och statistiska ändamål. Undantagen förutsätter att lämpliga skyddsåtgärder vidtas för att skydda de registrerade i enlighet med artikel 89 i dataskyddsförordningen. 10 Se artikel 23 i dataskyddsförordningen, som reglerar när den registrerades rättigheter får begränsas i unionsrätten eller nationell rätt. En begränsning enligt denna bestämmelse kan även omfatta principerna i artikel 5 i den utsträckning dessa motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 12–22 och 34 i förordningen.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 143 2.1.1 Principen om laglighet Personuppgiftsbehandling, oavsett om det sker för marknadsföringsändamål eller något annat syfte, måste uppfylla kravet på laglighet i artikel 5.1 a i dataskyddsförordningen. Principen om laglighet innebär att behandlingen måste grundas på den registrerades samtycke eller någon annan rättslig grund som räknas upp i artikel 6.1 i förordningen. Det kan diskuteras huruvida principen om laglighet i dataskyddsförordningen ska tolkas som ett generellt krav på att behandlingen ska vara laglig, det vill säga att den inte får strida mot någon annan lagstiftning, även utanför dataskyddsområdet. Ett sådant generellt krav på laglighet ställs nämligen inom marknadsrätten. Marknadsföring som står i strid med annan lagstiftning än själva marknadsföringslagen har enligt svensk rättspraxis ansetts otillbörlig enligt den s.k. lagstridighetsprincipen.11 Det har redan tidigare varit oklart om principen om laglighet i dataskyddsrätten skulle ha en sådan omfattande innebörd.12 Mycket tyder på att kravet på laglighet skiljer sig åt mellan dataskyddsrätten och marknadsrätten, även vid tillämpningen av dataskyddsförordningen. I dataskyddsrätten innebär principen om laglighet ett krav på att behandlingen är laglig enbart om den är tillåten i lag (förbud med tillståndsreservation), medan lagstridighetsprincipen i marknadsrätten innebär att marknadsföring är laglig såvida den inte strider mot lagstiftning (tillstånd med förbudsreservation). Det betyder att en behandling av personuppgifter bör vara laglig om den tillåts av själva dataskyddslagstiftningen. Den dataskyddsrättsliga principen om laglighet kan därför inte ha någon självständig betydelse utan måste förstås som en hänvisning till de rättsliga grunderna i artikel 6.1 i dataskyddsförordningen.13 En extensiv tolkning av laglighetsprincipen i dataskyddsrätten skulle dock teoretiskt vara möjlig.14 Ett mer långtgående krav på laglighet skulle utöver detta också kunna läsas in i principerna om korrekthet och ändamålsbegränsning, se mer i de följande avsnitten.

2.1.2 Principerna om korrekthet och öppenhet Det är inte tillräckligt att behandlingen är laglig. Den måste enligt artikel 5.1 a i dataskyddsförordningen tillika vara korrekt och öppen i förhållande till den registrerade. Det framgår dessutom av artiklarna 13 och 14 i förordningen att skyldigheten att lämna information till den registrerade ska säkerställa att behandlingen är både ”rättvis och öppen”.15 Jämfört med principen om laglighet har korrekthetsprincipen

11 Prop. 2007/08:115, s. 70. Se mer om lagstridighetsprincipen nedan avsnitt 3.2.2. 12 Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 111. 13 Jfr prop. 2017/18:105 s. 47. 14 Se närmare Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 112 med hänvisningar. 15 Det är värt att lägga märke till att termen ”korrekt” i den betydelse som avses i artikel 5.1 a i förordningen i den svenska språkversionen endast förekommer i denna bestämmelse. I både ingressen och artikeldelen används termen ”rättvis” i

144 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 en ännu otydligare innebörd. Med termen ”korrekt” i svenska språket avses i första hand att något är riktigt. Det är så termen normalt används i lagspråket. Eftersom det redan finns en princip om riktighet i förordningen är det däremot uppenbart att ”korrekthet” i artikel 5.1 a inte avser uppgifternas kvalitet, utan rör hur den personuppgiftsansvarige ska uppträda i förhållande till den registrerade.16 Det framgår på samma sätt vid en jämförelse med andra språkversioner att ”korrekthet” syftar på att behandlingen ska vara skälig eller rättvis mot den registrerade.17 Enligt förarbeten till den svenska dataskyddslagen kan termen ”korrekt” i artikel 5.1 a tolkas som ”i enlighet med god tro”, vilket betyder att en intresseavvägning ska göras. I det enskilda fallet kan det således vara oförenligt med principen om korrekthet att vidta en viss behandlingsåtgärd om behandlingen skulle vara oskälig eller otillbörlig i förhållande till den registrerade.18 Sådana regler om oskälighet respektive otillbörlighet finns särskilt inom marknadsrätten, närmare bestämt i form av AVLK samt MFL. Det konstateras redan explicit i skäl 42 i dataskyddsförordningen att i förväg formulerade förklaringar om samtycke inte får innehålla oskäliga villkor i den mening som avses i direktiv 93/13/EEG.19 Marknadsföringslagen å sin sida innehåller generella bestämmelser som tar sikte på näringsidkares beteende i förhållande till konsumenter som samtidigt kan vara registrerade. Det är därför inte uteslutet att personuppgifter som behandlas inom ramen för bl.a. en vilseledande affärsmetod vilken strider mot MFL inte kan anses ha behandlats på ett korrekt sätt enligt dataskyddsförordningen. En sådan tolkning verkar göras av Europeiska dataskyddsstyrelsen vad gäller avtalsrätten, inklusive konsumentskyddslagstiftning på det avtalsrättsliga området.20 Det har till och med hävdats att principen om korrekthet kan innebära ett krav på att personuppgifter ska behandlas på ett etiskt sätt.21 Det är med inspiration från marknadsrätten därför eventuellt möjligt att tala om att EU:s dataskyddsrätt innehåller ett krav på att all behandling av personuppgifter förutom att vara laglig också ska överensstämma med god sed för dataskydd.22 Vid en sådan tolkning

stället genomgående. Se bl.a. skäl 60 där det talas om principen om rättvis behandling. 16 Principen om riktighet återfinns i artikel 5.1 d i förordningen. I ursprunglig lydelse benämndes principen ”korrekthet”, men bestämmelsen har rättats till ”riktighet” genom EUT L 127/6, 2018-05-23. 17 Jfr den engelska språkversionens ”fairness”, den franskas ”loyauté”, den tyskas ”Treu und Glauben”. 18 Jfr prop. 2017/18:105, s. 47. 19 Det är värt att observera att näringsidkaren kan uppfylla direktivets krav genom att ”handla lojalt och rättvist mot den andre parten, vars legitima intressen han måste beakta”, se skäl 16 i direktiv 93/13/EEG. 20 Jfr Europeiska dataskyddsstyrelsen, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, punkt 9 och 13. 21 Jfr European Union Agency for Fundamental Rights, Handbook on European data protection law (2018), s. 119. 22 God sed kan anses komma till uttryck genom det frivilliga system av godkända uppförandekoder för dataskydd som lagstiftaren uppmuntrar genom artikel 40 i

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 145 skapar principerna i artikel 5.1 a tydliga samband mellan rättsområdena dataskydd och marknadsrätt och kan möjliggöra en växelverkan mellan dessa.

2.1.3 Principerna om ändamålsbegränsning, uppgiftsminimering och lagringsminimering Behandlingar av personuppgifter i marknadsföringssyfte måste även uppfylla de andra krav som ställs på ändamålsbegränsning samt uppgifts- och lagringsminimering enligt artikel 5.1 b–c och e i dataskyddsförordningen. Med principen om ändamålsbegränsning avses att den personuppgiftsansvarige innan behandlingen påbörjas måste specificera ändamålet med denna. Om den ansvarige avser att samla in och behandla personuppgifter i marknadsföringssyfte måste detta alltså anges och för att uppfylla principerna om korrekthet och öppenhet klart framgå för den registrerade. Det är enligt principen om ändamålsbegränsning heller inte tillåtet att behandla personuppgifter för andra ändamål än sådana som är förenliga med det ändamål för vilket de ursprungligen samlades in. Vad som ska anses vara förenligt framgår av artikel 6.4 i förordningen. För att den nya behandlingen ska vara laglig krävs den registrerades samtycke eller någon annan rättslig grund.23 Även om sådan finns måste den registrerade som huvudregel informeras om det nya ändamålet, se artikel 14.4 i dataskyddsförordningen.24 Förutom detta föreskriver principen om ändamålsbegränsning att personuppgifter endast får behandlas för berättigade ändamål. En behandling i syfte att begå en brottslig gärning, t.ex. bedrägeri, bör inte utgöra ett berättigat intresse. Således skulle en behandling av personuppgifter som utgör ett led i marknadsföring vilken strider mot MFL också kunna vara otillåten enligt dataskyddsförordningen. En sådan tolkning har gjorts av Artikel 29-gruppen, som i sina riktlinjer uttalade att ändamålet måste överensstämma med ”other applicable laws such as employment law, contract law, consumer protection law, and so on”.25 Med uppgiftsminimering avses att den personuppgiftsansvarige inte får samla in eller behandla fler personuppgifter än vad som är nödvändigt för att uppfylla syftet med behandlingen. Uppgifterna ska tillika vara adekvata och relevanta. När uppgifterna inte längre behövs ska de enligt principen om lagringsminimering dessutom raderas eller om det är möjligt anonymiseras. Principerna ska alltså säkerställa att personuppgifter varken samlas in eller lagras, om det inte är nödvändigt med

dataskyddsförordningen. Det framgår bl.a. av artikel 40.2 a att en sådan kod kan användas för att precisera innebörden av vad som avses med kravet på ”rättvis och öppen behandling”. Se om god sed även nedan avsnitt 3.3. 23 Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 253. 24 Undantag kan enligt punkt 5 i samma bestämmelse dock bl.a. göras om det skulle medföra en oproportionerlig ansträngning för den personuppgiftsansvarige. Om uppgifterna ska användas för utskick kan informationen normalt lämnas först i samband med själva utskicket. 25 Se Artikel 29-gruppen, Opinion 03/2013 on purpose limitation, WP203, s. 19 f.

146 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 hänsyn till ändamålet med behandlingen, exempelvis marknadsföring. Det är alltså inte tillåtet att samla in och lagra stora mängder personuppgifter utan att det finns ett eller flera specifika syften. Principerna står i stark kontrast till hur vissa digitala plattformar och datamäklare samlar på sig stora datamängder om internetanvändare utan att det finns ett specifikt ändamål.26 Dessa datamängder kommer sedan inte sällan att användas för ändamål som rör olika former av marknadsföring, såsom personaliserad reklam online.

