Sakens bakgrunn

Under pandemien forårsaket av covid-19 viruset ba litauiske helsemyndigheter, ved det nasjonale senteret for folkehelse (heretter Folkehelsesenteret), selskapet IT spendimai sekmei (ITSS) om å utvikle en mobilapp for smittesporing og -overvåking. I forbindelse med utviklingen av mobilappen ble det fastsatt retningslinjer for beskyttelsen av personopplysninger, og ITSS og Folkehelsesenteret var angitt som behandlingsansvarlige. Mobilappen nevnte både ITSS og Folkehelsenteret, var nedlastbar fra Google Play Store og Apple App Store fra henholdsvis 4. og 6. april 2020, og i funksjon til 26. mai 2020. Mobilappen ble tatt i bruk av nærmere fire tusen personer, og disse avga de opplysningene om seg selv som applikasjonen krevde. Litauiske myndigheter planla å kjøpe applikasjonen fra ITSS, i midten av mai ba Folkehelsesenteret ITSS om at senteret ikke «på noen måte» skulle være nevnt i applikasjonen. Den 4. juni ble det klart at planen om å kjøpe applikasjonen ikke ville bli realisert.

Det litauiske datatilsynet fant at det var samlet inn personopplysninger gjennom mobilappen, og at en rekke av personvernforordningens bestemmelser var overtrådt. Folkehelseinstituttet ble ilagt et gebyr på 12 000 EUR, og ITSS et på 3000 i egenskap av felles behandlingsansvarlig. Spørsmålet om gyldigheten av dette vedtaket verserer nå for en regional forvaltningsdomstol i Litauen, som har forelagt EU-domstolen seks spørsmål knyttet til tolkningen av personvernforordningen. Tre av disse gjelder begrepet «behandlingsansvarlig» i personvernforordningen art. 4 nr. 7, et gjelder begrepet «behandling» i artikkel 4 nr. 2, et gjelder spørsmålet om felles behandlingsansvar etter personvernforordningen artikkel 4 nr. 7 og artikkel 26 omfatter situasjoner der det ikke er noen formell ordning mellom de behandlingsansvarlige om formålene med og midlene for behandlingen, og det sjette spørsmålet er dels om personvernforordningen artikkel 83 krever skyld hos den behandlingsansvarlige for adgang til å ilegge overtredelsesgebyr.

EU-domstolens vurdering

De tre første spørsmålene – begrepet «behandlingsansvarlig»

EU-domstolen understreker at personvernforordningen artikkel 4 nr. 7 definerer begrepet «behandlingsansvarlig» slik at det favner vidt. Definisjonen er vid nok til å omfatte alle som for eget formål øver innflytelse på behandlingen av personopplysninger og derfor bidrar til fastleggelsen av formålet med og midlene til dette, kan anses som behandlingsansvarlig. EU-domstolen understreker at både formålet med forordningen og definisjonen, tilsier en slik vid forståelse. Dette innebærer at spørsmålet om noen kan anses som «behandlingsansvarlig» beror på en konkret vurdering av om vedkommende rent faktisk har hatt innflytelse på formålet med og virkemidlene for behandlingen av personopplysningene. En konsekvens av dette er at den omstendighet at man er angitt som behandlingsansvarlig eller at man er lenket opp til i applikasjonen, ikke i seg selv er nok til at man kvalifiserer som «behandlingsansvarlig». Slike forhold er bare relevante der den som nevnes uttrykkelig eller stilltiende har samtykket til omtalen eller opplenkingen.

EU-domstolen understreker at den omstendighet at man selv ikke behandler personopplysninger, at det ikke er inngått kontrakt med den som behandler opplysningene, at man ikke blir eier av den mobilappen eller at en ikke har godkjent distribusjonen av den, ikke utelukker at man kvalifiserer som «behandlingsansvarlig». Dette forankrer EU-domstolen i personvernforordningens fortale punkt 74, som den finner at tilsier at den behandlingsansvarlige også er ansvarlig for behandling av personopplysninger som foretas på dennes vegne.

Spørsmålet om felles behandlingsansvar forutsetter en formell ordning mellom de behandlingsansvarlige om formålet med og midlene for behandlingen

Etter personvernforordningen artikkel 26 skal to eller flere behandlingsansvarlige anses som felles behandlingsansvarlige dersom de «i fellesskap fastsetter formålene med og midlene for behandlingen». EU-domstolen påpeker at slikt felles ansvar ikke er ensbetydende med at de behandlingsansvarlige har samme ansvar, slik at omfanget av den enkeltes ansvar må vurderes konkret. EU-domstolen fremhever at selv om personvernforordningen artikkel 26 bestemmer at de felles behandlingsansvarlige skal etablere en ordning seg imellom, er en slik ordning ikke en forutsetning for at to eller flere behandlingsansvarlige kvalifiserer som felles behandlingsansvarlige etter personvernforordningen artikkel 26.

