GDPR som verktyg för strategiska tvister för att skydda icke-binära och trans personers mänskliga rättigheter inom unionen. Marios Iacovides, docent i europarätt, skriver om EU-domstolens dom i mål C‑394/23 Mousse.
Bakgrund till målet och processen i Frankrike
Föreningen Mousse skapades år 2000 i Frankrike med syftet att försvara alla som lever sin sexualitet fritt och för att kämpa mot alla former av social, politisk eller ekonomisk diskriminering av lesbiska, homosexuella, bi och transpersoner. Mousse engagerar sig bland annat genom inledande av rättsliga processer.
SNCF Connect är ett franskt transportbolag som säljer tågbiljetter, periodkort, och rabattkort för tågresor i Frankrike. Biljettförsäljningen sker bland annat via en webbplats och en app. När en kund köper biljetter online måste hen ange uppgift om vilken tilltalstitel som ska användas i kommunikationen, genom att kryssa i någon av de två rutorna ”Monsieur” (”Herr”) eller ”Madame” (”Fru”).
Mousse ansåg att förutsättningarna för att samla in och registrera uppgifter om kundernas tilltalstitel inte uppfyllde kraven i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen, eller GDPR). Mousse lämnade in ett klagomål mot SNCF Connect vid Commission nationale de l’informatique et des libertés som är den franska nationella dataskyddsmyndigheten (CNIL, eller dataskyddsmyndigheten)
I beslut av den 23 mars 2021 fann CNIL att SNCF Connect inte hade överträtt GDPR och avslutade förfarandet för prövning av Mousses klagomål. Den 21 maj 2021 överklagade Mousse CNIL:s beslut till Conseil d’État (Högsta förvaltningsdomstolen, Frankrike), som är den hänskjutande domstolen i detta förhandsavgörande. Parternas argument vid den nationella processen handlade främst om huruvida SNCF Connects insamling av de aktuella uppgifterna var förenlig med laglighetsprincipen som skyddas av GDPR. Conseil d’État hyste tvivel om tolkningen av vissa bestämmelser i dataskyddsförordningen som var viktiga för att kunna bestämma om behandlingen av de aktuella personuppgifterna är nödvändig i förordningens mening, och därmed i enlighet med laglighetsprincipen, bland annat artiklarna 5.1 c, 6.1 första stycket b och f samt 21 i förordningen.
Relevanta bestämmelser i GDPR
I det aktuella målet var det ostridigt att tilltalstitel, såsom ”herr” eller ”fru” utgör personuppgifter och att dessa personuppgifter hade varit föremål för behandling i dataskyddsförordningens mening (se artikel 4 i förordningen). Behandlingen var därför inom GDPR:s materiella tillämpningsområde enligt artikel 2.1 i förordningen.
Det framgår av artikel 1 samt skälen 1 och 10 i GDPR att förordningen syftar, bland annat, till att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, framför allt rätten till skydd av personuppgifter, som fastslås i artikel 8.1 i stadgan och artikel 16.1 FEUF. För att uppnå detta syfte ska all behandling av personuppgifter vara förenlig med de principer för behandling av personuppgifter som anges i artikel 5 i GDPR och uppfylla de förutsättningar för laglig behandling som räknas upp i artikel 6 i GDPR.
Av artikel 5.1 a i dataskyddsförordningen framgår att personuppgifter ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Artikel 5.1 c i förordningen fastslår principen om uppgiftsminimering, som innebär att personuppgifter ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Denna princip är ett uttryck för den allmänna unionsrättsliga proportionalitetsprincipen.
Behandling av personuppgifter är endast laglig enligt kravet i artikel 5 GDPR om och i den mån som åtminstone ett av villkoren i artikel 6.1 första stycket är uppfyllt. Villkoren är att:
a) Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål,
b) Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås,
c) Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige,
d) Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person,
e) Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, eller
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.