2.2 Rättslig grund vid marknadsföring
För att behandlingen ska vara tillåten krävs den registrerades samtycke eller någon annan rättslig grund. Detta innebär att minst ett av villkoren i artikel 6.1 i dataskyddsförordningen måste vara uppfyllt. Behandling av personuppgifter för marknadsföringsändamål kan framför allt grundas på samtycke eller den personuppgiftsansvariges eller tredje parts berättigade intresse efter en intresseavvägning. Behandling av särskilda kategorier av personuppgifter är förvisso som huvudregel förbjuden enligt artikel 9 i förordningen, men en behandling för marknadsföringsändamål bör inte per se vara omöjlig. När den registrerade har lämnat sitt uttryckliga samtycke eller om denne på ett tydligt sätt själv har offentliggjort uppgifterna skulle en behandling av sådana uppgifter kunna vara tillåten med hänvisning till artikel 9.2 a eller e i förordningen, även i marknadsföringssyfte.

2.2.1 Samtycke Den registrerades samtycke utgör en av de viktigaste rättsliga grunderna vid behandling i marknadsföringssyfte. Vad som avses med samtycke definieras i artikel 4.11 i dataskyddsförordningen. Ett samtycke ska vara specifikt, frivilligt, informerat och otvetydigt. Dataskyddsförordningen innehåller inte några specifika regler om samtycke till att personuppgifter används för ändamål som rör marknadsföring, varför kommersiella aktörer måste ta hänsyn till de allmänna kraven i artiklarna 7 och 8 i dataskyddsförordningen när behandling av personuppgifter för marknasföringsändamål grundas på samtycke.27 Om marknadsföringen ska stödja sig på samtycke bör ”opt-in”-lösningar generellt vara ett krav, då tystnad, på förhand ikryssade rutor eller inaktivitet enligt skäl 32 i förordningen inte utgör en ”entydig bekräftande handling” i den mening som avses i artikel 4.11.28 Om behandlingen bredvid andra ändamål också ska ske för marknadsföring bör det krävas separata samtycken för varje ändamål, jfr igen skäl 32. Av skäl 42 i förord-

26 Se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverkets rapport 2017:4, s. 16 ff. 27 Se generellt i fråga om samtycke Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 249 f. 28 Skäl 32 talar dock om ”något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen”. Detta tyder på att en samtyckesförklaring till och med kan lämnas genom konkludent handlande.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 147 ningen kan dessutom utläsas att samtyckesförklaringen endast får placeras i allmänna villkor under förutsättning att förklaringen tydligt kan särskiljas från de andra frågorna i avtalet, se artikel 7.2, vilket även gäller ett samtycke till marknadsföring. Att göra genomförandet av ett avtal beroende av ett samtycke till en behandling för marknadsföringsändamål, som inte är nödvändig för genomförandet av avtalet, kan vara förbjudet enligt artikel 7.4 i dataskyddsförordningen. Detta förbud skulle kunna bli ett problem för annonsfinansierade ”gratis”-tjänster på internet, inbegripet webbsidor, där personuppgifterna idag används som betalningsmedel, men där användarna inte har en genuin valmöjlighet att vägra samtycka till att deras personuppgifter används för riktade annonser.29 Ett samtyckes frivillighet bör däremot inte påverkas av att den personuppgiftsansvarige utlovar ett prisavdrag på en vara eller tjänst i utbyte mot ett samtycke till att abonnera på ett nyhetsbrev eller medlemskap i en kundklubb.30 Samtycke till personuppgiftsbehandlingar för marknadsföringsändamål kan också användas när den registrerade är ett barn. Vid erbjudande av informationssamhällets tjänster direkt till barn får den som minst är 13 år själv samtycka till behandlingen, se artikel 8.1 i förordningen i kombination med 2 kap. 4 § i dataskyddslagen. Vid sådana tjänster och användningen av samtycke som rättslig grund måste samtycket således inhämtas av vårdnadshavaren, om barnet är under 13 år. Begreppet ”informationssamhällets tjänster direkt till barn” bör tolkas så att det omfattar både tjänster som direkt marknadsförs mot barn och tjänster som i och för sig inte marknadsförs på det sättet, men där det på grund av tjänstens utformning, innehåll eller funktion är uppenbart att barn är en målgrupp.31 Exempel på sådana tjänster kan vara till barn riktade spelplattformar, sociala medier, pedagogiska tjänster eller olika typer av databaser, men inte automatiskt samtliga erbjudanden inom e-handeln.32 Utanför tillämpningsområdet av artikel 8 i dataskyddsförordningen måste vid användningen av samtycke däremot en bedömning, liksom tidigare, göras i varje enskilt fall av barnets förmåga att förstå innebörden av ett lämnat samtycke.33 Som en logisk konsekvens bör samtycket återigen inhämtas från den som har föräldraansvaret för barnet om det saknar den mentala kapaciteten att förstå innebörden av ett lämnat samtycke.

29 En lösning skulle kunna vara att erbjuda en valmöjlighet mellan ett gratis- och ett betalalternativ, jfr Albrecht/Jotzo, Das neue Datenschutzrecht der EU (2017), s. 72. Vid tillämpningen av intresseavvägningen som rättslig grund skulle problemet i stället handla om rätten att kunna invända mot behandlingen enligt artikel 21 i dataskyddsförordningen. 30 Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 7, punkt 29. 31 Jfr prop. 2017/18:105, s. 69. 32 Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 8, punkt 15 f. 33 Prop. 2017/18:105, s. 67.

148 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 En intressant, men mest rättsteoretisk fråga utgör samtyckets rättsliga karaktär. Det har diskuterats huruvida samtycke till en behandling av personuppgifter har karaktären av en rättshandling i avtalsrättslig mening.34 I praktiken hämtas samtycke till behandling av personuppgifter in på ett sätt som påminner om anbud-accept-modellen i avtalslagen. I svensk rätt används begreppet rättshandling främst för att beteckna viljeförklaringar som har till syfte att grundlägga, förändra eller upphäva ett rättsförhållande.35 Även om samtycke enligt dataskyddsförordningen inte kan betraktas som en ömsesidig rättshandling, och därmed inte som ett avtal, torde den i likhet med utfärdande av fullmakt kunna utgöra en ensidig sådan.36 Då dataskyddsförordningen innehåller specifika regler om vilka krav som ställs på ett samtycke, dess giltighet samt möjligheten till återkallelse kan frågan i slutändan anses ha begränsad praktisk betydelse. Eventuella problem behöver i vilket fall hanteras autonomt utifrån förordningens krav och oberoende av samtyckets rättsliga karaktär enligt medlemsstaternas nationella rättsordningar.37

2.2.2 Intresseavvägning Förutom samtycke bör behandling av personuppgifter i marknadsföringssyfte i första hand grundas på den s.k. intresseavvägningsregeln. Enligt artikel 6.1 f i dataskyddsförordningen är en behandling tillåten om den är nödvändig för att tillgodose ett berättigat intresse och den registrerades intressen inte väger tyngre. Det framgår av skäl 47, sista meningen i dataskyddsförordningen att ”direktmarknadsföring” utgör ett typexempel på ett sådant berättigat intresse. Detta begrepp definieras inte i dataskyddsförordningen, men kan förstås som varje åtgärd, där marknadsföraren försöker att direkt komma i kontakt med utvalda potentiella kunder, oavsett medium.38 Vid sådan marknadsföring bör även steg i behandlingsprocessen som inträffar innan själva kontakten omfattas av det berättigade intresset, såsom insamlingen och bearbetningen av personuppgifter för direktmarknadsföring.39 Andra former av marknadsföring eller reklam som innebär en behandling av person-

34 Se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 32 samt s. 39; Öman & Lindblom, Personuppgiftslagen — En kommentar, 4 uppl. (2011), s. 108. 35 Jfr Adlercreutz m.fl., Avtalsrätt I, 14 uppl. (2016), s. 25. 36 Klassificeringen som en rättshandling är däremot inte självklar från ett kontinentaleuropeiskt perspektiv. Enligt tysk förståelse skulle samtycket också kunna vara en realhandling, eftersom intrånget i den personliga integriteten, som genom ett samtycke tillåts, i sig utgör en faktisk handling, se Schulz i Gola (red.), DatenschutzGrundverordnung — Kommentar, 2 uppl. (2018), artikel 7, punkt 9. 37 Ingold i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 7, punkt 13. Se även artikel 8.3 i dataskyddsförordningen. 38 Jfr Bernitz, Svensk och europeisk marknadsrätt 2 (2013), s. 17; jfr också definitionen i Internationella Handelskammarens regler för reklam och marknadskommunikation, den s.k. ICC-koden, kapitel C. 39 Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 6, punkt 69.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 149 uppgifter, men som inte utgör direktmarknadsföring, måste argumentum a fortiori också kunna utgöra berättigade intressen, varför artikel 6.1 f i förordningen generellt bör kunna tillämpas på personuppgiftsbehandlingar för marknadsföringsändamål.40 Ett berättigat intresse enligt dataskyddsförordningen kräver under alla omständigheter en noggrann bedömning i det enskilda fallet som inbegriper den registrerades rimliga förväntningar, se skäl 47, tredje meningen.41 På grund av den teknologiska utvecklingen bör den rimliga förväntningen idag vara av sådan art att personuppgifter normalt behandlas för marknadsföringsändamål. Den registrerade måste vid tillämpningen av intresseavvägningen anses vara tillräckligt skyddad, bl.a. genom rättigheterna i artikel 21 (invändning), artikel 18 (begränsning) och artikel 17 (radering). Av den anledningen kan man vid marknadsföring utgå från en form av presumtion för behandlingens laglighet, dvs. som grundregel bör en behandling av personuppgifter för ändamål som rör marknadsföring vara tillåten, om inte den registrerades intressen i det enskilda fallet väger tyngre.42 Intresseavvägningsregeln gäller enligt ordalydelsen även för en tredje parts berättigade intressen, varför led f kan åberopas som rättslig grund för såväl egen marknadsföring som marknadsföring för annans räkning. På samma sätt framgår av ordalydelsen i artikel 6.1 f att intresseavvägning kan tillämpas när den registrerade är ett barn.43 På grund av barns skyddsbehov måste avvägningen i ett sådant fall dock göras särskilt noggrant, i synnerhet vid användningen av barns personuppgifter i marknadsföringssyfte, för att skapa personlighets- eller användarprofiler samt för insamling av uppgifter när tjänster som erbjuds direkt till barn utnyttjas, jfr skäl 38 i dataskyddsförordningen.
    Grundar sig en behandling för marknadsföringsändamål på en intresseavvägning har den registrerade enligt artikel 21 i förordningen rätt att när som helst invända mot behandlingen, inklusive profilering som har ett samband med marknadsföringen.44 Vid direktmarknadsföring är denna rätt absolut, dvs. personuppgifterna får vid en invändning enligt artikel 21.2 inte längre behandlas för sådana ändamål, se artikel 21.3, medan rätten vid andra typer av marknadsföringsåtgärder

40 Direktmarknadsföring bör normalt vara mer integritetskänslig än andra former av marknadsföring, jfr Artikel 29-gruppen, Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, WP 217, s. 26 och 48 f. 41 Andra relevanta omständigheter inom ramen för avvägningen kan vara konsekvenserna för den registrerade, omfattningen av insamlingen, uppgifternas art eller hur uppgifterna behandlas, jfr redan Artikel 29-gruppen, Yttrande 6/2014 om begreppet den registeransvariges berättigade intressen i artikel 7 i direktiv 95/46/EG, WP 217, s. 39 ff. 42 Detta framgår redan indirekt av artikel 21.2 i dataskyddsförordningen. 43 Artikel 8 i dataskyddsförordningen gäller enbart vid tillämpningen av artikel 6.1 a, alltså när behandlingen ska grunda sig på ett barns samtycke. 44 Det existerar en parallell rätt att göra invändningar mot direktmarknadsföring i enlighet med MFL, se mer nedan avsnitt 3.2.4.

