Vägledning och praxis

Hur personuppgiftsansvaret ska tolkas har alltså i stor utsträckning lämnats till olika

tillsynsorgan, men också praxis. Att notera är att en stor del av den praxis som finns på ämnet personuppgiftsansvar och artikel 29-gruppens yttrande som används flitigt är från en tid då dataskyddsförordningen inte fanns. Det utgör dock inget hinder från att tillämpa dessa källor då definitionen av personuppgiftsansvaret ser nästan likadant ut i dataskyddsförordningen såsom det gjorde i dataskyddsdirektivet. Dataskyddsförordningen som ändå får sägas vara en relativt ny lagstiftning med sina blotta två år, innebär att det inte funnits en alltför lång tid att pröva dess funktion, eller framförallt att pröva den i domstol. Det är möjligt att problem gällande personuppgiftsansvarets gränser ännu inte uppdagats i och med användningen av förordningen, och att det är ett framtida problem för tillsynsmyndigheter och domstolar att ta itu med.

Av uppsatsen framgår att personuppgiftsansvaret tolkas väldigt extensivt och att anledningen till det är att upprätthålla ett starkt och effektivt skydd för enskildas personuppgifter. Frågan är dock vad konsekvensen av detta egentligen blir.

I målen Wirtschaftsakademie Schleswig-Holstein och Fashion ID så innebär domstolens resonemang att personuppgiftsansvar kan föreligga genom att parten möjliggör att en behandling kan ske. Det kan dock inte räcka med ett sådant krav enligt förordningens bestämmelser, utan det måste finnas ett bestämmande av ändamål eller åtminstone av de väsentliga medlen för behandlingen för att kunna betraktas som ansvarig. Vad som utgör väsentliga medel för en behandling finns det ingen uttömmande lista över, men det tycks vara frågor om hur behandlingen ska gå till och vad som är avgörande för att behandlingen kan eller får ske. Fashion ID skulle ju till exempel kunna sägas bestämma de väsentliga medlen för behandlingen av personuppgifter tillsammans med Facebook i och med att bolaget i praktiken avgör att behandling kan genomföras och på vilket sätt. Resultatet är att det

utesluter exempelvis att elbolaget, som generaladvokaten tar upp som exempel, skulle kunna bli personuppgiftsansvarig endast genom att indirekt göra möjligt för en

personuppgiftsbehandling då det varken varit med och bestämt några ändamål eller medel. Vad praxis däremot tydligt visar är att personuppgiftsansvaret inte inbegriper att de ansvariga faktiskt har tillgång till de uppgifter de är ansvariga för. Detta har konstaterats i både Jehovan todistajat, Wirtschaftsakademie Schleswig-Holstein, Fashion ID samt HFD 2012 ref. 21. Så länge det finns ett utbyte eller förtjänst mellan två parter kan det föranleda ett gemensamt ansvar över ändamålen, som exempelvis i Jehovan todistajat där samfundet i och med insamlandet av uppgifter underlättade för spridandet av sitt budskap, eller Fashion ID där företaget i samband med insticksprogrammet på deras hemsida fick större möjligheter att marknadsföra sig på Facebook. Även om detta gjordes gällande under tiden för

dataskyddsdirektivet torde principen vara användbar även i fråga om dataskyddsförordningen. Likaså står det klart att ett gemensamt personuppgiftsansvar inte nödvändigtvis behöver vara ett lika fördelat ansvar utan parterna kan vara inblandade i olika utsträckning av behandlingen och ansvarsfördelningen bör således återspegla det verkliga förhållandet, det konstateras i både Wirtschaftsakademie Schleswig-Holstein samt SWIFT-fallet. Värt att notera är också att ett gemensamt ansvar kan föreligga för vissa behandlingsåtgärder medan det för vissa

behandlingsåtgärder finns ett ensamt ansvar.

Ett sådant förhållningssätt till ansvarsfördelning rimmar väl med att den styrande faktorn i många fall är de faktiska omständigheterna. Detta kan också sägas vara fördelaktigt med hänsyn till syftet att upprätthålla ett så effektivt skydd som möjligt för enskilda individer. Det föranleder däremot att det återigen kan bli svårare för de inblandade aktörerna att veta vilka roller de har, eller bör ha, särskilt om denna ansvarsfördelning efter hand kan förändras oavsett vad man på förhand kommit överens om. Det faktum att det heller inte finns några formella krav vad gäller inbördes arrangemang för det gemensamma personuppgiftsansvaret skulle kunna skapa svårigheter för parter att upprätta sådana och i förlängningen även skapa en ovilja att ingå verksamheter eller behandlingar där ett gemensamt ansvar kan uppstå.

Vidare så tycks det inte finnas någon konsensus, åtminstone inte inom det svenska systemet, om att de faktiska omständigheterna är det avgörande vid s.k. molntjänster. Där anser datainspektionen att det är molntjänstkunden som är ansvarig, och leverantören som är ett biträde. I biträdesrelationen ställs förvisso höga krav på att det finns ett biträdesavtal, men faktum kvarstår att det inte minst i de publika molntjänsterna kan medföra problematik kring det faktiska bestämmandet. Där kan molntjänstleverantören ha ett stort inflytande över behandlingen och i princip friskrivit sig ansvar genom standardavtal. Den

personuppgiftsansvariges möjlighet att påverka behandlingen kan således vara begränsad i sådana fall och det enda sättet att styra behandlingen kan i vissa fall vara genom valet av leverantör. Här tycks de faktiska omständigheterna enligt datainspektionen spela mindre roll. Synsättet är dock inte gemensamt för samtliga tillsynsmyndigheter inom Unionen, den franska tillsynsmyndigheten CNIL är snarare av uppfattningen att ett gemensamt

personuppgiftsansvar kan föreligga mellan molntjänstkunden och molntjänstleverantören.177 Datainspektionen har även i fråga om andra web-baserade platser har inte gett någon tydlig bild av personuppgiftsansvaret.178 Myndigheten tycks ha gått från ett mer strikt

personuppgiftsansvar för den som upprättar en sida på internet till att ha lagt mer ansvar på användaren av sådana sidor. Detta kan vara olyckligt med hänsyn till att

personuppgiftsansvaret då kan förbigås om användarna av sådana sidor inte kan bära personuppgiftsansvar enligt förordningen, och som tidigare nämns i uppsatsen kan det även vara olyckligt med hänsyn till att sådana webbaserade platser används allt mer.