ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER

Transkript

1 ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER /10/SV WP 179 Yttrande 8/2010 om tillämplig lagstiftning Antaget den 16 december 2010 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat C (Grundläggande rättigheter och unionsmedborgarskap) på Europeiska kommissionen, Generaldirektoratet för rättsliga frågor, B-1049 Bryssel, Belgien, Kontor MO59 06/036. Webbplats:

2 Sammanfattning I det här yttrandet förtydligas tillämpningsområdet för direktiv 95/46/EG, särskilt artikel 4, som avgör vilken eller vilka av de nationella dataskyddslagstiftningar som antagits enligt direktivet som kan vara tillämplig/tillämpliga på behandlingen av personuppgifter. Vidare lyfts vissa områden fram där det finns utrymme för förbättringar. Syftet med att fastställa hur EU-lagstiftningen om behandling av personuppgifter ska tillämpas är att förtydliga tillämpningsområdet för EU:s dataskyddslagstiftning inom EU/EES såväl som i ett bredare internationellt sammanhang. En tydlig förståelse av den tillämpliga lagstiftningen bidrar till att garantera rättssäkerheten för de registeransvariga och förtydligar regelverket för berörda enskilda och andra aktörer. Vidare bör en korrekt förståelse av de tillämpliga lagbestämmelserna garantera att inga luckor eller kryphål uppkommer i den höga skyddsnivå för personuppgifter som föreskrivs i direktiv 95/46. När det gäller artikel 4.1 a innebär formuleringen den medlemsstats territorium där den registeransvarige är etablerad att en medlemsstats lagstiftning är tillämplig om den registeransvarige har en etablering i den medlemsstaten och att lagstiftningen i andra medlemsstater kan vara tillämplig om samma registeransvarige har andra etableringar i dessa medlemsstater. Begreppet som ett led i verksamhet är avgörande för om en medlemsstats nationella lagstiftning är tillämplig. Detta begrepp innebär att den registeransvariges etablering ägnar sig åt verksamhet som omfattar behandling av personuppgifter, varvid hänsyn tas till graden av involvering i behandlingen, verksamhetens karaktär och behovet att garantera ett effektivt skydd av personuppgifter. När det gäller bestämmelsen om använder utrustning i artikel 4.1 c, som kan innebära att direktivet tillämpas på registeransvariga som inte är etablerade inom EU:s eller EES territorium, klargörs i yttrandet att denna bestämmelse bör vara tillämplig i de fall där det inte finns någon etablering i EU/EES som omfattas av tillämpningsområdet för artikel 4.1 a eller där behandlingen inte utförs som ett led i en sådan etablerings verksamhet. I yttrandet påpekas även att en bred tolkning av begreppet utrustning vilken motiveras av att begreppet medel används på andra EU-språk i en del fall kan resultera i att europeisk dataskyddslagstiftning är tillämplig när behandlingen i fråga inte har någon verklig koppling till EU/EES. Yttrandet innehåller även vägledning och exempel som avser övriga bestämmelser i artikel 4, de säkerhetskrav som följer av den lagstiftning som är tillämplig enligt artikel 17.3, dataskyddsmyndigheternas möjlighet att använda sina befogenheter att undersöka och ingripa i behandling som äger rum på deras territorium även när en annan medlemsstats lagstiftning är tillämplig (artikel 28.6). I yttrandet föreslås även att direktivets ordalydelse och enhetligheten mellan olika delar av artikel 4 kunde förtydligas ytterligare i samband med översynen av den allmänna ramen för dataskydd. Bestämmelserna om tillämplig lagstiftning skulle kunna förenklas genom en återgång till principen om ursprungsland: samma lagstiftning, dvs. den som gäller för huvudetableringen, skulle då vara tillämplig på en registeransvarigs alla etableringar i EU oberoende av inom vilket territorium de befinner sig. För att detta ska vara möjligt krävs emellertid en övergripande harmonisering av ländernas nationella lagstiftning, inbegripet en harmonisering av skyldigheterna avseende säkerheten. Ytterligare kriterier skulle kunna tillämpas när den registeransvarige är etablerad utanför EU, i syfte att säkerställa att det finns en tillräcklig koppling till EU:s territorium och samtidigt undvika att registeransvariga etablerade i tredjeland använder EU:s territorium för olaglig databehandling. Följande kriterier skulle kunna användas: inriktning på enskilda, vilket innebär att EU:s dataskyddslagstiftning tillämpas när den verksamhet som omfattar behandling av personuppgifter är inriktad på enskilda i EU, samt en begränsad tillämpning av kriteriet utrustning, men endast som en sista utväg i gränsfall (uppgifter om registrerade som inte är EU-medborgare, registeransvariga som inte har någon koppling till EU), när det finns en relevant infrastruktur i EU för behandling av personuppgifter

3 Arbetsgruppen för skydd av enskilda med avseende på behandling av personuppgifter som inrättats genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 (EGT L 281, , s. 31), HAR AVGETT DETTA YTTRANDE med beaktande av artiklarna 29, 30.1 a och 30.3 i det direktivet, och med beaktande av sin arbetsordning

4 I. Inledning... 5 II. Allmänna påpekanden och politikfrågor... 7 II.1. Kort historik: från konvention 108 till direktiv 95/46/EG... 7 II.2. Vikten av väl definierade begrepp... 7 II.2.a) Sammanhang och strategisk betydelse... 7 II.2.b) Tillämpningsområdet för EU-lagstiftningen och nationell lagstiftning i EU/EES 8 II.2.c) Undvikande av luckor och onödiga överlappningar... 9 II.2.d) Tillämplig lagstiftning och jurisdiktion inom ramen för direktivet III. Analys av bestämmelserna III.1. Registeransvarig etablerad i en eller flera medlemsstater (artikel 4.1 a) a) inom den medlemsstats territorium, där den registeransvarige är etablerad b) behandlingen utförs som ett led i verksamhet III.2. Den registeransvarige är etablerad på en plats där en medlemsstats lagstiftning gäller på grund av folkrätten (artikel 4.1 b) III.2.a) den registeransvarige inte är etablerad inom en medlemsstats territorium III.2.b) utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten III.3. Den registeransvarige är inte etablerad inom gemenskapens territorium, men behandlar personuppgifter med utrustning som befinner sig i en medlemsstat (artikel 4.1 c) a) den registeransvarige inte är etablerad på gemenskapens territorium 19 b) och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium c) om inte sådan utrustning används endast för att låta uppgifter passera genom gemenskapen d) måste utse en företrädare som är etablerad inom den berörda medlemsstatens territorium (artikel 4.2) III.4. Praktiska konsekvenser av tillämpningen av artikel 4.1 c III.5. Lagstiftning som är tillämplig på säkerhetsåtgärder (artikel 17.3) III.6. Tillsynsmyndigheternas befogenheter och samarbetet mellan dem (artikel 28.6) III.6.a) En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet III.6.b) att inom sin egen medlemsstats territorium utöva [sina] befogenheter 27 III.6.c) skall i den utsträckning som det behövs samarbeta med varandra 28 IV. Slutsatser IV.1. Förtydligande av nuvarande bestämmelser IV.2. Förbättring av nuvarande bestämmelser BILAGA