150 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 är relativ, det vill säga beroende av om den ansvarige kan påvisa avgörande, berättigade och övervägande skäl för en fortsatt behandling, se 21.1 i dataskyddsförordningen.45 Invänder den registrerade (framgångsrikt) mot behandlingen ska uppgifterna utan onödigt dröjsmål raderas i enlighet med artikel 17.1 c i dataskyddsförordningen.46 När en behandling för marknadsföringsändamål stödjer sig på samtycke kan intresseavvägningen ändå göras gällande som en alternativ grund när samtycket återkallas, jfr artikel 17.1 b i förordningen, förutsatt att den registrerade informeras om detta.47 Återkallas ett samtycke bör genom tolkning avgöras om återkallelsen samtidigt ska förstås som en invändning enligt artikel 21 i dataskyddsförordningen.48

2.2.3 Avtals ingående eller fullgörande Under normala omständigheter bör en behandling av personuppgifter i marknadsföringssyfte inte betraktas som nödvändig för att ingå eller fullgöra ett avtal i den mening som avses i artikel 6.1 b i dataskyddsförordningen, såvida inte själva avtalet just handlar om marknadsföring. Exempelvis kan bestämmelsen enligt Europeiska dataskyddsstyrelsen inte utgöra en laglig grund för personaliserad reklam online samt profilering och tracking i detta sammanhang, även om sådan reklam indirekt finansierar tillhandahållandet av en tjänst på internet.49 Ett exempel på när denna rättsliga grund däremot skulle kunna bli aktuell kan vara avtalsbaserade kundklubbar och liknande lojalitetsprogram.50 I övrigt förefaller artikel 6.1 b svårtillämpad i samband med marknadsföring.
    En generell fråga som uppkommer är hur denna rättsliga grund förhåller sig till samtyckesgrunden, eftersom förklaringar om samtycke lätt kan förväxlas med olika typer av avtalsvillkor.51 Ett samtycke karaktäriseras bl.a. av att det när som helst kan återkallas av den registrerade och att det inte får kopplas till genomförandet av ett avtal i strid med artikel 7.4 i dataskyddsförordningen. Ett avtal eller avtalsvillkor är där-

45 I stället för ”avgörande” användes ursprungligen termen ”tvingande”, se EUT L 127/7, 2018-05-23. 46 Huruvida raderingsskyldigheten enligt artikel 17.1 i dataskyddsförordningen gäller automatiskt eller är beroende av att den registrerade begär raderingen är i viss mån oklart. 47 Oklart är vad som gäller när samtycket är ogiltigt. Enligt Artikel 29-gruppen får den personuppgiftsansvarige inte byta från samtycke till andra rättsliga grunder när det har uppstått problem med att erhålla giltigt samtycke, se Artikel 29-gruppen, Riktlinjer om samtycke enligt förordning (EU) 2016/679, WP259 rev.01, s. 24. 48 Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 21, punkt 20. 49 Europeiska dataskyddsstyrelsen, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, punkt 51 ff. 50 Jfr Frydlinger m.fl., GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen (2018), s. 186. 51 Den rättsliga grunden ”avtal” föreligger redan när det finns en avsikt att ingå ett avtal, jfr skäl 44 i dataskyddsförordningen.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 151 emot inte möjligt att ensidigt återkalla utan är bindande för den registrerade. Skyddet för den registrerade kan alltså till synes kringgås genom att behandlingen grundas på ett avtal. För att förhindra ett sådant kringgående skulle ett avtalsvillkor som till det yttre inte utformats som ett samtycke ändå kunna betraktas som en samtyckesförklaring i förordningens mening. Alternativt bör behandlingen inte vara nödvändig för att ingå eller fullgöra ett avtal om avtalets syfte är att kringgå reglerna om samtycke. Ett sådant avtalsvillkor skulle förmodligen vara oskäligt redan i enlighet med AVLK. I övrigt är det viktigt att de båda grunderna för laglig behandling av personuppgifter, det vill säga samtycke och avtal, inte slås ihop eller suddas ut utan hålls isär,52 vilket också gäller vid marknadsföring.

2.3 Exempel på behandling i marknadsföringssyfte
I praktiken bör intresseavvägningen vara den primära rättsliga grunden för behandlingar i marknadsföringssyfte. Förutom själva avvägningen måste de grundläggande principerna i artikel 5 i dataskyddsförordningen beaktas, exempelvis öppenhetsprincipen, principen om ändamålsbegränsning eller principen om uppgiftsminimering.53 Därtill spelar den ansvariges informationsskyldigheter enligt artiklarna 12–14 i dataskyddsförordningen en betydande roll vid behandlingar i samband med marknadsföring. Anledningen är bl.a. att den information som lämnas av den ansvarige kan påverka den registrerades ”rimliga förväntningar” inom ramen för intresseavvägningen och således behandlingens laglighet.54 Kan intresseavvägningen inte rättfärdiga behandlingen för marknadsföringsändamål måste den i stället stödjas på den registrerades samtycke eller någon annan rättslig grund beroende på omständigheterna i det enskilda fallet.

2.3.1 Cookies Lagligheten av användningen av s.k. cookies i marknadsföringssyfte, exempelvis för att analysera hur effektiv utformningen av en webbplats eller en viss annonsering är, beror delvis på konkurrensförhållandet mellan dataskyddsförordningen och direktiv 2002/58/EG om integritet och elektronisk kommunikation.55 Om förordningen skulle vara

52 Se Artikel 29-gruppen, Riktlinjer om samtycke enligt förordning (EU) 2016/679, WP259 rev.01, s. 24. Det kan till och med vara olämpligt att begära samtycke när behandlingen är nödvändig för att fullgöra en avtalsförpliktelse, då uppgifterna lämnas över i tron att den registrerade har mer kontroll än vad som är fallet. 53 Huruvida principerna beaktas som självständiga krav på behandlingens laglighet eller som faktorer inom ramen för intresseavvägningen bör inte vara avgörande för bedömningen. 54 Jfr även Frydlinger m.fl., GDPR: juridik, organisation och säkerhet enligt dataskyddsförordningen (2018), s. 180. I detta avseende existerar en viss överlappning med öppenhetsprincipen. 55 Dataskyddsförordningen är tillämplig på cookies om användningen innebär en behandling av personuppgifter, såsom IP-adresser som kan kopplas till fysiska personer, jfr skäl 30 i dataskyddsförordningen.

152 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 tillämplig bredvid direktivet skulle teoretiskt till och med en intresseavvägning kunna motivera användningen av cookies för marknadsföringsändamål. Förhållandet mellan dessa rättsakter regleras i artikel 95 i dataskyddsförordningen, som slår fast att direktiv 2002/58/EG ska ha företräde när det gäller särskilda skyldigheter för samma ändamål som förordningen.56 Denna bestämmelse bör innefatta samtyckeskravet för användningen av cookies enligt artikel 5.3 i direktiv 2002/58/EG, som måste anses vara lex specialis i förhållande till dataskyddsförordningen.57 Även skäl 173 i dataskyddsförordningen talar för att direktiv 2002/58/EG ska gälla fram till den pågående översynen är avslutad och direktivet ersatts av den föreslagna e-privacyförordningen. Således kan själva användningen av cookies inte stödjas på en intresseavvägning enligt dataskyddsförordningen, utan det krävs fortfarande användarnas samtycke i enlighet med direktiv 2002/58/EG, se för svensk del 6 kap. 18 § i lagen om elektronisk kommunikation (LEK).58 Med andra ord, om cookies kräver samtycke enligt e-privacydirektivet så kan inte de alternativa lagliga grunderna i dataskyddsförordningen åberopas för att placera dem.59 Enligt artikel 94.2 i dataskyddsförordningen i kombination med artikel 2 f i direktiv 2002/58/EG är det dessutom numera dataskyddsförordningens definition av samtycke som gäller även för cookies. S.k. opt-out-lösningar uppfyller därför inte lagkraven, vilket har bekräftats av EU-domstolen.60 I stället krävs det en aktiv handling i form av att exempelvis en ruta kryssas i vid besök på en webbplats eller genom ett inställningsalternativ i webbläsaren (se skäl 32 i dataskyddsförordningen), förutsatt att samtycket är frivilligt, specifikt och informerat.61 Oberoende av om det finns samtycke till placeringen av cookies i enlighet med LEK behöver den fortsatta behandlingen av de personuppgifter som har samlats in med hjälp av cookies kunna stödjas på en av de rättsliga grunderna i artikel 6.1 i dataskydds-

56 Se även Europeiska dataskyddsstyrelsen, Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR, in particular regarding the competence, tasks and powers of data protection authorities. 57 På samma sätt Artikel 29-gruppen, Opinion 2/2010 on online behavioural advertising, WP 171, s. 10 i fråga om förhållandet till direktiv 95/46/EG (dataskyddsdirektivet). 58 Samtycke krävs inte för cookies som behövs för att överföra ett elektroniskt meddelande eller som är nödvändiga för att tillhandahålla en tjänst som användaren uttryckligen har begärt. Enligt artikel 8.1 i förslaget på en ny e-privacyförordning ska samtycke inte heller krävas för cookies som är nödvändiga för mätning av webbpublik. 59 Information Commissioner’s Office (ICO), Guidance on the use of cookies and similar technologies, 2019-07-03, s. 20. 60 Se EU-domstolens dom 2019-10-01 i mål C-673/17 (Planet49), punkt 63. 61 På grund av bristande entydighet bör den fortsatta användningen av en webbsida efter en cookie-varning likställas med tystnad eller inaktivitet och inte anses som ett konkludent samtycke. Webbsidor som inte ger användaren en genuin valmöjlighet att vägra sitt samtycke till cookies, t.ex. vid vissa typer av cookie-väggar, uppfyller sannolikt inte heller lagkraven.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 153 förordningen. Väljer den personuppgiftsansvarige samtycke som rättslig grund kan de två olika typerna av samtycke förenas, förutsatt att den registrerade otvetydigt informeras om vad han eller hon samtycker till.62

