meny

Referat av EU-domar

På den här sidan hittar du Datainspektionens referat av EU-domstolens domar på personuppgiftsområdet från 2019 och framåt. Referaten är sammanfattningar av domstolens domar där vi har valt ut de mest relevanta delarna av domstolens resonemang. Du hittar en länk till den officiella versionen av EU-domstolens dom i fulltext efter referatet.

Obs! Datainspektionens referat ska inte uppfattas som officiell rättsinformation från EU-domstolen eller något annat av EU:s organ. Referaten är tänkta att fungera som vägledande material i aktuella rättsfrågor och som ett komplement till de officiella domskälen. Om det ser ut som att något i referaten skiljer sig från hur EU-domstolen har formulerat sig, så är det alltid EU-domstolens version som är den korrekta.

Vad är EU-domstolens roll på dataskyddsområdet?

Europeiska unionens domstol, EU-domstolen, är den högsta domstolen i frågor som rör Europeiska unionens rättsordning. Deras domar innehåller ofta förtydligande uttalanden om hur man ska förstå enskilda bestämmelser i EU:s direktiv och förordningar. Eftersom dataskyddslagstiftningen i grunden är gemensam för hela EU så får EU-domstolens domar stor betydelse för hur dataskyddsreglerna ska tillämpas i medlemsstaterna.

EU-domstolen har också befogenhet att förklara att en EU-rättslig lagregel är oförenlig med EU-fördragen eller EU:s stadga om de mänskliga rättigheterna och de grundläggande friheterna. En lagregel som strider mot fördragen eller stadgan får inte tillämpas av nationella myndigheter och domstolar.

Domar och förslag till avgöranden

EU-domstolens främsta uppgift är att slutgiltigt avgöra mål, och på så vis förtydliga hur en viss regel ska tolkas i en viss situation. Till hjälp i detta har domstolen en grupp generaladvokater, som har till uppgift att lämna förslag till domstolen på hur ett visst mål ska avgöras. I slutändan bestämmer domstolen självständigt hur saken ska avgöras, men i praktiken utgår man ofta från generaladvokatens förslag. Därför kan även själva förslagen innehålla bra vägledning och intressanta resonemang. 

2019

Bevakningskameror är tillåtna i flerbostadshus endast när det är absolut nödvändigt, mål C-708/18Ogiltigt samtycke genom förikryssad ruta, mål C-673/17"Rätten att bli bortglömd" gäller inte globalt, mål C-507/17 "Synnerligen allvarligt" att visa känsliga personuppgifter i sökmotor, mål C-136/17"Gilla-knapp" på webbplats kan innebära gemensamt personuppgiftsansvar, mål C-40/17 Privatundantaget omfattar inte offentliga Youtubeklipp, mål C-345/17Tullmyndighet får kräva företag på skatteuppgifter, mål C-496/17

Bevakningskameror är tillåtna i flerbostadshus endast när det är absolut nödvändigt, mål C-708/18

Dom av den 11 december 2019

EU-domstolen konstaterar att kamerabevakning i ett flerbostadshus utan samtycke endast är lagligt om det inte rimligen är möjligt att uppnå samma ändamål på något annat sätt som är lika effektivt, men mindre ingripande i den personliga integriteten. 

Domstolens resonemang

Domstolen konstaterar att det kan vara lagligt att använda sig av bevakningskameror i ett flerbostadshus utan samtycke för att skydda ett berättigat intresse när det är "absolut nödvändigt" (punkt 46). Det innebär att bevakningen endast är laglig om det inte rimligen är möjligt att skydda samma intresse på ett lika effektivt sätt genom andra medel som i mindre utsträckning inkräktar på de registrerades grundläggande fri- och rättigheter, i synnerhet rätten till respekt för privatlivet och rätten till skydd för personuppgifter (punkt 47). Proportionaliteten i den personuppgiftsbehandling kamerabevakningen innebär måste beaktas, vilket medför att alternativa åtgärder, såsom exempelvis inpasseringssystem med porttelefon, först kan behöva ha prövats och visat sig otillräckliga för ändamålet (punkt 49). Villkoret innebär också att den som bedriver bevakningen måste undersöka om det till exempel räcker att kamerorna används endast nattetid, eller om man kan blockera delar av bilden ur kamerans upptagningsområde (punkt 51).

