Meta Platforms (Meta) äger bland annat Facebook, Instagram och WhatsApp. Dessa sociala nätverk och online-tjänster genererar en hel del persondata från privata användare som kombineras och används för att skapa detaljerade användarprofiler. Meta samlar även uppgifter om användarnas aktivitet utanför koncernens tjänster, från webbplatser och tredjepartsapplikationer. De samlade uppgifterna gör att man kan dra detaljerade slutsatser om användarnas preferenser och intressen. Detta gör det i sin tur möjligt för Meta att finansiera sina sociala nätverk och andra tjänster genom riktad online-reklam vilket gör att dessa kan hållas kostnadsfria för användarna. För att kunna samla uppgifterna kräver Meta att nya användare, i samband med registrering, godtar bolagets användarvillkor som hänvisar till dess integritets- och cookiepolicy.
Bundeskartellamt, den tyska federala konkurrensmyndigheten, antog ett beslut i februari 2019 där myndigheten fann att Meta hade en dominerande ställning på marknaden för digitala sociala nätverk och att denna ställning hade missbrukats eftersom Metas behandling av de insamlade personuppgifterna inte ansågs vara förenlig med GDPR. Genom beslutet förbjöds Meta att kräva av användarna bosatta i Tyskland att godta användarvillkoren för insamling av persondata utanför Facebook för att kunna använda det sociala nätverket. Bundeskartellamt förbjöd även Meta från att behandla uppgifterna utan användarnas samtycke. Meta ålades därutöver att anpassa sina användarvillkor så att det ska framgå att samtycke krävs för att uppgifterna ska samlas in och kopplas samman med Facebook-användarnas konton för att vidareanvändas. Samtycket kunde inte ses som giltigt när det samtidigt var en förutsättning för att kunna använda Facebook.
Meta överklagade beslutet till Düsseldorfs regionala överdomstol. Denna domstol tvekade om Bundeskartellamt verkligen hade befogenhet att kontrollera huruvida Metas behandling av personuppgifter var förenlig med GDPR och önskade få vägledning från EU-domstolen. Därmed hänsköt den nationella domstolen en begäran om förhandsavgörande till EU-domstolen.
Den kanske mest principiella frågan i målet var huruvida en konkurrensmyndighet har befogenhet att kontrollera om ett företag agerar i strid mot GDPR – i ljuset av de krav som finns om att medlemsstaterna ska tillse en eller flera specialiserade tillsynsmyndigheter som ser till att regelverket efterlevs (se GDPR artiklarna 51–59). EU-domstolen svarade jakande på frågan och utvecklade vissa förutsättningar för detta.
Länken mellan GDPR och konkurrensrättens regler mot missbruk av dominerande ställning verkar finnas i EU-domstolens definition av missbruk. Enligt EU-domstolens fasta rättspraxis handlar missbruk om att dominerande företag hindrar upprätthållandet av den befintliga konkurrensen på marknaden eller utvecklingen av denna genom att använda sig av andra metoder än de som ingår i ”normal produkt- eller tjänstekonkurrens”. Typiskt sett pris- och prestationskonkurrens. Utifrån detta resonerade EU-domstolen att det kan bli aktuellt för en konkurrensmyndighet att undersöka huruvida det ifrågasatta beteendet av ett dominerande företag är förenligt med bestämmelserna i GDPR. Om ett dominerande företag agerar i strid med GDPR kan det i sig, menar EU-domstolen, vara en viktig omständighet i den sammantagna bilden för att kunna avgöra huruvida ett visst agerande sker i linje med konkurrenslagstiftningen och för att bedöma dess effekter på konkurrenter, kunder och konsumenter.