5 I. Inledning Att fastställa vilken lagstiftning som är tillämplig på behandling av personuppgifter enligt direktiv 95/46/EG (nedan kallat direktivet eller direktiv 95/46) är nödvändigt av flera skäl. Bestämmelserna om tillämplig lagstiftning är avgörande för att fastställa den externa räckvidden av EU:s dataskyddslagstiftning, med andra ord i vilken utsträckning EU:s dataskyddslagstiftning är tillämplig på behandling av personuppgifter som helt eller delvis äger rum utanför EU/EES, men ändå har en relevant koppling till EU:s eller EES territorium. Bestämmelserna om tillämplig lagstiftning avgör emellertid också dataskyddslagstiftningens tillämpningsområde inom EU/EES, så att eventuella konflikter och överlappningar mellan den nationella lagstiftningen i de medlemsstater i EU/EES som har genomfört direktivet kan undvikas 1. Vidare bör en korrekt förståelse av de tillämpliga lagbestämmelserna garantera att inga luckor eller kryphål uppkommer i den höga skyddsnivå för personuppgifter som föreskrivs i direktiv 95/46. Direktivet innehåller ett antal bestämmelser som rör frågan om tillämplig lagstiftning, särskilt artiklarna 4, 17 och 28. I dessa bestämmelser definieras den nationella dataskyddslagstiftning som är tillämplig enligt direktivet och den myndighet som ska ansvara för verkställigheten av lagstiftningen. Det är viktigt att erinra om att det finns en interaktion mellan materiell rätt och jurisdiktion. Vi behandlar detta närmare nedan. Det har hävdats att direktivets bestämmelser om tillämplig lagstiftning långt ifrån genomförs och tolkas enhetligt i Europeiska unionen. I kommissionens första rapport om genomförandet av dataskyddsdirektivet betonades att genomförandet av artikel 4 i direktivet var i flera fall bristfälligt, vilket resulterar i att det kan uppstå sådana typer av rättsliga konflikter som man genom denna artikel försökt undvika 2. Enligt den tekniska bilagan till rapporten, som innehåller en ingående analys av flera nationella bestämmelser, kan det bristfälliga införlivandet delvis förklaras av själva bestämmelsens komplexitet. På liknande sätt betonas i en undersökning som har utförts med stöd av Europeiska kommissionen 3 tvetydigheten hos de tillämpliga bestämmelserna i direktivet och det varierande genomförandet av dem och anges att det finns ett desperat behov av bättre, klarare och entydiga bestämmelser om tillämplig lagstiftning. I kommissionens nyligen offentliggjorda meddelande Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen 4 anges att [k]ommissionen kommer att utreda hur man kan se över och förtydliga de befintliga bestämmelserna om tillämplig lagstiftning. Detta skulle inbegripa en genomgång av lagvalsreglerna för att öka rättsäkerheten, förtydliga medlemsstaternas ansvar för tillämpningen av bestämmelserna Direktiv 95/46/EG gäller också EFTA-länderna Norge, Island och Liechtenstein i enlighet med EESavtalet (se Gemensamma EES-kommitténs beslut nr 83/1999 av den 25 juni 1999 om ändring av protokoll 37 och bilaga XI (Teletjänster) till EES-avtalet, EGT L 296, , s. 41). Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG), maj 2003, s. 17. Rapporten finns på Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, januari Undersökningen finns på KOM(2010) 609 slutlig,

6 om skydd av personuppgifter och för att nå en likvärdig skyddsnivå inom EU av de registrerades uppgifter, oavsett var den registeransvariga befinner sig. Komplexiteten hos problemet med tillämplig lagstiftning ökar också på grund av den ökade globaliseringen och utvecklingen av ny teknik: företagen har allt oftare verksamhet i olika jurisdiktioner och erbjuder tjänster och support dygnet runt, Internet gör det mycket lättare att tillhandahålla tjänster på distans och att samla in och sprida personuppgifter i en virtuell miljö och molntjänster gör det svårt att bestämma var personuppgifterna och den utrustning som används vid en viss tidpunkt befinner sig. Det är således avgörande att den exakta innebörden av direktivets bestämmelser om tillämplig lagstiftning är tillräcklig tydlig för alla dem som är involverade i genomförandet av direktivet eller dagligen tillämpar medlemsstaternas nationella dataskyddslagstiftning i den offentliga eller privata sektorn. Arbetsgruppen har därför beslutat att bidra till förtydligandet av vissa nyckelbestämmelser i direktivet och att utreda begreppet tillämplig lagstiftning på liknande sätt som den redan har gjort i fråga om begreppet personuppgifter samt begreppen registeransvarig och registerförare 5. I det här yttrandet hänvisar arbetsgruppen även till de andra yttranden där frågan om tillämplig lagstiftning har tagits upp i samband med de särskilda ämnen som behandlats i yttrandena 6. Arbetsgruppens slutliga mål är att skapa rättssäkerhet i tillämpningen av EU:s dataskyddslagstiftning. För detta krävs, å ena sidan, att de registrerade är medvetna om vilka bestämmelser som ger skydd för deras personuppgifter och, å andra sidan, att företagen såväl som andra privata och offentliga organ känner till vilka dataskyddsbestämmelser som gäller för den uppgiftsbehandling som de utför. Det är av stor vikt att begreppet tillämplig lagstiftning förtydligas, oavsett möjliga framtida ändringar av direktivets nuvarande bestämmelser. De nuvarande bestämmelserna kommer att förbli giltiga fram till dess att de ändras och i den utsträckning de inte ändras. Ett förtydligande av de tillämpliga lagbestämmelserna bidrar således till en bättre efterlevnad av direktivet i avvaktan på eventuella ändringar av lagstiftningen. Arbetsgruppen har dessutom när den utarbetat det här yttrandet kunnat dra nytta av erfarenheterna från tillämpningen av de nuvarande bestämmelserna i syfte att ge lagstiftaren vägledning inför en eventuell framtida översyn av direktivet. Slutligen ska det påpekas att bestämmelserna om tillämplig lagstiftning om skydd av personuppgifter reglerar tillämpningen av direktivet enbart inom dess eget tillämpningsområde, vilket fastställs i artikel 3. Bestämmelserna interagerar därför ofta med andra lagstiftningsområden utan att dessa påverkas utanför direktivets tillämpningsområde Yttrande 4/2007 om begreppet personuppgifter (WP 136), yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169). Alla yttranden finns på Framför allt arbetsdokumentet om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet (WP 56), yttrande 10/2006 om behandling av personuppgifter hos SWIFT (Society for Worldwide Interbank Financial Telecommunication) (WP 128) och yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer (WP 148). Även om direktivet innehåller bestämmelser om ansvar (artikel 23) och sanktioner (artikel 24) påverkas i princip inte de allmänna civil- eller straffrättsliga principerna, såsom det anges i skäl 21 i - 6 -