2.3.2 Profilering, tracking och analyser Behandlingar av personuppgifter i anslutning till användningen av cookies i marknadsföringssyfte kan bestå av olika former av profilering63, tracking och analyser, främst för att effektivisera utformningen av webbplatser eller för att kunna personalisera reklam utifrån en segmentering av kundgrupper.64 Förutsatt att ett separat cookie-samtycke har inhämtats eller förutsatt att dessa åtgärder utförs utan användning av cookies skulle lagligheten av själva personuppgiftsbehandlingen efter insamlingen kunna stödjas på en intresseavvägning i det enskilda fallet.65 Ett exempel kan vara när användarna rimligen kan förvänta sig en sådan behandling och den ansvarige använder sig av åtgärder för pseudonymisering.66 Enligt skäl 29 i dataskyddsförordningen bör ”allmänna analyser” inom en och samma personuppgiftsansvarigs verksamhet vara möjliga, förutsatt att pseudonymisering tillämpas. Om sådana åtgärder inte inbegriper automatiserat individuellt beslutsfattande är heller inte förbudet i artikel 22 i dataskyddsförordningen tilllämpligt. I normalfallet har det automatiserade beslutet att visa personaliserad reklam inte sådana effekter på registrerade som artikel 22.1 kräver.67 Eftersom den registrerade normalt kan antas ha ett större intresse av reklam som är anpassad än reklam som är riktad till allmänheten bör olika former av profilering, tracking och analyser som har ett samband med marknadsföring inte under alla omständigheter vara beroende av ett samtycke.68 Att profilering för detta ändamål måste kunna grundas på en intresseavvägning framgår redan indirekt av arti-

62 Artikel 29-gruppen, Opinion 02/2013 on apps on smart devices, WP 202, s. 14. Jfr även EU-domstolens dom 2019-10-01 i mål C-673/17 (Planet49). 63 Artikel 4.4 i dataskyddsförordningen definierar ”profilering” bl.a. som varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person. 64 Se omfattande om olika former av personaliserad reklam SOU 2018:1, s.196 ff. 65 Enligt Artikel 29-gruppen bör s.k. digitala fingeravtryck omfattas av samtyckeskravet för cookies, se Yttrande 9/2014 om tillämpningen av direktiv 2002/58/EG på digitala fingeravtryck, WP 224. Se även artikel 8.1 i förslaget på en ny e-privacyförordning. 66 Artikel 4.5 i dataskyddsförordningen definierar ”pseudonymisering” bl.a. som behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används. 67 Artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, s. 22. Något annat skulle kunna gälla när användarnas sårbarheter exploateras eller vid profilering i syfte att tillämpa individanpassad prissättning, se ibid. 68 På samma sätt Schulz i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 6, punkt 87 ff. En annan fråga är huruvida en ytterligare användning av personuppgifter utanför ändamålsbestämningen kräver samtycke eller inte, se artikel 6.4 i dataskyddsförordningen.

154 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 kel 21.1 och 21.2 i dataskyddsförordningen. Ju mer påträngande åtgärden är desto svårare blir det dock för personuppgiftsansvariga att motivera behandlingen utifrån den rättsliga grunden intresseavvägning.69 Sådana åtgärder bör i vilket fall inte gälla barn, jfr skäl 38 och skäl 71 sista meningen i dataskyddsförordningen.

2.3.3 Direktmarknadsföring Behandlingar för ändamål som rör såväl analog som elektronisk direktmarknadsföring, dvs. adresserad reklam via vanlig post, e-post eller på ett annat elektroniskt sätt, bör enligt dataskyddsförordningen normalt vara lagliga utan den registrerades samtycke, då dessa i stället kan stödjas på en intresseavvägning. För befintliga kunder framgår lagligheten redan av skäl 47 i dataskyddsförordningen, men på liknande sätt kan intresseavvägningen i det enskilda fallet komma ifråga som rättslig grund gentemot potentiella kunder, exempelvis när det kan antas att den registrerade kan vara intresserad av reklamen. Så bör dock inte vara fallet när den registrerade tydligt har motsatt sig marknadsföringen, jfr 21 § MFL. Har den registrerade anmält sig till ett spärrregister, såsom ”NIX adresserat” vad gäller direktreklam som sänds med vanlig post eller ”NIX-Telefon” i fråga om marknadsföring via telefon, bör den registrerade rimligen kunna förvänta sig att personuppgifterna inte behandlas för marknadsföring som täcks av reklamspärren.70 Den som vill använda personuppgifter för marknadsföringsåtgärder som omfattas av ett spärregister bör därför vara skyldig att konsultera registren för att intresseavvägningen ska utfalla till förmån för direktmarknadsföringen.71 Även beträffande digital direktmarknadsföring existerar specialregler för själva kontakten med registrerade i marknadsföringssyfte. Enligt artikel 13 i direktiv 2002/58/EG krävs samtycke till elektronisk kommunikation och detta krav måste på samma sätt som artikel 5.3 i direktivet anses utgöra lex specialis i den mening som avses i artikel 95 i dataskyddsförordningen. Oberoende av om personuppgiftsbehandlingen för ändamål som rör direktmarknadsföring via elektronisk kommunikation kan stödjas på intresseavvägningen kan själva kontakten med registrerade, t.ex. via e-post, således kräva ett samtycke i enlighet med direktiv 2002/58/EG, se för svensk del 19 § MFL.72 Grundas behandlingen av personuppgifterna för sådana ändamål redan på samtycke kan likaså dessa två olika typer av

69 Jfr Artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP251rev.01, s. 15. Ett exempel på en påträngande åtgärd kan vara spårning av individer över flera olika enheter, s.k. cross-device tracking, eller över flera olika webbsidor eller tjänster. 70 Samma bör gälla adresskällor som tillämpar reklamspärr, såsom Statens personadressregister. 71 Jfr SOU 2004:6, s. 266. Se även Öman, Dataskyddsförordningen (GDPR) m.m. — En kommentar (2019), s. 362. En motsvarande skyldighet följer av MFL, se mer nedan avsnitt 3.2.4. 72 Se mer om 19 § MFL nedan avsnitt 3.2.4.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 155 samtycke förenas om detta görs på ett tydligt sätt och om kraven i båda regelverken iakttas.

2.3.4 Åtgärder som involverar tredje part Till och med behandlingar av personuppgifter som involverar en tredje part kan baseras på intresseavvägning som rättslig grund, se ordalydelsen i artikel 6.1 f i dataskyddsförordningen. Exempel på marknadsföringsåtgärder för att tillgodose tredje parts intressen kan vara adresshandel, användningen av tredjepartscookies eller bilagor från tredje part i egna utskick. Frågor som kan aktualiseras i samband med sådana åtgärder är bl.a. följande: Om personuppgifter ska behandlas för ändamål som rör en tredje parts marknadsföring måste detta ändamål anges redan vid insamlandet av uppgifterna, se principen om ändamålsbegränsning (artikel 5.1 b). Är detta ändamål inte redan bestämt vid tidpunkten för insamlandet får en sådan behandling enbart ske under de förutsättningar som anges i artikel 6.4 i dataskyddsförordningen. Om inte ett separat samtycke av den registrerade för denna ytterligare behandling inhämtas måste den ansvarige fastställa huruvida behandlingen för tredje parts intressen skulle vara förenlig med det ursprungliga ändamålet. Vid detta kompatibilitetstest kan återigen den registrerades rimliga förväntningar eller huruvida pseudonymisering tillämpas eller inte vara av betydelse.73 Vid sidan av ändamålsproblematiken utgör den registrerades rätt till information, som en konkretisering av öppenhetsprincipen (artikel 5.1 a), ytterligare en viktig aspekt i samband med marknadsföringsåtgärder som innefattar tredje part. Enligt artikel 13 i dataskyddsförordningen ska den registrerade i förekommande fall informeras om bl.a. den tredje partens berättigade intressen, eventuella mottagare eller kategorier av mottagare av personuppgifterna samt rätten att göra invändningar enligt artikel 21. I övrigt kan reglerna om personuppgiftsbiträden och tredjelandsöverföring aktualiseras i samband med åtgärder som innefattar en tredje part, exempelvis användningen av tredjepartstjänster såsom Google Analytics, Facebook-pixeln eller externa CRM-system.
    En användning av tredjepartstjänster kan i det enskilda fallet också innebära ett personuppgiftsansvar för den tredje parten, beroende på om denne har utrymme för att bestämma ändamålen med och medlen för behandlingen av uppgifterna. Om parterna gemensamt fastställer ändamålen med och medlen för behandlingen är båda gemensamt ansvariga i enlighet med artikel 26 i dataskyddsförordningen.74 Detta gäller exempelvis för insamlingen och överföringen av personuppgifter

73 I det avseendet kan olika former av profilering, tracking och analyser som har ett samband med direktmarknadsföring bli problematiska, jfr Artikel 29-gruppen, Opinion 03/2013 on purpose limitation, WP203, s. 46. 74 Se generellt närmare Kahn & Gustafsson, Gemensamt personuppgiftsansvar — vanligare under GDPR?, JP 2/2017, s. 273 ff.

156 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 till Facebook genom att integrera Facebook-gilla-knappen på en webbsida.75 Samma bör gälla vid placeringen av tredjepartscookies, till exempel sådana som används av s.k. annons- eller affiliatenätverk.76 Ett personuppgiftsansvar för en tredje part förändrar däremot inte ansvaret för den som anlitar en sådan aktör eller möjliggör att den får tillgång till uppgifterna.77 Den som anlitar en tredjepartsaktör eller överför uppgifterna till denne är emellertid inte längre ansvarig för den behandling som tredjepartsaktören självständigt utför efter att uppgifterna har överförts.78 För att kunna grunda ett utlämnande av personuppgifter till en tredjepartsaktör på en intresseavvägning ska båda parterna ha ett berättigat intresse.79 I likhet med profilering blir ett utlämnande till tredje part dock svårare att motivera desto mer påträngande åtgärden är.80 Får personuppgifterna lagligen lämnas ut till tredje part för att behandlas för ändamål som rör dennes marknadsföring har den parten sedan en egen informationsskyldighet i enlighet med artikel 14 i förordningen, vilket exempelvis gäller vid adressköp.81

3 Marknadsrätt och kommersiell personuppgiftsbehandling
En växelverkan mellan dataskydd och marknadsrätt framträder inte enbart i det faktum att många marknadsföringsåtgärder inbegriper en behandling av personuppgifter som måste utföras i enlighet med dataskyddslagstiftningen; omvänt kan personuppgiftsbehandlingar som sådana vara kommersiellt beteende som kan bli föremål för marknadsrättslig lagstiftning. Relevant sådan lagstiftning i samband med en behandling av personuppgifter är lagen om avtalsvillkor i konsumentförhållanden (AVLK) vad gäller dataskyddsklausuler i allmänna villkor samt marknadsföringslagen (MFL) med hänsyn till den generella frågan huruvida kommersiella behandlingar av personuppgifter i strid med dataskyddsförordningen kan utgöra en otillbörlig affärsmetod.

