EU-domstolen har i mål C-252/21, Meta Platforms m.fl., klargjort att en nationell konkurrensmyndighet får, i samband med utredningen av ett missbruk av dominerande ställning, konstatera att dataskyddsförordningen (GDPR) har åsidosatts. Den nationella konkurrensmyndigheten är dock enligt EU-domstolen bunden av principen om lojalt samarbete och måste därför beakta beslut och utredningar från den myndighet som är behörig enligt GDPR.
Av domen framgår att Meta Platforms Ireland har hand om det utbud som det sociala nätverket Facebook erbjuder i EU. När Facebooks användare går med i nätverket godkänner de detta företags användarvillkor och därigenom dess integritets- och cookiepolicyer. Enligt dessa policyer samlar Meta Platforms Ireland in data om användarnas aktiviteter både inom och utom det sociala nätverket och knyter samman dessa data med de berörda användarnas Facebook-konton. Sistnämnda data, som även betecknas som off Facebook-uppgifter, avser dels uppgifter om besök på webbsidor och tredjepartsapplikationer, dels uppgifter om användningen av Metakoncernens andra onlinetjänster (däribland Instagram och WhatsApp). De sålunda insamlade uppgifterna gör det bland annat möjligt att personalisera de reklammeddelanden som riktas till Facebook-användare.
Den tyska federala konkurrensmyndigheten utfärdade ett förbud mot att i det sociala nätverket Facebooks användarvillkor kräva att privata användare bosatta i Tyskland måste godta behandling av deras off Facebook- uppgifter för att få tillgång till det sociala nätverket Facebook. Den tyska federala konkurrensmyndigheten förbjöd även att dessa uppgifter behandlades utan användarnas samtycke. Som skäl för sitt beslut anförde myndigheten att denna behandling av personuppgifter utgjorde ett missbruk av Meta Platforms Irelands dominerande ställning på den tyska marknaden för digitala sociala nätverk, eftersom behandlingen inte är förenlig med GDPR.
Den tyska federala konkurrensmyndighetens beslut om förbud överklagades till Regionöverdomstolen i Düsseldorf. Den domstolen har frågat EU-domstolen om nationella konkurrensmyndigheter får kontrollera huruvida en databehandling är förenlig med kraven i GDPR. Den tyska domstolen har dessutom frågat EU-domstolen hur vissa bestämmelser i GDPR ska tolkas och tillämpas på databehandling som utförs av en operatör av ett digitalt socialt nätverk.
Enligt EU-domstolen kan det bli nödvändigt för en konkurrensmyndighet i den berörda medlemsstaten att, i samband med utredningen av ett företags missbruk av sin dominerande ställning, även pröva förenligheten av företagets beteende med andra bestämmelser än konkurrensbestämmelserna, såsom reglerna om skydd för personuppgifter i GDPR. När den nationella konkurrensmyndigheten konstaterar att GDPR har åsidosatts, träder den emellertid inte i behöriga GDPR-tillsynsmyndigheters ställe. Konkurrensmyndighetens bedömning av huruvida GDPR har följts är nämligen begränsad till konstaterandet av huruvida det föreligger missbruk av dominerande ställning och till att i enlighet med konkurrensreglerna förordna om åtgärder som syftar till att få missbruket att upphöra.
De nationella konkurrensmyndigheterna ska, i syfte att säkerställa att GDPR tillämpas på ett enhetligt sätt, samråda och lojalt samarbeta med de myndigheter som är ansvariga för att övervaka tillämpningen av GDPR. Den nationella konkurrensmyndigheten ska, bland annat när den anser att det måste utredas huruvida ett företags beteende är förenligt med GDPR, kontrollera huruvida detta beteende eller ett liknande beteende redan har varit föremål för ett beslut av den behöriga nationella tillsynsmyndigheten eller till och med av EU-domstolen. Om detta är fallet,får den nationella konkurrensmyndigheten inte avvika från detta beslut, men det står myndigheten fritt att dra sina egna slutsatser ur konkurrensrättslig synvinkel.
EU-domstolen finner dessutom att den databehandling som utförs av Meta Platforms Ireland även förefaller innefatta särskilda kategorier av personuppgifter (känsliga personuppgifter) som bland annat kan avslöja ras eller etniskt ursprung, politisk eller religiös övertygelse eller sexuell läggning. Behandling av sådana personuppgifter är i princip förbjuden enligt GDPR. Det ankommer på den nationella domstolen att avgöra huruvida vissa uppgifter som samlats in gör det möjligt att faktiskt avslöja sådana upplysningar, oavsett om de rör användaren av det sociala nätverket eller en annan fysisk person.
EU-domstolen besvarar även frågan huruvida behandlingen av sådana så kallade känsliga uppgifter undantagsvis är tillåten på grund av att den registrerade har offentliggjort dem på ett tydligt sätt enligt följande. Enbart den omständigheten att en användare besöker webbplatser eller applikationer som kan avslöja sådana upplysningar betyder inte på något sätt att användaren på ett tydligt sätt offentliggör sina uppgifter, i den mening som avses i GDPR. Det förhåller sig på samma sätt när en användare för in uppgifter på sådana webbplatser eller i sådana applikationer eller klickar på knappar på sådana webbplatser eller i sådana applikationer, såvida användaren inte på förhand klart gett uttryck för sitt val att göra uppgifter om honom eller henne allmänt tillgängliga för ett obegränsat antal personer.
Beträffande Meta Platforms behandling av personuppgifter i allmänhet, inbegripet icke-känsliga uppgifter, prövar EU-domstolen om denna omfattas av de ”nödvändighetsgrunder” som anges i GDPR. Om någon av dessa grunder är tillämplig blir en behandling av personuppgifter som görs utan den registrerades samtycke laglig. EU-domstolen finner att en behandling av personuppgifter som är nödvändig för att fullgöra ett avtal i vilket den registrerade är part endast kan motivera det aktuella agerandet under förutsättning att behandlingen av personuppgifter är objektivt oundgänglig, så att avtalets huvudändamål inte skulle kunna uppnås utan behandlingen. Med förbehåll för den nationella domstolens kontroll, hyser EU-domstolen tvivel om att personalisering av innehåll och en enhetlig och sömlös användning av Metakoncernens egna tjänster kan uppfylla dessa kriterier. Enligt EU-domstolen kan dessutom den personalisering av reklam genom vilken det digitala sociala nätverket Facebook finansierar sin verksamhet inte, såsom ett berättigat intresse som eftersträvas av Meta Platforms Ireland, motivera den aktuella behandlingen av personuppgifter utan att den registrerade lämnat sitt samtycke.
Domstolen finner slutligen att det faktum att en operatör av ett digitalt socialt nätverk, i egenskap av personuppgiftsansvarig, har en dominerande ställning på marknaden för sociala nätverk inte i sig utgör hinder för att nätverkets användare med giltig verkan kan lämna sitt samtycke, i den mening som avses i GDPR, till den behandling av deras personuppgifter som operatören utför. En sådan dominerande ställning kan emellertid påverka användarnas valfrihet och skapa en betydande ojämlikhet mellan användarna och den personuppgiftsansvarige och den utgör därför en viktig omständighet vid bedömningen av huruvida giltigt samtycke lämnats, i synnerhet huruvida samtycket lämnats frivilligt. Det ankommer på operatören att visa detta.