lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Athanasios Rantos föredraget den 25 april 2024

CELEX
62021CC0446
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Europaparlamentets och rådets förordning av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1 och rättelse i EUT L 127, 2018, s. 2) (nedan kallad dataskyddsförordningen).

3 Detta sociala nätverk möjliggör nedladdning och delning av innehåll på ett individanpassat sätt, utifrån de parametrar som användaren på förhand har valt, samt direktkommunikation med andra användare eller utbyte av uppgifter med dem.

4 Dessa annonser syftar närmare bestämt till att för användaren presentera produkter och tjänster som denne kan vara intresserad av, bland annat baserat på vederbörandes personliga konsumtionsmönster, intressen, köpkraft och personliga situation (plats, ålder, kön osv.). Samtidigt kan annonsörer, genom Facebook Business Tools (Facebook-affärsverktyg), skapa riktade annonser och kontrollera hur effektiv deras reklam är med hjälp av analyssystem som bygger på algoritmer som söker efter samband och mönster för att dra motsvarande slutsatser av dem.

5 För dessa ändamål använder motparten sig av tekniker som cookies (kakor), som möjliggör användning av social plug-ins (sociala insticksprogram, såsom gilla-knappen) eller pixels, som är informationsverktyg som finns installerade på Facebooks webbplats, på webbplatser och på tredjepartsapplikationer. Med hjälp av dessa verktyg går det i praktiken att inhämta vissa uppgifter om en användare som besöker sådana webbplatser eller som använder sådana applikationer som innehåller dessa och att sammanställa dem och på så sätt skapa en användarprofil, utifrån vilken personanpassade annonser kan visas för användaren.

6 Meta Platforms Ireland har, i sina skriftliga och muntliga yttranden, närmare angett att under perioden före det att dataskyddsförordningen trädde i kraft grundade sig behandlingen av personuppgifter som hade insamlats på dess plattform för personanpassning av annonser inte på klagandens samtycke, utan huvudsakligen på motiveringen att behandlingen av de uppgifterna var nödvändig för att fullgöra avtalet. Behandlingen av personuppgifter som hade insamlats på webbplatser eller tillämpningar utanför dess nätverk grundade sig däremot på användarens samtycke, varvid denne kunde förhindra behandling av de uppgifterna, utan att för den skull avstå från Facebooks tjänster. I förevarande fall påstår sig bolaget inte ha behandlat personuppgifter avseende klaganden vilka har insamlats utanför dess plattform, på grund av att klaganden inte gav sitt samtycke till detta när han registrerade sig på det sociala nätverket Facebook år 2008. Från och med det att dataskyddsförordningen trädde i kraft har Facebook däremot inhämtat samtycke till behandling av personuppgifter som insamlats antingen på dess nätverk eller på externa webbplatser eller applikationer, med syftet att skapa personanpassade annonser. Genom att inte ge ett sådant samtycke kan användaren, mot betalning av en avgift, förhindra att personuppgifterna behandlas för personanpassning av annonser. Det förefaller som om dataskyddsmyndigheterna i vissa medlemsstater för närvarande är i färd med att undersöka huruvida de nya användningsvillkoren är förenliga med dataskyddsförordningen.

7 Såsom framgår av beslutet om hänskjutande ger Meta Platforms Ireland inte åtkomst till alla de uppgifter som behandlas, utan enbart till dem som, enligt bolagets uppfattning, är av intresse och relevans för användarna. Dessutom tillåter bolaget radering av vissa typer av innehåll (såsom meddelanden, bilder eller publikationer) från ett Facebook-konto.

8 Det var dessutom bara hans vänner, på hans icke-officiella vänlista, som kunde se inläggen på hans tidslinje eller hans kommande inlägg.

9 Klaganden har dessutom låtit göra en analys av de slutsatser som kan dras av hans vänlista, av vilken det framgick att han hade gjort vapenfri tjänst vid Röda korset i Salzburg (Österrike) och att han var homosexuell. På listan över hans aktiviteter utanför Facebook finns dessutom bland annat applikationer eller möteswebbplatser för homosexuella samt en webbplats för ett österrikiskt politiskt parti. Bland de uppgifter som har lagrats om klaganden finns bland annat en obefintlig e‑postadress och en annan som inte finns angiven på hans Facebook-profil, men som han har använt för att skicka förfrågningar till motparten.