75 Se EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID). Angående ett gemensamt ansvar för en Facebook-sida se EU-domstolens dom 2018-06-05 i mål C-210/16 (Wirtschaftsakademie Schleswig-Holstein). Även vid användningen av tjänsterna Facebook Custom Audiences eller Google Analytics kan ett personuppgiftsansvar av Facebook eller Google diskuteras. 76 Jfr Artikel 29-gruppen, Opinion 2/2010 on online behavioural advertising, WP 171, s. 10. 77 Jfr Westman, ledaren i Lov&Data nr 134, 2/2018, s. 3. Se även Europeiska datatillsynsmannen, Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725, 2019-11-07, s. 10. 78 Jfr EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID), punkt 76. 79 EU-domstolens dom 2019-07-29 i mål C-40/17 (Fashion ID), punkt 97, vad gäller ett gemensamt personuppgiftsansvar. Utlämnandet kan även vara tillåtet om det endast kan grundas på tredje parts berättigade intresse, jfr artikel 6.1 f i dataskyddsförordningen. 80 Ett exempel på en påträngande åtgärd kan vara ett utlämnande av personuppgifter i syfte att samköra dessa med ett redan befintligt register såsom en profil på sociala medier. Andra exempel kan vara oförutsebara utlämnanden som inte rimligen kan förväntas. 81 Adressköp bör kunna stödjas på intresseavvägningen, om utlämnandet ingår i ändamålsbestämningen och säljaren informerar de registrerade i enlighet med artikel 13 i dataskyddsförordningen.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 157 3.1 Dataskyddsklausuler i allmänna villkor
3.1.1 Tillämpligheten av AVLK AVLK gäller enligt 1 § avtalsvillkor som näringsidkare använder när de erbjuder varor, tjänster eller andra nyttigheter till konsumenter. Om ett avtalsvillkor är oskäligt mot konsumenten får Patent- och marknadsdomstolen enligt 3 § AVLK förbjuda näringsidkaren att i framtiden i liknande fall använda samma eller väsentligen samma villkor, om förbudet är motiverat från allmän synpunkt eller annars ligger i konsumenternas eller konkurrenternas intresse. AVLK syftar till skyddet av konsumenternas kollektiva intressen genom att generellt bekämpa användningen av oskäliga avtalsvillkor.82 Begreppet ”avtalsvillkor” definieras varken i AVLK eller i direktiv 93/13/EEG, men bör förstås så att det avser en klausul som ska reglera avtalets innehåll.83 En avtalsklausul med bäring på dataskyddsfrågor är framför allt en i förväg formulerad samtyckesförklaring, men likaså andra typer av dataskyddsklausuler är tänkbara i allmänna villkor, såsom en ändamålsbestämning enligt artikel 5.1 b i dataskyddsförordningen eller klausuler som innehåller obligatorisk information i enlighet med artiklarna 12–14.84 Huruvida sådana klausuler kan anses som ”avtalsvillkor” i den bemärkelse som lagen avser är emellertid oklart. Anledningen är att dataskyddsklausuler normalt inte i egentlig mening reglerar ett avtals innehåll, alltså parternas rättigheter och skyldigheter gentemot varandra.85 Avgörande för tillämpligheten av AVLK bör dock vara huruvida användaren gör anspråk på friheten att formulera avtalet och huruvida den andra parten enbart har valet mellan att acceptera avtalet som helhet eller inte alls.86 Konsumenterna kan ha ett skyddsbehov även vid andra typer av klausuler än ”avtalsvillkor” i egentlig mening, förutsatt att de ingår i ett avtalsförhållande.87 Det är därför inte uteslutet att AVLK kan tillämpas på dataskyddsklausuler. I varje fall bör lagen gälla för i förväg formulerade samtyckesförklaringar i allmänna villkor, se den konkreta hänvisningen till direktiv 93/13/EEG i skäl 42 i dataskyddsförordningen.

82 Bernitz, Standardavtalsrätt, 9 uppl. (2018), s. 211. Individuella intressen i ett konkret avtalsförhållande skyddas i stället med hjälp av 36 § avtalslagen. 83 Jfr för det tyska rättsläget Bundesgerichtshof (BGH), dom i mål VIII ZR 32/08 (Mobiltelefon), Gewerblicher Rechtsschutz und Urheberrecht (GRUR) 2009, s. 506, punkt 14. 84 När klausulerna är placerade i en dataskyddspolicy eller liknande dokument bör det krävas att dokumentet har inkluderats i avtalet, t.ex. genom en hänvisning eller som en bilaga. 85 Det har också påpekats att det är tveksamt om dataskyddsklausuler erbjuds till registrerade i deras egenskap av konsumenter, se Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 33. 86 Jfr för det tyska rättsläget BGH, dom i mål I ZR 241/97 (Telefonwerbung IV), GRUR 2000, s. 818, punkt 17. 87 Jfr för det tyska rättsläget BGH, dom i mål I ZR 169/10 (Einwilligung in Werbeanrufe II), GRUR 2013, s. 531, punkt 20 i fråga om samtycke till marknadsföringssamtal via telefon. Direktiv 93/13/EEG utgör ett minimidirektiv, se artikel 8, och hindrar därför inte en extensiv tolkning av begreppet ”avtalsvillkor”.

158 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 3.1.2 Dataskyddsklausulers oskälighet Ett avtalsvillkor kan vara oskäligt enligt 3 § AVLK om det medför en sådan snedbelastning i fråga om parternas rättigheter och skyldigheter enligt avtalet att en genomsnittligt sett rimlig balans mellan parterna inte längre föreligger.88 En betydande obalans mellan parterna existerar bl.a. när ett avtalsvillkor avviker från gällande lagstiftning respektive allmänna rättsprinciper eller när det givits en vilseledande eller oklar utformning.89 Dataskyddsklausuler i allmänna villkor kan till exempel vara oskäliga när de på ett otydligt sätt beskriver ändamålet med behandlingen, vilket kan avvika från artikel 5.1 b i dataskyddsförordningen (principen om ändamålsbegränsning) eller från kravet på att samtycket ska vara specifikt i enlighet med artikel 4.11. Förformulerade samtyckesförklaringar som bygger på ”opt-out”-lösningar eller som använder på förhand ikryssade rutor utgör inte en entydig bekräftande handling i enlighet med artikel 4.11 i dataskyddsförordningen och kan därför också vara oskäliga. Oskäligt kan tillika vara när samtyckesförklaringar i allmänna villkor i strid med artikel 7.2 i dataskyddsförordningen inte tydligt särskiljs från de andra frågorna i en begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Ytterligare exempel på oskäliga dataskyddsklausuler kan vara obligatorisk information enligt artiklarna 13 och 14 i allmänna villkor som i strid med artikel 12.1 är oklart och obegripligt formulerad, avtalsvillkor som försvårar utövandet av den registrerades rättigheter i strid med artikel 12.290 eller avtalsvillkor som reglerar orimliga avgifter i strid med artikel 12.5. Alla dessa tänkbara fall av oskäliga dataskyddsklausuler i allmänna villkor påminner starkt om konsumentskyddsfrågor och utgör därför ett annat exempel på överlappningen mellan rättsområdena dataskydd och marknadsrätt vad gäller marknadsrättens konsumentskyddande dimension.

3.2 Behandling av personuppgifter som otillbörlig affärsmetod
3.2.1 Tillämpligheten av MFL För att kunna tillämpa marknadsföringslagen måste en behandling av personuppgifter kunna ses som en form av marknadsföring, respektive måste utgöra en affärsmetod i lagens mening.91 MFL är tillämplig på all reklam och andra åtgärder i näringsverksamhet som är ägnade att främja avsättningen av varor eller tjänster, oavsett om åtgärden vidtas före, under eller efter försäljningen eller leveransen, se definitionen i 3 § MFL. Begreppet ”affärsmetod” har en synnerligen vid definition och omfattar alla beteenden som ingår i en näringsidkares affärsstra-

88 MD 2015:3, punkt 31. 89 Prop. 1994/95:17, s. 64 f. 90 Exempelvis rätten att göra invändningar enligt artikel 21 i dataskyddsförordningen, jfr MD 2002:23. 91 Begreppen ”marknadsföring” och ”affärsmetod” har samma innebörd, se prop. 2007/08:115, s. 63.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 159 tegi och direkt syftar till marknadsföringen och försäljningen av näringsidkarens varor eller tjänster.92 Marknadsföringslagen är därför tilllämplig på näringsverksamhet vid den tidpunkt då det finns en direkt relation till främjandet av avsättningen av varor eller tjänster, oavsett om det rör sig om en näringsidkares handling, underlåtenhet, beteende, företrädande eller kommersiella meddelande.93 Lagens tillämpning är oberoende av den konkreta affärsmodellen och omfattar annonsfinansierade tjänster på internet som inte kräver betalning av tjänsternas användare, såsom sökmotorer eller sociala medier.94 Flera typer av personuppgiftsbehandlingar bör kunna klassas som en affärsmetod i lagens mening. Särskilt behandlingar av personuppgifter för ändamål som rör direktmarknadsföring, såsom registerföring och profilbildning för det ändamålet, kan anses vara åtgärder som direkt syftar till att främja avsättningen av varor eller tjänster.95 Ännu tydligare är relationen till avsättningsfrämjandet när det gäller personuppgiftsbehandlingar i samband med pågående kundrelationer, exempelvis behandlingar för att tillhandahålla själva tjänsten (såsom ett socialt medium), tillämpa individanpassad prissättning, hantera betalningar, fullgöra leveranser eller för att ta hand om reklamationer.96 Andra typer av personuppgiftsbehandlingar står däremot inte i en sådan relation till avsättningen av varor eller tjänster att de i sig kan anses utgöra en affärsmetod. Hit hör rent interna behandlingar av personuppgifter hos näringsidkare, till exempel behandlingar av de anställdas personuppgifter eller behandlingar för ändamål som rör produktutveckling. Inte heller personuppgiftsbehandlingar i samband med marknadsundersökningar behöver nödvändigtvis direkt relatera till avsättningen av varor eller tjänster. Sammanlagt bör ändå många behandlingar av personuppgifter för kommersiella ändamål principiellt omfattas av marknadsföringslagens tillämpningsområde, antingen direkt som en självständig affärsmetod eller indirekt som en del i en affärsmetod.

