Gemensamt personuppgiftsansvar i praktiken

5.2.1 Begränsad tillgång till uppgifterna

Som ovan nämns är det de faktiska omständigheterna som i slutändan kan vara avgörande för ansvarsfördelningen mellan parterna. Det gemensamma personuppgiftsansvaret skulle kunna uppstå genom att två parter på förhand kommer överens om att en behandling ska ske av en viss anledning, på ett visst sätt och sedan upprättar ett sådant arrangemang som krävs av förordningen innan behandlingen inleds. Det är kanske så förordningen är menad att

användas, men det är inte alltid så det sker i praktiken. Det har visat sig att det gemensamma personuppgiftsansvaret inte alltid är så lätt att identifiera och att ett sådant ansvar kan

föreligga mellan två eller fler parter trots att det inte är så man kommit överens. Det skulle också kunna göra situationen ännu mer svårutredd ju fler aktörer och behandlingar som är inblandade. Ett ensamt ansvar kan ju föreligga för viss behandling medan det finns ett

gemensamt ansvar för en annan behandling och en biträdesrelation med underleverantörer för en tredje, där samma aktörer är inblandade.

Gemensamt ansvar kan också föreligga mellan två parter trots att den ena parten har en begränsad tillgång till uppgifterna. Detta är något EU-domstolen konstaterat i fallen nedan.

150 _{Se artikel 26.1 och 26.2 GDPR.}

151 _{Colcelli, Valentina, Joint Controller Agreement under GDPR, EU and Comparative Law Issues and}

Challenges Series, 3u, 2019, s. 1031.

152 _{Ibid, s. 1031 f.} 153 _{Se aritkel 26.3 GDPR.}

5.2.1.1 Jehovan todistajat

I det första målet så var frågan huruvida ett religiöst samfund kunde vara gemensamt

personuppgiftsansvarigt tillsammans med sina medlemmar för insamling av personuppgifter som medlemmarna utförde. Medlemmarna antecknade alltså uppgifter om personer de besökte genom dörrknackning i sitt predikoarbete. Uppgifterna var en del av

minnesanteckningar i syfte att kunna användas vid ett senare besök. Samfundet menade i sin tur att det inte var att betrakta som ansvarigt för personuppgifterna som samlades in.155 Domstolen menar att det i förevarande fall förvisso är medlemmarna som samlar in och behandlar uppgifterna. Däremot så framgår det att samfundet är med och organiserar,

samordnar och uppmuntrar det predikoarbete som behandlingen av personuppgifter är en del av. Insamlingen kan således sägas gagna samfundet i dess arbete att sprida sin tro. I och med detta så kan det också anses vara med och bestämma över ändamålet med behandlingen.156 Således kan samfundet betraktas som gemensamt personuppgiftsansvarigt tillsammans med dess medlemmar. Det krävs inte att samfundet har tillgång till de uppgifter som samlas in.157 EU-domstolens syn på det gemensamma ansvaret innebär för rättstillämpningen att det saknar betydelse huruvida man har faktisk tillgång till personuppgifterna så länge man kan anses ha varit med och bestämt ändamålen med behandlingen. Detta går i linje med HFD:s dom om försäkringskassan där tillgången inte heller hade någon betydelse för ansvaret så länge man kunde anses bestämt ändamålet med behandlingen.158 _{Det återspeglar den breda definitionen}

av personuppgiftsansvar som tycks ha etablerats.

5.2.1.2 Wirtschaftsakademie Schleswig-Holstein

Det andra målet är det gällande Wirtschaftsakademie Schleswig-Holstein (WHS), som genom en s.k. fanpage på Facebook erbjuder sina tjänster. Personuppgifter samlades sedan in om dem som besökte sidan med hjälp av s.k. ”kakor”. Den tyska tillsynsmyndigheten begärde att sidan skulle avaktiveras, då varken WHS eller Facebook informerade användarna om att personuppgifter samlades in och behandlades med hjälp av sådana ”kakor”. WHS kunde nämligen ta del av och använda sig av den statistik som skapades med hjälp av de insamlade personuppgifterna. Man hävdade dock ansvarsfrihet för den behandling som utfördes av Facebook eller för de kakor som Facebook skapat. WHS gjorde gällande att man inte gett Facebook i uppdrag att genomföra en behandling som de heller inte hade kontroll över eller kunde påverka. Facebooks behandling kunde inte tillskrivas WHS och tillsynsmyndigheten borde vänt sig direkt till Facebook.159