7 II. II.1. Allmänna påpekanden och politikfrågor Kort historik: från konvention 108 till direktiv 95/46/EG Vid utarbetandet av Europarådets konvention 108 från 1981 identifierades de risker som lagkonflikter innebär, eller det rättsliga tomrum som kan uppkomma vid tillämpning av olika nationella lagstiftningar. Konventionen innehåller emellertid inga särskilda bestämmelser för att åtgärda dessa problem: den omständigheten att konventionen skulle tillhandahålla en gemensam kärna av materiell rätt ansågs som en viktig garanti för att de principer som sist och slutligen tillämpas skulle vara de samma även om olika bestämmelser kvarstår och att skillnader i skyddsnivån därigenom skulle undvikas. Behovet av kriterier för att avgöra vilken lagstiftning som är tillämplig beaktades av Europeiska kommissionen när den utarbetade dataskyddsdirektivet. I det ursprungliga förslaget 8 identifierade kommissionen den plats där datafilen befinner sig som den primärt avgörande faktorn och den registeransvariges hemvist som den sekundärt avgörande faktorn när datafilen befinner sig i ett tredjeland. Vid behandlingen i Europaparlamentet och rådet flyttades tonvikten från kriteriet den plats där datafilen befinner sig till kriteriet den registeransvariges hemvist. Den plats där medlen befinner sig identifierades som det sekundära kriteriet när den registeransvarige inte är etablerad i EU. Rådet kompletterade dessa kriterier med ytterligare anvisningar om begreppet etablering. I kommissionens förslag i dess ändrade lydelse 9 angavs att behandlingen bör utföras som ett led i verksamhet där den registeransvarige är etablerad och beaktades möjligheten att den registeransvarige kan vara etablerad i flera olika medlemsstater. En viktig ändring gällde den omständigheten att det huvudsakliga kriteriet för att avgöra vilken lagstiftning som är tillämplig inte var den plats där den registeransvarige har sin huvudetablering, utan den plats där den registeransvarige har en etablering. Vi kommer nedan att gå närmare in på konsekvenserna av dessa ändringar, som innebär tillämpning av flera olika länders lagstiftning i stället för en enhetlig tillämpning av nationell lagstiftning i fall av flera etableringar. II.2. Vikten av väl definierade begrepp II.2.a) Sammanhang och strategisk betydelse Syftet med att fastställa hur EU-lagstiftningen om behandling av personuppgifter ska tillämpas är, som det påpekats ovan, att förtydliga tillämpningsområdet för EU:s dataskyddslagstiftning inom EU/EES såväl som i ett bredare internationellt 8 9 direktivet. Dessa påverkas endast i den mån det är nödvändigt att fastställa sanktioner i fall av överträdelse av dataskyddsprinciperna. I praktiken har det nationella genomförandet av direktivet resulterat i olika scenarion som eventuellt kan innefatta straffrättsliga sanktioner. För att nämna ytterligare ett exempel påverkar direktivet inte avtalsrätten (dvs. villkoren för att ingå avtal och tillämplig lagstiftning) eller andra aspekter av civilrätten utanför direktivets egna bestämmelser, även om det innehåller bestämmelser om krav på samtycke (se artiklarna 2 h, 7 a och 8.2 a) och om relevansen av avtalsförpliktelser (se artikel 7 b). KOM(1990) 314-2, , Proposal for a European Parliament and Council Directive concerning the protection of individuals in relation to the processing of personal data. KOM(1992) 422 slutlig,

8 sammanhang. En tydlig förståelse av den tillämpliga lagstiftningen bidrar till att garantera rättssäkerheten för de registeransvariga och förtydligar regelverket för berörda enskilda och andra aktörer. Identifieringen av vilken lagstiftning som är tillämplig är nära kopplad till identifieringen av den registeransvarige 10 och dennes etablering/etableringar. Den viktigaste aspekten av denna koppling är att den bekräftar den registeransvariges ansvar och företrädarens ansvar i det fall att den registeransvarige är etablerad i ett tredjeland. Som vi kommer att gå närmare in på nedan betyder inte detta att det alltid är en enda lagstiftning som är tillämplig, särskilt inte om den registeransvarige har flera etableringar. Var etableringarna finns och verksamhetens karaktär är också avgörande. Men en tydlig koppling mellan den tillämpliga lagstiftningen och den registeransvarige kan fungera som en garanti för effektivt genomförande och verkställighet, särskilt i en situation där det är svårt eller till och med omöjligt att lokalisera en datafil (vilket kan vara fallet med molntjänster). Tydliga riktlinjer för hur bestämmelserna om tillämplig lagstiftning ska tillämpas bör göra det lättare att möta ny utveckling: teknisk (Internet, nätverksbaserade filer/molntjänster) såväl som kommersiell (multinationella företag). II.2.b) Tillämpningsområdet för EU-lagstiftningen och nationell lagstiftning i EU/EES Det huvudsakliga kriteriet när det gäller att avgöra vilken lagstiftning som är tillämplig är var den registeransvarige är etablerad samt var de använda medlen eller utrustningen 11 finns när den registeransvarige är etablerad utanför EES. Detta betyder att varken de registrerades medborgarskap eller stadigvarande hemvist eller personuppgifternas fysiska lokalisering är avgörande för detta ändamål 12. Detta ger ett brett tillämpningsområde med rättsliga verkningar som sträcker sig utanför EES-området: direktivet och de nationella genomförandelagstiftningarna är tillämpliga på behandling av personuppgifter utanför EES (när den utförs som ett led i verksamhet vid den registeransvariges etablering i EES) samt på registeransvariga som är etablerade utanför EES (när de använder utrustning i EES). Bestämmelserna i direktivet kan följaktligen vara tillämpliga på tjänster med en internationell dimension, t.ex. sökmotorer, sociala nätverk och molntjänster. Vi behandlar dessa exempel närmare längre fram i dokumentet Se yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169). Som det förklaras nedan i avsnitt III.2.b har man i stället för begreppet utrustning (equipment) på andra EU-språk använt begreppet medel (means). Detta stöder en bred tolkning av begreppet utrustning och förklarar varför båda begreppen används i detta dokument. Se för ett liknande resonemang direktiv 2000/31/EG om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden. Ytterligare en relevant faktor, när det gäller tillämplig lagstiftning i fråga om säkerhetsåtgärder (artikel 17), är den plats där registerföraren befinner sig. Detta kriterium är emellertid inte ensamt avgörande utan ska tillämpas i samband med huvudkriteriet den registeransvariges etablering

