Search for a command to run...
Myndighed
Dato
Dokumenttype
Sted
Emner
Eksterne links
Parter
Dommer
Italien, EU-medlemsstater, Nederlandene, EU’s institutioner og organer, Europa-Kommissionen
Generaladvokat
Rossi
Denne sag vedrører en anmodning om præjudiciel afgørelse fra Rechtbank Amsterdam om fortolkningen af artikel 6, stk. 1, litra f), i databeskyttelsesforordningen (GDPR). Spørgsmålet er, hvorvidt et idrætsforbund kan videregive personoplysninger om sine medlemmer til sponsorer mod vederlag med henvisning til en »legitim interesse«, når de registrerede ikke har givet samtykke hertil.
Sagen udspringer af en tvist mellem Koninklijke Nederlandse Lawn Tennisbond (KNLTB), det hollandske tennisforbund, og Autoriteit Persoonsgegevens (AP), den hollandske databeskyttelsesmyndighed. KNLTB videregav i 2018 omfattende personoplysninger – herunder navne, adresser, fødselsdatoer, telefonnumre og e-mailadresser – til to sponsorer, hvoraf den ene var en udbyder af hasardspil (NLO), med henblik på direkte markedsføring.
KNLTB modtog vederlag for videregivelsen og argumenterede for, at behandlingen var lovlig i henhold til deres legitime interesse i at skabe en stærk forbindelse til medlemmerne og tilbyde merværdi i form af rabatter.
AP pålagde KNLTB en bøde på 525.000 EUR, idet myndigheden mente, at »legitime interesser« alene dækkede interesser, der er anerkendt og fastsat ved lov (et »positivt kriterium«), og at den kommercielle interesse i at sælge medlemsdata derfor ikke var et lovligt grundlag.
Den forelæggende ret ønskede Domstolens præcisering af, om en rent kommerciel interesse kunne kvalificeres som en legitim interesse, og hvorvidt denne interesse skal være lovfæstet.
| Part | Påstand om Legitim Interesse | Fortolkning af Art. 6(1)(f) | Retsgrundlag |
|---|---|---|---|
| AP | Skal være lovfæstede interesser | Indskrænkende (Positivt kriterium) |
| Lovfæstede interesser |
| KNLTB | Enhver lovlig interesse kan kvalificeres | Bred (Negativt kriterium) | Kommerciel interesse, medlemsfordele |
Domstolen fastslår, at databeskyttelsesforordningens artikel 6, stk. 1, litra f), ikke kræver, at den legitime interesse, som den dataansvarlige forfølger, er fastsat ved lov. En bred vifte af interesser, herunder kommercielle interesser, kan principielt anses for at være legitime, forudsat at de er lovlige.
Imidlertid er lovligheden af behandlingen betinget af opfyldelsen af tre kumulative betingelser, hvor især afvejningen mellem de registreredes rettigheder og den dataansvarliges interesser er afgørende:
Domstolen vejleder den forelæggende ret i interesseafvejningen og påpeger, at der skal lægges særlig vægt på de registreredes rimelige forventninger. Medlemmer af et idrætsforbund kan normalt ikke med rimelighed forvente, at deres personoplysninger videregives mod vederlag til tredjemænd, især til en udbyder af hasardspil, hvilket kan medføre skadelige virkninger som ludomani.
»Selv om den nævnte bestemmelse ikke forudsætter, at en sådan interesse er fastsat ved lov, kræver den, at den angivelige legitime interesse er lovlig.« (Præmis 57)
DatatilsynetDatatilsynet har truffet afgørelse i en sag, hvor en borger klagede over Telmore A/S’ videregivelse af hans e-mailadresse til Meta Irland. Sagen har været behandlet i Datarådet.
DatatilsynetDatatilsynet
Sagen vedrører en præjudiciel forelæggelse fra Bulgarien, som omhandler sammenstødet mellem beskyttelse af personoplysninger (GDPR) og forpligtelsen til offentliggørelse af selskabsdokumenter i et nationalt handelsregister, fastsat i henhold til EU’s selskabsdirektiv (nu Direktiv 2017/1132).
Tvisten opstod mellem Agentsia po vpisvaniyata (det bulgarske registreringsagentur, der fører handelsregistret) og en selskabsdeltager, OL. OL anmodede om sletning af visse personoplysninger (såsom identifikationsnummer, detaljer om identitetskort, bopælsadresse og underskrift) fra en selskabsaftale, der var blevet offentliggjort i registret i forbindelse med selskabets stiftelse. Disse oplysninger var ikke lovpligtige i henhold til national lovgivning eller EU-direktivet.
OL gjorde gældende, at offentliggørelsen udgjorde ulovlig behandling og krævede sletning af oplysningerne samt erstatning for immateriel skade som følge af frygt og bekymring over potentielt misbrug. Agenturet afviste sletning med henvisning til, at OL ikke havde indsendt en renset (skjult/redigeret) kopi af aftalen, som krævet af nationale procedureregler, hvilket Agenturet fastholdt var nødvendigt for at opretholde dokumentets integritet.
Datatilsynet har udarbejdet en vejledende udtalelse om leverandørers hjemmel til at videregive medarbejderoplysninger til ordregiver som dokumentation for overholdelse af arbejdsklausuler i kontrakten.
Datatilsynet har afsluttet en række tilsyn med udvalgte frie grundskoler, som omhandlede de frie grundskolers behandling af personoplysninger samt håndtering af anmodninger om indsigt og sletning.
De centrale spørgsmål, som den forelæggende ret stillede, omhandlede Agenturets status som dataansvarlig, lovligheden af behandlingen af ikke-obligatoriske oplysninger, rækkevidden af retten til sletning i lyset af nationale formkrav, og fortolkningen af ”immateriel skade” under GDPR Artikel 82.
Lovforslaget etablerer en ny, selvstændig hovedlov for fondsmæglerselskaber og deres aktiviteter. Formålet er at impleme...
Læs mereSagen omhandler Google Spain og Google Inc. mod Agencia Española de Protección de Datos (AEPD) og Mario Costeja González...
Læs mere