EU-domstolen gör bedömningen att endast ett användande av sociala nätverk inte medför ett personuppgiftsansvar, men att en administratör som WHS i detta fall, genom att skapa en fanpage, ger möjlighet till Facebook att placera s.k. kakor i datorn hos den som besöker sidan. Det möjliggör alltså att personuppgifter samlas in. Kakorna skapar sedan statistik som

155 _{C-25/17(Jehovan todistajat), p. 12-15.} 156 _{Ibid, p. 70-73.} 157 _{Ibid, p. 75.}     158 _{Se kap 3.3.} 159 _{C-210/16 (Wirtschaftsakademie Schleswig-Holstein), p. 14-18.}

företaget kan använda sig av och genom olika filter begära demografiska uppgifter om besökarna. Domstolen konstaterar att statistiken visserligen skickas i anonymiserad form till administratören, men att det enligt dataskyddslagstiftningen inte krävs att samtliga aktörer under gemensamt personuppgiftsansvar måste ha tillgång till uppgifterna. Administratören kan därför betraktas som gemensamt personuppgiftsansvarig tillsammans med Facebook. En administratör kan såldes inte använda sig av Facebook och nyttja dess tjänster för sin

verksamhet och samtidigt undgå de skyldigheter som finns i fråga om skydd av

personuppgifter. 160 Både generaladvokaten och domstolen påpekar dock att det faktum att det föreligger ett gemensamt personuppgiftsansvar mellan parterna inte nödvändigtvis måste innebära att parterna har ett likvärdigt ansvar.161

5.2.1.3 Fashion ID

Ett annat mål som varit uppe för avgörande i EU-domstolen är Fashion ID. Detta är ett bolag som säljer kläder via en hemsida på nätet. På hemsidan har det integrerat en ”Gilla”-knapp från Facebook. Det innebär att besökarens IP-adress och annan teknisk information skickas till Facebook Irland. Det krävs inte att besökaren av Fashion IDs hemsida trycker på Gilla- knappen eller att besökaren har ett konto hos Facebook.162

Fashion ID menar att det inte föreligger ett personuppgiftsansvar, då företaget inte har något inflytande över de uppgifter som översänds till Facebook Irland eller vet hur dessa uppgifter används.163 Generaladvokat Bobek uttalar i sitt förslag till avgörande att Fashion ID förvisso inte varit inblandad i Facebook Irlands efterföljande behandling, men att bolaget faktiskt kan sägas ha att göra med orsaken till varför uppgifterna förs över till Facebook. Det har haft faktiskt inflytande över detta genom att ha integrerat ”gilla”-knappen på sin hemsida.164 Domstolen hänvisar i sin tur till domen i Wirtschaftsakademie Schleswig-Holstein, som innebär att definitionen av personuppgiftsansvarig måste tolkas i vid bemärkelse till förmån för ett effektivt skydd för den enskildes personuppgifter. Den tar även ledning från domen i målet Jehovan todistajat och menar att en personuppgiftsansvarig inte måste ha tillgång till alla uppgifter som samlas in eller behandlas.165 Fashion ID har genom att göra tillgängligt det insticksprogram som ”gilla”-knappen utgör på sin hemsida möjliggjort för personuppgifterna att skickas till Facebook Irland. De kan därför sägas att Fashion ID fastställer ändamålen och medlen för översändandet av personuppgifter. Om inte Fashion ID integrerat ett sådant program på sin webbplats så skulle den vidare behandlingen inte vara möjlig och företaget kan därför sägas ha ett väsentligt inflytande över insamlingen. Det verkar dessutom ha varit medvetet om att programmet fungerade på ett sådant sätt och åtminstone indirekt samtyckt till insamlingen av personuppgifter när man integrerat en sådan funktion på sin hemsida i syfte att åtnjuta de kommersiella fördelar som ”gilla”-knappen innebär, genom att dess produkter på så sätt blir mer synliga på Facebook. Det ska därför bedömas gemensamt

160 _{Ibid, p. 35-40.}

161 _{Ibid, p. 43.}    

162 _{C-40/17 (Fashion ID), p. 25-26.} 163 _{Ibid, p. 34.}

164 _{Förslag till avgörande av Generaladvokat Michal Bobek, mål C-40/17, p. 51.}   165 _{C-40/17 (Fashion ID), p. 67-69.}

personuppgiftsansvarigt tillsammans med Facebook Irland. Med det sagt så påpekar dock domstolen att detta inte innebär att Fashion ID är med och fastställer ändamålen för den behandling som Facebook Irland senare genomför.166 I förslag till avgörande, som fungerar som ett oavhängigt juridiskt yttrande, så har generaladvokat Bobek yttrat att en sådan bedömning av personuppgiftsansvaret skulle kunna få stora konsekvenser för hur externt innehåll på webbplatser hanteras, särskilt med hänsyn till att det inte är ovanligt att

webbplatser integrerat olika typer av externt innehåll, som exempelvis ”gilla”-knappen, på sina hemsidor.167

