C-200/23 Agentsia po vpisvaniyata

EU-domstolens dom av 4. oktober 2024.

Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).

Sentrale artikler behandlet:
Artikkel 4(1)
– Artikkel 4(7)
Artikkel 4(9)
Artikkel 6(1)(c) og (e)
Artikkel 17(1)(b) og (d)
Artikkel 17(3)(b)
Artikkel 82(1)
Artikkel 82(3)

Hovedpunkter

  • Den som er ansvarlig for et nasjonalt foretaksregister er å anse som «mottaker» etter GDPR artikkel 4(7) og «behandlingsansvarlig» etter artikkel 4(9) for opplysninger som registeret mottar som følge av lovgivningen, men også for opplysninger som mottas uten at det er hensikten og/eller følger av lovgivningen.
  • Den registrerte kan kreve sletting av personopplysninger som behandles uten lovlig grunnlag etter artikkel 17(1)(d), men ikke for opplysninger som er unntatt etter artikkel 17(3)(b), dvs. nødvendig for å oppfylle rettslig forpliktelse/utføre en oppgave i allmennhetens interesse/utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
  • En håndskrevet signatur er å anse som en personopplysning.
  • Tap av kontroll over personopplysninger, for en begrenset periode, ved at personopplysningene gjøres tilgjengelig online for allmennheten av et nasjonalt foretaksregister kan medføre «ikke-materiell skade» som gi grunnlag for erstatning forutsatt at den registrerte påviser at denne er påført skade uten at det er krav om at det foreligger andre negative konsekvenser.
  • Det at en tilsynsmyndighet har gitt en uttalelse om at en behandlingsansvarlig ikke er ansvarlig, er ikke tilstrekkelig for at den behandlingsansvarlige er fritatt for erstatning.

Bakgrunn

En person var med på å stifte et aksjeselskap i Bulgaria, og i den forbindelse ble det utstedt stiftelsesdokumenter som inneholdt til dels sensitive personopplysninger. Dokumentet, og dermed opplysningene, ble gjort offentlige av foretaksregisteret. Personen krevde sletting av opplysningene, siden disse var basert på hennes samtykke som hun senere hadde trukket.

Foretaksregisteret krevde imidlertid at det skulle sendes ny bekreftet versjon av stiftelsesdokumentet til registeret hvor alle opplysninger som ikke var påkrevet etter lov var fjernet. Den registrerte motsatte seg dette, og krevde slettet opplysningene samt erstatning. Foretaksregisteret hadde da imidlertid slettet alle opplysninger foruten de som var nødvendige å behandle etter lov.

Den nasjonale domstolen fremsatte en rekke spørsmål for EU-domstolen som omfattet andre deler av EU-retten enn GDPR. Nedenfor skal kun spørsmålene knyttet til personvern og GDPR omtales. Disse var om et nasjonalt foretaksregister er «mottaker» og «behandlingsansvarlig», om foretaksregisteret er forpliktet til å slette personopplysninger om disse er behandlet uten lovlig grunnlag, om en skriftlig signatur å regne som «personopplysning» og om det kan kreves erstatning som følge av at foretaksregisteret publiserte opplysninger som ikke var hadde lovlig grunnlag.

Artikkel 4(7) og (9) – Er et nasjonalt foretaksregister er «mottaker» og «behandlingsansvarlig»?

Spørsmålet som domstolen først vurderte er om et nasjonalt foretaksregister, som er pålagt å sørge for registrering av foretak, og som gjør tilgjengelig opplysninger om foretakene som registeret mottar gjennom søknader om registrering, er å anse som en mottaker av opplysningene og behandlingsansvarlig. Registeret er bl.a. pålagt å registrere og gjøre tilgjengelig opplysninger, som også da er personopplysninger, om stiftere etter EU-rett, og det er opp til nasjonal rett hvordan dette skal oppfylles.

Foretaksregisteret mottok både opplysninger som fulgte av nasjonal rett, og opplysninger som registeret ikke var pålagt å behandle. Spørsmålet var dermed om registeret er å anse som «mottaker» og «behandlingsansvarlig» også for disse opplysningene.

En «mottaker» etter artikkel 4 (9) er:

(…) en fysisk eller juridisk person, offentlig myndighet, institusjon eller ethvert annet organ som personopplysninger utleveres til, enten det dreier seg om en tredjepart eller ikke. Offentlige myndigheter som kan motta personopplysninger innenfor rammen av en særskilt undersøkelse i samsvar med unionsretten eller medlemsstatenes nasjonale rett, skal imidlertid ikke anses som mottakere; nevnte offentlige myndigheters behandling av slike opplysninger skal være i samsvar med gjeldende regler om vern av personopplysninger i henhold til formålet med behandlingen,

Domstolen mente her at foretaksregisteret var «mottaker» siden opplysningene ble mottatt uavhengig av om det var lovmessig påkrevet eller ikke.