10 Klaganden har, för det första, vid domstolen i första instans, yrkat att motparten ska förpliktas att ingå ett skriftligt avtal om användningen av hans personuppgifter på nätverket Facebook och, i andra hand, att det ska fastställas att det inte finns något sådant avtal och att han inte har gått med på användarvillkoren, för det andra att motparten ska förpliktas att avstå från att behandla hans personuppgifter för personanpassning av annonser eller för aggregering och analys av uppgifter i reklamsyfte, för det tredje att det ska fastställas att det inte finns något giltigt samtycke till behandling för de ändamål som anges i de tidigare riktlinjerna om behandling av uppgifter, beträffande de personuppgifter om honom som motparten har erhållit från tredje part, och för det fjärde att motparten ska förpliktas att avstå från att använda eller behandla hans uppgifter om besök på och användning av tredje parts webbplatser utan ett giltigt samtycke till behandling. Klaganden har i allt väsentligt gjort gällande att godkännandet av användarvillkoren samt de tillhörande riktlinjerna för dataanvändning inte utgör ett samtycke till behandling av personuppgifter som på ett giltigt sätt har lämnats till den personuppgiftsansvarige. Han har även påpekat att Meta Platforms Ireland behandlar känsliga uppgifter om honom, såsom uppgifter om hans politiska övertygelse och sexuella läggning, även om dessa uppgifter inte anges på hans Facebook-profil.

11 Såsom framgår av parternas skriftliga och muntliga yttranden var paneldiskussionen öppen för allmänheten, som i mån av plats kunde få en biljett till den utan kostnad från plattformen Eventbrite (189 personer registrerade sig i slutändan), och paneldiskussionen direktsändes. Dessutom offentliggjordes en inspelning av denna i form av en podcast samt på kommissionens YouTube-kanal.

12 Såsom framgår av beslutet om hänskjutande och av klagandens skriftliga inlagor har klaganden gjort följande uttalande: Jag ska nu ge er ett mycket banalt exempel: Man kan härleda min sexuella läggning från min vänlista. Jag har aldrig nämnt att jag är homosexuell på Facebook. Sedan jag var 14 år gammal är det något som jag har outat och som jag inte känner någon oro eller något annat över. Men det är inte något som jag pratar om var och när som helst i det offentliga, för jag säger till mig själv att prata nu om dataskydd i stället, för annars kommer du att placeras i det facket igen. Och det skulle avleda uppmärksamheten från dataskyddet.”

13 Dessa båda nationella domstolar ansåg, i huvudsak, att den behandling av personuppgifter som Meta Platforms Ireland hade gjort var nödvändig för att fullgöra avtalet i den mening som avses i artikel 6.1 b i dataskyddsförordningen.

14 Jag vill erinra om att den hänskjutande domstolen, i det nationella målet, redan har framställt den begäran om förhandsavgörande till EU-domstolen som var föremål för domen av den 25 januari 2018, Schrems ( C‑498/16, EU:C:2018:37).

15 C‑252/21, EU:C:2023:537 (nedan kallad domen Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk)). Målet om förhandsavgörande vilandeförklarades i avvaktan på den domen. Som svar på EU-domstolens fråga har den hänskjutande domstolen angett att nämnda dom gav svar på den första och den tredje tolkningsfrågan och att den vidhåller sin begäran när det gäller den andra och den fjärde tolkningsfrågan.

16 Se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 96 och där angiven rättspraxis).

17 Se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 98 och där angiven rättspraxis).

18 Så är bland annat fallet när de inte är adekvata, eller inte längre är relevanta eller är för omfattande med hänsyn till dessa ändamål och den tid som gått (se dom av den 24 september 2019, GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, EU:C:2019:773, punkt 74 och där angiven rättspraxis).

19 Se den rättspraxis som anges i fotnot 17 i förevarande förslag till avgörande.

20 Utan att det påverkar det faktum att enligt artikel 8 i dataskyddsförordningen får barn under 16 år inte själva ge sitt samtycke enligt artikel 6.1 a i den förordningen vad gäller erbjudande av informationssamhällets tjänster.

21 Jag vill härvidlag erinra om att EU-domstolen, vad gäller begreppet samtycke i den mening som avses i artikel 6.1 första stycket a och artikel 9.2 a i dataskyddsförordningen, bland annat har påpekat att en användare inte rimligen kan förvänta sig att andra uppgifter än de uppgifter som rör deras aktivitet på det sociala nätverket (i förevarande fall Facebook) behandlas av nätverkets operatör och att det kan lämnas ett separat samtycke för behandlingen av sistnämnda uppgifter, å ena sidan, och för behandlingen av andra uppgifter än dessa, å andra sidan (domen Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk), punkt 151). På samma sätt uttryckte jag, i mitt förslag till avgörande i det målet, tvivel om huruvida det kan vara nödvändigt att samla in och använda personuppgifter utanför det sociala nätverket Facebook för att tillhandahålla de tjänster som erbjuds inom ramen för det nätverket, så att det samtycke som en användare inledningsvis lämnar för att kunna gå med i nätverket (det vill säga skapa en Facebook-profil) på ett giltigt sätt kan omfatta behandling av användarens personuppgifter utanför nätverket (förslag till avgörande i målet Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk), C‑252/21, EU:C:2022:704, punkt 56 och fotnot 81).

