Skip to content

Ny dom om gemensamt personuppgiftsansvar för register (C-25/17)

Den 10 juli 2018 gav EU-domstolen i mål C-25/17 svar på frågorna om (i) vad som anses utgöra ett register (vid manuell behandling av personuppgifter) och (ii) fördelningen av registeransvaret (personuppgiftsansvaret) vid sådan behandling. Målet var en begäran om förhandsbesked av den finska högsta förvaltningsdomstolen vilken var att pröva ett beslut fattat av den finska dataskyddsombudsmannen. Trots att målet anhängiggjordes före GDPR finns det inget skäl att tro att praxis kommer att ändras. De centrala begreppen i dataskyddsdirektivet 96/46/EG och den allmänna dataskyddsförordningen EU/2016/679 är i allt väsentligt lika.

I stora drag gällde målet om direktiv 95/46/EC (dataskyddsdirektivet) överhuvudtaget var tillämpligt när det rör sig om manuell behandling av minnesanteckningar i form av en samling strukturerade uppgifter utan särskilda sökkriterier. Minnesanteckningarna hade upptagits vid dörrknackningsverksamhet och var avsedda att kartlägga bland annat trosuppfattningen hos de tillfrågade. Den första frågan gällde direktivets tillämplighet. Var en samling uppgifter i form av minnesanteckningar att betraktas som ett ”register” enligt definitionen i artikel 2c direktiv 95/46/EC (dataskyddsdirektivet). Den andra centrala frågeställning var om trossamfundet Jehovas vittnen var att betraktas som registeransvarig (personuppgiftsansvarig) enligt artikel 2 d i nämnda direktiv fastän samfundet varken samlade in, behandlade och i övrigt hade tillgång till personuppgifterna. Själva behandlingen utfördes av en enskild medlem inom ramen för sitt predikoarbete.

Enligt artikel 2 c i direktiv 95/46 är ett register ”varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier […].”Domstolen menar att det centrala kriteriet är att uppgifterna strukturerats i syfte att underlätta tillgängligheten av uppgifter om en viss person, inte att det strukturerats på visst sätt. Ett register enligt legaldefinitionen ska därför förstås som en samling strukturerade uppgifter och behöver med andra ord inte innehålla ett ”register, särskilda förteckningar eller andra arrangemang för sökning”.

Nästa fråga var den om församlingen kunde anses omfattas av registeransvaret/personuppgiftsansvaret enligt artikel 2d dataskyddsdirektivet. Enligt definitionen är en registeransvarig en fysisk eller juridisk person mm som ”ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter”. Det var ostridigt i målet att respektive församlingsmedlem var registeransvarig i sitt predikoarbete. Frågan var om även församlingen gemensamt med församlingsmedlemmen kunde vara registeransvarig fastän församlingen aldrig hade tillgång till personuppgifterna som samlades in eller hade utfärdat skriftliga riktlinjer eller instruktioner i vilka situationer insamlingen skulle ske. På denna fråga svarade domstolen jakande förutsatt att församlingen genom att organisera, samordna och uppmuntra sina medlemmars predikoarbete i syfte att sprida samfundets tro, tillsammans med sina medlemmar, deltar i att bestämma ändamålet och medlen för behandling av personuppgifter.

Slutsatser
Vad kan man nu dra för slutsatser av nämnda avgörande?

1 De lågt ställda kraven på register innebär att såväl direktivet som nya Dataskyddsförordningen ska tillämpas på de flesta strukturerade uppgiftssamlingar, inte bara sådana som i vardagligt tal benämns register.

2 För att omfattas av personuppgiftsansvaret krävs att man har ett eget syfte och kan påverka sättet för hur behandlingen utförs, genom samordning, organisering eller uppmuntran. Hur stort inflytande som krävs framgår dock inte explicit av domstolens resonemang men av allt att döma behöver detta inte vara bestämmande. Det torde räcka med betydande inflytande över syftet och behandlingen (jfr Artikel 29-gruppens yttrande av artikel 4 d direktiv 95/46/EC). Domen följer domstolens linje i mål C-210/16 av den 5 juni. En möjlig slutsats är också att vissa personuppgiftsbiträdesavtal behöver ersättas med ett sådant ”inbördes arrangemang” som avses i artikel 26(1-2) GDPR. Hur ett sådant kan se ut återkommer vi till i ett kommande inlägg.