EU-domstolens dom av 11. juli 2024.
Det følgende omtaler kun de deler av dommen som er relevant for personvernforordningen (GDPR).
Sentrale artikler behandlet:
– Artikkel 2(2)
– Artikkel 4(7)
Hovedpunkter
- En advokat hadde vært utnevnt som verge for en person, men var ikke lenger verge. Advokaten var også bekjent av personen.
- Personen kreve innsyn i personopplysninger som advokaten hadde behandlet om personen som verge.
- Spørsmålet domstolen vurderte var om advokaten som verge hadde vært behandlingsansvarlig slik at personen kunne kreve innsyn i personopplysningene, samt om forholdet falt inn under GDPR eller om dette var behandling som ledd i personlige aktiviteter, siden advokaten hadde vært bekjent av personen.
- Domstolen kom til at vergen var behandlingsansvarlig, og personen kunne derfor utøve sine rettigheter under GDPR ved å kreve innsyn i personopplysninger vergen hadde om vedkommende.
Bakgrunn
En advokat hadde vært oppnevnt som verge for en person i egenskap av advokat, samtidig som advokaten var også en bekjent av personen. Advokaten var ikke lenger verge for personen.
Personen krevde å få tilgang til personopplysningene i henhold til GDPR artikkel 15 som advokaten hadde samlet inn og behandlet om personen som verge.
Innsynet/tilgangen til opplysningene ble avslått med begrunnelse av at advokaten ikke var behandlingsansvarlig etter GDPR artikkel 4(7). Etter tysk rett er en verge en representant for den personen som denne er verge for, og vergen behandler derfor personopplysninger på vegne av personen.
Spørsmålet som domstolen derfor skulle vurdere, var om en verge er å anse som en behandlingsansvarlig under GDPR etter GDPR artikkel 4(7). I tillegg ble det vurdert om GDPR gjaldt siden advokaten var en bekjent av personen, dvs. om behandlingen var utenfor GDPRs virkeområde etter GDPR artikkel 2(2)(c) ved at behandlingen skjer som «ledd i rent personlige … aktiviteter».
GDPR artikkel 2(2)(c)
Behandling av rent personlige aktiviteter er ikke omfattet av GDPR, se artikkel 2(2)(c). For behandling av personopplysninger som vergen gjorde i egenskap av å være advokat, dvs. i en profesjonell egenskap, mente domstolen at selv om en advokaten var en bekjent av vedkommende, så ekskluderer ikke det GDPR å gjelde når advokaten representere personen i en profesjonell egenskap.
GDPR artikkel 4(7)
For spørsmålet om en verge er behandlingsansvarlig, så mente domstolen at en verge ved sine oppgaver og aktiviteter denne er pålagt, vil bestemme formålet med og midlene som skal benyttes ved behandling av personopplysninger etter GDPR artikkel 4(7). En verge er derfor å anse som behandlingsansvarlig, selv om det følger av nasjonal rett at vergen er en representant for personen denne er verge for.
Siden advokaten ikke lenger var verge for personen, og ikke hadde lenger plikter overfor personen, kan personen kreve innsyn i/utlevering av sine personopplysninger fra advokaten.
Domstolen kom da til at vergen var behandlingsansvarlig, og personen kunne derfor utøve sine rettigheter under GDPR ved å kreve innsyn i personopplysninger vergen hadde om vedkommende.
31 In the light of all the foregoing considerations, the answer to the questions referred is that Article 4(7) … must be interpreted as meaning that a former guardian who performed his or her duties in a professional capacity in respect of a person placed under his or her guardianship must be classified as a ‘controller’, within the meaning of that provision, of the personal data in his or her possession concerning that person and that such processing must comply with all the provisions of that regulation, including Article 15 thereof