EU-domstolen ger emellertid inte carte blanche åt konkurrensmyndigheterna. Domstolen kräver att konkurrensmyndigheterna ska samråda och samarbeta med berörda nationella tillsynsmyndigheter. När en konkurrensmyndighet undersöker huruvida ett dominerande företags agerande är förenligt med GDPR måste myndigheten ifråga exempelvis kontrollera om samma eller liknande beteende redan har varit föremål för ett beslut av den behöriga nationella tillsynsmyndigheten eller av EU-domstolen. Om ett sådant beslut finns så kan inte konkurrensmyndigheten avvika från detsamma, men är fri att dra sina egna slutsatser ur en konkurrensrättslig synvinkel. Kravet på samarbete och samråd gäller även om det finns en pågående GDPR-utredning och om konkurrensmyndigheten är osäker på räckvidden av den bedömning som den ansvariga tillsynsmyndigheten har gjort.
Av artikel 9.1 i GDPR framgår att behandling av vissa särskilda kategorier av personuppgifter som är förbjuden. Dessa kategorier handlar bl.a. om upplysningar som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös övertygelse samt uppgifter om en fysisk persons hälsa, sexualliv eller sexuella läggning.
EU-domstolen fann att Metas behandling av sina användares personuppgifter från webbplatser eller applikationer utanför Facebook faller under artikel 9.1 och således är förbjuden när behandlingen gör det möjligt att avslöja förhållanden som ingår i någon av de ovannämnda särskilda kategorierna, med förbehåll för vissa undantag som framgår av artikel 9.2 i GDPR.
Artikel 9.2 i GDPR föreskriver att förbudet i artikel 9.1 bl. a. inte ska tillämpas om en registrerad person har lämnat sitt uttryckliga samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, om behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade, eller om behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.
I tillämpningen av artikel 9.2 GDPR skilde EU-domstolen på två situationer. Den första avser användare av ett digitalt socialt nätverk som endast besöker webbplatser eller applikationer som rör information som är hänförlig till de särskilda kategorierna av personuppgifter. I sådana situationer anser EU-domstolen att användaren inte offentliggör på ett tydligt sätt, i den mening som avses i artikel 9.2 GDPR, uppgifterna rörande besöket som operatören av det digitala sociala nätverket samlar in. Med andra ord; om användaren endast besöker webbplatser eller applikationer, så omfattas inte insamlingen av de känsliga uppgifterna av undantaget i artikel 9.2 GDPR.
Den andra situationen avser en användare som för in uppgifter på sådana webbplatser eller applikationer eller när användaren klickar på knappar, som t.ex. ”gilla”, ”fela”, eller på sådana knappar som gör det möjligt för användaren att identifiera sig på webbplatsen eller i applikationen genom att använda inloggningsuppgifterna för dennes konto på det digitala sociala nätverket, dennes telefonnummer eller dennes e‑postadress. I sådana situationer anser EU-domstolen att insamlingen kan omfattas av undantaget i artikel 9.2 i GDPR, men endast vad gäller de specifika uppgifter som införts eller genererats genom att klicka på knapparna, och bara om användaren på förhand klart gett uttryck för sitt val att göra uppgifterna tillgängliga för ett obegränsat antal personer, i förekommande fall med stöd av individuella inställningar som gjorts på ett informerat sätt.
Enligt GDPR så kan fysiska personer ge sitt samtycke till en behandling av sina personuppgifter, enligt artikel 6.1 första stycket punkt a eller artikel 9.2. I sitt beslut konstaterade Bundeskartellamt dock att Facebooks användare inte hade gett sitt samtycke till den ifrågasatta behandlingen av personuppgifter som ärendet handlade om. Har något sådant samtycke inte lämnats eller har samtycket inte lämnats på ett frivilligt, specifikt, informerat och otvetydigt sätt – i den mening som avses i artikel 4.11 i GDPR – är behandlingen trots detta laglig om den uppfyller något av nödvändighetsgrunderna i artikel 6.1 första stycket punkterna b–f och i den mån känsliga uppgifter som faller under artikel 9 i GDPR kan skiljas från icke-känsliga uppgifter.