9 När personuppgifter behandlas av en registeransvarig (X) som endast är etablerad i medlemsstat A, är medlemsstat A:s nationella lagstiftning tillämplig på behandlingen oavsett var den utförs. När X även har en etablering (Y) i medlemsstat B, är medlemsstat B:s nationella lagstiftning tillämplig på den behandling som utförs vid Y, förutsatt att behandlingen utförs som ett led i Y:s verksamhet. Om den behandling som utförs vid Y utförs som ett led i verksamheten vid X:s etablering i medlemsstat A är medlemsstat A:s lagstiftning tillämplig på behandlingen. När personuppgifter behandlas av en registeransvarig som inte är etablerad i någon medlemsstat omfattas behandlingen av den nationella lagstiftningen i den medlemsstat där den utrustning (eller de medel) som den registeransvarige använder för att behandla uppgifterna befinner sig. Exempel på dessa tre scenarion ges längre fram i yttrandet. Syftet med det breda tillämpningsområdet är främst att garantera att enskilda inte berövas det skydd som de har rätt till enligt direktivet och samtidigt förhindra att lagstiftningen kringgås. Direktivet innehåller kriterier för att avgöra (i) huruvida europeisk rätt, eventuellt tillsammans med tredjelands lagstiftning, är tillämplig på viss behandling av personuppgifter, och (ii) vilken medlemsstats nationella lagstiftning som är tillämplig, i det fall att europeisk rätt är tillämplig på behandlingen. Det bör även påpekas att viss behandling av personuppgifter i EU faller utanför direktivets tillämpningsområde, men kan omfattas av tillämpningen av andra EUrättsinstrument, såsom rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete 13, eller förordning 45/2001 om behandling av personuppgifter vid gemenskapsinstitutionerna och gemenskapsorganen 14, eller andra instrument om särskilda EU-organ eller informationssystem (t.ex. Europol, Eurojust, SIS, CIS) 15. II.2.c) Undvikande av luckor och onödiga överlappningar Syftet med tydliga kriterier för att avgöra vilken lagstiftning som är tillämplig är att undvika dels att medlemsstaternas nationella bestämmelser kringgås, dels att dessa bestämmelser överlappar varandra. Huruvida en eller flera lagstiftningar är tillämpliga på behandlingen beror på antalet etableringar som den registeransvarige har och deras verksamhet: Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, , s. 60). Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, , s. 1). Europol: Rådets beslut 2009/371/RIF, EUT L 121, , s. 37. Eurojust: Rådets beslut 2002/187/RIF, EGT L 63, , s. 1, ändrat genom rådets beslut 2009/426/RIF, EUT L 138, , s

10 o o Om den registeransvarige har endast en etablering tillämpas endast en lagstiftning för hela EU/EES beroende på var etableringen finns. 16 Om det finns flera etableringar tillämpas olika nationella lagstiftningar beroende på respektive etablerings verksamhet. Tillämpning av kriterierna bör förhindra att flera nationella lagstiftningar samtidigt tillämpas på samma behandling av personuppgifter. II.2.d) Tillämplig lagstiftning och jurisdiktion inom ramen för direktivet Inom området skydd av personuppgifter är det särskilt viktigt att skilja mellan begreppet tillämplig lagstiftning (som avser den rättsordning som är tillämplig i ett visst ärende) och begreppet jurisdiktion (som vanligen avser en nationell domstols behörighet att avgöra ett mål eller verkställa en dom eller ett beslut). Tillämplig lagstiftning och jurisdiktion behöver inte alltid vara samma i ett givet fall av behandling av personuppgifter. EU-lagstiftningens externa räckvidd uttrycker EU:s kapacitet att fastställa bestämmelser i syfte att skydda grundläggande intressen inom dess jurisdiktion. Bestämmelserna i direktivet avgör också tillämpningsområdet för medlemsstaternas nationella lagstiftning, men påverkar inte de nationella domstolarnas behörighet att avgöra relevanta ärenden som anhängiggjorts vid dem. I bestämmelserna i direktivet hänvisas emellertid till det territoriella behörighetsområdet för de tillsynsmyndigheter som tillämpar och verkställer tillämplig lagstiftning. Även om dessa två begrepp tillämplig lagstiftning och tillsynsmyndigheternas behörighet i de flesta fall tenderar att sammanfalla, vilket vanligen resulterar i att medlemsstat A:s lagstiftning tillämpas av medlemsstat A:s myndigheter, föreskrivs i direktivet uttryckligen möjligheten med olika konstellationer. Enligt artikel 28.6 bör de nationella dataskyddsmyndigheterna kunna utöva sina befogenheter när en annan medlemsstats dataskyddslagstiftning är tillämplig på behandling av personuppgifter som utförs inom deras jurisdiktion. De praktiska konsekvenserna av detta kommer att behandlas närmare i ett kommande yttrande av arbetsgruppen. Sådana situationer resulterar i gränsöverskridande ärenden och framhäver behovet av samarbete mellan dataskyddsmyndigheter under iakttagande av respektive berörd dataskyddsmyndighets verkställighetsbefogenheter. Detta visar också behovet av att relevanta bestämmelser i direktivet införlivas korrekt i ländernas nationella lagstiftning, eftersom detta kan vara avgörande för att uppnå ett effektivt gränsöverskridande samarbete och en effektiv verkställighet. III. Analys av bestämmelserna Den viktigaste bestämmelsen om tillämplig lagstiftning är artikel 4, som avgör vilken eller vilka av de nationella dataskyddslagstiftningar som antagits enligt direktivet som kan vara tillämplig/tillämpliga på behandling av personuppgifter. 16 Utom när det gäller säkerhetsåtgärder, varvid den tillämpliga lagstiftningen beror på var en eventuell registerförare befinner sig, såsom det föreskrivs i artikel 17.3 i direktivet