EU-domstolen har i rättspraxis redan funnit att denna lista är uttömmande och fullständig, vilket innebär att en behandling måste omfattas av något av de fall som anges i bestämmelsen för att den ska kunna anses vara laglig. EU-domstolen har även förklarat i målet C-252/21 Meta Platforms m.fl. att om samtycket inte lämnats (i enlighet med artikel 6.1 första stycket a) på ett frivilligt, specifikt, informerat och otvetydigt sätt, kan behandlingen trots detta vara berättigad om den uppfyller något av de övriga nödvändighetsgrunderna i bestämmelsen.
Vidare framgår följande av domstolens praxis. När det går att konstatera att en behandling av personuppgifter är nödvändig enligt någon av laglighetsgrunderna i artikel 6.1 första stycket b–f i dataskyddsförordningen, behöver det inte prövas om behandlingen även omfattas av någon annan laglighetsgrund. I det avseendet gäller närmare att det krav på nödvändighet som är kopplat till den laglighetsgrund som anges som stöd för den aktuella personuppgiftsbehandlingen inte kan anses vara uppfyllt om ändamålet med behandlingen rimligen skulle kunna uppnås på ett lika effektivt sätt genom andra medel som i mindre utsträckning inskränker de registrerades grundläggande rättigheter, särskilt de i artiklarna 7 och 8 i stadgan fastslagna rättigheterna avseende respekt för privatlivet och skydd av personuppgifter. Detta eftersom undantag från och inskränkningar av principen om skydd för personuppgifter måste begränsas till vad som är absolut nödvändigt.
I det aktuella målet utgick Conseil d’État ifrån att den ifrågasatta personuppgiftsbehandlingen hade utförts utan samtycke från de registrerade och att den inte var nödvändig för att fullgöra en rättslig förpliktelse som åvilade SNCF Connect. Med andra ord, av de villkoren som listas i artikel 6.1 första stycket, var det bara laglighetsgrunderna i artikel 6.1 första stycket b och f i dataskyddsförordningen som var relevanta att undersöka i målet. Eftersom dessa laglighetsgrunder i artikel 6.1 första stycket ger möjlighet att utföra personuppgiftsbehandling utan den registrerades samtycke är det nödvändigt, enligt EU-domstolen att tolka dessa grunder restriktivt.
Artikel 6.1 första stycket b i dataskyddsförordningen
Som nämnt ovan så handlar villkoret i artikel 6.1 första stycket b om personuppgiftsbehandlingar som anses vara nödvändiga för att fullgöra ett avtal. EU-domstolen inledde sin analys här med att påpeka att behandlingen måste vara objektivt sett oundgänglig för att uppnå ett ändamål som utgör en väsentlig del av avtalsprestationen gentemot den registrerade. EU-domstolen noterade även att omständigheten att behandlingen nämns i avtalet eller att den endast är till nytta för fullgörandet av avtalet saknar betydelse. Nödvändigheten visas alltså om personuppgiftsansvarige bevisar att avtalets huvudändamål inte kan uppfyllas utan personuppgiftsbehandlingen och att det därmed inte finns några andra praktiska lösningar som är mindre ingripande.
Huvudändamålet med avtalet mellan SNCF Connect och dess kunder är att tillhandahålla tjänster avseende persontransport med järnväg. Utöver det så hade SNCF Connect åberopat tre ytterligare ändamål med personuppgiftsbehandlingen. Det första är att personanpassa det berörda företagets kommunikation med sina kunder, i enlighet med vad som är brukligt i branschen, genom att använda tilltalstitlarna ”herr” och ”fru” som ett bevis på företagets respekt för sina kunder. Detta bidrar även till att vårda företagets renommé. Det andra ändamålet är att anpassa persontrafiktjänsterna för nattåg. På dessa tåg finns det nämligen vagnar som är reserverade för personer med samma könsidentitet. Ett tredje ändamål är att bistå passagerare med funktionshinder.
EU-domstolen accepterade att kundkommunikation i stort kan utgöra ett ändamål som är en väsentlig del av avtalsprestationen mellan SNCF Connect och resenärerna, eftersom SNCF Connect måste kommunicera med kunderna, till exempel för att skicka ut biljetter via e‑post eller hålla kunderna informerade om resan.
