EU-domstolen med fire nye GDPR-avgjørelser på tampen av året

I denne artikkelen gir vi deg en kort oppsummering og indikerer hva vi mener virksomheter særlig bør ta med seg videre fra disse sakene.

C-683/21 Nacionalinis visuomenės sveikatos centras: Avklaring av roller og ansvar etter GDPR

I denne saken hvor det nasjonale helseinstituttet i Litauen ble bøtelagt med 12 000 euro, avklarte EU-domstolen flere spørsmål knyttet til behandlingsansvarlig og databehandlers roller og ansvar. Domstolen vurderte om helseinstituttet, som hadde outsourcet utviklingen av en Covid-19-smittesporingsapp til en privat aktør, var behandlingsansvarlig etter GDPR selv om helseinstituttet selv ikke ennå var formell eier av appen og ikke selv hadde behandlet personopplysninger.

EU-domstolen bekreftet at når en virksomhet rent faktisk hadde vært med på å bestemme formålene og virkemidlene for den behandlingen av personopplysninger som skulle skje i appen, måtte denne anses som behandlingsansvarlig selv om det ikke forelå noen mer formell instruks eller avklaring av ansvarsforholdene. Hvis virksomheten hadde kommunisert til apputvikleren før lansering at de ikke ønsket at appen skulle lanseres og at personopplysninger ikke skulle samles inn, kunne saken stilt seg annerledes.

Domstolen bekreftet også at det ikke er et krav om en faktisk avtale mellom de behandlingsansvarlige for at det skal foreligge felles behandlingsansvar, og i denne saken mente domstolen at partene hadde felles behandlingsansvar.

Hva bør virksomheter ta med seg fra denne avgjørelsen?

• Det er ikke avgjørende om man har formelle avtaler på plass. Dersom man ber en leverandør om å gjennomføre aktiviteter som medfører behandling av personopplysninger, og man også i noen grad instruerer leverandøren om hvilke resultater man forventer eller hvordan aktiviteten skal gjennomføres, vil man kunne anses som behandlingsansvarlig. 
• Formell avklaring av ansvarsforhold kan være lurt. Hvis det dreier seg om behandlingsaktiviteter som innebærer en viss grad av risiko for de registrertes personvern, bør man være ekstra påpasselig med å følge opp og enten formalisere eller tydelig avslutte et oppdrag for å unngå misforståelser og eventuelt ende opp med et overtredelsesgebyr for manglende etterlevelse av GDPR.
• Felles behandlingsansvar krever ingen formell avtale. Man kan ende opp med å være felles behandlingsansvarlig, med det ansvar og de plikter som medfølger etter GDPR artikkel 26, dersom man i fellesskap bestemmer formål og midler med behandlingen av personopplysninger.

Les avgjørelsen i C-683/21 her og EU-domstolens pressemelding her.

C-807/21 Deutsche Wohnen: En virksomhet kan bare bøtelegges ved uaktsomt eller forsettlig brudd på GDPR

Saken gjaldt et tysk eiendomsselskap, som i 2017 ble pålagt av det tyske datatilsynet å slette diverse personopplysninger som selskapet hadde samlet inn og lagret over mange år. Selskapet hadde ikke slettet opplysningene etter to år, og fikk derfor en bot på 14,5 millioner euro. En tysk domstol kom til at vedtaket om gebyr var ugyldig, da datatilsynet ikke hadde fulgt tyske regler om gebyr fra forvaltningen. Den tyske loven krevde at man kunne bevise uaktsomhet hos bestemte personer i ledelsen hos selskapet. Ankedomstolen spurte EU-domstolen om denne tyske loven var i tråd med GDPR.

EU-domstolen bekreftet det som også har vært det norske Datatilsynets praksis da de kom til at en virksomhet bare kan bøtelegges etter artikkel 83 fjerde til sjette ledd ved forsettlig eller uaktsom overtredelse, det vil si at bestemmelsen ikke medfører et objektivt ansvar. Når den behandlingsansvarlige er en juridisk person krever artikkel 83 heller ikke at overtredelsen kan tilegnes en spesifikk person i organisasjonen, og overtredelsen kan utføres av  enhver som handler som del av eller på vegne av virksomheten. Det kreves heller ikke at det er kunnskap på ledelsesnivå om overtredelsen. 

Hva bør virksomheter ta med seg fra denne avgjørelsen?