22 När det till exempel gäller den personuppgiftsansvariges berättigade intressen som rättslig grund för behandling, anges i skäl 47 i dataskyddsförordningen att ett sådant berättigat intresse kräver en noggrann bedömning, som inbegriper huruvida den registrerade vid tidpunkten för inhämtandet av personuppgifter och i samband med detta rimligen kan förvänta sig att en uppgiftsbehandling för detta ändamål kan komma att ske.

23 Se fotnot 6 i förevarande förslag till avgörande.

24 EU-domstolen har nämligen, i huvudsak, slagit fast att, oavsett om den behandling av personuppgifter som föreskrivs i en sådan bestämmelse nämns i avtalet, är den avgörande faktorn vid tillämpningen av den laglighetsgrund som avses i nämnda bestämmelse att den aktuella behandlingen är absolut nödvändig för det korrekta fullgörandet av det avtal som ingåtts mellan den personuppgiftsansvarige och den registrerade och, följaktligen, att det inte finns några andra praktiska lösningar som är mindre ingripande (se, för ett liknande resonemang, domen Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk), punkt 99).

25 Se fotnot 6 i detta förslag till avgörande. Såsom framgick vid förhandlingen förefaller Meta Platforms Ireland, i förevarande fall, i det nationella målet ha hänvisat till paneldiskussionen för att vederlägga klagandens argument avseende den påstådda skadan till följd av det psykiska lidande som de personanpassade annonserna orsakade honom och detta för att visa att han inte hade några svårigheter att offentligt tillkännage sin homosexualitet. Den hänskjutande domstolen har således inte ställt frågan om tolkningen av artikel 9.2 i dataskyddsförordningen för att tillämpa det undantag som föreskrivs i den bestämmelsen, utan i ett helt annat sammanhang, nämligen för att pröva den skada som klaganden har åberopat mot bakgrund av Meta Platforms Irelands svaromål.

26 Enligt artikel 5.2 i dataskyddsförordningen ankommer det nämligen på den personuppgiftsansvarige att bevisa att personuppgifterna behandlas i enlighet med den förordningen.

27 Se, analogt, dom av den 4 maj 2023, Glavna direktsia Pozharna bezopasnost i zashtita na naselenieto (Nattarbete) ( C‑529/21C‑536/21 och C‑732/21C‑738/21, EU:C:2023:374, punkt 57).

28 Se, för ett liknande resonemang, dom av den 13 juli 2023, Ferrovienord ( C‑363/21 och C‑364/21, EU:C:2023:563, punkterna 52–55 och där angiven rättspraxis).

29 Såsom anges i skäl 51 i samma förordning bör personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för dessa rättigheter och friheter.

30 C‑252/21, EU:C:2022:704, punkt 42.

31 Se även, för ett liknande resonemang, domen Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk), punkt 76 och där angiven rättspraxis).

32 Jag vill i detta hänseende påpeka att användningen av verbet offentliggöra i uttrycket på ett tydligt sätt har offentliggjorts tyder på ett aktivt och medvetet agerande från den registrerades sida. Enligt Europeiska dataskyddsstyrelsen (EDPB) innebär ordet tydligt att tröskeln måste vara hög för att det aktuella undantaget ska kunna åberopas. EDPB har vidare noterat att förekomsten av en enda faktor kanske inte alltid är tillräcklig för att fastställa att uppgifterna har offentliggjorts av den registrerade på ett tydligt sätt. I praktiken kan en kombination av faktorer behöva övervägas för att den personuppgiftsansvarige ska kunna visa att den registrerade tydligt har gett uttryck för sin avsikt att offentliggöra uppgifterna och att en bedömning från fall till fall är nödvändig (EDPB, riktlinjer 8/2020, punkt 127). Som exempel nämner EDPB faktorer som standardinställningarna på plattformen för sociala medier, karaktären hos plattformen för sociala medier, hur tillgänglig den sida där de känsliga uppgifterna offentliggörs är, hur synlig den information är genom vilken den registrerade informeras om den offentliga karaktären hos den information som denne offentliggör och om den registrerade själv har offentliggjort de känsliga uppgifterna, eller om uppgifterna i stället har offentliggjorts av en tredje part eller härletts. Se, även, Georgieva, L. och Kuner, C., Article 9. Processing of special categories of personal data, The EU General Data Protection Regulation (GDPR), Oxford, 2020, s. 378, där följande anges: [i]n this context, making public should be construed to include publishing the data in the mass media, putting them on online social network platforms or similar actions. However, the data must have been manifestly made public, which requires an affirmative act by the data subject, and that he or she realised that this would be the result (I detta sammanhang bör offentliggörande tolkas så, att det innefattar publicering av uppgifter i massmedier, publicering av dem på sociala nätverksplattformar på internet eller liknande åtgärder. Uppgifterna måste dock ha offentliggjorts på ett tydligt sätt, vilket kräver en bekräftande handling från den registrerades sida och att han eller hon har insett att detta skulle bli resultatet.)