Definisjonen av «behandling» – spørsmålet om bruk av personopplysninger til IT-testing omfattes

Kjernen i spørsmålet fra den litauiske domstolen er om den omstendighet at personopplysninger brukes i forbindelse med testingen av en mobilapp har betydning for kategoriseringen av bruken som «behandling» etter personvernforordningen artikkel 4 nr. 2. EU-domstolen besvarer dette benektende, og viser til at ordlyden i artikkel 4 nr. 2 omtaler aktiviteter, ikke formålet med dem. EU-domstolen understreker imidlertid at en forutsetning for at det skal være tale om «behandling», er at de opplysningene som håndteres er «personopplysninger» slik dette er definert i personvernforordningen artikkel 4 nr. 1. Håndtering av fiktive personopplysninger, det vil si opplysninger om personer som hverken er identifisert eller identifiserbare men fiktive, er dermed ikke «behandling».

Spørsmålet om personvernforordningen artikkel 83 krever skyld hos behandlingsansvarlig for adgang til å ilegge overtredelsesgebyr.

Personvernforordningen artikkel 83 nr. 1 krever at en ileggelse av gebyr for overtredelser som nevnt i artikkel 83 nr. 4 til 6 skal være virkningsfull, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Bestemmelsen er imidlertid taus om eventuelle skyldkrav. Rådet og Litauen, som avga uttalelse i saken, gjorde gjeldende at EU-lovgiver med dette har gitt statene en viss valgfrihet, slik at de kan åpne for at det ilegges overtredelsesgebyr uten at det er godtgjort at det er utvist skyld. Dette avfeies av EU-domstolen. Når artikkel 83 nr. 2 bokstav b angir at hvorvidt overtredelsen er begått forsettlig eller uaktsomt er et moment det skal hensyn til ved vurderingen av om det skal ilegges gebyr og hvor stort dette skal være, må dette etter EU-domstolens oppfatning forstås slik at skyld er et vilkår for gebyr.

Etter personvernforordningen artikkel 4 nr. 8 er en «databehandler» en som behandler personopplysninger på vegne av den behandlingsansvarlige. Når den behandlingsansvarlige, som EU-domstolen fant i forbindelse med utlegningen av begrepet «behandlingsansvarlig», er ansvarlig også for behandling av personopplysninger på den behandlingsansvarliges vegne, kan den behandlingsansvarlige også ilegges gebyr for andres overtredelser av personvernforordningen. Dette forutsetter imidlertid at behandlingen er skjedd på den behandlingsansvarliges vegne, slik at situasjoner der databehandleren har behandlet personopplysningene til egne formål, på måter som er uforenlige med retningslinjer for behandlingen satt av den behandlingsansvarlige, eller på en måte det ikke med rimelighet kan antas at den behandlingsansvarlige har gitt samtykke til. I slike tilfelle skal databehandleren selv anses som behandlingsansvarlig, og dermed kunne ilegges gebyr.

EU-domstolens konklusjon

1. Personvernforordningen artikkel 4, nr. 7 skal forstås slik at spørsmålet om noen kan anses som «behandlingsansvarlig» beror på en konkret vurdering av om vedkommende rent faktisk har hatt innflytelse på formålet med og virkemidlene for behandlingen av personopplysningene. En konsekvens av dette er at den omstendighet at man er angitt som behandlingsansvarlig eller at man er lenket opp til i applikasjonen, ikke i seg selv er nok til at man kvalifiserer som «behandlingsansvarlig». Slike forhold er bare relevante der den som nevnes uttrykkelig eller stilltiende har samtykket til omtalen eller opplenkingen.

2. Personvernforordningen artikkel 4 nr. 7 og artikkel 26 første ledd skal forstås slik at kategorisering av to enheter som felles behandlingsansvarlige ikke krever at det foreligger en ordning de behandlingsansvarlige imellom om fastleggelse av formålene med og midlene til behandlingen av personopplysningene, eller at det foreligger en regulering av behandlingsansvaret.

3. Personvernforordningen artikkel 4 nr. 2 skal forstås slik at bruk av opplysninger til testformål er en «behandling» dersom opplysningene omfattes av definisjonen av «personopplysninger» i artikkel 4 nr. 1.

4. Personvernforordningen artikkel 83 skal forstås slik at ileggelse av gebyr forutsetter at den behandlingsansvarlige har utvist skyld med hensyn til overtredelsen, og at gebyr også kan ilegges den behandlingsansvarlige der overtredelsen er begått av noen som opptrer på den behandlingsansvarliges vegne. Dette gjelder likevel ikke der databehandleren har behandlet personopplysningene til egne formål, på måter som er uforenlige med retningslinjer for behandlingen satt av den behandlingsansvarlige, eller på en måte det ikke med rimelighet kan antas at den behandlingsansvarlige har gitt samtykke til.

Antallet avgjørelser fra EU-domstolen om forståelsen av personvernforordningen nærmer seg 100, det foreligger fire avgjørelser fra EFTA-domstolen, seks fra Høyesterett, i tillegg kommer en rekke avgjørelser fra underinstanser, personvernnemnda og ulike klagenemnder. Ingen norske tvisteløsningsorganer har så langt sett behov for å innhente tolkningsuttalelse fra EFTA-domstolen. Det er ingen grunn til å anta at forordningen er oversett, så forklaringen på at norske tvisteløsningsorganer så langt ikke synes å ha vært i nevneverdig tvil med hensyn til forståelsen av forordningen må søkes på annen kant.

(C-683/21)

FA