Generaladvokaten tar sedan upp i sitt förslag till avgörande, det faktum att domstolen i sin praxis tycks tillämpa personuppgiftsansvaret i lagstiftningen väldigt extensivt och han menar att domstolen än så länge inte behövt ta itu med de praktiska problem som skulle kunna uppstå genom en sådan vid tolkning av begreppet. I de två ovanstående målen

(Wirtschaftsakademie Schleswig-Holstein och Jehovan todistajat) så har domstolen i hopp om att säkerställa ett effektivt skydd för enskildas personuppgifter, till synes bedömt att det avgörande kriteriet för fastställandet av gemensamt personuppgiftsansvar är att parten ska ha gjort det möjligt att samla in och behandla uppgifterna. Ställer man detta på sin spets kan det vara svårt, även om det inte är lagstiftarens eller domstolens avsikt, att se hur en vanlig

användare av applikationer på internet såsom sociala medier eller andra plattformar inte skulle kunna vara gemensamt personuppgiftsansvariga. Inte sällan registrerar användaren ett konto och får själv konfigurera detta utefter vilken information man vill ha och kan på så sätt möjliggöra en insamling av personuppgifter. I slutändan skulle man kunna fråga sig om inte internetleverantören, eller kanske elbolaget, som gör det möjligt att behandla uppgifterna genom att möjliggöra för användningen av internet, också skulle kunna vara

personuppgiftsansvariga. Det naturliga svaret på den frågan skulle vara nej men Bobek belyser ändå här problematiken med att det inte riktigt går att avgränsa ansvaret genom den breda definition som domstolen vidhåller.168

5.2.2 Från biträde till ansvarig

Ett annat scenario där gemensamt personuppgiftsansvar kan uppstå utan att det på förhand tydliggjorts mellan parterna är vad som till en början är en biträdesrelation, men som p.g.a. de faktiska omständigheterna är att betrakta som ett gemensamt personuppgiftsansvar. Det är ju enligt förordningen möjligt för ett biträde att övergå till personuppgiftsansvarig,169 både ensam och tillsammans med andra. Att en biträdesrelation egentligen är att betrakta som ett gemensamt personuppgiftsansvar medför andra krav på behandlingen för aktörerna och kommer att påverka ansvarsfördelningen dem emellan. En situation övergår från en

biträdesrelation till ett gemensamt personuppgiftsansvar om kraven på avtalet mellan parterna inte har följts eller om instruktionerna om behandlingen av personuppgifterna till biträdet är

166 _{Ibid, p. 76-81.}

167  _{Förslag till avgörande av Generaladvokat Michal Bobek, mål C-40/17, p. 52.}   168 _{Ibid, p. 71-75.}

för otydliga och öppnar för ett större självbestämmande. Det kan sägas att det ställs relativt höga krav på biträdesavtalet och det förutsätter att parterna också följer ett sådant avtal.170 Datainspektionen har tidigare konstaterat att de lokala organisationerna och förbunden inom både Moderaterna och Vänsterpartiet är gemensamt ansvariga tillsammans med sina

respektive centrala riksorganisationer för behandlingen av personuppgifter som sker i de medlemsregister som partierna för över sina medlemmar,171 trots att de på förhand pekats ut som en biträdesrelation. Datainspektionen menar att ett sådant avtal inte kan vara avgörande, istället måste parternas verkliga ställning avgöras utifrån de faktiska omständigheterna.172 Ett uppmärksammat fall där en uttalad biträdesrelation kanske egentligen är att betrakta som ett gemensamt personuppgiftsansvar är det s.k. SWIFT-fallet. SWIFT är ett internationellt transaktionsbolag med säte i Belgien som underlättar penningöverföringar mellan finansiella institut. Den information som översänds innehåller personuppgifter om bl.a. betalare och mottagare. Efter terroristattacken den 11 september 2001 så begärde USAs finansdepartement att SWIFT skulle tillgängliggöra vissa personuppgifter som bolaget behandlade åt

finansinstituts vägnar i USA. SWIFT i sin tur gick med på begäran och tillgängliggjorde dessa uppgifter.173

