Spiken i kistan för ifrågasatt affärsmodell?

Individanpassad annonsering baserad på en omfattande insamling av användardata har varit en populär affärsmodell på internet under de senast femton åren. Användarna har fått tillgång till innehållstjänster och sociala medier utan att direkt behöva betala för det. Uppgift om deras användning av tjänsterna har samlats in och använts för riktad annonsering. I många fall har insamling även skett på andra webbplatser och appar som samverkar med tjänsten.

Affärsmodellen är dock alltmer ifrågasatt. Företagen som använder modellen får en mycket ingående bild av användarna, t.ex. deras beteende, kontakter och preferenser. Sådan information kan användas för riktad ekonomisk eller politisk påverkan på ett sätt som är svårt för utomstående att granska. Vissa kommentatorer har därför valt att beskriva modellen som en övervakningskapitalism. Risken finns också att informationen hamnar i orätta händer. Snowdens avslöjanden visade t.ex. att säkerhetsmyndigheter i olika länder hade ett stort intresse av att komma åt information i privata tjänster.

Det har länge stått klart att den omfattande och inte sällan integritetskänsliga hanteringen av personuppgifter kan ifrågasättas dataskyddsrättsligt. När dataskyddsförordningen (GDPR) antogs var vi många som trodde att grundläggande förändringar skulle bli nödvändiga, men många stora aktörer har varit duktiga på att utnyttja de rättsliga gråzoner som fortfarande har funnits maximalt, något som har varit möjligt eftersom tillsynsbeslut och prejudicerande avgörande från EU-domstolen har dröjt. Rättsläget har emellertid steg för steg tydliggjorts, samtidigt som tillsynsbeslut med höga sanktionsavgifter har börjat dyka upp.

I centrum för den rättsliga bedömningen står frågan om rättslig grund för den aktuella behandlingen enligt artikel 6. Genom EU-domstolens praxis har de rättsliga och praktiska förutsättningarna för att tillämpa de tre rättsliga grunderna fullgörande av avtal, intresseavvägning/legitimt intresse och samtycke tydliggjorts, senast genom den principiellt viktiga domen den 4 juli 2023 i mål C-252/21, Meta Platforms m.fl.

När det gäller möjligheten att behandla personuppgifter utan samtycke slår domstolen fast att de rättsliga grunderna måste tolkas restriktivt (Meta Platforms m.fl., p. 93).

För att en behandling ska anses vara nödvändig för att fullgöra ett avtal krävs enligt domstolen att behandlingen måste vara ”objektivt oundgänglig för att uppnå ett ändamål som utgör en väsentlig beståndsdel av den tjänst som är avsedd för den registrerade”. Den personuppgiftsansvarige måste således kunna visa på vilket sätt avtalets huvudändamål inte skulle kunna uppnås utan den aktuella behandlingen (p. 99). Domstolens bedömning ligger i linje med Europeiska dataskyddsstyrelsens (EDPB) riktlinjer och myndighetens beslut i ärenden som rör gränsöverskridande behandling. Enligt EDPB innebär det förhållandet att leverantören i användarvillkoren har ålagt sig själv att utföra viss behandling av den registrerades personuppgifter, t.ex. för marknadsföringsändamål, inte per automatik innebär att avtalsundantaget blir tillämplig. Eftersom behandlingen av personuppgifter för marknadsföringsändamål sällan krävs för att en innehålls- eller kommunikationstjänst ska fungera blir denna rättsliga grund i praktiken svår att använda.

Dataskyddsmyndigheterna, t.ex. EDPB och Artikel 29-gruppen, har vidare sedan lång tid gjort bedömningen att omfattande och fördjupande behandling personuppgifter för marknadsföringsändamål normalt inte heller kan ske med stöd av intresseavvägningen/legitimt intresse. I Meta Platforms m.fl. har EU-domstolen bekräftat denna tolkning (p. 105–118). Enligt domstolen kan användaren av ett digitalt socialt nätverk – trots att tjänsten är avgiftsfri – inte rimligen förvänta sig en omfattande behandling för att möjliggöra individanpassad reklam. Det gäller särskilt när behandlingen är synnerligen omfattande eftersom användaren då kan få känslan att hans eller hennes privatliv står under ständig övervakning, en formulering som känns igen från EU-domstolens praxis som rör datalagring. Bland annat av dessa skäl kommer intresseavvägningen typiskt sett att falla ut till de registrerades fördel.

Domstolens redovisade ställningstaganden gör att samtycke numer framstår som den enda realistiska rättsliga grunden för de flesta tillämpningar av den aktuella affärsmodellen. Men inte heller samtycke innebär någon en enkel väg framåt. I dataskyddsförordningen har den strikta definitionen av samtycke, som fanns redan i dataskyddsdirektivet, kompletterats med ytterligare krav i artikel 7, t.ex. beträffande vilka omständigheter som ska beaktas vid bedömningen av om ett samtycke har lämnats frivilligt.

I Meta Platforms m.fl. gällde prövningen Facebook, som ansågs ha en dominerande ställning på marknaden för sociala nätverk. EU-domstolen slog fast att den omständigheten inte i sig utesluter att användarna kan lämna ett frivilligt samtycke till personuppgiftbehandling när de ansluter sig till tjänsten, men att det var en viktig omständighet som skulle beaktas till tillämningen av de olika rekvisiten i samtyckesdefinitionen. Domstolen slog fast att användarna måste ha möjlighet att vägra att lämna sitt samtycke till bestämda åtgärder för behandling av personuppgifter, t.ex. insamling av uppgifter om användarens beteende utanför Facebook, som inte är nödvändiga för fullgörandet av avtalet, utan att de är skyldiga att helt avstå från att använda Facebook. I praktiken innebär det enligt EU-domstolen att ”användarna ska erbjudas, i förekommande mot lämplig ersättning, ett likvärdigt alternativ” utan behandling för marknadsföringsändamål.

Även i övrigt är kraven för att ett giltigt samtycke ska föreligga stränga. Det är ingen överdrift att påstå att majoriteten av de dialogrutor som vi idag ser i samband med användning av tjänster på nätet inte lever upp till dessa krav. Om användare ges genuint fria val att välja om de vill tillåta spårning och profilering av sina aktiviteter på nätet visar undersökningar att en majoritet väljer att avstå.

En möjlig lösning för att säkerställa att kravet på frivillighet uppfylls är som EU-domstolen antyder i sin dom att också erbjuda den aktuella tjänsten som en betalversion utan insamling av personuppgifter för marknadsföringsändamål. En viktig fråga är om leverantören i en sådan situation kan sätta vilket pris som helst på tjänsten. Domstolen talar om en ”lämplig” ersättning, vilket skulle kunna antyda att priset är en faktor som ska beaktas vid frivillighetsbedömningen.

Det är kanske för tidigt att tala om spiken i kistan för den här diskuterade affärsmodellen, men mycket tyder på att den har passerat sin höjdpunkt och nu är förenad med större risker.

Publicerad i Lov&Data nr. 155 September 2023, s. 2-3.