3.2.2 Lagstridighetsprincipen För det första skulle behandlingar av personuppgifter för ändamål som rör marknadsföring i strid med dataskyddsförordningen också kunna strida mot god marknadsföringssed i den mening som avses i 5 § MFL

92 EU-domstolen, dom 2010-01-14 i mål C-304/08 (Plus Warenhandelsgesellschaft), punkt 37 samt dom 2013-10-17 i mål C-391/12 (RLvS Verlagsgesellschaft), punkt 36. 93 Jfr med definitionen av begreppet ”affärsmetod” i artikel 2 d i direktiv 2005/29/EG. 94 Jfr Bernitz, Svensk och europeisk marknadsrätt 2 (2013), s. 47. 95 Jfr även Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28. 96 Sådana personuppgiftsbehandlingar kan sammanfalla med andra åtgärder, såsom vilseledande handlingar, och behöver därför inte nödvändigtvis bedömas som självständiga affärsmetoder.

160 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 och sålunda utgöra en otillbörlig affärsmetod.97 I ”god marknadsföringssed” ligger bl.a. att åtgärder, i enlighet med den s.k. lagstridighetsprincipen, ska vara lagliga, vilket betyder att dessa inte får strida mot annan lag.98 För att lagstridighetsprincipen ska anses vara uppfylld krävs ett brott mot en relevant bestämmelse utanför själva MFL och EU-förordningar utgör därvid lämpliga lagliga bestämmelser.99 Till det kommer transaktionstestet i enlighet med 6 § MFL. Dessutom borde det krävas att den lagliga bestämmelsen i fråga reglerar marknadsbeteende i marknadsaktörernas intresse; annars kan inte de lagbrott identifieras som ska kunna sanktioneras marknadsrättsligt.100 Ett ingripande enligt MFL bör enbart vara motiverat av hänsyn till ekonomiska intressen.101 EU:s dataskyddsförordning är en lämplig rättskälla inom ramen för lagstridighetsprincipen, men frågan är om det framstår som legitimt att beivra överträdelser av dataskyddsförordningen med hjälp av marknadsföringslagen. Dataskyddslagstiftning syftar traditionellt till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter, se artikel 2.2 i dataskyddsförordningen, inte människor i egenskap av konsumenter.102 Det har emellertid kunnat konstateras att dataskyddsförordningen parallellt ska gynna den fria rörligheten av personuppgifter inom den digitala inre marknaden genom att skapa lika villkor för företag vad gäller behandlingen av personuppgifter och att den därmed också har en kommersiell eller marknadsinriktad dimension.103 Ytterligare tecken på denna dimension är den nya effektlandsprincipen i artikel 3.2 som har ”lånats” från marknadsföringsrätten och de nya sanktionsavgifterna i artikel 83 som har konkurrensrätten som förebild.104 Av den anledningen existerar goda skäl för att hävda att dataskyddsförordningen i alla fall delvis reglerar

97 Jfr redan Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 263. 98 MD 2013:9, punkt 94. Lagstridighetsprincipen som en del i god marknadsföringssed har bekräftats i Patent- och marknadsdomstolens rättspraxis, se t.ex. dom i mål PMT 11078-16, s. 16. 99 Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 129. 100 Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 141. 101 Inom tillämpningsområdet av direktiv 2005/29/EG om otillbörliga affärsmetoder skyddar MFL konsumenters ekonomiska intressen, se skäl 7 samt artikel 1 i direktivet. 102 Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 31. 103 Se Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 241. Denna dimension ges bl.a. uttryck för i skälen 9–13 i dataskyddsförordningen. 104 Wolff, UWG und DS-GVO: Zwei separate Kreise? Qualifizierung von Datenschutzbestimmungen der DS-GVO als Marktverhaltensregelungen, Zeitschrift für Datenschutz (ZD) 6/2018, s. 248, 251. Jfr även hänvisningen till artiklarna 101 och 102 i FEU-fördraget i skäl 150 i dataskyddsförordningen.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 161 marknadsbeteende i marknadsaktörernas intresse och att tillämpningen av lagstridighetsprincipen därför förefaller vara legitim och ändamålsenlig.105 På grund av dataskyddsförordningens integritetsskyddande dimension och dess komplexitet kan dock inte varje överträdelse automatiskt bli relevant från ett marknadsrättsligt perspektiv. Snarare bör en bedömning göras i varje enskilt fall, beroende på vilken bestämmelse överträdelsen gäller. Överträdelser som kommer i fråga som marknadsrättsligt relevanta är framför allt sådana som avser kapitlen II och III i dataskyddsförordningen, såsom behandlingar utanför ändamålsbegränsningen i strid med artikel 5.1 b, behandlingar utan rättslig grund i strid med artikel 6, överträdelser av villkoren för samtycke enligt artikel 7, bristande information i strid med artiklarna 12–14 eller en fortsatt behandling för ändamål som rör direktmarknadsföring efter en invändning i strid med artikel 21.3.106 Bestämmelser i dataskyddsförordningen av administrativ eller organisatorisk karaktär bör däremot under normala omständigheter inte vara aktuella som bestämmelser inom ramen för lagstridighetsprincipen, såsom överträdelser av en lämplig säkerhetsnivå i strid med artikel 32 i dataskyddsförordningen.
    Utgör en bestämmelse i dataskyddsförordningen en relevant marknadsregel i lagstridighetsprincipens mening behöver dessutom transaktionstestet vara uppfyllt. Enligt 6 § MFL är marknadsföring som strider mot god marknadsföringssed att anse som otillbörlig om den i märkbar mån påverkar eller sannolikt påverkar mottagarens förmåga att fatta ett välgrundat affärsbeslut. Ett affärsbeslut är enligt 3 § MFL ett beslut bl.a. om huruvida, hur och under vilka förutsättningar en vara eller tjänst ska köpas eller om huruvida en avtalsenlig rättighet ska utnyttjas. Överträdelser av dataskyddsförordningen i samband med olika typer av marknadsföringsåtgärder, till exempel otillåten profilbildning eller bristande information, kan ha dessa effekter. Att annonsfinansierade tjänster på internet inte kräver betalning med pengar av tjänsternas användare ändrar inte den bedömningen, förutsatt att tjänsterna erbjuds i näringsverksamhet.

3.2.3 Vilseledande Det andra som kan diskuteras när det gäller kommersiella behandlingar av personuppgifter är vilseledande marknadsföring, såväl i form av handling som också i form av underlåtenhet. Enligt 10 § första stycket MFL får en näringsidkare vid marknadsföringen inte använda

105 Tillämpningen hindras inte heller av direktiv 2005/29/EG, då dataskyddsförordningen kan anses ge uttryck för god yrkessed i direktivets mening. Jfr i fråga om en direktivkonform tolkning av lagstridighetsprincipen Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 124. 106 Även placeringen av cookies i strid med 6 kap. 18 § LEK bör anses som marknadsrättsligt relevant.

162 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 sig av felaktiga påståenden eller andra framställningar som är vilseledande. Första stycket gäller särskilt framställningar som rör varans eller tjänstens utmärkande egenskaper, leveransvillkor för varan eller tjänsten, näringsidkarens åtagande att följa uppförandekoder eller kundernas rättigheter enligt lag eller annan författning, se 10 § andra stycket MFL. Använder sig en näringsidkare av dataskydd som ett säljargument i sin marknadsföring kan det vara vilseledande, om kraven i dataskyddsförordningen faktiskt inte uppfylls, exempelvis vid felaktiga påståenden om behandlingens laglighet, de registrerades lagliga rättigheter eller innebörden av personuppgiftsansvaret. Likaså felaktiga påståenden i relation till dataskyddsrättsliga uppförandekoder och certifieringar är tänkbara.
    Enligt 10 § tredje stycket MFL får en näringsidkare inte heller utelämna väsentlig information i sin marknadsföring; med det avses även sådana fall när den väsentliga informationen ges på ett oklart, obegripligt, tvetydigt eller annat olämpligt sätt. Väsentlig information är sådan information som antingen näringsidkaren är tvungen att upplysa om enligt speciallagstiftning eller som genomsnittskonsumenten, beroende på sammanhanget, behöver för att fatta ett välgrundat affärsbeslut.107 Här skulle sådan information som en näringsidkare ska lämna till registrerade enligt dataskyddsförordningen kunna anses vara väsentlig information.108 Informationsplikter enligt speciallagstiftning är först och främst sådana som bygger på de konsumentskyddsdirektiv som listas i bilaga II till artikel 7 femte stycket i direktiv 2005/29/EG (som 10 § tredje stycket MFL implementerar). I den listan förekom redan inte informationsskyldigheter enligt dataskyddsdirektivet och artikel 7 femte stycket gäller enligt ordalydelsen dessutom ”informationskrav som avser kommersiella meddelanden”, dvs. framför allt reklam. Det är därför inte givet att ett utelämnande av information om hur näringsidkare hanterar personuppgifter alltid kan anses som en vilseledande underlåtenhet. Avgörande bör vara genomsnittskonsumentens informationsbehov i fråga om dataskydd i det enskilda fallet. Intar behandlingen av personuppgifter en central roll i avtalsförhållandet mellan den ansvarige och den registrerade kan informationen vara av väsentlig betydelse, däremot inte när den enbart utgör en aspekt bland många.109 Om den information som ska lämnas enligt dataskyddsförordningen är av väsentlig karaktär skulle 10 § tredje

107 Jfr artikel 7 första och femte stycket i direktiv 2005/29/EG samt prop. 2007/08:115, s. 148. 108 Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28; Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 37; SOU 2018:1, s. 249. 109 Vid ”gratis”-tjänster på internet skulle information om hur personuppgifter behandlas kunna vara väsentlig. I så fall skulle det finnas en skyldighet att upplysa om detta, jfr även Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 163 stycket MFL kunna tillämpas när informationen inte ges på ett klart och tydligt sätt, exempelvis i fall av en svårbegriplig dataskyddspolicy.
    Är ett påstående rörande dataskydd att anse som vilseledande kan detta påverka mottagarnas förmåga att fatta ett välgrundat affärsbeslut när de väljer mellan två konkurrerande varor eller tjänster med liknande kvalitet och pris. Kan information enligt dataskyddsförordningen anses vara väsentlig bör ett utelämnande på samma sätt ha en effekt på mottagarna, då ett välgrundat affärsbeslut förutsätter relevant information.110 Därför bör vilseledande marknadsföring som handlar om dataskydd också vara otillbörlig i den mening som avses i 8 § första stycket MFL (transaktionstestet).