Å være en mottaker er en forutsetning for å være en behandlingsansvarlig, og spørsmålet var så om foretaksregisteret var «behandlingsansvarlig» etter artikkel 4 (7), som lyder:

7) «behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett,

Begrepet «behandlingsansvarlig» skal ifølge praksis fra EU-domstolen forstås vidt, og når formålet med og midlene for behandling følger av nasjonal rett, må det vurderes om det følger av denne hvem som er behandlingsansvarlig eller gir kriterier til denne vurderingen. Dette kan imidlertid følge eksplisitt eller implisitt av loven, men i sistnevnte tilfelle må det være tilstrekkelig klart ut fra rollen, oppgaver og myndighet hvem som er ansvarlig.

I dette tilfellet mottar foretaksregisteret opplysninger fra søkerne, herunder stiftelsesdokumenter. Opplysningene blir transkribert og lagret og gjort tilgjengelig, som en følge av formål og prosedyrer som fulgte av lovgivningen. Denne behandlingen skiller seg fra den behandling som ble gjort av søkerne, som også har et annet formål for å avgi opplysningene enn registeret, som er å oppfylle formalitetene ved søknaden.

Det blir ikke foretatt noen vurdering av opplysninger i stiftelsesdokumentene som ble mottatt fra søkerne, og disse publiseres straks deretter. Det følger imidlertid av tidligere EU-dommer at manglende kontroll fritar ikke et offentlig register fra å være behandlingsansvarlig.

Basert på dette ble det funnet at foretaksregisteret er både «mottaker» og «behandlingsansvarlig», og dermed ansvarlig for behandlingen etter artikkel 5 (2) for opplysninger som registeret mottok.

Artikkel 17 – Plikten til å slette opplysninger

Domstolen vurderte så om foretaksregisteret hadde en plikt til å slette opplysningene etter artikkel 17.

Etter artikkel 17(1)(d) skal sletting skje dersom personopplysninger er blitt behandlet ulovlig. Men sletting kan ikke kreves dersom behandlingen er nødvendig for overholdelse av rettslig forpliktelse, for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt, se artikkel 17(3)(b).

Først vurderte domstolen om behandlingen er lovlig etter artikkel 6. Etter å ha slått fast at det ikke kan foreligge gyldig samtykke i denne saken, er de mest aktuelle grunnlag at behandlingen er nødvendig som følge av rettslig forpliktelse etter artikkel 6(1)(c) eller utøvelse av offentlig myndighet etter artikkel 6(1)(e). For disse grunnlagene er det krav etter artikkel 6(3) at:

(…) Formålet med behandlingen skal være fastsatt i nevnte rettslige grunnlag eller, når det gjelder behandlingen nevnt i nr. 1 bokstav e), være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. (…)

I denne saken var imidlertid ikke all behandling påkrevet etter regelverket. Lovgivningen må hensynta GDPR, og behandlingen var således ikke i overensstemmelse med GDPR.

Om behandlingen var nødvendig for utøvelse av offentlig myndighet så er et foretaksregister en slik utøvelse og innebærer en oppgave i offentlig interesse. Det er imidlertid påkrevet at det er nødvendig at behandlingen faktisk er knyttet til den offentlige interessen uten å gå lenger enn det som er nødvendig for å oppnå formålet.

110    It follows that the processing at issue in the main proceedings appears, admittedly, to be carried out in connection with a task carried out in the public interest within the meaning of that provision. However, in order to satisfy the conditions imposed by that provision, it is necessary that that processing genuinely meets the objectives of general interest pursued, without going beyond what is necessary in order to achieve those objectives 

Kravet til nødvendighet er ikke oppfylt hvor formålet med interessen kan med rimelighet oppnås tilsvarende effektivt med andre midler som er mindre inngripende for personvernet.

111    That requirement of necessity is not met where the objective of general interest pursued can reasonably be achieved just as effectively by other means less restrictive of the fundamental rights of data subjects, in particular the rights to respect for private life and to the protection of personal data guaranteed in Articles 7 and 8 of the Charter, since derogations and limitations in relation to the principle of protection of such data must apply only in so far as is strictly necessary

Domstolen kom derfor etter en konkret vurdering til at å gjøre offentlig tilgjengelig opplysninger som ikke er påkrevet av lovverket vil dermed ikke være å anse som nødvendig.