Bakgrund

En rumänsk bostadsrättsförening hade satt upp kamerabevakningsutrustning i ett flerbostadshus och inhämtade samtycke till den personuppgiftsbehandling som kamerabevakningen innebar från samtliga boende i huset. En boende valde att dra tillbaka sitt samtycke efter detta, men bostadsrättsföreningen fortsatte trots detta att använda kamerabevakningssystemet. Den boende stämde därför bostadsrättsföreningen vid rumänsk domstol och yrkade att föreningen skulle föreläggas att avinstallera kamerabevakningssystemet. För att kunna avgöra målet valde distriktsdomstolen i Bukarest att inhämta ett förhandsavgörande från EU-domstolen för att få klarhet i under vilka förutsättningar kamerabevakning utan samtycke kan vara lagligt.

Läs mer på InfoCuria

Ogiltigt samtycke genom förikryssad ruta, mål C-673/17

Dom av den 1 oktober 2019

Europeiska unionens domstol konstaterar att det inte är möjligt att inhämta ett giltigt samtycke till personuppgiftsbehandling genom att använda en på förhand ikryssad ruta på en webbplats.

Domstolens resonemang

Domstolen tar upp att det i princip inte finns något formkrav för hur ett samtycke kan lämnas, och att det finns uttryckligt stöd i relevanta beaktandeskäl för att samtycke i och för sig kan inhämtas ”genom markeringar i en ruta på en webbplats” (punkt 49). Samtidigt tar domstolen även fasta på att enligt den juridiska definitionen av ett samtycke så måste samtycket lämnas genom en ”otvetydig viljeyttring”. Domstolen konstaterar att endast ett aktivt beteende från en person uppfyller detta krav (punkt 52-54). Det innebär att om man istället måste avmarkera en på förhand ikryssad ruta för att vägra sitt samtycke, så är det inte att anse som ett giltigt samtycke.

Bakgrund

Det tyska företaget Planet49 GmbH hade anordnat en pristävling på en webbplats, där en användare vid deltagandet presenterades med en på förhand ikryssad ruta i webbformuläret. Om man inte kryssade ur rutan ansåg Planet49 att man lämnat sitt samtycke till att företaget placerade kakor på användarens utrustning, så att företaget kunde utvärdera användarens surfbeteende i syfte att möjliggöra riktad reklam till användaren.

För att det ska vara lagligt att placera kakor på en dator eller liknande enhet, så krävs enligt EU-rätten att användaren först har lämnat sitt samtycke till detta. De exakta förutsättningarna regleras inte i dataskyddsförordningen utan i ett annat direktiv och den nationella lagstiftning som genomför direktivet, men i båda regelverken har begreppet ”samtycke” samma definition och innebörd.

En tysk konsumentskyddsmyndighet stämde Planet49 GmbH vid tysk domstol eftersom man menade att den på förhand ikryssade rutan stred mot den genomförande tyska lagstiftningen. Frågan gick upp till den tyska Federala högsta domstolen som valde att inhämta ett förhandsavgörande från EU-domstolen för att få klarhet i om ett samtycke som inhämtats genom en på förhand ikryssad ruta kan anses giltigt.

Läs mer på InfoCuria

Dom i mål C-673/17 i fulltext
Generaladvokatens förslag i mål C-673/17

"Rätten att bli bortglömd" gäller inte globalt, mål C-507/17

Dom av den 24 september 2019

EU-domstolen konstaterar att om en enskild begär att en sökmotor ska ta bort vissa länkar som visas vid en sökning på det egna namnet, så ska länkarna tas bort från alla versioner av sökmotorn som finns på EU-medlemsstaternas toppdomäner, såsom .se, .fr eller .dk. Däremot behöver länkarna inte per automatik göras otillgängliga vid sökningar som görs från tredje länder.


Domstolens resonemang

EU-domstolen noterar inledningsvis att en skyldighet att göra sökträffar otillgängliga globalt i och för sig skulle vara ägnad att uppfylla dataskyddsförordningens generella mål (punkt 55). Vidare finns det mycket som talar för att unionslagstiftaren skulle vara behörig att besluta om en sådan skyldighet (punkt 58). Införandet av en sådan skyldighet skulle dock behöva föregås av en noggrann avvägning mellan rätten till skydd för privatlivet å ena sidan och rätten till yttrande- och informationsfrihet å andra sidan, vilket inte har gjorts i förhållande till tredje länder (punkt 61). Det finns heller inget i förordningstexten som talar för att det varit unionslagstiftarens avsikt att införa en sådan skyldighet (punkt 62). Domstolen anser därför att det inte finns någon automatisk skyldighet att göra sökträffar otillgängliga globalt (punkt 64).

Vidare förklarar domstolen att vid borttagning av sökträffar så är sökmotorleverantörerna ansvariga för att vidta åtgärder som är tillräckligt effektiva för att skydda den berörda personens rätt till privatliv. Åtgärderna ska hindra eller i betydande utsträckning avhålla andra internetanvändare från att komma åt de aktuella länkarna genom att söka på personens namn (punkt 70).