3.2.4 Övrigt Slutligen kan några övriga regler i MFL bli aktuella i samband med en behandling av personuppgifter. Den nära kopplingen mellan rättsområdena dataskydd och marknadsrätt visar sig inte minst i form av reglerna om obeställd direktmarknadsföring. Enligt 19 § första stycket MFL, som implementerar artikel 13 i direktiv 2002/58/EG, får en näringsidkare vid marknadsföring till en fysisk person använda elektronisk kommunikation, främst e-post och sms, bara om den fysiska personen har samtyckt till det på förhand.111 Kravet på samtycke gäller dock inte gentemot befintliga kunder för marknadsföring som avser näringsidkarens egna, likartade produkter, se 19 § andra stycket MFL.112 Enligt artikel 94.2 i dataskyddsförordningen i kombination med artikel 2 f i direktiv 2002/58/EG är det numera dataskyddsförordningens definition av samtycke som gäller även inom ramen för 19 § MFL. Bestämmelsens syfte är att skydda mottagarna mot intrång i integriteten genom icke begärda kommunikationer för direktmarknadsföring, se skäl 40 i direktiv 2002/58/EG. MFL som sådan tar däremot sikte på att skydda konsumenters och näringsidkares ekonomiska intressen.113 Av den anledningen är 19 § MFL som integritetsskyddande bestämmelse atypisk inom marknadsrätten och skulle lika gärna kunna vara placerad i dataskyddslagstiftningen.114 Vad gäller obeställd direktmarknadsföring får en näringsidkare också använda andra metoder för individuell kommunikation på distans än sådana som avses i 19 § MFL, om inte den fysiska personen tydligt motsatt sig att metoden används, se 21 § MFL. Konsumenten har med andra ord även enligt MFL en möjlighet att göra invändningar

110 Enligt prop. 2007/08:115, s. 149 bör kravet på väsentlighet och transaktionstestet enligt 8 § MFL normalt kunna vägas samman. 111 19 § MFL gäller även andra liknande automatiska system för individuell kommunikation. Internet of Things skulle kunna vara ett sådant liknande system, se SOU 2018:1, s. 251. 112 Marknadsföring av tredje parts varor eller tjänster via e-post kräver därför samtycke. 113 Prop. 2007/08:115, s. 61. 114 När den planerade e-privacyförordningen har trätt i kraft kommer den att tilllämpas i stället för 19 § MFL och bestämmelsen kommer behöva upphävas.

164 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 mot direktmarknadsföring. Medans rätten att göra invändningar enligt dataskyddsförordningen avser behandlingen av personuppgifter handlar rätten att göra invändningar enligt MFL om att inte behöva utstå vissa former av direktmarknadsföring. Där ett system etablerats för att ge konsumenterna möjlighet att anmäla att de inte vill ta emot direktmarknadsföring, t.ex. NIX-registren, eller när konsumenten på annat sätt undanbett sig direktmarknadsföring ska detta respekteras och tillgodoses.115 Näringsidkare bör därför vara skyldiga att konsultera spärrregistren innan konsumenter kontaktas och underlåtenhet att utföra en sådan kontroll bör strida mot god marknadsföringssed i den mening som avses i 5 § MFL.116 Till och med några punkter i bilaga I till direktiv 2005/29/EG, den s.k. svarta listan, kan diskuteras. Enligt punkt 9 är det under alla omständigheter otillbörligt att ange eller på annat sätt skapa intryck av att det är lagligt att sälja en produkt när så inte är fallet. Bestämmelsen, som kan anses som en speciell lagstridighetsprincip, tar främst sikte på marknadsföring av produkter som är olagliga i sig.117 En behandling av personuppgifter i strid med dataskyddsförordningen som sker i samband med erbjudandet av varor eller tjänster kan dock svårligen klassas som en sådan affärsmetod som avses i punkt 9 i svarta listan. En olaglig personuppgiftsbehandling gör inte varan eller tjänsten i sig olaglig, utan är snarare en form av lagstridighet i enlighet med den allmänna principen i 5 § MFL. Sedan kan punkt 20 i svarta listan övervägas angående annonsfinansierade ”gratis”-tjänster på internet. Enligt den punkten är det under alla omständigheter otillbörligt att beskriva en vara eller tjänst som ”gratis”, ”kostnadsfri”, ”utan avgift” eller liknande om så inte är fallet. Används personuppgifter som en alternativ form av betalning för en vara eller tjänst skulle det kunna vara vilseledande att i så fall marknadsföra varan eller tjänsten som gratis eller kostnadsfri.118 Om näringsidkaren inte heller informerar konsumenten om att de personuppgifter, som han eller hon måste lämna för att få tillgång till tjänsten, kommer att användas för kommersiella ändamål kan detta dessutom strida mot punkt 22 i svarta listan och förbudet mot att dölja det kommersiella syftet bakom en affärsmetod.119

3.3 Branschregler
Från ett marknadsrättsligt perspektiv kan avslutningsvis kort nämnas att frågan om en behandling av personuppgifter för marknadsförings-

115 MD 2016:9, punkt 113. 116 På samma sätt Brink i Svensson m.fl., Praktisk marknadsrätt, 8 uppl. (2010), s. 660. Underlåtenhet kan därför bli relevant inom både MFL och dataskyddsförordningen, se ovan avsnitt 2.3.3. 117 MD 2009:33, s. 8. Se även Holtz, Lagstridighetsprincipen — ett jämförande perspektiv, JT 2015–16 s. 120, 135. 118 Jfr SOU 2018:1, s. 251 f. 119 Europeiska kommissionen, Vägledning om genomförandet/tillämpningen av direktiv 2005/29/EG om otillbörliga affärsmetoder, SWD(2016) 163 final, s. 28.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 165 ändamål tillika behandlas i olika typer av branschregler, främst Internationella Handelskammarens (ICC) regler för reklam och marknadskommunikation, den s.k. ICC-koden i sin uppdaterade version från 2018. Regler som har bäring på en behandling av personuppgifter i ICC-koden är i synnerhet artikel 19 som innehåller allmänna krav på en behandling av personuppgifter, inklusive barns personuppgifter, samt artikel C22 om personaliserad reklam online, också kallad intressebaserad reklam.120 Bredvid ICC-koden existerar andra etiska regler om hur en behandling av personuppgifter för marknadsföringsändamål bör ske, exempelvis inom ramen för Swedish Direct Marketing
Association (SWEDMA) vad gäller marknadsföring till privatpersoner via e-post eller adresserad direktmarknadsföring via vanlig post.121 Inget av dessa etiska regelverk reglerar emellertid något som inte redan direkt eller indirekt skulle följa av tvingande lagstiftning. Eventuella uppförandekoder för branscher, där personuppgifter hanteras för huvudsakligen kommersiella ändamål, skulle i vilket fall vara begränsade till att specificera hur dataskyddsförordningen bör tillämpas i vissa situationer, se artikel 40.2 i dataskyddsförordningen.122 Även om det är frivilligt att ansluta sig till uppförandekoder om dataskydd som regleras i dataskyddsförordningen är det tänkbart att sådana koder kan ge uttryck för god sed på dataskyddsrättens område. I så fall kan god dataskyddssed vara kongruent med god affärssed. Existensen av etiska regler samt uppmuntran till utarbetandet av uppförandekoder i förordningen är ett uttryck för personuppgiftsbehandlingars kommersiella betydelse och deras nära samband med avsättningen av varor eller tjänster. Mer generellt utgör branschregler alltså ett ytterligare exempel på överlappningen mellan rättsområdena dataskydd och marknadsrätt samt deras ömsesidiga påverkan.

4 Spärrverkan för det marknadsrättsliga sanktionssystemet
Dataskyddsförordningen tillhandahåller ett eget sanktionssystem med flera olika typer av rättsföljder för överträdelser av förordningens olika föreskrifter (kapitel VIII, artiklarna 77–84). Av den anledningen ställer sig frågan huruvida dessa rättsföljder är uttömmande med anledning av överträdelser av dataskyddsförordningen och således har spärrverkan i förhållande till andra nationella rättsmedel, ansvarsregler och sanktioner.123 Dataskyddsförordningen behövs för att säkerställa en enhetlig skyddsnivå och för att undvika avvikelser som hindrar den fria

120 Numera innehåller artikel C22 i ICC-koden specifika regler om användning av geografisk platsinformation och regler om s.k. cross-device tracking i samband med intressebaserad reklam online. 121 SWEDMA har än så länge inte antagit etiska regler om den specifika tillämpningen av dataskyddsförordningen för ändamål som rör direktmarknadsföring. 122 Se även SOU 2017:52, s. 150 ff. Genom beslut av Europeiska kommissionen kan uppförandekoder dock få allmän giltighet inom unionen, se artikel 40.9 i dataskyddsförordningen. 123 Holtz, Den nya allmänna dataskyddsförordningen — några anmärkningar, SvJT 2018 s. 240, 263.

166 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 rörligheten av personuppgifter inom den inre marknaden, varför bl.a. sanktionerna i alla medlemsstater ska bli likvärdiga, se skäl 13, första meningen i dataskyddsförordningen. Marknadsrättsliga rättsmedel kan vara en förbudstalan enligt 23 § MFL av de enligt 47 § MFL taleberättigade, främst Konsumentombudsmannen och konkurrenter, samt en förbudstalan av Konsumentombudsmannen enligt 3 § AVLK.124

4.1 Argument för spärrverkan
Ett argument för en spärrverkan av dataskyddsförordningens sanktionssystem skulle kunna utläsas ur artikel 79.1 i dataskyddsförordningen som talar om att den inte påverkar tillgängliga administrativa prövningsförfaranden eller prövningsförfaranden utanför domstol. Argumentum e contrario skulle artikel 79.1 i dataskyddsförordningen kunna tolkas så att den utgör ett hinder för andra rättsmedel i domstol.125 För en möjlig spärrverkan av dataskyddsförordningens sanktionssystem talar dessutom artikel 80.2 som innehåller en öppningsklausul i fråga om en rätt för ideella organisationer att utan den registrerades mandat föra talan i ärenden och mål om behandling av personuppgifter. Argumentum e contrario kan den bestämmelsen tolkas så att andra, främst kommersiella aktörer inte ska vara behöriga att föra självständiga talan på grund av överträdelser av dataskyddsförordningen.126 Ett ytterligare argument skulle kunna utvinnas ur en jämförelse med artikel 21.2 i förslaget på en ny e-privacyförordning.127 Den bestämmelsen reglerar — till skillnad från dataskyddsförordningen — en självständig rätt för varje fysisk eller juridisk person, som påverkas negativt, att vidta rättsliga åtgärder. Det faktum att dataskyddsförordningen saknar en motsvarande bestämmelse skulle kunna tala för att luckan är avsiktlig och att sanktionssystemet ska vara uttömmande.