11 III.1. Registeransvarig etablerad i en eller flera medlemsstater (artikel 4.1 a) Den första av de situationer som avses i artikel 4.1 är att den registeransvarige har en eller flera etableringar inom EU:s territorium. I detta fall föreskrivs i artikel 4.1 a att en medlemsstat ska tillämpa sin nationella dataskyddslagstiftning när behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen. Det bör erinras om att begreppet registeransvarig definieras i artikel 2 d i direktivet. Definitionen analyseras inte i det här yttrandet, eftersom det redan har förtydligats av Artikel 29-arbetsgruppen i yttrandet om begreppen registeransvarig och registerförare 17. Det är även viktigt att betona att en etablering inte behöver vara en juridisk person samt att kopplingen mellan begreppet etablering och begreppet ansvar är flexibel. En registeransvarig kan ha flera etableringar, gemensamt registeransvariga kan koncentrera verksamheten till en etablering eller till olika etableringar. Den avgörande faktorn för att en etablering ska anses som en etablering enligt direktivet är att det finns en effektiv och faktisk verksamhet som omfattar behandling av personuppgifter. a) inom den medlemsstats territorium, där den registeransvarige är etablerad Begreppet etablerad/etablering definieras inte i direktivet. I ingressen till direktivet anges emellertid följande: Etablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. (Skäl 19.) När det gäller etableringsfrihet enligt artikel 50 FEUF (f.d. artikel 43 EG) har Europeiska unionens domstol (nedan kallad domstolen) slagit fast att det för att en etablering ska betraktas som stabil krävs att de personella och tekniska resurser som är nödvändiga för att tillhandahålla tjänsterna i fråga är permanent tillgängliga. 18 Den starka betoning som i ingressen till direktivet läggs på effektiv och faktisk verksamhet med hjälp av en stabil struktur (stable arrangements) återspeglar det fasta driftställe (stable establishment) som domstolen hänvisade till vid tidpunkten för antagande av direktivet. Även om det inte är klart huruvida denna tolkning och domstolens senare tolkningar avseende etableringsfrihet enligt artikel 50 FEUF fullständigt kan tillämpas på de situationer som omfattas av artikel 4 i Yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169). EG-domstolens dom av den 4 juli 1985 i mål 168/84, Berkholz (REG 1985, s. 2251), punkt 14, och dom av den 7 maj 1998 i mål C-390/96, Lease Plan Luxembourg mot Belgische Staat (REG 1998, s. I-2553). Det sist nämnda målet avsåg huruvida ett bolags server, som fanns i ett annat land än tjänsteleverantören, kunde betraktas som en stabil etablering. Syftet var att avgöra i vilket land mervärdesskatt skulle betalas. Domstolen vägrade att betrakta datorhjälpmedel som en virtuell etablering (och återgick genom denna tolkning till en mer klassisk syn på vad som menas med etablering, till skillnad från tolkningen i den tidigare domen av den 17 juli 1997 i mål C-190/95, ARO Lease mot Inspecteur van de Belastingdienst Grote Ondernemingen te Amsterdam (REG 1997, s. I-4383)

12 dataskyddsdirektivet, kan domstolens tolkning i de nämnda målen ge värdefull vägledning vid en analys av ordalydelsen i direktivet. Enligt domstolens tolkning gäller följande: - När t.ex. en advokatbyrå har en effektiv och faktisk verksamhet som utförs med hjälp av en stabil struktur, kan advokatbyrån betecknas som en etablering. - En server eller dator kan antagligen inte betecknas som en etablering, eftersom den endast är en teknisk resurs eller ett tekniskt instrument för att behandla information Ett kontor där endast en person arbetar kan betecknas som en etablering, förutsatt att kontoret gör något mer än att endast representera en registeransvarig som är etablerad någon annanstans och förutsatt att det är aktivt involverat i den verksamhet som omfattar behandling av personuppgifter. - Kontorets form är i vart fall inte avgörande: även ett ensamt ombud kan betraktas som en relevant etablering förutsatt att dess struktur i medlemsstaten är tillräckligt stabil. Exempel 1: Broschyr för bilresenärer Ett företag som är etablerat i medlemsstat A samlar in uppgifter om de tjänster som tillhandahålls av bensinstationer i medlemsstat B, i syfte att ge ut en broschyr för bilresenärer. Uppgifterna samlas in av en anställd som reser runt överallt i land B för att samla in uppgifter och skickar fotografier och kommentarer till sin arbetsgivare i land A. I detta fall samlas uppgifterna in i land B (utan att det finns en etablering där) och behandlas som ett led i verksamheten vid etableringen i land A. I detta fall är lagstiftningen i land A tillämplig. När det gäller artikel 4.1 a, där det hänvisas till den medlemsstats territorium, där den registeransvarige är etablerad, behöver även andra frågor än begreppet etablerad/etablering förtydligas. För det första innebär formuleringen där är etablerad att en medlemsstats lagstiftning är tillämplig om den registeransvarige har en etablering i medlemsstaten, och att lagstiftningen i andra medlemsstater är tillämplig om den registeransvarige har andra etableringar i dessa medlemsstater. Även om den registeransvarige har sin huvudetablering i ett tredjeland, kan enbart den omständigheten att han även är etablerad i en medlemsstat göra att det landets lagstiftning är tillämplig, förutsatt att de övriga villkoren i artikel 4.1 a är uppfyllda (se nedan under b). Detta bekräftas även av den andra delen av bestämmelsen, där det uttryckligen anges att om en registeransvarig är etablerad inom flera medlemsstaters territorier ska han se till att alla verksamheter uppfyller kraven i relevant tillämplig lagstiftning. b) behandlingen utförs som ett led i verksamhet... Direktivet kopplar tillämpligheten av en medlemsstats dataskyddslagstiftning till att det utförs behandling av personuppgifter. Begreppet behandling har redan behandlats i 19 Huruvida de kan betecknas på annat sätt, t.ex. som utrustning diskuteras längre fram i texten

13 förbigående i arbetsgruppens tidigare yttranden, där det betonas att olika åtgärder eller serier av åtgärder avseende personuppgifter kan utföras samtidigt eller i olika stadier. 20 När det gäller att avgöra vilken lagstiftning som är tillämplig kan detta mycket väl innebära att olika länders lagstiftning är tillämplig i olika stadier av behandlingen av personuppgifter. När det således finns en allvarlig risk för att flera olika nationella lagstiftningar är tillämpliga, bör det undersökas huruvida kopplingar på makronivå mellan olika verksamheter för behandling av personuppgifter alternativt kan innebära att en enda nationell lagstiftning är tillämplig. För att avgöra om en eller flera lagstiftningar är tillämpliga på olika stadier av behandlingen är det viktigt att skapa sig en helhetsbild: en serie av åtgärder som utförs i ett antal olika medlemsstater, men som alla har samma syfte, kan mycket väl innebära att en enda nationell lagstiftning är tillämplig. Under sådana omständigheter är begreppet som ett led i verksamhet, och inte den plats där uppgifterna befinner sig, en avgörande faktor för att fastställa vilken lagstiftning som är tillämplig. Begreppet som ett led i verksamhet innebär att det inte är lagstiftningen i den medlemsstat där den registeransvarige är etablerad som är tillämplig, utan lagstiftningen i den medlemsstat där den registeransvarige har en etablering som ägnar sig åt verksamhet som omfattar behandling av personuppgifter. Nedanstående exempel på olika scenarion där behandling utförs i olika länder kan hjälpa till att förtydliga vad begreppet som ett led i verksamhet innebär och hur det påverkar fastställandet av tillämplig lagstiftning. a. Om en registeransvarig är etablerad i Österrike och behandlar personuppgifter i Österrike som ett led i etableringens verksamhet, är naturligtvis den österrikiska lagstiftningen tillämplig, det vill säga lagstiftningen i det land där etableringen finns. b. Enligt ett annat scenario är den registeransvarige etablerad i Österrike och behandlar personuppgifter som ett led i etableringens verksamhet. Uppgifterna samlas in via etableringens webbplats. Användare i olika länder har åtkomst till webbplatsen. Även i detta fall är den österrikiska dataskyddslagstiftningen tillämplig, det vill säga lagstiftningen i det land där etableringen finns, oberoende av var användarna och uppgifterna befinner sig. c. Enligt ett tredje scenario är den registeransvarige etablerad i Österrike och lägger ut behandlingen på entreprenad till en registerförare i Tyskland. Behandlingen i Tyskland utförs som ett led i den registeransvariges verksamhet i Österrike. Det vill säga behandlingen utförs enligt instruktioner från etableringen i Österrike och för dess affärsändamål. Den österrikiska lagstiftningen är tillämplig på den behandling som registerföraren utför i Tyskland. Registerföraren måste dessutom uppfylla kraven i tysk lagstiftning avseende säkerhetsåtgärder i samband med behandlingen 21. I detta fall krävs att de tyska och österrikiska dataskyddsmyndigheterna samordnar tillsynen Se t.ex. yttrande 1/2010 om begreppen registeransvarig och registerförare (WP 169). Enligt artikel 17.3 i direktiv 95/46/EG måste registerföraren uppfylla de skyldigheter avseende säkerhetsåtgärder som fastställs i lagstiftningen i den medlemsstat där han är etablerad. I fall av en konflikt mellan de materiella bestämmelserna om skyldigheterna avseende säkerhetsåtgärder i lagstiftningen i det land där registerföraren är etablerad och lagstiftningen i det land där den