Däremot accepterade inte EU-domstolen att kundkommunikationen nödvändigtvis måste vara personanpassad utifrån kundernas könsidentitet. Enligt EU-domstolen så framstår inte artighetstitlarna ”herr” och ”fru” som objektivt sett oundgängliga eller väsentliga för att möjliggöra ett korrekt fullgörande av de aktuella avtalen mellan SNCF Connect och dess kunder. Andra praktiska lösningar som är mindre ingripande kan finnas, till exempel att ge kunderna möjlighet att inte ange sitt kön och kommunicera med dem med generiska och inkluderande artighetsfraser som inte kopplar till könsidentitet.
Vad gällde SNCF Connects två andra argument fann EU-domstolen att de inte heller kunde motivera bolagets systematiska och generella behandling av uppgifter om samtliga kunders tilltalstitel. Enligt EU-domstolen var det oproportionerligt att samla in uppgifter om alla resenärers könsidentitet när man hade väl kunnat begränsa sig just till resenärer som reser nattetid och de som behöver personlig assistans på grund av ett funktionshinder.
Artikel 6.1 första stycket f i dataskyddsförordningen
Som nämnt ovan så handlar artikel 6.1 första stycket f i dataskyddsförordningen om att en behandling är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Det ställs alltså tre kumulativa villkor i bestämmelsen.
Det första villkoret är att den personuppgiftsansvarige eller en tredje part ska ha ett berättigat intresse av att behandla de aktuella uppgifterna. SNCF Connect hänvisade till ett ändamål som rör kundprospektering som berättigat intresse. Eftersom berättigat intresse inte definieras i GDPR, så det kan omfatta ett brett spektrum av intressen, inklusive då kundprospektering. EU-domstolen påpekade dock att personuppgiftsansvarige är skyldig att informera den registrerade om vilka berättigade intressen den anser sig ha för behandlingen och det var inte möjligt att utifrån handlingarna i målet bedöma huruvida detta krav hade iakttagits. EU-domstolen bad därför Conseil d’État att kontrollera detta.
Det andra villkoret är att personuppgiftsbehandlingen ska vara nödvändig för ändamål som rör det berättigade intresset. Här blir det relevant att undersöka om det berättigade intresset skulle kunna tillgodoses på ett lika effektivt sätt genom andra medel som är mindre ingripande på kundernas grundläggande fri- och rättigheter och med principen om uppgiftsminimering i åtanke. EU-domstolen påpekade att det verkade vara tillräckligt att samla in kundernas för- och efternamn för att kunna kommunicera och kundprospektera. Dessutom, som EU-domstolen hade funnit i relation till artikel 6.1 första stycket b, var det fullt möjligt att kommunicera med kunder som inte vill ange sin könsidentitet med generiska och inkluderande artighetsfraser som inte har någon koppling till kundernas könsidentitet. Därmed var det inte nödvändigt att samla in data om kundernas könsidentitet.
Det tredje villkoret är att det ska stå klart att den registrerades intressen eller grundläggande fri- och rättigheter inte väger tyngre än den personuppgiftsansvariges eller en tredje parts berättigade intresse. Enligt EU-domstolen, så måste det göras en intresseavvägning mellan motstående rättigheter och intressen. Utfallet beror på de konkreta omständigheterna i det enskilda fallet. En sådan omständighet som EU-domstolen valde att fokusera på är att SNCF Connects kunder inte rimligen kan förvänta sig att bolaget kommer att behandla uppgifter om deras tilltalstitel eller könsidentitet i samband med att de köper ett färdbevis, särskilt om uppgifterna endast samlades in för kundprospektering. Dessutom fanns det risk för att den registrerades grundläggande fri- och rättigheter kunde påverkas negativt och att dessa personer skulle kunna skadas fysiskt, materiellt, eller immateriellt, i synnerhet om behandlingen kan leda till diskriminering. Här valde EU-domstolen att hänvisa till direktiv 2004/113 av den 13 december 2004 om genomförande av principen om likabehandling av kvinnor och män när det gäller tillgång till och tillhandahållande av varor och tjänster och att således godkänna Mousses argument om att personuppgiftsbehandlingen skulle kunna leda till situationer där SNCF stred mot direktivet genom diskriminering.