Avslutningsvis påpekar domstolen att dataskyddsförordningen förvisso inte heller begränsar rätten att bli bortglömd till att under alla omständigheter endast gälla inom EU:s gränser. En nationell tillsynsmyndighet eller domstol kan därmed i ett enskilt fall finna att vissa sökträffar faktiskt ska göras otillgängliga globalt om det finns stöd för detta enligt nationell rätt som gäller skydd av grundläggande rättigheter (punkt 72).

Bakgrund

Den franska dataskyddsmyndigheten, CNIL, hade förelagt en sökmotorleverantör att när de gör sökträffar otillgängliga enligt rätten att bli bortglömd, så måste sökträffarna göras otillgängliga i samtliga versioner av sökmotorn. Sökmotorleverantören rättade sig inte efter beslutet utan valde istället att fortsättningsvis göra sökträffarna otillgängliga i de versioner av sökmotorn som använde de toppdomäner som motsvarar EU:s medlemsstater, det vill säga .se för Sverige, .fr för Frankrike och så vidare. CNIL beslutade därför att sökmotorleverantören skulle betala en sanktionsavgift om 100 000 euro.

Sökmotorleverantören överklagade beslutet till den franska högsta förvaltningsdomstolen, Conseil d'État och anförde att CNIL:s ursprungliga beslut utgjorde en oproportionerlig begränsning av yttrande- och informationsfriheten. Domstolen valde att inhämta ett förhandsavgörande från EU-domstolen för att få svar på frågan om det fanns en skyldighet enligt dataskyddsförordningen att göra sökträffar otillgängliga globalt.

Läs mer på InfoCuria

Dom i mål C-507/17 i fulltext
Generaladvokatens förslag i mål C-507/17

"Synnerligen allvarligt" att visa känsliga personuppgifter i sökmotor, mål C-136/17

Dom av den 24 september 2019

EU-domstolen konstaterar att sökmotorleverantörer får behandla känsliga personuppgifter på samma villkor som andra personuppgiftsansvariga. När en enskild begär borttagning av sökträffar som innehåller känsliga personuppgifter kan det finnas anledning för sökmotorleverantören att betrakta personuppgiftsbehandlingen som ett "synnerligen allvarligt ingrepp" i den enskildes rätt till skydd för sitt privatliv.

Domstolens resonemang

EU-domstolen konstaterar inledningsvis att förbudet mot behandling av känsliga personuppgifter är tillämpligt för en sökmotorleverantör i sin egenskap av personuppgiftsansvarig (punkt 34-48). Samtidigt noterar domstolen att sökmotorleverantören kan motivera sin behandling med hänsyn till de undantag som finns från det förbudet, särskilt om behandlingen avser uppgifter som den registrerade själv har offentliggjort på ett tydligt sätt (punkt 61-63). Domstolen poängterar dock att även om behandlingen är laglig så kan en registrerad person ha rätt att få sökträffar borttagna ändå, och att rätten till skydd för den enskildes privatliv i allmänhet väger tyngre än andra internetanvändares rätt till information när det gäller borttagning av sökträffar (punkt 66). Domstolen förtydligar även att om en sökträff innehåller känsliga personuppgifter så kan personuppgiftsbehandlingen utgöra ett synnerligen allvarligt ingrepp i den personliga integriteten, vilket ska vägas in i bedömningen (punkt 67).

Avslutningsvis förtydligar domstolen att när det gäller uppgifter om lagöverträdelser så har sökmotorleverantören även ett ansvar att se till att en internetanvändare får en rättvisande helhetsbild av den aktuella rättsliga situationen. Detta innebär att sökmotorleverantören kan vara skyldig att ordna listan med sökträffar så att sajter med aktuell information visas högst upp på sidan (punkt 78).

Bakgrund

Fyra registrerade personer hade ansökt om borttagande av sökträffar hos en sökmotorleverantör. Gemensamt för alla sökträffar var att de innehöll uppgifter om personerna som utgjorde känsliga personuppgifter eller uppgifter om lagöverträdelser enligt dataskyddsförordningen. Sökmotorleverantören vägrade ta bort sökträffarna och de registrerade personerna kom därför in med klagomål mot sökmotorleverantören till den franska dataskyddsmyndigheten, CNIL.

CNIL avslog klagomålen och de registrerade personerna överklagade dessa avslagsbeslut till den franska högsta förvaltningsdomstolen, Conseil d'Ètat. Domstolen valde att inhämta ett förhandsavgörande från EU-domstolen för att få svar på hur långt skyldigheten att göra sökträffar otillgängliga sträcker sig när sökträffarna innehåller känsliga personuppgifter.