14 d. Enligt ett fjärde scenario öppnar den registeransvarige, som är etablerad i Österrike, ett representationskontor i Italien, som lägger in allt italienskt innehåll på webbplatsen och hanterar begäranden från italienska användare. Den behandling av personuppgifter som utförs av det italienska kontoret utförs som ett led i den italienska etableringens verksamhet och italiensk lagstiftning är därför tillämplig på denna behandling. För att dra slutsatser om tillämplig lagstiftning krävs en exakt förståelse av begreppet som ett led i verksamhet. Vid fastställandet av tillämplig lagstiftning bör hänsyn tas till följande: Av avgörande betydelse är etableringens/etableringarnas grad av involvering i den verksamhet som omfattar behandling av personuppgifter. Här gäller det att undersöka vem som gör vad, dvs. vilken etablering utför vilken verksamhet, så att det kan avgöras huruvida etableringen i fråga är relevant och kan föranleda tillämpning av den nationella dataskyddslagstiftningen. När en etablering behandlar personuppgifter som ett led i sin egen verksamhet tillämpas lagstiftningen i den medlemsstat där etableringen finns. När en etablering behandlar personuppgifter som ett led i en annan etablerings verksamhet tillämpas lagstiftningen i den medlemsstat där denna andra etablering finns. Verksamhetens karaktär är av sekundär betydelse, men är till hjälp när det gäller att fastställa vilken lagstiftning som är tillämplig på respektive etablering: frågan om huruvida en verksamhet omfattar behandling av personuppgifter eller inte och vilken behandling som utförs som ett led i vilken verksamhet är i hög grad beroende av verksamheternas karaktär. Alternativt kan frågan om tillämplig lagstiftning påverkas av den omständigheten att olika etableringar ägnar sig åt totalt olika verksamheter som omfattar behandling av personuppgifter. I exempel 4 nedan behandlas dessa frågor närmare. Hänsyn bör även tas till direktivets övergripande mål att på ett enkelt, smidigt och förutsebart sätt garantera ett effektivt skydd för enskilda. Exempel 2: Överföring av personuppgifter i samband med factoring Ett italienskt allmännyttigt bolag överför information om sina gäldenärer till en fransk investeringsbank som arbetar med factoring. Fakturorna i fråga avser obetalda elräkningar. Vid överföringen av information om skulderna överförs kundernas personuppgifter till den franska investeringsbanken, närmare bestämt dess branschkontor i Italien (dvs. den franska bankens etablering i Italien). Den franska investeringsbanken är registeransvarig för behandlingen av personuppgifter i samband med överföringen, medan det italienska branschkontoret hanterar och driver in skulderna för investeringsbankens räkning. Uppgifterna behandlas av den registeransvarige både i Frankrike och vid branschkontoret i Italien. registeransvarige är etablerad, har lagstiftningen i det land där registerföraren är etablerad (lex loci) företräde. Även om det slutliga ansvaret ligger hos den registeransvarige, måste registerföraren bevisa att han har vidtagit alla de åtgärder som krävs enligt avtalet med den registeransvarige och har uppfyllt alla de skyldigheter avseende säkerhetsåtgärder som anges i lagstiftningen i den medlemsstat där han är etablerad (se vidare avsnitt III.5)

15 Den franske registeransvarige låter informera alla de italienska kunderna om ovanstående förfarande via sitt italienska branschkontor. Det italienska branschkontoret är en etablering i den mening som avses i direktivet och dess verksamhet som omfattar behandling av personuppgifter i syfte att informera kunderna om den nya ordningen måste uppfylla kraven i italiensk dataskyddslagstiftning. Det italienska branschkontoret måste även uppfylla kraven i italiensk dataskyddslagstiftning avseende säkerhetsåtgärder, medan den franske registeransvarige parallellt måste uppfylla de franska säkerhetskraven för de uppgifter som behandlas vid etableringen i Frankrike. De registrerade, dvs. gäldenärerna, kan vända sig till det italienska branschkontoret för att göra gällande sin rätt till skydd av personuppgifter, såsom tillgång till samt rättelse och utplåning av uppgifter i enlighet med italiensk lagstiftning. Ett funktionellt synsätt bör tillämpas vid bedömningen av dessa kriterier: i stället för en teoretisk bedömning av vilken lagstiftning som är tillämplig är det parternas agerande och samverkan i praktiken som bör vara avgörande. Vilken roll har egentligen respektive etablering och vilken verksamhet utförs som ett led i respektive etablerings verksamhet? Uppmärksamhet bör fästas vid de båda etableringarnas grad av involvering i den verksamhet som omfattar behandling av personuppgifter. En förståelse av begreppet som ett led i är därför även användbar i komplexa fall för att separera olika verksamheter som utförs av samma bolags olika etableringar i EU. Exempel 3: Affärers insamling av kunduppgifter En butikskedja som säljer konfektionskläder har sitt huvudkontor i Spanien och butiker över hela EU. Kunduppgifter samlas in i alla butiker och överförs sedan till det spanska huvudkontoret där viss verksamhet som omfattar behandling av uppgifterna utförs (analys av kundprofiler, kundtjänster, riktad reklam). Sådan verksamhet som direkt marknadsföring till kunderna i EU utförs uteslutande av huvudkontoret i Spanien. Den behandling av personuppgifter som utförs i samband med denna verksamhet kan anses utföras som ett led i den spanska etableringens verksamhet. Spansk lagstiftning är därför tillämplig på denna behandling. De enskilda butikerna är emellertid ansvariga för den behandling av kunduppgifter som utförs som ett led i butikernas verksamhet (t.ex. insamling av uppgifter). I den utsträckning som behandlingen utförs som ett led i respektive butiks verksamhet omfattas den av lagstiftningen i det land där butiken är etablerad. Som en direkt praktisk konsekvens av detta följer att varje butik måste vidta nödvändiga åtgärder i enlighet med landets nationella lagstiftning för att informera enskilda om villkoren för insamling och behandling av uppgifterna. Vid eventuella klagomål kan kunderna vända sig direkt till dataskyddsmyndigheten i sitt eget land. Om klagomålet avser det spanska huvudkontorets direkta marknadsföring måste landets dataskyddsmyndighet hänvisa ärendet till den spanska dataskyddsmyndigheten

