EU-domstolens dom av 11. januar 2024.
Sentrale artikler behandlet:
– Artikkel 4 nr. 7 (behandlingsansvarlig)
– Artikkel 5 (2) (ansvar)
Hovedpunkter
- Følger behandlingsansvar av lov, må det vurderes hvem loven utpeker som behandlingsansvarlig eller om loven oppstiller vilkår for å bestemme hvem som skal være behandlingsansvarlig.
- Følger det implisitt av loven hvem som er behandlingsansvarlig, må det være tilstrekkelig sikkert hvem som har rollen og myndigheten.
- Det er ikke krav om at den som er behandlingsansvarlig er et eget rettssubjekt.
- Det har ikke betydning om behandlingen skjer automatisert, og at den behandlingsansvarlige ikke har eller kan kontrollere personopplysningene.
- Felles behandlingsansvar kan følge av hvem som ansvaret tillegges etter lovgivningen.
Bakgrunn
Etter belgisk lov skal endringer av bl.a. selskaps vedtekter publiseres i et offentlig tidsskrift. Opplysningene blir utarbeidet av en notar, som sender opplysningene videre til domstolens register, hvoretter det til slutt blir publisert i tidsskriftet.
Ved en feil ble det publisert personopplysninger i tidsskriftet, og etter krav fra den registrerte avviste tidsskriftet å slette personopplysningene.
Spørsmålet var da om tidsskriftet var å anse som behandlingsansvarlig etter GDPR artikkel 4 nr. 7, og er tidsskriftet alene ansvarlig etter GDPR artikkel 5 (2) for å overholde prinsippene i GDPR artikkel 5 (1).
Artikkel 4 nr. 7 – behandlingsansvarlig
At noen skal være «behandlingsansvarlig» forutsetter at det skjer en behandling som definert i GDPR artikkel 4 nr. 2. «Behandlingsansvarlig» skal tolkes vidt, for å oppnå formålet med å sikre en effektiv og fullstendig beskyttelse av de registrerte (som følger av C-683/21 Nacionalinis visuomenės sveikatos centras og C‑807/21 Deutsche Wohnen).
I dette tilfellet fulgte behandlingen av lovgivningen, og dersom formål og midler for behandlingen er bestemt i nasjonal lov, må det vurderes hvem som loven utpeker som behandlingsansvarlig eller om loven oppstiller vilkår for å bestemme hvem som skal anses som behandlingsansvarlig.
29 Having regard to the wording of point 7 of Article 4 of the GDPR, read in the light of that objective, it appears that, in order to establish whether a person or entity is to be classified as a ‘controller’ within the meaning of that provision, it must be examined whether that person or entity determines, alone or jointly with others, the purposes and means of the processing or whether those purposes and means are determined by national law. Where such determination is made by national law, it must then be ascertained whether that law nominates the controller or provides for the specific criteria for its nomination.
Følger behandlingsansvaret av lov, kan dette følge eksplisitt eller implisitt. Ved sistnevnte må det følge av loven tilstrekkelig sikkerhet ut fra den rolle, oppgaver og myndighet som er tillagt den angjeldende person eller virksomhet.
30 In that regard, it must be stated that, having regard to the broad definition of the concept of ‘controller’ within the meaning of point 7 of Article 4 of the GDPR, the determination of the purposes and means of the processing and, where appropriate, the nomination of that controller by national law may not only be explicit but also implicit. In the latter case, that determination must nevertheless be derived with sufficient certainty from the role, task and powers conferred on the person or entity concerned.
Domstolen fant at dette var tidsskriftet, og dette gjelder selv om tidsskriftet ikke var eget rettssubjekt og selv om tidsskriftet ikke hadde anledning til å kontrollere opplysningene før de ble publisert.
36 … It is apparent from the clear wording of that provision that a controller may be not only a natural or legal person, but also a public authority, an agency or a body, and such entities do not necessarily have legal personality under national law.
Det er tidsskriftet som alene påtar seg oppgaven om publisering og som gjennomfører dette, og dette er knyttet til formålet med behandlingen som følger av lovgivningen. Det hadde ikke betydning at behandlingen skjedde automatisert (digitalt).
Det ville være i strid med prinsippet for artikkel 4 nr. 7 at tidsskriftet ikke skulle være behandlingsansvarlig siden det ikke kontrollerer opplysningene før publisering (se C-131/12).
Artikkel 5 (2) – ansvarlig
Domstolen vurderte så om tidsskriftet var ansvarlig for behandlingen etter GDPR artikkel 5 (2) alene eller sammen med de andre i kjeden av behandling (dvs. notar og domstol).
At tidsskriftet er ansvarlig etter artikkel 5 følger av at det er behandlingsansvarlig. Sammenholdt med artikkel 26 (1) om felles behandlingsansvar mener domstolen at felles behandlingsansvar mellom flere aktører kan følge av nasjonal lovgivning forutsatt at de ulike delene av behandlingen er koblet sammen etter formål og midler bestemt av lovgivningen. I tillegg må den nasjonale lovgivningen bestemme, enten direkte eller indirekte, de respektive ansvarsområdene for hver av de felles behandlingsansvarlige.
50 It should be made clear that such a determination of the purposes and means linking the various processing operations performed by several actors in a chain and of their respective responsibilities may be made not only directly but also indirectly by national law, provided that, in the latter case, it can be inferred in a sufficiently explicit manner from the legal provisions governing the persons or entities concerned and the processing of the personal data that they perform in connection with the processing chain imposed by that law.
Basert på tolkning av den nasjonale lovgivningen fant domstolen at tidsskriftet var ansvarlig alene. Dette har imidlertid ikke betydning for om sletting etter artikkel 17 skal innvilges.