4.2 Argument mot spärrverkan
Å andra sidan existerar argument som talar mot en spärrverkan av dataskyddsförordningens sanktionssystem, för det första existensen av artikel 84 i dataskyddsförordningen. Enligt artikel 84 ska medlemsstaterna fastställa regler om andra sanktioner för överträdelser av dataskydds-

124 Även sammanslutningar av konsumenter, näringsidkare eller löntagare kan vara taleberättigade enligt MFL såväl som AVLK. Frågan om spärrverkan ställer sig också mellan AVLK och MFL, se Holtz, Oskäliga avtalsvillkor som otillbörlig marknadsföring, SvJT 2016 s. 383, 395 f. 125 Kreße i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 79, punkt 29 f. 126 Köhler i Köhler/Bornkamm/Feddersen, Gesetz gegen den unlauteren Wettbewerb (UWG), 36 uppl. (2018), § 3a UWG, punkt 140a och 1.74b; Barth, Wettbewersbrechtliche Abmahnung von Verstößen gegen das neue Datenschutzrecht, Wettbewerb in Recht und Praxis (WRP) 2018, s. 790, 792; Kreße i Sydow (red.), Europäische Datenschutzgrundverordnung — Handkommentar (2017), artikel 80, punkt 17; Europeiska kommissionen, yttrande parlamentariska frågor E-004117/2018. 127 Artikel 21.1 i förslaget hänvisar till artiklarna 77–80 i dataskyddsförordningen.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 167 förordningen, särskilt för överträdelser som inte är föremål för administrativa sanktionsavgifter enligt artikel 83. Om avsikten av den europeiska lagstiftaren hade varit att skapa ett uttömmande sanktionssystem med spärrverkan skulle en sådan bestämmelse inte finnas. För det andra kan existensen av flera konfliktregler i dataskyddsförordningen vara ett argument mot en spärrverkan, bl.a. skäl 42 (direktiv 93/13/EEG),128 artikel 2.4 (direktiv 2000/31/EG) och artikel 95 (direktiv 2002/58/EG), som explicit fastställer att förordningen inte ska ha en spärrverkan i dessa avseenden. Följaktligen bör den allmänna dataskyddsförordningen inte heller vara ett hinder för andra, mer speciella regler. Att det saknas en konfliktregel i dataskyddsförordningen vad gäller dess förhållande till direktiv 2005/29/EG om otillbörliga affärsmetoder utesluter därför inte en parallell tillämpning av detta direktiv och dataskyddsförordningen, förutsatt att de specifika kraven i direktivet är uppfyllda. För det tredje kan principen om effet utile inom EU-rätten anföras som ett mer allmänt argument mot en spärrverkan av dataskyddsförordningens sanktionssystem. Den principen innebär att EU-domstolen är benägen att tillämpa en tolkning av EU-rätten som leder till att den får sitt genomslag och en ändamålsenlig verkan i medlemsstaternas rättssystem.129 En förbudstalan enligt 23 § MFL av bl.a. Konsumentombudsmannen och den personuppgiftsansvariges konkurrenter skulle åtminstone indirekt också gynna enskilda registrerade samt rent generellt bidra till att bekämpa överträdelser av dataskyddsförordningen i kommersiella sammanhang.

4.3 Diskussion
Mot de ovan anförda argumenten för en spärrverkan kan följande invändningar göras: Vad gäller artikel 79 i dataskyddsförordningen så är det mer övertygande att tolka den nämnda meningen — som i variationer dessutom förekommer i artikel 77 och 78 — i stället så att de olika rättsmedlen i dataskyddsförordningen inte ska utesluta varandra, att de inte ska vara beroende av varandra och att de kan göras gällande kumulativt, alltså att exempelvis ett klagomål till tillsynsmyndigheten enligt artikel 77.1 inte utesluter och inte heller är ett krav för ett rättsmedel mot den ansvarige enligt artikel 79.1 i dataskyddsförordningen.130 Det argument som kan härledas från artikel 80.2 i dataskyddsförordningen har onekligen en viss tyngd, men helt övertygande är det ändå inte. Artikel 80.2 i dataskyddsförordningen kan nämligen likaså tolkas bokstavligen på så sätt att bestämmelsen enbart ska reglera möjligheten till organisationstalan för att effektivisera verkställigheten av rättsskyddet, men samtidigt inte ska utesluta andra rättsmedel.131

128 Därför måste åtminstone en förbudstalan enligt 3 § AVLK vad gäller förformulerade samtyckesförklaringar vara möjlig. 129 Bernitz & Kjellgren, Europarättens grunder, 6 uppl. (2018), s. 198. 130 På samma sätt Werkmeister i Gola (red.), Datenschutz-Grundverordnung — Kommentar, 2 uppl. (2018), artikel 79, punkt 3. 131 På samma sätt Wolff, UWG und DS-GVO: Zwei separate Kreise?, Zeitschrift für Datenschutz (ZD) 2018, s. 248, 251 f.

168 Hajo Michael Holtz och Jonas Ledendal SvJT 2020 Slutligen förefaller jämförelsen med förslaget på en ny e-privacyförordning vara av begränsat värde, då dataskyddsförordningen utgör den äldre rättsakten. Existensen av artikel 21.2 i förslaget på en ny eprivacyförordning kan på samma sätt tyda på att luckan i dataskyddsförordningen var oavsiktlig och att samma fråga numera ska regleras i e-privacyförordningen. Sammanlagt är argumenten för en spärrverkan inte så pass övertygande att de kan väga upp argumenten mot en sådan, i synnerhet principen om effet utile. Då själva dataskyddsförordningen tiger i fråga om dess förhållande till marknadsrättsliga sanktioner i enlighet med direktiv 2005/29/EG bör man därför som utgångspunkt utgå från en parallell tillämpning och inte från en spärrverkan, i alla fall fram till dess EU-domstolen fastslår något annat.

5 Slutsatser
Sammanfattningsvis kan konstateras att det existerar en överlappning och en ömsesidig påverkan mellan rättsområdena dataskydd och marknadsrätt. Med det menas för det första att dataskyddslagstiftning kan vara tillämplig på olika typer av affärsmetoder som inbegriper behandling av personuppgifter. De flesta behandlingar av personuppgifter för ändamål som rör marknadsföring bör kunna motiveras med ett samtycke eller efter en intresseavvägning. I det sammanhanget har samtycke till marknadsföring ett annat användningsområde än intresseavvägningen. Mindre påträngande åtgärder kan stödjas på intresseavvägningen, medan mer påträngande åtgärder i samband med marknadsföring — exempelvis påträngande former av profilering, tracking och analyser eller ett utlämnande av personuppgifter till tredje part som inte rimligen kan förväntas — kan kräva samtycke. Kan båda rättsliga grunderna tillämpas bör de i princip vara utbytbara med varandra, dvs. en fortsatt behandling för marknadsföringsändamål skulle kunna stödjas på samtycke när en invändning görs respektive intresseavvägningen när ett samtycke återkallas.132 När marknadsföringsåtgärder används som redan kräver samtycke med utgångspunkt i annan lagstiftning — framför allt cookies och icke begärd elektronisk kommunikation — ligger det likväl nära till hands att samtidigt också hämta in ett samtycke enligt dataskyddsförordningen för den behandling av personuppgifter som utförs innan, under eller efter dessa åtgärder, förutsatt att den registrerade otvetydigt informeras om vad den samtycker till.
    För det andra yttrar sig överlappningen mellan rättsområdena i det faktum att marknadsrättsliga regler kan vara tillämpliga i samband med kommersiell personuppgiftsbehandling och därför samtidigt som dataskyddslagstiftningen, vilket tyder på att dataskydd också är en konsumentskyddsfråga. Relevant marknadsrätt är AVLK vad gäller dataskyddsklausuler i allmänna villkor samt MFL angående den generella

132 Det är dock inte uteslutet att en återkallelse av ett samtycke samtidigt kan innebära en invändning i enlighet med artikel 21 i dataskyddsförordningen. Om intresseavvägningen kan åberopas när samtycket är ogiltigt är däremot inte säkert. Se för båda frågorna ovan avsnitt 2.2.2.

SvJT 2020 Överlappningen mellan dataskydd och marknadsrätt 169 frågan om behandlingar av personuppgifter i strid med dataskyddsförordningen utgör en otillbörlig affärsmetod. Mycket talar för att AVLK kan tillämpas på olika typer av dataskyddsklausuler, åtminstone på i förväg formulerade förklaringar om samtycke i allmänna villkor. På samma sätt bör många behandlingar av personuppgifter för kommersiella ändamål utgöra en självständig affärsmetod, i varje fall en del i en affärsmetod, och omfattas av marknadsföringslagens tillämpningsområde, särskilt personuppgiftsbehandlingar för ändamål som rör direktmarknadsföring. Dessa behandlingar kan sedan vara otillbörliga på grund av olika anledningar, främst lagstridighetsprincipen (generellt vid överträdelser av dataskyddsförordningen), ett vilseledande (felaktiga påståenden relaterade till dataskydd) eller en vilseledande underlåtenhet (utelämnande av väsentlig information om dataskydd). Vad gäller lagstridighetsprincipen kan dock inte varje överträdelse av dataskyddsförordningen automatiskt bli relevant från ett marknadsrättsligt perspektiv, utan bör bero på vilken bestämmelse överträdelsen gäller. Inte heller i fråga om vilseledande underlåtenhet bör information enligt dataskyddsförordningen alltid anses som väsentlig, utan avgörande bör vara genomsnittskonsumentens informationsbehov i fråga om dataskydd i det enskilda fallet.
    Ett problem som överlappningen ger till resultat är en möjlig konflikt mellan rättsområdenas sanktionssystem och frågan om dataskyddsförordningen utgör ett hinder för marknadsrättsliga sanktioner. En sådan spärrverkan existerar i alla fall inte gentemot AVLK vad gäller i förväg formulerade samtyckesförklaringar i allmänna villkor, men även i övrigt bör man som utgångspunkt och tills vidare kunna utgå från en parallell tillämpning av marknadsrättsliga sanktioner och inte från en spärrverkan. I slutändan kräver den frågan, i likhet med flera andra frågor som har diskuterats i den här undersökningen, ett förtydligande svar från EU-domstolen.
    Vid en parallell tillämpning av dataskydd och marknadsrätt blir en nationell följdfråga förhållandet mellan de två tillsynsmyndigheterna, Datainspektionen och Konsumentverket. Dessa tillsynsmyndigheter behöver i så fall utveckla sin samverkan, förtydliga avgränsningen av sina ansvarsområden samt koordinera eventuella åtgärder.133

133 Jfr redan Larsson/Ledendal, Personuppgifter som betalningsmedel, Konsumentverket, rapport 2017:4, s. 43. Vid en parallell tillämpning av dataskydd och konkurrensrätt, t.ex. på grund av marknadsmissbruk, skulle samma gälla för förhållandet mellan Datainspektionen och Konkurrensverket.