CJEU: Zakoniti interes
Sodišče EU je razsodilo, da čeprav mora biti zakoniti interes v skladu s členom 6(1)(f) GDPR zakonit, ni potrebno, da ga določa zakon.
Odločitev je bila objavljena 4.10.2024
Upravljavec je teniška zveza, ki je leta 2018 dvema svojima sponzorjema (trgovcu s športno opremo in ponudniku spletnih stavnic) v zameno za plačilo posredoval osebne podatke svojih članov. Sponzorji so osebne podatke uporabili v marketinške namene.
Člani teniške zveze so vložili pritožbe pri nizozemskem nadzornem organu (Autoriteit Persoonsgegevens), ki je ugotovil, da je upravljavec kršil člen 6(1)(a) in (f) GDPR v kombinaciji s členom 5(1)(a) GDPR, ker je osebne podatke razkril tretjim osebam brez privolitve posameznikov ali katere koli druge veljavne pravne podlage. Nadzorni organ je trdil, da le pravni interes z ustrezno pravno podlago lahko utemelji zakoniti interes v skladu z GDPR, in je upravljavca kaznoval s 525.000 evri globe.
Upravljavec je vložil tožbo proti odločitvi pri okrožnem sodišču v Amsterdamu in trdil, da je bilo razkritje osebnih podatkov njegovih članov upravičeno zaradi zakonitega interesa v skladu s členom 6(1)( f) GDPR. Zakoniti interes je sestavljen iz vzpostavitve tesne povezave s posamezniki in možnosti, da jim ponudijo popuste in ponudbe sponzorjev, ki jim omogočajo igranje tenisa po ugodnejši ceni. Upravljavec je zagovarjal stališče, da lahko vsak interes, če ni nezakonit, predstavlja legitimen interes.
22. septembra 2022 je okrožno sodišče zaprosilo za predhodno mnenje Sodišče EU, ker je dvomilo o razlagi zakonitih interesov v skladu s členom 6(1)(f) GDPR.
Sodišču so postavili tri vprašanja:
Kako naj okrožno sodišče razlaga zakoniti interes v skladu s členom 6(1)(f) GDPR?
Ali ga je treba razlagati tako, da zajema samo interese, ki temeljijo na pravu?
Ali se lahko kakršen koli interes opredeli kot zakonit interes, če ni nezakonit? Natančneje: ali se lahko izključno komercialni interes, namreč zagotavljanje osebnih podatkov za plačilo brez privolitve posameznika v določenih okoliščinah opredeli kot zakonit interes? Če je tako, katere okoliščine določajo, ali je izključno poslovni interes zakonit interes?
Odločitev sodišča
Sodišče se je odločilo, da bo na vprašanja odgovorilo skupaj, in se sklicevalo na sodbo C 252/21, pri čemer je opozorilo, da je treba pravno podlago zakonitega interesa po členu 6(1)(f) GDPR razlagati ozko, saj legitimira obdelavo osebnih podatkov brez soglasja posameznikov.
Za zakonite interese pa je načeloma mogoče šteti širok nabor interesov, v skladu z uvodno izjavo 47 pa zakoniti interes ne sme temeljiti na zakonu. Sodišče je poudarilo, da uvodna izjava navaja namene neposrednega trženja kot primer zakonitih interesov, ki jih lahko zasleduje upravljavec. Zakoniti interes torej ni omejen na interese, ki so zapisani in določeni v zakonodaji. Sodišče je navedlo še, da je treba interes analizirati ob upoštevanju veljavnega pravnega okvira in vseh okoliščin primera.
Obdelava osebnih podatkov mora biti tudi potrebna za namene zasledovanja zakonitih interesov. Prav tako je treba opraviti test ravnovesja med temeljnimi svoboščinami in pravicami posameznika ter zakonitim interesom upravljavca.
Kar zadeva nujnost, je obdelava potrebna le, kadar zasledovanega zakonitega interesa ni mogoče razumno doseči tako učinkovito z drugimi – manj invazivnimi – sredstvi. V obravnavanem primeru bi lahko upravljavec predhodno obvestil svoje člane in vprašal, ali se strinjajo s posredovanjem njihovih podatkov sponzorjem za namene trženja. Ta možnost bi omejila razkritje podatkov na tisto, kar je nujno potrebno.
V zvezi s testom tehtanja je sodišče poudarilo, da ima lahko razkritje podatkov sponzorju, ki upravlja igralnice in spletna mesta z igrami na srečo, celo negativne učinke na posameznike (npr. tveganje za razvoj odvisnosti od iger na srečo). Posebej pomembno je vprašanje, ali so lahko ti člani v času, ko so bili zbrani njihovi osebni podatki za namen včlanitve v teniški klub, razumno predvideli, da bodo ti podatki razkriti tretjim osebam za tržne namene v zameno za plačilo
Sodišče je ugotovilo, da ni nujno, da zakoniti interes izhaja iz pravne norme, mora pa biti zakonit. Poleg tega interes izpolnjuje zahteve člena 6(1)(f) GDPR le, če je nujno potreben in če temeljne pravice in svoboščine posameznikov ne prevladajo nad tem interesom.
Celotna odločitev je dostopna tukaj
Vir: GDPRHub
Naslovna slika: RawPixel
