Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Vejledning om kontrakter som behandlingsgrundlag sendt i høring

NJORD Law Firm
03/06/2019
Vejledning om kontrakter som behandlingsgrundlag sendt i høring
NJORD Law Firm logo

Det Europæiske Databeskyttelsesråd har sendt deres vejledning om kontrakter i forbindelse med levering af online-tjenester til de registrerede som behandlingsgrundlag i offentlig høring.




Om artikel 6, stk. 1, litra b som behandlingsgrundlag


Indtil den 24. maj er der mulighed for at kommentere på Det Europæiske Databeskyttelsesråds (EDPB) vejledning 2/2019 om behandling af oplysninger under Databeskyttelsesforordningens (GDPR) artikel 6, stk. 1, litra b. Vejledningen omhandler brugen af kontrakten med den registrerede som behandlingsgrundlag i forbindelse med levering af online-tjenester, eksempelvis i form af sociale medier, e-handel, bestilling af rejser, kommunikation mv.

EDPB fastslår i sin vejledning, at persondata skal behandles i overensstemmelse med både GDPR, og den Europæiske Unions Charter om Grundlæggende Rettigheders artikel 8, hvorefter persondata skal behandles rimeligt, til udtrykkeligt angivne formål, og på grundlag af de berørte personers samtykke eller på et andet, berettiget ved lov, fastsat grundlag.

GDPR artikel 6, stk. 1 angiver en række mulige behandlingsgrundlag. Ved valget af behandlingsgrundlag angiver EDPB, at den dataansvarlige skal tage hensyn til den betydning, valget af behandlingsgrundlaget har for den registreredes rettigheder, så det respekterer rimelighedsprincippet.

Det fremgår af artikel 6, stk. 1, at behandling kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f gør sig gældende. Litra b lyder således:

”Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.”

 

Selvom den dataansvarlige har et behandlingsgrundlag, fritager det ikke vedkommende for at overholde de øvrige krav i GDPR, herunder artikel 5, der fastslår, at persondata skal behandles på en lovlig, rimelig og gennemsigtig måde, ligesom persondata skal behandles i overensstemmelse med principperne om formålsbegrænsning og dataminimering. Principperne er især relevante i forbindelse med kontrakter for online-tjenester, der typisk ikke forhandles på individuelt niveau.

Den teknologiske udvikling gør det muligt for dataansvarlige at indsamle og behandle langt flere persondata end tidligere, og der er efter EDPBs mening en alvorlig risiko for, at dataansvarlige søger at inkludere generelle behandlingsbetingelser i kontrakterne (for brug af tjenesten) for at indsamle flest mulige data under behandlingsgrundlaget i artikel 6, stk. 1, litra b, uden tilsvarende at specificere formålene hermed, eller respektere princippet om dataminimering.

En række online-tjenester kan anvendes uden brugerens betaling, og tjenesterne finansieres således typisk ved salg af brugernes online adfærd, der giver mulighed for at målrette markedsføring til den registrerede. Sporingen af brugeres opførsel på internettet til sådant markedsføringsbrug udføres ofte på en måde, så brugeren ikke er klar over, at sporingen finder sted, og det er ikke nødvendigvis tydeligt for brugeren, at den type tjeneste der anvendes, medfører en sådan sporing. Dette gør det praktisk taget umuligt for den registrerede at føre nogen form for kontrol over brugen af deres data.

Blot fordi behandlingsbetingelserne medtages i kontrakten – altså eksempelvis en tjenesteudbyder, der skriver behandlingen af persondata ind i betingelserne for brugen af tjenesten – er dette ikke ensbetydende med, at artikel 6, stk. 1, litra b, kan anvendes som behandlingsgrundlag for indsamlingen af alle de persondata, der måtte være skrevet ind i kontrakten. Behandlingsgrundlaget vedrører kun nødvendige oplysninger. Derudover skal det være tydeligt for brugeren, hvilken behandling der sker af dennes persondata, samt hvilke persondata der behandles af den dataansvarlige.