• En virksomhet kan bøtelegges for brudd på GDPR uavhengig av om man kan identifisere hvor i virksomheten bruddet oppstod. Det er derfor viktig at de ansatte i en virksomhet og andre som handler på vegne av denne, har kunnskap om personvern og en viss kompetanse på området, slik at risikoen for å få bot minimeres betraktelig. 
• Virksomheter kan kun bøtelegges dersom det kan bevises at virksomheten som behandlingsansvarlig har handlet uaktsomt eller forsettlig. Dette kan bety at dersom man som virksomhet opplever et databrudd på tross av tilstrekkelige sikkerhetstiltak, vil risikoen for å bøtelegges være relativt lav. Dette er ikke noen revolusjonerende avklaring i norsk rett, da skyldkravet allerede følger av forvaltningsloven § 46.

Les avgjørelsen i C-807/21 her og EU-domstolens pressemelding her.

C-634/21 SCHUFA: Forbud mot automatiserte individuelle avgjørelser

I en avgjørelse mot SCHUFA, Tysklands største private kredittvurderingsselskap, var spørsmålet om selskapet ved å utforme kredittvurderinger og dele disse med samarbeidspartnere, som banker, fattet en "automatisert avgjørelse" i henhold til GDPR artikkel 22. EU-domstolen mente at SCHUFAs fremgangsmåte for å gjøre kredittvurdering medførte en "automatisert avgjørelse" i henhold til artikkel 22, selv om ikke SCHUFA selv fattet avgjørelser basert på kredittvurderingen, fordi SCHUFAs samarbeidspartnere gjorde det. Det sentrale var at informasjonen SCHUFA ga beslutningstakeren spilte en avgjørende rolle i innvilgelse av kreditt, en beslutning som har stor betydning for kredittsøkeren.

EU-domstolen bekreftet at det som utgangspunkt gjelder et forbud mot beslutningstaking gjennom poengsystemer som bruker personopplysninger, som kredittvurderingssystemer, og at en avgjørelse ikke trenger å være fattet av den samme virksomheten som den som utarbeidet opplysningene som førte til avgjørelsen for at GDPR artikkel 22 skal gjøre seg gjeldende. Avgjørelsen kan få ringvirkninger for lignende aktører som bruker kunstig intelligens som et hjelpemiddel for å ta beslutninger.

Hva bør virksomheter ta med seg fra denne avgjørelsen?

• Det rettslige utgangspunktet er at avgjørelser basert på automatisert behandling i henhold til GDPR artikkel 22 er forbudt. Slike avgjørelser er kun lovlig dersom det foreligger klar lovhjemmel, uttrykkelig samtykke fra personen det gjelder, eller det er nødvendig for inngåelsen av en avtale mellom den behandlingsansvarlige og den opplysningene gjelder. 
• Virksomheter som benytter seg av KI for å levere analysetjenester kan være underlagt kravene i GDPR artikkel 22 selv om virksomheten ikke selv fatter en "avgjørelse". Dommen vil være svært relevant for virksomheter som selger eller på annen måte videreformidler automatiserte analyser til virksomheter som i neste omgang bruker analysene til å treffe beslutninger.

Les avgjørelsen i C-634/21 her og EU-domstolens pressemelding her.

C-26/22 og C-64/22 SCHUFA: Avklaring av når kredittvurderingsselskaper må slette personopplysninger

I disse to sammenslåtte sakene vurderte EU-domstolen igjen et spørsmål om SCHUFAs praksis. Spørsmålet var om SCHUFA kunne oppbevare opplysninger om en persons gjeldsfritak lenger enn 6 måneder, som var den tidsperioden tysk lovgivning tillot det tyske offentlige insolvensregisteret å oppbevare slike opplysninger. 

EU-domstolen bekreftet at det ville være en krenkelse av GDPR dersom kredittvurderingsselskaper som SCHUFA kunne oppbevare slike personopplysninger lenger enn 6 måneder og dermed lenger enn offentlige kilder. Dette ble begrunnet med hensynet til den enkelte, da gjeldsfritak skal legge til rette for at den registrerte kan gjenoppta sitt økonomiske liv. EU-domstolen mente derfor at når de 6 månedene er over, går rettighetene og interessene til den registrerte foran allmennhetens interesse i tilgang til informasjonen.

Hva bør virksomheter ta med seg fra denne avgjørelsen?

• Kredittvurderingsselskaper må slette opplysninger om gjeldsfritak når den offentlige kilden slike opplysninger er hentet fra, ikke lenger lovlig kan lagre opplysningene.
• Andre typer virksomheter kan risikere å måtte slette personopplysninger innhentet fra offentlige registre når informasjonen må slettes hos det offentlige, men det er fortsatt uklart om og eventuelt i hvilken grad denne saken kan få overføringsverdi også til andre typer behandlingsaktiviteter.

Les avgjørelsen i C-26/22 og C-64/22 her og EU-domstolens pressemelding her.