”Om fysiska och juridiska personer i en digitaliserad värld – när gäller egentligen GDPR?”
ANALYS – av Mattias Grundström, förbundsjurist på bransch- och intresseorganisationen SWEDMA
Det råder GDPR-feber i stora delar av det svenska samhället, inte minst i näringslivet. Överallt ser vi olika seminarier och utbildningar och det verkar som om de fyra bokstäverna är en magnet utan dess like.[1]
Branschföreningen SWEDMA[2] får mängder av frågor från medlemmar, advokatbyråer och andra intressenter.
En av de första frågorna för oss att ta ställning till vad gäller GDPR är när förordningen ska tillämpas. Det vanliga svaret, inklusive det från Datainspektionen, är att den gäller ”för alla som behandlar personuppgifter” eller ”alltid”.
Vi är för vår del inte övertygade om att det stämmer, tvärtom har vi kommit till en annan slutsats. Vi menar nämligen att GDPR inte tillämpas vad avser juridiska personer, inklusive kontaktuppgifter till anställda i deras yrkesroll (befattningshavare).
Till att börja med så gäller ju GDPR enligt sin titel ”skydd för fysiska personer”. Redan det är ju ett starkt skäl för att tillämpningen begränsas till just fysiska personer och att juridiska personer således inte omfattas av förordningen.
Det motargument som framförs är att GDPR täcker all behandling av personuppgifter eller att befattningshavarna ju är ”fysiska personer” och därmed alltid skulle omfattas av GDPR:s tillämpningsområde. Vi börjar med att titta på vad som faktiskt står i GDPR.
Ordalydelsen i GDPR och förhållandet till dataskyddsdirektivet[3]
Till att börja med så anges i skälen[4] (ingressen) till GDPR att denna förordning inte omfattar ”behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter”.
Skälen används som bekant som tolkningshjälp samt för att utveckla det som man inte vill ”tynga” övrig textmassa med.
Frågan blir då om det finns argument med tillräcklig tyngd för att leda oss till annan slutsats än det som faktiskt står där; att behandling av kontaktuppgifter (till exempel namn, telefonnummer eller e-postadresser) till juridiska personer inte omfattas av GDPR.
I ingressen till GDPR framgår även[5] att ”målen och principerna för [dataskyddsdirektivet] fortfarande är giltiga” men att det finns ett behov av enhetlighet. Därmed finns all anledning att titta på vilket tillämpningsområde som direktivet har haft. Ska GDPR sedan ges ett vidare, eller snävare, tillämpningsområde än direktivet måste det rimligen framgå i till exempel ingressen till förordningen.
Dataskyddsdirektivet antogs tämligen omgående efter Sveriges medlemskap i EU och den utredning[6] som tillsattes för att möjliggöra implementeringen i svensk rätt redovisar förhållandet mellan gemenskapsrätten och nationell rätt.
I avsnitt 3.2 (tillämpningsområdet) framgår att uppgifter om juridiska personer inte omfattas av direktivet.[7]
Vidare så uttalades vid implementeringen av teledataskyddsdirektivet[8] att bestämmelserna i det direktivet, till skillnad från de i dataskyddsdirektivet, även är avsedda att skydda berättigade intressen hos abonnenter som är juridiska personer[9]. Det torde således inte råda någon större tvekan om hur den svenska tolkningen varit i fråga om dataskyddsdirektivets tillämpningsområde.
Ingressen till GDPR ger, enligt vår mening, inte stöd för att GDPR ska ges ett vidare, eller för all del snävare, tillämpningsområde än direktivets. Det står, som vi redan sagt, att personuppgifter rörande juridiska personer inte omfattas av förordningen.
Men hur är det då med de två motargumenten? Det första är att GDPR ska avse all behandling av personuppgifter.
Det kan till att börja med noteras att direktivet enligt artikel 1 ska ”skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter”.
Motsvarande bestämmelse[10] i GDPR lyder:
”I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandlingen av personuppgifter och om det fria flödet av personuppgifter. Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter”.
Artikel 3 i direktivet anger vidare att:
”Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”.
Därefter görs i artikel 3 p. 2 vissa undantag.
I artikel 2 i GDPR står att läsa att ”Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”.
Därefter anges i artikel 2 p. 2–4 vissa undantag.
Det kan vidare noteras att definitionerna av personuppgifter respektive behandling i de två regelverken i allt väsentligt är de samma.
Det kan alltså konstateras att dataskyddsdirektivet, trots dessa skrivningar, inte befunnits tillämpligt avseende juridiska personer.
Då går det knappast att lägga de i allt väsentligt identiska skrivningarna i GDPR till grund för att förordningen ska ges ett vidare tillämpningsområde. Rimligen blir slutsatsen istället att om direktivet, med dessa skrivningar, inte omfattar behandling av uppgifter om juridiska personer så gör inte heller GDPR det.
Att såväl direktiv som förordning täcker ”all” behandling inom ramen för sitt tillämpningsområde är en annan sak, det går inte att ta till intäkt för att utöka det materiella tillämpningsområdet i strid med ordalydelsen i skälen till de två rättsakterna.
Vi övergår till att pröva argumentet att befattningshavare ju är människor (fysiska personer) och att de därmed omfattas av tillämpningsområdet för GDPR.
Begreppet fysiska personer
En intressant utgångspunkt är ordalydelsen i, och tillämpningen av, marknadsföringslagens regler om obeställd e-post m.m.[11] Bestämmelserna har sin grund i såväl teledataskyddsdirektivet som i direktivet om integritet och elektronisk kommunikation[12].