Samtidigt underkände EU-domstolen relevansen av att ta hänsyn till huruvida den registrerade har rätt eventuellt att göra invändningar mot behandlingen enligt artikel 21 i GDPR. EU-domstolen fann här att artikel 21 i GDPR endast är relevant om en ifrågasatt personuppgiftsbehandling är laglig. Detta förutsätter, om behandlingen stödjer sig på artikel 6.1 första stycket f, att den är nödvändig. Därmed kan inte artikel 21 i GDPR anses relevant just när man bedömer om nödvändigheten har påvisats.
Kommentar och målets betydelse
EU-domstolens avgörande är en viktig seger – även på en symbolisk nivå – för icke-binära personer runt om i Europa och bredare ett slag mot det alltmer växande datainsamling som berör alla européer som handlar varor och tjänster online. Med tanke på den oro som många känner inför hur deras data används av få företag med stor marknadsmakt som i slutändan ägs av en liten grupp män som nu står nära den amerikanska politiska makten, signalerar EU-domstolen genom detta avgörande att GDPR är här för att skydda unionens medborgare och se till att företag endast samlar in den information om sina kunder som verkligen är absolut nödvändig. Det är värt att notera i det här sammanhanget att ett av de målen som EU-domstolen stödjer sig på i det aktuella avgörandet är ett mål som den tyska konkurrensmyndigheten initierade och vann mot Meta Platforms angående missbruk av dominerande ställning genom Facebooks datainsamling.
EU-domstolen valde även att specifikt kommentera och avvisa ett viktigt argument som indirekt relaterar till de så kallade ”cultural wars” och ”anti-woke agenda”. Den franska regeringen och SNCF Connect argumenterade i målet att vid bedömningen av huruvida en personuppgiftsbehandling är nödvändig ska tas hänsyn till de sedvänjor och sociala konventioner som finns i varje enskild medlemsstat. De hävdade att detta var viktigt för att bevara den språkliga och kulturella mångfalden som annars skyddas i unionsrätten. Även utan att explicit utveckla argumentet på detta sätt, förstår man att det som den franska regeringen och SNCF Connect menade var att om ett företag stoppas från att samla in information som kategoriserar människor på ett binärt sätt (”herr” eller ”fru”) så kommer detta leda till att språket måste förändras för att ackommodera för neutrala tilltalstitlar eller så måste kulturen förändras för att behandla människor som könsneutrala. EU-domstolen verkar inte dela bilden av att detta vore en negativ utveckling. För det första noterade EU-domstolen att sedvänjor och sociala konventioner inte anges som omständigheter som ska beaktas vid bedömningen av om en viss personuppgiftsbehandling uppfyller kravet på nödvändighet. För det andra betonade EU-domstolen att den språkliga och den kulturella mångfalden inte torde påverkas av att uppgifter om kundernas tilltalstitel eller könsidentitet inte samlades in och behandlades.
En annan viktig aspekt i målet är inte specifik till GDPR utan handlade om diskriminering. Mousse argumenterade för att direktiv 2004/113 var relevant att beakta här, för att kontrollera om det finns risk till diskriminering när domstolen bestämmer om personuppgiftsbehandlingen är laglig under GDPR. EU-domstolen accepterade detta argument och fann att direktivets tillämpningsområde inte kan anses vara begränsat till att omfatta enbart diskriminering som beror på att en person tillhör det ena eller det andra könet. Med hänsyn till vad som regleras i direktiv 2004/113, och till arten av de rättigheter som det syftar till att skydda, får direktivet även anses vara tillämpligt på diskriminering som beror på att en person har bytt könsidentitet. Med andra ord, så kopplas alltså diskriminering med dataskydd och EU-domstolen går ännu längre än så och klargör att diskrimineringen under direktivet anser både icke-binära personer och personer som bytt könsidentitet. Med tanke på Trumps attack mot transpersoner och icke-binära personer och hur vissa politiker i Europa inspireras av Trumps hatretorik, är Mousses vinst i denna strategiska tvist ännu mer betydelsefull.
Publicerad i JUNO: 2025-02-12