Läs vidare på InfoCuria

Dom i mål C-136/17 i fulltext
Generaladvokatens förslag i mål C-136/17

"Gilla-knapp" på webbplats kan innebära gemensamt personuppgiftsansvar – referat från Europeiska unionens domstol, mål C-40/17

Dom av den 29 juli 2019

EU-domstolen konstaterar att en webbplatsinnehavare som använder insticksprogram från sociala nätverk på sin webbplats kan bli gemensamt personuppgiftsansvarig med det sociala nätverket. Detta gäller för den insamling samt utlämnande genom översändande av webbplatsbesökarnas personuppgifter som utförs med hjälp av det sociala nätverkets insticksprogram.

Domstolens resonemang

Domstolen konstaterar att den personuppgiftsansvarige är den fysiska eller juridiska som ensam eller tillsammans med andra bestämmer ändamålen och medlen för en viss behandling av personuppgifter (punkt 65). För att ett gemensamt personuppgiftsansvar ska föreligga så krävs det inte att samtliga parter faktiskt har tillgång till personuppgifterna som behandlas, utan det kan räcka om en part påverkar behandlingen i eget syfte för att personuppgiftsansvar ska uppstå (punkt 68-69). Respektive part är dock bara ansvarig för de delar av "behandlingskedjan" som man faktiskt bestämmer ändamål och medel för (punkt 74). Det gäller exempelvis skyldigheten att inhämta samtycke till behandlingen och informera den registrerade om den behandlingen (punkt 101-105).

Genom att integrera ett insticksprogram från ett socialt nätverk som översänder webbplatsbesökarnas personuppgifter till det sociala nätverket på sin webbplats så har företaget åtminstone tillräckligt stort inflytande över behandlingen för att bestämma att den ska inledas eller avslutas. Företaget har även ett ekonomiskt intresse i att behandlingen utförs. Dessa omständigheter är tillräckliga för att företaget ska kunna anses vara gemensamt personuppgiftsansvarigt med det sociala nätverket för den del av personuppgiftsbehandlingen som utförs genom insticksprogrammet (punkt 77-84).

Bakgrund

Ett tyskt modeföretag hade använt sig av insticksprogram från ett socialt nätverk i form av en "Gilla-knapp" på sin webbplats. Insticksprogrammet innehöll en funktion som innebar att om en internetanvändare besökte företagets webbplats så översändes vissa personuppgifter om användaren till det sociala nätverket, oavsett om användaren använde "Gilla-knappen" eller inte och oavsett om användaren själv var medlem i det sociala nätverket. Modeföretaget informerade inte sina webbplatsbesökare om detta på något sätt.

En tysk konsumentorganisation stämde modeföretaget vid Düsseldorfs regionala domstol och yrkade att domstolen skulle förelägga företaget att upphöra med personuppgiftsbehandlingen. Domstolen biföll talan delvis och modeföretaget överklagade till den regionala överdomstolen. Där anförde modeföretaget särskilt att man inte kunde anses vara personuppgiftsansvariga för behandlingen, och att talan därför skulle ogillas. Den regionala överdomstolen valde att inhämta ett förhandsavgörande från EU-domstolen för att få svar på om en webbplatsinnehavare kan anses vara personuppgiftsansvarigt för den här sortens personuppgiftsbehandling som utförs av ett annat företag.

Läs mer på InfoCuria

Dom i mål C-40/17 i fulltext
Generaladvokatens förslag i mål C-40/17

Privatundantaget omfattar inte offentliga Youtubeklipp, mål C-345/17

Dom av den 14 februari 2019

EU-domstolen bekräftar sin tidigare praxis, enligt vilken privatundantaget inte omfattar spridning av personuppgifter på internet till ett obegränsat antal personer. Domstolen förtydligar även hur begreppet "journalistiska ändamål" ska tolkas.

Domstolens resonemang

EU-domstolen konstaterar inledningsvis att det är en form av personuppgiftsbehandling att filma enskilda personer och att publicera sådana filmklipp på internet (punkt 29-39). Enligt domstolens tidigare praxis kan en spridning av personuppgifter på internet till ett obegränsat antal personer inte omfattas av privatundantaget, vilket innebär att privatundantaget inte är tillämpligt i det här specifika fallet (punkt 43). 