16 En enda etablering kan således vara involverad i ett antal olika slag av verksamheter och olika nationella lagstiftningar kan vara tillämpliga på behandlingen av uppgifter inom ramen för dessa olika verksamheter. För att uppnå ett förutsebart och smidigt genomförande när det finns en möjlighet att olika lagstiftningar är tillämpliga på olika verksamheter inom en och samma etablering, bör ett funktionellt synsätt tillämpas som beaktar det vidare rättsliga sammanhanget. Exempel 4: Centraliserad databas över mänskliga resurser Situationer där samma databas omfattas av flera länders tillämpliga lagstiftning inträffar allt oftare i praktiken. Detta är ofta fallet inom området mänskliga resurser, när dotterbolag/etableringar i olika länder centraliserar uppgifterna om anställda i en enda databas. Detta görs ofta på grund av skalfördelar, men bör inte inverka på respektive etablerings skyldigheter enligt nationell rätt, vare sig det gäller skydd av personuppgifter eller arbetsrätt och allmän ordning. Om t.ex. uppgifter om de anställda vid ett irländskt dotterbolag (som uppfyller kraven för att betraktas som en etablering) överförs till en centraliserad databas i Storbritannien, där även uppgifter om de anställda vid dotterbolaget/etableringen i Storbritannien finns lagrade, är två olika dataskyddslagstiftningar tillämpliga (Irlands och Storbritanniens). Tillämpningen av två olika nationella lagstiftningar beror inte på att uppgifterna har sitt ursprung i två olika medlemsstater, utan på att den brittiska etableringens behandling av uppgifterna om de anställda i Irland utförs som ett led i den irländska etableringens verksamhet i dess egenskap av arbetsgivare. Detta exempel illustrera den omständigheten att det inte är den plats dit uppgifterna skickas eller befinner sig som avgör vilken nationell lagstiftning som är tillämplig, utan de avgörande faktorerna är var den normala verksamheten finns och vilken karaktär den har. Dessa faktorer avgör i vilket led behandlingen utförs: mänskliga resurser och kunduppgifter omfattas således vanligen av dataskyddslagstiftningen i det land där den verksamhet befinner sig inom ramen för vilken behandlingen utförs. Detta bekräftar också att det inte finns någon direkt korrelation mellan tillämplig nationell lagstiftning och jurisdiktion, eftersom nationell lagstiftning kan vara tillämplig utanför den nationella jurisdiktionen. För att sammanfatta det som sagts ovan kan kriterierna för att fastställa den tillämpliga lagstiftningen vara avgörande på flera nivåer: o o För det första hjälper de till att avgöra huruvida EU:s dataskyddslagstiftning alls är tillämplig på behandlingen. För det andra avgör kriterierna, när EU:s dataskyddslagstiftning är tillämplig, dels (a) vilken medlemsstats dataskyddslagstiftning som är tillämplig, dels (b) vilken medlemsstats dataskyddslagstiftning som är tillämplig på vilken behandling i fall av flera etableringar i olika medlemsstater. o För det tredje är kriterierna till hjälp när behandlingen av personuppgifter har en utomeuropeisk dimension (se följande exempel där den registeransvarige är etablerad utanför EES)

17 Exempel 5: Leverantör av Internettjänster En leverantör av Internettjänster (den registeransvarige) har sitt huvudkontor utanför EU, nämligen i Japan. Företaget har handelskontor i de flesta av EU:s medlemsstater och ett kontor i Irland som har hand om frågor som innebär behandling av personuppgifter, särskilt IT-support. Den registeransvarige håller på och utvecklar ett datacenter i Ungern som kommer att ha anställda och servrar för behandling och lagring av uppgifter om tjänsteanvändarna. Den registeransvarige i Japan har också andra etableringar i olika medlemsstater i EU, med olika verksamheter: - Datacentret i Ungern arbetar endast med tekniskt underhåll. - Handelskontoren anordnar allmänna reklamkampanjer. - Kontoret i Irland är den enda etableringen i EU med verksamhet som omfattar faktisk behandling av personuppgifter (här avses inte uppgifter från huvudkontoret i Japan). EU:s dataskyddslagstiftning är tillämplig på det irländska kontorets verksamhet: personuppgifter behandlas som ett led i det irländska kontorets verksamhet och denna behandling omfattas därför av EU:s dataskyddslagstiftning. Irländsk dataskyddslagstiftning är tillämplig på behandling som utförs som ett led i det irländska kontorets verksamhet, oavsett huruvida behandlingen sker i Portugal, Italien eller någon annan medlemsstat. Under dessa omständigheter måste datacentret i Ungern således uppfylla kraven i irländsk dataskyddslagstiftning vid behandling av tjänsteanvändarnas personuppgifter. Detta hindrar emellertid inte att ungersk lagstiftning är tillämplig på eventuell skild behandling av personuppgifter som utförs som ett led i det ungerska datacentrets verksamhet, t.ex. behandling av uppgifter om datacentrets anställda. Handelskontoren i de övriga medlemsstaterna omfattas inte av EU:s dataskyddslagstiftning, om deras verksamhet begränsar sig till allmänna reklamkampanjer som inte inriktas på särskilda användare och inte innebär behandling av användarnas personuppgifter. Om de emellertid beslutar att som ett led i sin verksamhet vidta åtgärder som innebär behandling av personuppgifter som avser enskilda i det land där de är etablerade (t.ex. att för deras eget affärsändamål skicka riktad reklam till användare och möjliga framtida användare), måste de uppfylla kraven i den nationella dataskyddslagstiftningen. Om ingen koppling kan fastställas mellan behandlingen av personuppgifter och den irländska etableringen (mycket begränsad IT-support som inte kräver behandling av personuppgifter) kan andra bestämmelser i direktivet ändå vara tillämpliga så att principerna om dataskydd måste iakttas, t.ex. om den registeransvarige använder utrustning i EU. Detta behandlas nedan i avsnitt III