33 Se fotnot 11 i förevarande förslag till avgörande.

34 Se fotnot 13 i förevarande förslag till avgörande.

35 Punkterna 84 och 85 i denna dom.

36 Se, även, mitt förslag till avgörande i målet Meta Platforms m.fl. (Allmänna användarvillkor för ett socialt nätverk) ( C‑252/21, EU:C:2022:704, punkt 46).

37 Jag vill erinra om att ifrågavarande bestämmelse är identisk med den i artikel 8.2 e i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) och att ingen förklaring gjordes av den bestämmelsen i samband med införandet av den inom ramen för Gemensam ståndpunkt (EG) nr 1/95 antagen av rådet den 20 februari 1995 inför antagandet av Europaparlamentets och rådets direktiv 95/.../EG om skyddet för enskilda personer med avseende på behandlingen av personuppgifter och om det fria flödet av sådana uppgifter (EGT C 93, 1995, s. 1).

38 Se fotnot 11 i förevarande förslag till avgörande.

39 Såsom klaganden själv har medgett i sina skriftliga yttranden kunde hans uttalande till exempel återges på ett helt legitimt sätt i en tidningsartikel om det aktuella evenemanget.

40 Jag vill härvidlag erinra om att klaganden hade en ledande roll i en lång och betydelsefull rättegång mot Meta Platforms Ireland (tidigare Facebook) angående tillämpningen av dataskyddsförordningen och att det därför är rimligt att anta att han var fullt medveten om konsekvenserna av sina uttalanden mot bakgrund av den förordningen. Med hänsyn därtill erinrar jag om skillnaden mellan dels en vilja att tillåta behandling av känsliga uppgifter vilken utgör ett samtycke till behandling av dessa uppgifter i den mening som avses i artikel 9.2 a i dataskyddsförordningen, dels en avsikt eller fullständig medvetenhet om att på ett tydligt sätt offentliggöra nämnda uppgifter, vilket innebär att förbudet mot behandling av de uppgifterna enligt artikel 9.1 i den förordningen inte är tillämpligt, men som inte är tillräcklig som ett godkännande för behandling av de uppgifterna, såsom jag kommer att förklara i punkterna 45–47 i förevarande förslag till avgörande.

41 En person kan till exempel diskrimineras på grund av sin politiska åskådning eller sexuella läggning eller dessutom få utstå orättvisa ekonomiska konsekvenser på grund av sitt hälsotillstånd (bland annat i fråga om sjukförsäkring eller andra liknande situationer).

42 Såsom det erinras om i skäl 51 i dataskyddsförordningen bör nämligen de allmänna principerna och andra bestämmelser i den förordningen tillämpas, utöver de särskilda kraven för behandling av personuppgifter, särskilt när det gäller villkoren för laglig behandling. Enligt artikel 22.4 i nämnda förordning får beslut som enbart grundas på automatisk behandling inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 9.1 i den förordningen, såvida inte artikel 9.2 a eller g gäller och lämpliga åtgärder som ska skydda den registrerades berättigade intressen har vidtagits.

43 EU-domstolen uttalade sig nyligen på samma sätt när det gäller tolkningen av artikel 9.2 h i dataskyddsförordningen, jämförd med artiklarna 5.1 a och 6.1 i den förordningen, och påpekade att en behandling av uppgifter om hälsa med stöd av den förstnämnda bestämmelsen, för att vara laglig, måste uppfylla både de krav som följer av denna bestämmelse och de skyldigheter som följer av de två sistnämnda bestämmelserna samt, i synnerhet, uppfylla åtminstone ett av de laglighetsvillkor som anges i artikel 6.1 i nämnda förordning (dom av den 21 december 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, punkt 78).

44 Särskilt eftersom den hänskjutande domstolen i det nationella målet vill få klarhet i huruvida det uttalande som gjordes vid den aktuella paneldiskussionen möjliggör behandling av andra personuppgifter, i synnerhet sådana som har samlats in från tredjepartsapplikationer.