Avslutningsvis förtydligar domstolen hur man avgör ifall en behandling av personuppgifter har skett uteslutande för journalistiska ändamål. Så är fallet om behandlingen endast syftar till att sprida information, åsikter eller idéer till allmänheten (punkt 62). Domstolen noterar även att undantaget för journalistiska ändamål endast ska tillämpas om det är nödvändigt för att förena rätten till skydd för personuppgifter med rätten till yttrandefrihet (punkt 63). I den bedömningen ska man särskilt beakta Europadomstolens rättspraxis kring avvägningen mellan dessa rättigheter (punkt 64-66).

Bakgrund

En lettisk privatperson hade spelat in ett videoklipp vid ett besök på en polisstation, som han senare publicerade på internet. På videoklippet kunde man se poliser under tjänsteutövning på polisstationen. Den lettiska dataskyddsmyndigheten, Datu valsts inspekcija, fann att han därigenom hade överträdit den lettiska dataskyddslagstiftningen bland annat genom att inte informera poliserna om denna personuppgiftsbehandling och förelade honom därför att se till att klippet togs bort.

Privatpersonen överklagade dataskyddsmyndighetens beslut till den lettiska högsta domstolen, Augstākā tiesa, och anförde att den aktuella personuppgiftsbehandlingen omfattades av hans rätt till yttrandefrihet. Domstolen valde att inhämta ett förhandsavgörande från EU-domstolen för att få klarhet i om personuppgiftsbehandlingen omfattades av dataskyddslagstiftningens tillämpningsområde samt om den kunde anses falla inom undantaget för behandling för journalistiska ändamål.

Läs mer på InfoCuria

Domen i mål C-345/17 i fulltext 
Generaladvokatens förslag i mål C-345/17

Tullmyndighet får kräva företag på skatteuppgifter, mål C-496/17

Dom av den 16 januari 2019

Bestämmelserna i EU-kommissionens genomförandeförordning 2015/2447, som reglerar vissa detaljfrågor för fastställande av en EU-gemensam tullkodex, innebär att tullmyndigheter under vissa förutsättningar kan kräva att företag som ansökt om status som godkänd ekonomisk aktör lämnar ut personanknutna skatteidentifieringnummer om vissa personalkategorier till tullmyndigheten.

Domstolens resonemang

Domstolen konstaterar inledningsvis att tullmyndigheten behöver förhålla sig till den personkrets som uttryckligen nämns i genomförandeförordning 2015/2447 när de handlägger ansökningar om status som godkänd ekonomisk aktör (punkt 40-47). Vidare slår domstolen fast att tullmyndigheten har rättsligt stöd för att behandla skatteuppgifter avseende den personkrets som fastslås i förordning 2015/2447 eftersom behandlingen är nödvändig för att uppfylla en rättslig förpliktelse som åligger tullmyndigheten (punkt 61-62). Avslutningsvis konstaterar domstolen att uppgifterna i fråga - skatteidentifieringsnummer - är relevanta och adekvata för ändamålet att handlägga en ansökan om godkännande som ekonomiskt godkänd aktör. Detta eftersom en ekonomiskt godkänd aktör i praktiken delegeras att utföra vissa uppgifter som annars ankommer på tullmyndigheten, och då måste tullmyndigheten kunna säkerställa pålitligheten hos de personer som ska arbeta med tullfrågor (punkt 63-65). Tullmyndigheters insamling av dessa uppgifter är dock endast tillåten i den mån uppgifterna tillåter tullmyndigheterna att få information om allvarliga eller upprepade överträdelser av tullagstiftningen eller skattereglerna, eller allvarliga brott som är kopplade till den ekonomiska verksamhet  som bedrivs av den som ansöker om status som godkänd ekonomisk aktör, och som begåtts av dessa fysiska personer (punkt 69).

Bakgrund

Ett tyskt företag hade ansökt hos tullmyndigheten om att få status som godkänd ekonomisk aktör, vilket skulle medföra förenklingar av tullförfarandet inom unionen för företaget. Under handläggningen av ansökan begärde tullmyndigheten att företaget skulle uppge bland annat skatteuppgifter avseende en större krets personer i ledande ställning i företaget samt för de personer som är ansvariga för tullärenden eller som hanterar tullfrågor. Tullmyndigheten uppgav att uppgifterna var nödvändiga för handläggningen och att om företaget inte lämnade in uppgifterna skulle ansökan avslås.

Företaget överklagade tullmyndighetens beslut till skattedomstolen i Düsseldorf och anförde bland annat att den personkrets som tullmyndighetens begäran avsåg var bredare än lagen tillät. Domstolen valde att inhämta ett förhandsavgörande från EU-domstolen för att fastställa om tullmyndighetens begäran var nödvändig enligt tullagstiftningen.

Läs mer på InfoCuria