Sakens bakgrunn

Et belgisk selskap vedtok under en ekstraordinær generalforsamling i januar 2019 å endre selskapets vedtekter, samt redusere selskapskapitalen. I henhold til belgisk lov skal denne typen informasjon publiseres i et offentlig tidsskrift i form av en rettsakt eller et dokument, slik at den håndheves overfor tredjeparter. Publiseringen er siste del i en treleddet prosess regulert av belgisk rett, der dokumentet først skal utarbeides av en tredjepart, her i form av en notar, og deretter sendes til domstolens register. Endestasjon er det belgiske tidsskriftet Montieur belge.

Problemet her var at notaren ved en feiltakelse hadde lagt ved personopplysninger om en privatperson som var majoritetsaksjeeier i selskapet, heriblant personens bankkontoopplysninger. Fordi feilen aldri ble oppdaget, endte det med at opplysningene ble publisert i Montieur belge. Som reaksjon på feilen, anmodet aksjeeieren Federal Public Services Justice (FPS Justice), som tidsskriftet er tilknyttet, om å slette personopplysningene hans i henhold til GDPR artikkel 17 om retten til å bli glemt. FPS Justice avslo anmodningen, noe som førte til en irettesettelse fra det belgiske datatilsynet med krav om å etterkomme aksjonærens ønske om å få personopplysningene slettet.

I 2021, to år etter publisering, anla Belgia søksmål for den belgiske lagmannsretten, med krav om annullering av datatilsynets irettesettelse.

På bakgrunn av dette har en belgisk andreinstansdomstol bedt EU-domstolen om en tolkningsuttalelse. Mer konkret ønsker retten svar på to spørsmål: 1) Er tidsskriftet «behandlingsansvarlig» etter GDPR artikkel 4 (7), og (2) innebærer artikkel 5 (2) at organet alene er ansvarlig for å overholde prinsippene i artikkel 5 (1), eller må ansvaret fordeles mellom de foregående instansene som behandlet opplysningene forut for publiseringen, altså notaren og domstolens register.

Om tolkningen av «behandlingsansvarlig»

Det første spørsmålet EU-domstolen tar stilling til er om organet ansvarlig for tidsskriftet, her FPS Justice, må anses som «behandlingsansvarlig» for personopplysningene som fremgikk av dokumentet etter GDPR artikkel 4(7).

EU-domstolen innleder vurderingen med å påpeke at «behandlingsansvarlig» etter GDPR artikkel 4 (7) forutsetter at det foreligger «behandling» av personopplysninger som definert i GDPR artikkel 4 (2), og konstaterer at tidsskriftet «behandlet» personopplysninger. Domstolen redegjør deretter for vilkårene for at noen skal anses som behandlingsansvarlig etter artikkel 4 (7), heriblant at også offentlige myndigheter, etater og andre organer kan være behandlingsansvarlig. «Behandlingsansvarlig» skal videre tolkes vidt, der formålet er å sikre en effektiv og fullstendig beskyttelse av de registrerte, se blant annet C-683/21 Nacionalis visuomenes sveikatos centras avsnitt 29.

Etter en formålsinnrettet tolkning av ordlyden i artikkel 4 (7), slutter domstolen at vurderingen av om en person eller enhet må anses som behandlingsansvarlig etter GDPR, beror på om personen eller enheten bestemmer formålet og midlene med behandlingen, og om disse formålene og midlene er bestemt av nasjonal lovgivning. Der formål og midler bestemmes av nasjonal lov, må det vurderes om loven peker ut hvem som er den behandlingsansvarlige, eller om den oppstiller vilkår for å bestemme hvem som skal anses som behandlingsansvarlig.

Basert på opplysningene fra belgiske myndigheter og datatilsynet, slutter domstolen at belgisk lov i det minste implisitt bestemmer formålet og midlene ved behandlingen av personopplysninger gjennomført av tidsskriftet Moniteur belge. Videre avfeier domstolen argumentet om at tidsskriftet ikke kan anses som behandlingsansvarlig fordi det ikke er et eget rettssubjekt. Deretter avfeies argumentet om at siden tidsskriftet ikke har fullmakt til å kontrollere dokumentene for personopplysninger forut for publisering, så kan det ikke anses som behandlingsansvarlig.

Selv om tidsskriftet ikke har mulighet til å redigere eller kontrollere dokumentet, så er det Moniteur belge alene som påtar seg oppgaven og deretter formidler rettsakten eller dokumentet. Publiseringen av slike rettsakter og dokumenter er iboende knyttet til formålet med behandlingen som er bestemt av nasjonal lovgiving, ved at rollen til et offisielt tidsskrift som Moniteur belge er begrenset til å informere offentligheten om disse rettsaktene og dokumentene, for å sikre at disse er håndhevbare overfor tredjeparter, uttaler retten.