116    It follows that the processing of personal data at issue in the main proceedings appears, in any event, to go beyond what is necessary for the performance of the task carried out in the public interest conferred on the Agency under that national legislation.

I tillegg behandlingen er heller ikke lovlig etter artikkel 6(1)(c) og (e) sett i sammenheng med artikkel 6(3).

Domstolen kom derfor til at sletting kan kreves etter artikkel 17(1)(d) for de opplysninger som ikke er unntatt etter artikkel 17(3)(b), dvs. nødvendig for å oppfylle rettslig forpliktelse/utføre en oppgave i allmennhetens interesse/utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Domstolen omtalte imidlertid hva som vil være konsekvensene dersom den nasjonale domstolen allikevel skulle komme til at behandlingen var lovlig, se punkt 119 til 126.  

Artikkel 4(1) – Er en skriftlig signatur å regne som «personopplysning»?

Domstolen vurderte så om en skriftlig signatur er en personopplysning etter artikkel 4(1), siden stiftelsesdokumentet ville inneholde en signatur om dette ble offentliggjort.

Etter artikkel 4(1) er en personopplysning:

(…) enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet,

Etter tidligere praksis fra domstolen skal «personopplysning» tolkes vidt:

130    In that connection, the Court has already held that the use of the expression ‘any information’ in the definition of the concept of ‘personal data’ in that provision reflects the aim of the EU legislature to assign a wide scope to that concept, which potentially encompasses all kinds of information, not only objective but also subjective, in the form of opinions and assessments, provided that it ‘relates’ to the data subject (…)

131    Information relates to an identified or identifiable natural person where, by reason of its content, purpose or effect, it is linked to an identifiable person (…)

Etter fortalepunkt 26 bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte. Dette gjelder ikke bare opplysninger samlet og lagret av behandlingsansvarlig, men all informasjon som gjelder behandling knyttet til en identifisert eller identifiserbar person.

Etter tidligere praksis fra domstolen gir håndskriften til en person informasjon knyttet til den personen. En håndskrevet signatur fra en person er, generelt sett, benyttet til å identifisere en person for å verifisere bl.a. ekthet og validitet av dokumenter. I dette tilfelle var også navnet skrevet ved siden av signaturen.

Domstolen fant – naturlig nok – derfor at en signatur er å anse som «personopplysninger».

Artikkel 82(1) – Erstatning som følge av publisering av opplysninger som ikke var lovlig behandlet

Domstolen vurderte så om det forhold at opplysninger som ikke var lovlig behandlet og deretter var offentliggjort, medførte krav om erstatning (kompensasjon) etter artikkel 82(1).

Etter artikkel 82(1) har enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av GDPR rett til å motta erstatning for den forvoldte skaden. Domstolen fremhevet at begrepene «ikke-materiell skade», «kompensasjon» og «forvoldt skade» er begreper som må tolkes etter EU-retten. Artikkel 82(1) må forstås som at et rent brudd på GDPR er ikke tilstrekkelig til at man har krav på erstatning (kompensasjon), siden det følger av tidligere praksis fra EU-domstolen at for at det skal foreligge brudd på artikkel 82 så må foreligge en «skade» som er «lidt», samt at det må foreligge årsakssammenheng mellom bruddet på bestemmelsen og skaden som er påført. Den som krever kompensasjon må derfor både kunne på vise at det et brudd som er årsaken til skaden.

Personen må derfor kunne påvise at bruddet på GDPR har hatt negative konsekvenser for vedkommende.

142    In particular, a person concerned by an infringement of the GDPR which has had negative consequences for him or her is required to demonstrate that those consequences constitute non-material damage, within the meaning of Article 82 of that regulation, since the mere infringement of the provisions thereof is not sufficient to confer a right to compensation (…).

Der en person frykter at ens personopplysninger kan bli misbrukt i fremtiden, må nasjonale domstoler finne at slik frykt er velfundert.

143    Therefore, where a person claiming compensation on the basis of Article 82(1) of the GDPR relies on the fear that his or her personal data will be misused in the future owing to the existence of such an infringement, the national court seised must verify that that fear can be regarded as well founded, in the specific circumstances at issue and with regard to the data subject (…).

Men EU-domstolen har tidligere fremholdt at frykt for misbruk kan være tilstrekkelig for at det kan foreligger grunnlag for krav om erstatning for ikke-materiell skade.