Artikel 6, stk. 1, litra b og nødvendigheden af persondata


Ved brugen af GDPR artikel 6, stk. 1 litra b, som behandlingsgrundlag, er det vigtigt at være opmærksom på, at behandlingen af data skal være i begge parters interesse – både den dataansvarliges og den registreredes.

Ifølge EDPB er et af kriterierne for anvendelsen af litra b, at de oplysninger, der behandles på baggrund af dette grundlag, objektivt set er nødvendige for at kunne opfylde en kontrakt, som den registrerede er part i.

Hvad der er nødvendigt for opfyldelse af en kontrakt, er dermed ikke det samme som, hvad der er muliggjort for den dataansvarlige eller skrevet ind i betingelserne eller kontrakten. Den dataansvarlige kan derfor ikke selv bestemme, hvad der er nødvendigt til brug for levering af tjenesten i den forstand, uanset at det er belejligt for den dataansvarlige at indsamle dataene.

Hvis kontrakten realistisk set kan opfyldes på en mindre indgribende måde over for den registrerede, dvs. der kun behøver at ske behandling af persondata i et mindre omfang, end det der reelt sker eller fremgår af betingelserne eller kontrakten, er behandlingen ikke nødvendig. Hvis behandlingen i henhold til kontrakten kan udføres uden indsamlingen af data, så er disse data ikke nødvendige for opfyldelse af kontrakten.

Artikel 6, stk. 1, litra b kan aldrig anvendes som behandlingsgrundlag for persondata, der er nyttige for den dataansvarlige, men som ikke er nødvendige for opfyldelse af kontrakten, heller ikke selvom dataene er nødvendige for den dataansvarliges øvrige forretningsformål.

En nødvendig behandling kan eksempelvis være i tilfælde af, at det kræver betaling at anvende en online-tjeneste, så vil det være nødvendigt for den dataansvarlige at behandle oplysninger om betalingsdetaljer om den registrerede.


Brugen af artikel 6, stk. 1, litra b i specifikke situationer


Hvis der sker behandling af persondata i form af indsamling af detaljerede oplysninger om, hvordan brugere af en online-tjeneste anvender tjenesten, sker dette ofte med det formål ”at forbedre tjenesten”, ”udvikle nye services til tjenesten” og lignende. Indsamling til brug for sådanne formål kan ifølge EDPBs vurdering ikke anses for at være nødvendige for opfyldelse af en kontrakt.

På samme måde kan eksempelvis indsamling og behandling af data med det formål at forhindre svindel og lignende indebære overvågning og profilering af brugere, hvilket sandsynligvis vil gå videre end, hvad der er nødvendigt for opfyldelsen af en kontrakt.

Reklamer baseret på online adfærd og dertil hørende sporing og profilering af datasubjekter anvendes ofte til at finansiere online-tjenester, men EDPB udtaler, at kontraktlig nødvendighed ikke kan anvendes som behandlingsgrundlag herfor, fordi det ikke er nødvendigt at udføre profilering for at kunne levere selve tjenesten.


Hvis artikel 6, stk. 1, litra b ikke kan bruges som behandlingsgrundlag


Blot fordi artikel 6, stk. 1, litra b ikke altid kan anvendes som behandlingsgrundlag, er det ikke ensbetydende med, at indsamlingen og behandlingen af persondata ikke kan foretages på lovlig vis, eksempelvis profilering mv. Det betyder blot, at den dataansvarlige skal finde et andet behandlingsgrundlag i artikel 6, stk. 1.

Et andet behandlingsgrundlag kan eksempelvis være samtykke, jf. artikel 6, stk. 1, litra a. Her skal det dog erindres, at der stilles specifikke krav til et samtykke i databeskyttelsesretlig forstand, ligesom der er krav til samtykke i markedsføringsretlig forstand.

EDPBs vejledning er relevant i forbindelse med mange typer online-tjenester, forudsat at behandlingsgrundlaget i artikel 6, stk. 1, litra b anvendes. Den dataansvarlige skal dog også holde sig for øje, at anden lovgivning såsom inden for forbrugerbeskyttelse, konkurrenceret, kontraktsret mv. stadig skal tages i betragtning.




 

 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted