MORE sammanfattar de uppdaterade riktlinjerna för behandling av personuppgifter enligt Artikel 6(1)(b) GDPR i samband med tillhandahållandet av onlinetjänster till registrerade

IN ENGLISH BELOW

GDPR kräver att det finns en rättslig grund för behandling av personuppgifter. European Data Protection Board (EDPB) har antagit nya riktlinjer[1] för behandling av personuppgifter enligt Artikel 6(1)(b) GDPR i samband med tillhandahållandet av onlinetjänster till den registrerade.

I Artikel 6(1)(b) föreskrivs att behandlingen är laglig om ”behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Teknologiska framsteg har gjort det möjligt för personuppgiftsansvarig att enkelt samla in och behandla personuppgifter, ibland även utan att personuppgiftsansvarig har gjort en fullständig undersökning av den rättsliga grunden för behandlingen. Parallellt med detta har onlinetjänster blivit av central betydelse i det moderna samhället. Dataskyddslagstiftning som styr hur onlinetjänster interagerar med sina användare har därför blivit viktigare. För att kunna förlita sig på Artikel 6(1)(b) som rättslig grund är det av vikt att ett av två villkor är uppfyllda:

  • Behandlingen måste vara objektivt nödvändig för att kunna fullgöra ett avtal med den registrerade, eller

  • Behandlingen måste vara objektivt nödvändig för att kunna vidta avtalsåtgärder på begäran av den registrerade.

Nödvändigheten av behandlingen är den centrala förutsättningen i Artikel 6(1)(b). Ändamålet med behandlingen måste identifieras, tydligt specificeras och kommuniceras till den registrerade. Vad som är nödvändigt beror på det specifika målet, ändamålet eller syftet med onlinetjänsten. Behandlingen måste vara objektivt nödvändig för ett ändamål som är integrerat med leveransen av den avtalade tjänsten till den registrerade. Personuppgiftsansvarig måste kunna motivera nödvändigheten av behandlingen genom att hänvisa till det grundläggande och förstådda ändamålet med avtalet.

Till exempel är kreditkortsinformation nödvändigt att behandla om en onlinetjänstleverantör ska kunna ta betalt av en kund. Det är däremot troligen inte nödvändigt att behandla uppgifter om kundens hemadress om en leverans av en vara inte ska ske till hemadressen.

Innan ett avtal ingås kan en preliminär behandling vara nödvändig. Artikel 6(1)(b) GDPR utgör en rättslig grund för en sådan preliminär behandling när det är nödvändigt för att främja det faktiska ingåendet av avtalet. Onlinetjänstleverantören kan till exempel förlita sig på denna rättsliga grund för att behandla kontaktuppgifter till en potentiell kund (för att kunna svara kunden), om kunden kontaktat onlinetjänstleverantören med en fråga angående en tjänst eller vara.

MORE har biträtt klienter i arbetet med att bedöma och motivera den rättsliga grunden för behandling av personuppgifter. Kontakta oss via telefon (08 20 06 10) eller via email (martin.orehag@morelegal.se) om du vill ha mer information eller hjälp i frågor som rör GDPR.

 


[1] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

———————

Summary by MORE of updated guidelines on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects

Data processing according to GDPR requires that the controller has a legal basis for data processing. The European Data Protection Board (EDPB) has adopted a new version of guidelines[1] on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

Article 6(1)(b) statute that the processing is lawful if the “processing is necessary for the performance of a contract to which the data subject is a party or in order to take steps at the request of the data subject prior to entering into a contract.

Technological advancements have made it possible for controllers to easily collect and process personal data, and sometimes the controller might not have made a full investigation of the legal basis. Alongside with that, online services have become of central importance in modern society. Data protection regulations that govern important aspects of how online services interact with their users have therefore become of great importance. In order to be able to rely on article 6(1)(b) as the legal basis, it is of importance that either of two conditions are met:

  • The processing must be objectively necessary for the performance of the contract with a data subject, or

  • The processing must be objectively necessary in order to take pre-contractual steps at the request of a data subject.

The necessity of processing is the central prerequisite in Article 6(1)(b). The purpose of the processing must be identified, clearly specified and communicated to the data subject. What is necessary depends on the particular aim, purpose or objective of the online service. The processing must be objectively necessary for a purpose that is integral to the delivery of the contractual service to the data subject. The controller should be able to justify the necessity of its processing by reference to the fundamental and mutually understood contractual purpose.

For example, credit card information is necessary if an online service provider shall be able to charge a customer for its services. But it is most likely not necessary to process information about the customers home address if delivery of an item will not be made to the home address.

Before entering a contract, preliminary processing may be necessary. Article 6(1)(b) GDPR provides a legal basis for such preliminary processing when it is necessary in order to facilitate the actual entering into that contract. The online service provider can, for example, rely on this legal basis to process contact information to a potential customer (in order to answer the customer), if the customer contacts the online service provider regarding a question of a service or item.

MORE has assisted clients with determining the legal basis for data processing. Contact us via phone (+46 8 20 06 10) or via email (info@morelegal.se) if you want further information or assistance in GDPR questions.


[1] Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects.

Martin Orehag