144    That being said, the Court has already held that it is apparent not only from the wording of Article 82(1) of the GDPR, read in the light of recitals 85 and 146 thereof – which encourage the acceptance of a broad interpretation of the concept of ‘non-material damage’, within the meaning of that first provision – but also from the objective of ensuring a high level of protection of natural persons with regard to the processing of their personal data – which is referred to by the regulation – that the fear experienced by a data subject with regard to a possible misuse of his or her personal data by third parties as a result of an infringement of that regulation is capable, in itself, of constituting ‘non-material damage’, within the meaning of Article 82(1) (…).

Dette fordi det, etter fortalepunkt 85, kan “skade” bl.a. være “tap av kontroll over egne opplysninger”, selv om det ikke har vært noen aktuell misbruk av opplysningene. Samtidig kan ikke frykt alene være tilstrekkelig, siden det må påvises at den registrerte faktisk er påført en skade, uansett hvor liten denne er. Det må også være en sammenheng mellom skaden og bruddet på GDPR, se ovenfor. Størrelsen på erstatningen må utmåles etter nasjonal rett/nasjonale domstoler, og skal sikre en full kompensasjon.  

Domstolen kom derfor til at et tap av kontroll, i en begrenset periode, for registrerte over sine personopplysninger, pga. opplysningene er gjort tilgjengelig online for allmennheten i et foretaksregister kan være tilstrekkelig til å forårsake «ikke-materiell skade». Dette er forutsatt at den registrerte påviser at denne faktisk har lidd slik skade, uavhengig av hvor liten denne er og uten at det kreves påvisning av ytterligere negative konsekvenser.

156    In the light of the foregoing considerations, the answer to the seventh question is that Article 82(1) of the GDPR must be interpreted as meaning that a loss of control, for a limited period, by the data subject over his or her personal data, on account of those data being made available online to the public, in the commercial register of a Member State, may suffice to cause ‘non-material damage’, provided that that data subject demonstrates that he or she has actually suffered such damage, however minimal, without that concept of ‘non-material damage’ requiring that the existence of additional tangible adverse consequences be demonstrated.

Artikkel 82(3) – Om en uttalelse fra tilsynsmyndighet kan føre til erstatningsfritak

Domstolen vurderte så om en uttalelse gitt av en tilsynsmyndighet (det bulgarske datatilsynet i denne saken), som var gitt etter artikkel 58(3)(b), om at foretaksregisteret ikke var erstatningsansvarlig kan medføre at behandlingsansvarlig er fritatt for erstatningsansvar.

Etter artikkel 82(3) følger det:

3. En behandlingsansvarlig eller databehandler skal fritas for erstatningsansvar i henhold til nr. 2 dersom vedkommende godtgjør at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden.

Enhver som påføres skade som følge av brudd på GDPR har krav på erstatning, se om artikkel 82(1) ovenfor. Foretaksregisteret var behandlingsansvarlig, se over, og har dermed bevisbyrden for at denne ikke har brutt GDPR.

162    In particular, it would not be consistent with the objective of ensuring such a high level of protection of natural persons with regard to the processing of their personal data to opt for an interpretation according to which data subjects who have suffered damage as a result of an infringement of the GDPR should, in an action for damages under Article 82 of that regulation, bear the burden of proving not only the existence of that infringement and the damage resulting therefrom for them, but also the existence of a fault on the part of the controller, deliberately or through negligence, or even the degree of seriousness of that fault, even though Article 82 does not lay down such requirements (…).

Siden det kreves årsakssammenheng mellom bruddet, se over, må foretaksregisteret derfor påvise at dette på ingen måte er ansvarlig for hendelsene som førte til skaden, se artikkel 82(3) over. Det er ikke tilstrekkelig å påvise at det er gitt instruksjoner til personer under dennes myndighet som ikke fulgte instruksjonene og dette førte til skade.

166    Therefore, in order for the controller to be exempted from liability under Article 82(3) of the GDPR, it cannot be sufficient for it to demonstrate that it had given instructions to persons acting under its authority, within the meaning of that regulation, and that one of those persons failed in his or her obligation to follow those instructions, with the result that that person contributed to the occurrence of the damage in question (…).

Bevisvurderingen er imidlertid opp til de nasjonale domstolene.

Domstolen vurderte så artikkel 82(3) og fant at det kun kunne gis råd under denne bestemmelsen, som ikke er bindende. At en slik uttalelse skulle være bindende, ville redusere de rettslige virkemidlene til registrerte, se fortalepunkt 143. Siden uttalelsen ikke er bindende, kan ikke denne ha virkning for om skaden kan knyttes til behandlingsansvarlig. Dette er derfor ikke tilstrekkelig til å fritak foretaksregisteret for erstatning.

Kurs for smu00e5 og mellomstore bedrifter