Föreskrifterna i fråga är, till skillnad från de flesta övriga i lagen, inte motiverade av konsumentskydd utan (i likhet med GDPR) av skydd för den personliga integriteten och är ”avsedda att precisera och komplettera dataskyddsdirektivet”.[13]
I teledataskyddsdirektivet görs skillnad mellan fysiska och juridiska personer och det är enligt art. 12 p. 3 endast fysiska personer som skyddas av förbudet mot ”användningen av automatiska uppringningssystem utan mänsklig medverkan”.
I skälen[14] till direktivet om integritet och elektronisk kommunikation framgår att ”Detta direktiv kompletterar direktiv 95/46/EG och syftar till att skydda såväl fysiska personers grundläggande rättigheter, särskilt deras rätt till integritet, som juridiska personers berättigade intressen” men att ”Det här direktivet medför inte någon skyldighet för medlemsstaterna att utvidga tillämpningsområdet för direktiv 95/46/EG till att omfatta skydd av juridiska personers berättigade intressen, vilket garanteras inom ramen för tillämplig gemenskapslagstiftning och nationell lagstiftning”.
Enligt direktivets artikel 13 p. 5 är det även här endast fysiska personer som skyddas av förbudet mot obeställd e-postreklam m.m.
Marknadsföringslagens förbud mot obeställd e-postreklam m.m. avser enligt såväl sin ordalydelse som skälen[15] också mycket riktigt endast fysiska personer.
Däremot är det tillåtet med obeställd elektronisk reklam i rena B2B-relationer, till exempel automatiska utskick med e-post eller SMS till befattningshavare så länge innehållet är relevant för denne i arbetet. Det gäller även e-post direkt till befattningshavare och detta alltså trots att mottagaren ”ju är en fysisk person”.
Att ”fysisk person” skulle ges olika innebörd i tre så närstående regelverk är knappast rimligt.
Ändamålsskäl
Finns det då några ändamålsskäl som talar för att GDPR trots allt omfattar, eller borde omfatta, behandling av uppgifter om juridiska personer?
Redan i ”portalparagrafen” till GDPR[16] hänvisas till artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna.
Här nämns skyddet av personuppgifter tillsammans med bland annat Rätt till frihet och säkerhet, Respekt för privatlivet och familjelivet samt Rätt att ingå äktenskap och rätt att bilda familj.[17] Det är, menar vi, tämligen självklart att kontaktuppgifter till en juridisk person inte kan jämföras med de mänskliga rättigheter som i övrigt räknas upp i stadgan.
Befattningshavares e-postadress kan heller knappast anses lika skyddsvärd som till exempel enskilds privata e-postadress.
Ändamålen med GDPR är tydliga, förordningen ska skydda enskilda personers integritet inklusive bland annat deras rätt till privatliv. Det torde även vara svårt att motivera att juridiska personer omfattas med dessas rätt till skydd av privatlivet.
Vi menar alltså att det heller inte framkommer ändamålsskäl för att GDPR borde omfatta behandling av uppgifter om juridiska personer, inklusive kontaktuppgifter till företaget ifråga.
Vi menar att ovanstående ger starkt stöd för slutsatsen att personuppgifter rörande juridiska personer (inklusive kontaktuppgifter) inte omfattas av GDPR om de behandlas för dessa syften. Däremot kan personuppgifter rörande kontaktuppgifter till juridiska personer, i likhet med hur bestämmelserna om obeställd e-postreklam kommit att tillämpas, komma att omfattas om de behandlats med andra syften[18].
Vi kommer att uppmärksamma Datainspektionen på ovanstående och vår förhoppning är att inspektionen delar vår slutsats.
Bland de många överdrifter och ibland rena felaktigheter som sprids för att både skrämma och hetsa till investeringar och köp så vill vi som branschförening ta ansvar genom att vi bidrar till att minska hetsen och visar på vikten av kritiskt tänkande och sunt förnuft.
Avslutningsvis kan man ställa frågan om detta är viktigt? En invändning är att man ju ändå kan gå på intresseavvägning.
Kortsiktigt kan det mycket väl vara så men om det visar sig fel eller om mottagaren begär att behandlingen upphör? Ja, då får vår slutsats sannolikt stor betydelse för våra medlemmar och deras möjligheter att arbeta med prospekts eller kunder i sina CRM-system eller i sin marknadsföring. Och för övrigt för alla dem som nu kanske kan, eller vågar, släppa tanken på hur CRM-systemet för affärskunder ska GDPR-säkras.
SWEDMA är en bransch- och intresseorganisation för de företag och organisationer som arbetar med direkt och datadriven marknadsföring.
[1] Europaparlamentets och rådets Förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning)
[2] SWEDMA är bransch- och intresseorganisationen för de företag och organisationer som arbetar med direkt och datadriven marknadsföring.
[3] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.
[4] Punkt 14
[5] Punkt 9
[6] Datalagskommittén lämnade betänkandet (SOU 1997:39) Integritet – Offentlighet – Informationsteknik
[7] SOU 1997:39 s. 113 med där gjorda hänvisningar
[8] Europaparlamentets och Rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet.
[9] Prop. 1999/2000:40 s. 16
[10] Artikel 1
[11] 19–20 §§ marknadsföringslagen (2008:486).
[12] Europaparlamentets och Rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation)
[13] Prop. 1999/2000:40 s. 16
[14] Punkt 12
[15] Jfr Prop. 2003/04:43 s. 16
[16] Ingressen punkt 1
[17] Artiklarna 6,7 och 9.
