EU-domstolen avsa 4. mai 2023 prejudisiell avgjørelse i sak C-60/22. Saken gjelder tolkning av forordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [GDPR].
Sakens bakgrunn
Bundesamt für Migration und Flüchtlinge (forbundskontoret for migrasjon og flyktninger i Tyskland) avslo en søknad om internasjonal beskyttelse på grunnlag av en elektronisk saksmappe med personopplysninger om søkeren. I denne forbindelse har Bundesamt ikke framlagt protokoll over behandlingsaktivitetene, noe som innebærer en tilsidesettelse av GDPR artikkel 30.
Saksmappen ble også brukt av den nasjonale domstolen som behandlet søkerens klage på avslaget. Overføringen skjedde via domstolenes og forvaltningens elektroniske postkasse. Tyskland har ingen nasjonal lovgivning som regulerer hvordan slik overføring skal foregå, og det er ikke fastsatt noen ordning mellom Bundesamt og domstolen. Dette innebærer en tilsidesettelse av GDPR artikkel 26.
Verwaltungsgericht Wiesbaden (forvaltningsdomstol i Tyskland) er foreleggende domstol.
EU-domstolens tolkning
Det første spørsmålet er om GDPR artikkel 17 (1) (d) og 18 (1) (b) skal tolkes slik at den dataansvarliges tilsidesettelse av forpliktelsene som følger av forordningens artikkel 26 og 30 utgjør en ulovlig behandling som gir den registrerte rett til sletting eller begrensning av behandlingen, ettersom en slik tilsidesettelse innebærer at den dataansvarlige tilsidesetter prinsippet om ansvarlighet i artikkel 5 (2).
Artikkel 17 (1) (d) gir den registrerte rett til å få personopplysninger om seg selv slettet uten ugrunnet opphold dersom personopplysningene er blitt «behandlet ulovlig». Ifølge artikkel 18 (1) (b) kan den registrerte også motsette seg sletting og i stedet be om at bruken av personopplysningene begrenses.
Artikkel 5 (1) fastsetter en rekke prinsipper som må overholdes ved behandling av personopplysninger. Det første prinsippet er «lovlighet, rettferdighet og åpenhet». Artikkel 5 (2) fastsetter at den behandlingsansvarlige er ansvarlig for og skal kunne påvise at prinsippene i artikkel 5 (1) overholdes, dermed blant annet at behandlingen er lovlig. Behandlingen er bare lovlig dersom minst ett av vilkårene i den uttømmende listen i forordningens artikkel 6 (1) er oppfylt.
Den behandlingsansvarliges forpliktelse til å sikre en ordning om felles behandling i artikkel 26 og å føre protokoll over behandlingsaktivitetene i artikkel 30 er ikke blant forholdene som gjør behandlingen lovlig, så tilsidesettelsen av disse forpliktelsene er ikke en tilsidesettelse av den behandlingsansvarliges ansvarlighet i artikkel 5 (2). Det fører dermed heller ikke til at behandlingen er ulovlig etter artikkel 17 (1) (d) og 18 (1) (b).
Forordningens formål om å sikre et høyt nivå for vern av fysiske personer underbygger konklusjonen. Tilsidesettelse av en ordning for felles ansvar etter artikkel 26 eller protokoll i artikkel 30 fører ikke i seg selv til at retten til vern av personopplysninger er tilsidesatt. Slike mangler kan dessuten korrigeres, jf. tiltakene i artikkel 58 (2).
Det andre spørsmålet er om en nasjonal domstols hensyntagen til personopplysninger etter den behandlingsansvarliges tilsidesettelse av artikkel 26 og 30, er betinget av den registrertes samtykke.
Den registrertes samtykke er ett av flere forhold som kan gjøre behandlingen lovlig, jf. artikkel 6 (1). De andre forholdene i artikkel 6 (1) (b) til (f) gjelder behandlingens nødvendighet for å oppfylle bestemte formål. Når en domstol utøver sin rettslige kompetanse, skal behandlingen av personopplysninger domstolen velger å gjøre, anses for å være nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt etter artikkel 6 (1) (e). Dermed er behandlingen i utgangspunktet lovlig.
EU-domstolens konklusjon under første spørsmål innebærer dessuten at behandlingen ikke er ulovlig som følge av tilsidesettelse av artikkel 26 og 30. Dermed er lovligheten av domstolens behandling av personopplysningene ikke betinget av den registrertes samtykke.
EU-domstolens konklusjon
GDPR artikkel 17 (1) (d) og artikkel 18 (1) (b) skal tolkes slik at den dataansvarliges tilsidesettelse av forpliktelsene som er fastsatt i artikkel 26 og 30 ikke utgjør en ulovlig behandling som gir den registrerte rett til sletting eller begrensning av behandlingen. En slik tilsidesettelse innebærer ikke i seg selv at den dataansvarlige tilsidesetter prinsippet om ansvarlighet i artikkel 5 (2), jf. artikkel 5 (1) (a) og 6 (1) (1).
I et slikt tilfelle er heller ikke lovligheten av en nasjonal domstols behandling av de samme personopplysningene betinget av den registrertes samtykke.
Forordning (EU) 2016/679 er inntatt i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1.
(C-60/22)
ÅE