SWIFT betraktade sig själv som endast medlare mellan finansiella institut och betraktade sig endast som ett personuppgiftsbiträde.174 _{Artikel 29-gruppen menade dock att endast det}

faktum att ett avtalat förhållande mellan SWIFT och de finansiella instituten förelåg där man använde sig av benämningen underleverantör, inte innebar att det förelåg en biträdesrelation. Artikel-29-gruppen påpekade att det är de faktiska omständigheterna som måste vara

avgörande och att SWIFT över tid tagit sig an ansvar som sträcker sig utanför vad som kan anses vara rimligt för ett personuppgiftsbiträde. Till exempel förhandlade SWIFT fram villkoren för hur överföringen av uppgifter skulle gå till på ett icke-transparent sätt med finansdepartementet. Det skedde utan finansinstitutens vetskap eller samtycke. SWIFT har således haft möjlighet att bestämma över ändamålen och medlen genom att ändra, utveckla och marknadsföra sina tjänster.Med hänsyn till det effektiva utrymme SWIFT har att agera så fann Artikel-29 gruppen att bolaget inte kan anses vara endast ett personuppgiftsbiträde åt de finansiella instituten utan måste åläggas ett personuppgiftsansvar.175

Artikel 29-gruppen menar vidare att SWIFT tillsammans med de finansiella instituten har ett gemensamt personuppgiftsansvar och att de finansiella instituten därmed har ett ansvar att bedöma riskerna med att använda sig av SWIFTs tjänster. I och med det gemensamma personuppgiftsansvaret så föreligger ett ansvar dels att se till så att den egna verksamheten

170 _{Wendleby & Wetterberg, s. 173.}

171 _{Datainspektionens beslut 2012-05-31 dnr 1671-2011, se även Datainspektionens beslut 2012-05-31 dnr 1670-}

2011.

172 _{Beslut 2012-05-31 dnr 1671-2011.}  

173 _{Artikel 29-gruppen, WP 128, Opinion 10/2006 on the processing of personal data by the Society for}

Worldwide Interbank Financial Telecommunication (SWIFT), 2006, s. 2.

174 _{Artikel 29-gruppen, WP 128, s. 10f.} 175 _{Ibid, s. 11.}    

följer dataskyddslagstiftningen, dels i viss uträckning att den andra parten lever upp till kraven för dataskyddet. Däremot innebär det gemensamma ansvaret inte ett jämnt fördelat ansvar, varför SWIFT kan åläggas det primära ansvaret för den behandling som sker i dess tjänst och att de finansiella instituten endast har ett visst ansvar över sina klienters uppgifter i SWIFTs behandling.176

Artikel 29-gruppen bedömer således aktörernas förhållande efter det faktiska inflytande som SWIFT har. Det faktum att SWIFT själv betraktar sig som ett biträde och de avtal som upprättats parterna emellan fastställer dess roll som underleverantör är alltså sekundärt i bedömningen. En sådan bedömning som Artikel 29-gruppen gör förhindrar att en part behandlar personuppgifter utan en personuppgiftsansvarigs samtycke eller vetskap och samtidigt undgår att själv ha ansvar för en sådan behandling. Det ter sig naturligt att

ansvarsfördelningen ska ske utefter det inflytande parten har. Dock så kan det också innebära en viss problematik i att kunna avgöra vilket ansvar som man kan tänkas ha över en

behandling och hur denna kan förändras under tiden oavsett vad man ursprungligen avtalat.

5.3 Sammanfattning

Det gemensamma personuppgiftsansvaret fastställs på liknande sätt som det ensamma

personuppgiftsansvaret, genom att se till de faktiska omständigheterna. Syftet med införandet av det gemensamma personuppgiftsanasvaret i Dataskyddsförordningen tycks vara att stärka skyddet för behandlingen av enskildas personuppgifter, och täcka eventuella kryphål för ansvariga. Liksom konstateras i fallet med SWIFT innebär det också ett skydd för andra personuppgiftsansvariga om en part eller ett biträde börjar behandla personuppgifter utan dennes vetskap eller samtycke. Däremot konstateras det både i praxis och av artikel 29- gruppen att ett gemensamt personuppgiftsansvar inte behöver innebära att likvärdigt ansvar mellan alla parter. De formella kraven på det gemensamma personuppgiftsansvaret verkar obefintliga i förordningen, bortsett från kravet på det inbördes arrangemang som måste upprättas. Även om detta bör utformas skriftligen så ställs det inga övriga krav, förutom att arrangemanget ska reflektera principen om öppenhet genom att göras tillgänglig för den registrerade. Hur gemensamt personuppgiftsansvar ska bedömas verkar vara en fråga att avgöra i det enskilda fallet och trots EU-domstolens vägledning i frågan om gemensamt personuppgiftsansvar så tycks det fortsatt finnas gränsdragningsproblematik kring när gemensamt personuppgiftsansvar föreligger och i vilken utsträckning.

176 _{Ibid, s. 13.}