EU-domstolen: Konsumentorganisation får väcka GDPR-talan

Inledning

EU-domstolen har i mål C-757/22 konstaterat att en personuppgiftsansvarigs åsidosättande av sina skyldigheter enligt artikel 12.1 GDPR samt artikel 13.1 c) och e) GDPR kan utgöra grund för att väcka grupptalan mot den personuppgiftsansvarige enligt artikel 80.2 GDPR, då det utgör kränkning av rättigheter ”som en följd av behandlingen”.

Målet har tidigare hänskjutits till EU-domstolen för klargörande. Information kring tidigare avgörande går att läsa om i tidigare inlägg, som du kan hitta här.

Omständigheterna i målet

Målet berör Meta Platforms Ireland Limited (”Meta”) som tillhandahåller Facebooks tjänster inom unionen. En av dessa tjänster är ett appcenter där användare erbjuds gratis spel av tredje man. Användarna informerades om att det vid användning av vissa applikationer fanns möjlighet för applikationerna att samla in personuppgifter samt att godkännande lämnades till att publicera vissa uppgifter under användarnas profil. Vidare informerades användarna om att användandet av dessa applikationer innebar att allmänna villkor och en policy gällande dataskydd godtogs.

En federal sammanslutning av konsumentcentra och konsumentföreningar i Tyskland (”Bundesverband”) ansåg att informationen som delgavs i spelapplikationerna var otillbörlig då det saknades giltigt samtycke från användaren enligt bestämmelserna kring skydd om personuppgifter. Bundesverband väckte talan, utan mandat från en registrerad och utan en specificerad överträdelse, och yrkade att Meta skulle förbjudas att tillhandahålla denna typ av spelapplikationer i appcentret.

De tyska domstolarna hade att bedöma huruvida förfarandet kunde anses vara en kränkning av den registrerades rättigheter ”som en följd av behandlingen”, enligt artikel 80.2 GDPR, när en konsumentskyddsförening påtalar att den registrerades rättigheter har kränkts på grund av att informationsskyldigheten i artikel 12.1 jämförd med 13.1 c) och e) GDPR inte uppfyllts. Artikel 12.1 och artikel 13.1 ställer krav på att den personuppgiftsansvarige på ett klart och tydligt, koncist och begripligt sätt ska informera den registrerade bland annat om mottagare av uppgifterna samt vad ändamålet med behandlingen av uppgifterna är. Tolkningsfrågan ställdes till EU-domstolen.

Utredningen

EU-domstolen konstaterade att artikel 80.2 GDPR ger möjlighet att väcka grupptalan vid åsidosättande av en personuppgiftsansvarigs informationsskyldighet. För att denna möjlighet ska föreligga krävs att rättigheterna har kränkts ”som en följd av behandlingen”, vilket är uppfyllt när skyldigheten enligt artikel 12.1 samt artikel 13.1 c) och e) GDPR har åsidosatts.

EU-domstolen konstaterade vidare att all behandling ska ske enligt de principer som framkommer i artikel 5 GDPR. Enligt artikel 5.1 a) GDPR ska behandlingen uppfylla krav på öppenhet, laglighet och korrekthet. Enligt artikel 5.1 b) ska uppgifter som samlas in för ett särskilt angivet och berättigat ändamål inte senare behandlas på ett sätt som inte är förenligt med dessa ändamål. Om behandlingen strider mot informationsskyldigheten enligt artikel 12 och 13 GDPR, strider den även mot artikel 5.

Med andra ord har en registrerads rättigheter kränkts ”som en följd av behandlingen” enligt artikel 80.2 GDPR då talan grundas på att den personuppgiftsansvarige har åsidosatt sina skyldigheter enligt artikel 12.1 samt artikel 13.1 c) och e) GDPR. Informationen ska lämnas senast vid den tidpunkt som uppgifterna insamlas. Det räcker med att de registrerade är identifierbara, det är inte ett krav att en registrerad redan är identifierad.

Konsekvenser av EU-domstolens beslut

EU-domstolen har nu klargjort att organisationer kan väcka grupptalan vid den personuppgiftsansvariges åsidosättande av dess skyldigheter enligt artikel 12 och artikel 13 GDPR. Detta gäller utan att något faktiskt intrång har påvisats och även om en enskild person inte har givit sitt samtycke till en organisation att föra talan å dennes vägnar. Det krävs inte heller att det finns identifierade personer som kan påverkas av överträdelsen. Detta visar på vikten av att formulera klar och tydlig information till mottagaren.

Sedan den 1 januari 2024 har organisationer i Sverige möjlighet att ansöka om att bli godkända som enheter för att väcka grupptalan till skydd för konsumenters kollektiva intressen. Detta regleras i lag (2023:730) om grupptalan för skydd av konsumenters kollektiva intressen och det är Kammarkollegiet som ansvarar för att pröva ansökningarna. Europeiska kommissionen för ett register över de enheter som godkänts av medlemsstaterna. Hittills har Konsumentverket/Konsumentombudsmannen blivit godkända i Sverige.

Denna artikel är skriven av Thesis Trainee Klara Thyrén.