EU-Domstolen har den 10. juli 2018 afsagt dom i en sag vedrørende bl.a. fælles dataansvar i forbindelse med indsamling og behandling af personoplysning. Afgørelsen slår på ny fast, at en organisation kan blive fælles dataansvarlig, hvis den bidrager til at afgøre, hvilket formål og med hvilke midler personoplysninger skal behandles, og at det også gælder, selvom organisationen ikke selv får adgang til oplysningerne.
10. juli 2018 | IMMATERIALRET
Kort om sagen
I 2013 forbød de finske datatilsynsmyndigheder Jehovas Vidner at indsamle og behandle persondata i forbindelse med dør-til-dør forkyndelse foretaget af dets medlemmer, medmindre den finske databeskyttelseslovgivning var overholdt. Den afgørelse er behandlet hos de finske forvaltningsdomstole, og den øverste finske forvaltningsdomstol har bedt EU-Domstolen om at tage stilling til fortolkning af direktiv 95/46 EF.
Sagen for EU-Domstolen vedrørte dels om dør-til-dør forkyndelse af en religiøs forening var omfattet af undtagelsesbestemmelserne i direktiv 95/46 EF, dels om der var tale om et register med personoplysninger i direktivets forstand og endelig, om der forelå fælles dataansvar mellem Jehovas Vidner og dets medlemmer.
EU-Domstolens begrundelse og resultat
EU-Domstolen slog fast, at dør-til-dør forkyndelse ikke er omfattet af undtagelserne til persondatadirektivet, og især at der ikke var tale om en behandling af personoplysninger foretaget af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.
Dernæst slog domstolen fast, at der var tale om et register i direktivets forstand, da det bestod af navne, adresser og andre informationer vedrørende de personer, der blev kontaktet, og da disse oplysninger var struktureret på en måde, der gjorde det nemt at genfinde oplysninger til efterfølgende brug. Domstolen udtalte videre, at det ikke var nødvendigt, at der var tale om oplysningsark, specifikke lister eller andre søgemetoder.
Domstolen fastslog derudover, at der var fælles dataansvar, men at graden af ansvar for den enkelte dataansvarlige skulle fastsættes under hensyntagen til alle relevante omstændigheder. Endelig udtalte domstolen, at der ikke i EU-retten er hjemmel til, at beslutningen om formål og midler til behandling af personoplysninger skal ske på baggrund af skriftlige vejledninger eller instruktioner fra den dataansvarlige.
Du kan læse dommen her.
Hvorfor er afgørelsen relevant?
Afgørelsen vedrører fortolkning af direktiv 95/46, der frem til den 25. maj 2018 var fundamentet i persondatabeskyttelse i EU. I dag er persondatabeskyttelse baseret på Databeskyttelsesforordningen (GDPR), men efter TVC Advokatfirmas vurdering ville udfaldet blive det samme, hvis afgørelsen var baseret på forordningen.
Afgørelsen slår på ny fast, at en organisation kan blive fælles dataansvarlig, hvis den bidrager til at afgøre, hvilket formål og med hvilke midler personoplysninger skal behandles, og at det også gælder, selvom organisationen ikke selv får adgang til oplysningerne.
Er du i tvivl om, hvorvidt I overholder reglerne i Databeskyttelsesforordningen, anbefaler vi altid en professionel vurdering.
Dette gælder især, hvis I er i tvivl om, hvordan I behandler personoplysninger, herunder om I som virksomhed er dataansvarlig eller databehandler – samt om I er ene dataansvarlig eller om dataansvaret er delt.
EU-Domstolen har nu to gange indenfor den seneste måneds tid truffet afgørelser om fællesdataansvar, og derfor bør I overveje, om I også foretager behandlinger af persondata, der bør genovervejes. TVC Advokatfirma er altid klar til en uforpligtende drøftelse af din konkrete case.