EU-domstolen prövade därför om behandlingen av personuppgifterna kunde uppfylla något av de andra villkoren för lagenlighet som finns i artikel 6.1 första stycket punkterna b–f i GDPR. EU-domstolen påpekade att laglighetsgrunderna i 6.1 enligt rättspraxis är uttömmande samt att dessa ska tolkas restriktivt. Det är dessutom fråga om alternativa grunder, det är därför inte nödvändigt att pröva samtliga grunder om någon av dessa bedöms omfatta behandlingen. Oaktat detta valde EU-domstolen att ge vägledning i alla åberopade laglighetsgrunder i målet.
Den första relevanta grunden, som framgår av artikel 6.1 första stycket b i GDPR, är att en behandling av personuppgifter ska vara nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Enligt EU-domstolen måste behandlingen vara objektivt oundgänglig för att uppnå ett ändamål som utgör en väsentlig del av den tjänst som är avsedd för den registrerade. Meta, i egenskap av registeransvarig, måste därför bevisa varför avtalets huvudändamål inte kan uppnås utan den aktuella behandlingen. Den avgörande faktorn är att behandlingen av personuppgifterna är absolut nödvändig för det korrekta fullgörandet av avtalet och att det inte finns några andra praktiska lösningar som är mindre ingripande.
Kunde personlig anpassning av innehållet vid användningen av Metakoncernens olika tjänster kopplas till ett sådant ”korrekt fullgörande av avtalet”? Nej, tyckte EU-domstolen. En sådan personalisering är inte nödvändigt för att kunna erbjuda användaren Facebooks tjänster, även om den skulle göra tjänsten mer attraktiv. Dessutom är det inte nödvändigt att skaffa Instagram och WhatsApp för att använda Facebook.
Den andra relevanta grunden, som framgår av artikel 6.1 första stycket punkt f i GDPR, är att behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. En förutsättning för denna laglighetsgrund är dessutom att operatören, alltså Meta, ska ha informerat användarna om det berättigade intresset som eftersträvas med behandlingen.
Kunde Metas intresse att personanpassa den reklam, genom vilken dennes verksamhet finansieras, väga tyngre än användarnas intressen och grundläggande rättigheter? Nej, tyckte EU-domstolen, åtminstone inte om användarna inte har lämnat sitt samtycke till personuppgiftsbehandlingen.
Den tredje relevanta grunden, som framgår av artikel 6.1 första stycket punkterna c, d och e i GDPR, är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (punkt c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (punkt e), eller för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person (punkt d). Enligt EU-domstolen måste dock förpliktelsen enligt punkt c åvila den registeransvarige (alltså Meta) i kraft av en bestämmelse i unionsrätten eller i den berörda medlemsstatens nationella rätt. Den rättsliga grunden måste svara mot ett mål av allmänt intresse och stå i proportion till det legitima mål som eftersträvas, och behandlingen måste utföras inom gränserna för vad som är strängt nödvändigt. EU-domstolen betonar att det är den nationella domstolen som har till uppgift att kontrollera detta. Vad gäller punkterna d och e fann EU-domstolen att Metas behandling av personuppgifterna inte kunde anses vara nödvändig.
Som framgår av ovan så kan en behandling av personuppgifter vara laglig när en användare ger sitt samtycke till det, enligt artikel 6.1 första stycket punkt a eller artikel 9.2 i GDPR. EU-domstolen fann att den omständigheten att en operatör av ett digitalt socialt nätverk har en dominerande ställning på marknaden inte utgör hinder för att nätverkets användare ska kunna ge giltigt samtycke. Samtidigt påpekade EU-domstolen, i linje med Bundeskartellamts beslut, att den dominerande ställningen skapar en väsentlig ojämlikhet mellan användarna och operatören som kan påverka användarnas möjlighet att göra ett fritt val. Därför ansåg EU-domstolen att den dominanta marknadspositionen kan vara en viktig omständighet vid bedömningen av samtyckets frivillighet och därmed giltighet.