Domstolen påpeker også at det ville være i strid med formålet med artikkel 4 (7) å ekskludere medlemsstatenes tidsskrifter fra konseptet «behandlingsansvarlig» på grunnlag av at den ikke utøver kontroll over personopplysningene som finnes i dens publikasjoner, se ved analogi dom av 13. mai 2014, Google Spain and Google, C-131/12 avsnitt 34.

Basert på vurderingen ovenfor, konkluderer EU-domstolen med at Montieur belge er «behandlingsansvarlig» etter GDPR artikkel 4 (7).

Er tidsskriftet alene ansvarlig?

Det neste spørsmålet domstolen tar stilling til er om GDPR artikkel 5 (2) enten må tolkes slik at tidsskriftet må anses å være alene ansvarlig for å overholde prinsippene i GDPR artikkel 5 (1), eller om ansvaret kumulativt påhviler det ansvarlige organet og tredjepartene som på et tidligere tidspunkt behandlet personopplysningene i dokumentet publisert av tidsskriftet.

Domstolen slutter raskt at ansvarlig organ for tidsskriftet må anses som ansvarlig etter GDPR artikkel 5 (2) for å overholde prinsippene i artikkel 5 (1). EU-domstolen går så over til å vurdere om organet alene er ansvarlig.

Her tar domstolen utgangspunkt i artikkel 4 (7) om «behandlingsansvarlig» og artikkel 26 (1) om felles behandlingsansvar. Etter å ha sammenholdt de to bestemmelsene, kommer domstolen frem til at felles behandlingsansvar mellom flere aktører kan etableres av nasjonal lovgivning, gitt at de forskjellige behandlingsoperasjonene er koblet sammen etter formål og midler bestemt av nasjonal lovgivning og at den nasjonale lovgivningen bestemmer, enten direkte eller indirekte, de respektive ansvarsområdene for hver av de felles behandlingsansvarlige.

Til slutt påpeker EU-domstolen at dersom den foreleggende domstolen konkluderer med at tidsskriftets ansvarlige organ, her FPS Justice, ikke alene er ansvarlig for å overholde prinsippene i GDPR artikkel 5 (1), vil en slik konklusjon ikke være bestemmende for spørsmålet om anmodningen om sletting av personopplysninger etter artikkel 17 skal innvilges.

Etter dette konkluderer EU-domstolen med at svaret på det andre tolkningsspørsmålet er at artikkel 5 (2), sammenholdt med artikkel 4 (7) og artikkel 26 (1), må tolkes slik at etaten eller organet ansvarlig for et offisielt tidsskrift i en medlemsstat som er behandlingsansvarlig etter artikkel 4 (7), er alene ansvarlig for overholdelsen av prinsippene i artikkel 5 (1), med mindre det er behandlingsansvarlig i fellesskap med en eller flere aktører i henhold til den nasjonale lovgivningen.

EU-domstolens konklusjon

Om tolkningen av artikkel 4 (7) i GDPR, sier EU-domstolen følgende:

En etat eller et organ ansvarlig for medlemsstatens offisielle tidsskrift kan anses som «behandlingsansvarlig», selv om organet ikke er en juridisk person. Dette gjelder imidlertid kun der organet er pålagt å publisere standard offisielle rettsakter og dokumenter. Rettsaktene og dokumentene må videre være forberedt av ansvarlige tredjeparter i henhold til gjeldende regler, for så å leveres inn til en rettsmyndighet som til slutt sender de inn til publisering. I tillegg må den nasjonale lovgivningen bestemme formålet med behandlingen av personopplysningene som er gjennomført av tidsskriftet.

Om tolkningen av artikkel 5 (2), tolket i lys av artikkel 4 (7) og artikkel 26 (1), konkluderer EU-domstolen med at:

En etat eller et organ ansvarlig for en medlemsstats offisielle tidsskrift og klassifisert som behandlingsansvarlig etter artikkel 4 (7), er alene ansvarlig for å overholde prinsippene i artikkel 5 (1) med hensyn til behandlingsoperasjoner den gjennomfører overfor personopplysninger etter nasjonal lov, med mindre felles behandlingsansvar fremgår av loven.

Forordning (EU) 2016/679 er inntatt i EØS-avtalens vedlegg XI og gjelder som norsk lov med EØS-tilpasningene, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger § 1

EU-domstolen legger nok en gang til grunn en bred definisjon av «behandlingsansvarlig» etter GDPR, og bekrefter dermed på ny den formålsdrevne og vide definisjonen av behandlingsansvarlig som er utviklet domstolens praksis, se C-131/12 Google Spain (omtalt i EUR-2014-10-4) og C-210/16 Wirtschafts-akademie Schleswig-Holstein.

(C-231/22)

LMBH