Till följd av detta fann EU-domstolen att Facebooks användare måste ha friheten att, i samband med ingåendet av avtalet med Meta, kunna vägra att lämna sitt samtycke till de delar av behandlingen av personuppgifter som inte är nödvändiga för fullgörandet av avtalet, utan att för den skull tvingas till att helt avstå från att använda Facebook. I praktiken innebär detta att användarna ska erbjudas, i förekommande fall mot lämplig ersättning, ett likvärdigt alternativ som inte innebär sådana personuppgiftsbehandlingsåtgärder. Enligt EU-domstolen kan det vara lämpligt att ett separat samtycke krävs för behandlingen av uppgifter som samlas på Facebook respektive de som samlas utanför Facebook. Om det inte är möjligt att ge sådana separata samtycken, anses samtycket inte ha lämnats frivilligt av användarna.
EU-domstolens avgörande är en stor principiell seger för Bundeskartellamt och kommer säkert att leda till flera mål mot digitala jättar som Meta, Apple, Google, Amazon och Microsoft. Avgörandet förtydligar att EU:s konkurrensmyndigheter, inklusive det svenska Konkurrensverket, kan kontrollera efterlevnaden av GDPR i samband med en utredning av misstänkt missbruk av dominerande ställning enligt artikel 102 FEUF eller motsvarande nationell lagstiftning (i Sverige, 2 kap. 7 § konkurrenslagen).
Om ett företag bryter mot bestämmelser i GDPR kan det vägas in som en av faktorerna som pekar på att företaget inte använder sig av metoder som ingår i begreppet ”normal pris- och prestationskonkurrens”, och kan alltså användas för att bevisa att företaget ifråga missbrukar sin dominerande ställning. De nationella konkurrensmyndigheternas utredning av en dominerande aktörs efterlevnad av GDPR måste dock ske i samråd med berörda nationella tillsynsmyndigheter. I Sverige innebär detta att Konkurrensverket måste samarbeta lojalt med Integritetsskyddsmyndigheten (IMY) samt följa de beslut som IMY tar vad gäller beteenden som är både ifrågasatta ur konkurrensrättsligt perspektiv och har varit eller är föremål för en prövning hos IMY.
Målet är även viktigt vad gäller tolkningen och tillämpningen av GDPR och är således relevant för i princip alla jurister utöver de som jobbar med konkurrensrätt. EU-domstolens avgörande innebär att känsliga uppgifter om användarna inte kan samlas in och behandlas från webbsidor och applikationer utanför ett socialt nätverk när användarna endast besöker webbsidorna eller applikationerna. När användarna för in information, kan insamlingen och behandlingen vara laglig men bara om användaren på förhand uttryckligen gett klartecken för sitt val att göra uppgifterna tillgängliga för ett obegränsat antal personer.
Vad gäller laglighetsgrunder för insamling och behandling av icke-känsliga uppgifter utan användarnas samtycke, så visar avgörandet att det kommer att vara svårt för sociala nätverk att motivera sådan insamling och behandling med hänvisning till att det exempelvis är nödvändigt för att kunna erbjuda en bra tjänst, för att finansiera en tjänst, eller för att bistå medlemsstaterna med brottsbekämpning.
EU-domstolens avgörande innebär dessutom att sociala nätverk som befinner sig i en dominerande ställning på sin marknad måste erbjuda olika versioner av sina sidor till personer som önskar få ett personligt, anpassat innehåll och de som föredrar en mer standardiserad tjänst som inte kräver insamling av personuppgifter utanför det sociala nätverket. Det kan även innebära att tjänster och sidor som hittills varit gratis (som t.ex. Facebook) erbjuds mot en avgift för de användare som vill slippa lämna ifrån sig personuppgifter från andra webbsidor eller applikationer.
Artikeln har tidigare publicerats i JUNO Nyheter.