18 III.2. Den registeransvarige är etablerad på en plats där en medlemsstats lagstiftning gäller på grund av folkrätten (artikel 4.1 b) Artikel 4.1 b avser det mindre vanliga fallet att en medlemsstats dataskyddslagstiftning är tillämplig när den registeransvarige inte är etablerad inom en medlemsstats territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten. III.2.a) den registeransvarige inte är etablerad inom en medlemsstats territorium För att bestämmelserna i artikel 4.1 ska vara konsekventa bör det första villkoret tolkas så att den registeransvarige inte har någon etablering inom en medlemsstats territorium som omfattas av tillämpningsområdet för artikel 4.1 a (se även nedan avsnitt III.3.a). Med andra ord är ingen nationell dataskyddslagstiftning tillämplig enligt artikel 4.1 a, eftersom det inte finns någon relevant etablering i EU. III.2.b) utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten Enligt externa kriterier som följer av folkrätten kan emellertid nationell dataskyddslagstiftning i särskilda situationer vara tillämplig utanför de nationella gränserna. Detta kan vara fallet när folkrätten eller internationella avtal avgör vilken lagstiftning som är tillämplig på en ambassad eller ett konsulat, eller ett fartyg eller ett flygplan. I de fall där den registeransvarige är etablerad på en av dessa särskilda platser avgörs den tillämpliga nationella dataskyddslagstiftningen enligt folkrätten. Det är emellertid även viktigt att betona att nationell dataskyddslagstiftning inte alltid är tillämplig på utländska beskickningar eller internationella organisationer inom EU:s territorium, om dessa har en särskild status enligt folkrätten antingen generellt eller genom ett avtal. Sådana undantag hindrar att artikel 4.1 a tillämpas på beskickningen eller den internationella organisationen i fråga. Exempel 6: Ambassader i andra länder En EU-medlemsstats ambassad i Kanada omfattas av den medlemsstatens nationella dataskyddslagstiftning och inte av den kanadensiska dataskyddslagstiftningen. Ett lands ambassad i Nederländerna omfattas inte av den nederländska dataskyddslagstiftningen, eftersom alla ambassader har en särskild status enligt folkrätten. Brister i datasäkerheten inom ramen för ambassadens verksamhet föranleder således inte tillämpning av den nederländska dataskyddslagstiftningen eller verkställighetsåtgärder. En icke-statlig organisation med kontor i EU:s medlemsstater omfattas i princip inte av motsvarande undantag, om det inte uttryckligen fastställs i ett internationellt avtal med värdlandet

19 III.3. Den registeransvarige är inte etablerad inom gemenskapens territorium, men behandlar personuppgifter med utrustning som befinner sig i en medlemsstat (artikel 4.1 c) Artikel 4.1 c syftar till att säkerställa den rätt till skydd för personuppgifter som fastställs i EU-direktivet även när den registeransvarige inte är etablerad inom EU:s eller EES territorium, men behandlingen av personuppgifter har en tydlig koppling till detta territorium, såsom det anges i skäl I artikel 4.1 c fastställs att en medlemsstats lagstiftning ska tillämpas när den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen. Denna bestämmelse är särskilt relevant med hänsyn till utvecklingen av ny teknik och särskilt Internet, som underlättar insamling och behandling av personuppgifter på distans oberoende av om den registeransvarige fysiskt befinner sig inom EU:s eller EES territorium 23. a) den registeransvarige inte är etablerad på gemenskapens territorium Denna bestämmelse gäller när den registeransvarige inte har någon etablering inom EU:s eller EES territorium i den mening som avses i artikel 4.1 a i direktivet (se analys ovan). Det är viktigt att förtydliga hur formuleringen inte är etablerad ska tolkas. Det bör stå klart att artikel 4.1 c är tillämplig endast när artikel 4.1 a inte är tillämplig: dvs. när den registeransvarige inte har någon etablering inom EU/EES som är relevant för verksamheten i fråga. Den omständigheten att en registeransvarig som är etablerad utanför EU/EES använder utrustning i medlemsstat A, där han inte har någon etablering, innebär inte att denna medlemsstats lagstiftning är tillämplig, om den registeransvarige redan har en etablering i medlemsstat B och behandlar personuppgifter som ett led i den etableringens verksamhet. Behandlingen i såväl medlemsstat A (där utrustningen används) som medlemsstat B (där etableringen finns) omfattas av lagstiftningen i medlemsstat B. Detta klargjordes av arbetsgruppen i dess yttrande om frågor som rör dataskydd i samband med sökmotorer 24. Däremot är artikel 4.1 c tillämplig när den registeransvarige har en icke relevant etablering i EU. Det vill säga när den registeransvarige har etableringar i EU, men deras verksamhet inte på något sätt avser behandling av personuppgifter. Artikel 4.1 a är inte tillämplig på sådana etableringar Skäl 20: Den omständigheten att den registeransvarige är etablerad i ett tredje land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter tillämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken. Se arbetsgruppens arbetsdokument om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet (WP 56). Artikel 29-arbetsgruppens yttrande 1/2008 om dataskyddsfrågor med anknytning till sökmotorer (WP 148)

20 Eftersom det inte får finnas luckor eller oöverensstämmelser i tillämpningen av direktivets bestämmelser, innebär detta att en icke relevant etablering inte förhindrar tillämpning av kriteriet utrustning. Förekomsten av en etablering kan förhindra tillämpning av detta kriterium endast om etableringen behandlar personuppgifter som ett led i sin verksamhet. Av denna tolkning följer att både artikel 4.1 a och 4.1 c kan vara tillämpliga på ett företag med olika verksamheter, om det använder utrustning och har etableringar i olika sammanhang. En registeransvarig som är etablerad utanför EU/EES och använder utrustning i EU måste med andra ord uppfylla kraven i artikel 4.1 c även om han har en etablering i EU, om denna etablering bearbetar personuppgifter som ett led i annan verksamhet. Denna sistnämnda etablering och dess särskilda verksamhet omfattas däremot av tillämpningsområdet för artikel 4.1 a. I samband med översynen av ramen för dataskydd kan det finnas möjlighet att, i linje med direktivets anda och ordalydelsen i skäl 20, förtydliga tillämpningsområdet för artikel 4.1 c och vad som menas med att den registeransvarige inte är etablerad på gemenskapens territorium. Av ingressen till direktivet framgår tydligt att syftet är att skydda enskilda och undvika luckor i tillämpningen av principerna. Av detta skäl anser arbetsgruppen att artikel 4.1 c bör vara tillämplig i de fall där det inte finns någon etablering i EU/EES som omfattas av tillämpningsområdet för artikel 4.1 a eller där behandlingen inte utförs som ett led i en sådan etablerings verksamhet. b) och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium Den avgörande faktorn för om denna artikel och således en medlemsstats dataskyddslagstiftning är tillämplig är användningen av utrustning som befinner sig på medlemsstatens territorium. Arbetsgruppen har redan klargjort att begreppet använder förutsätter två saker, nämligen dels någon form av agerande från den registeransvariges sida, dels den registeransvariges avsikt att behandla personuppgifter 25. Även om inte all användning av utrustning inom EU/EES omfattas av tillämpningsområdet för direktivet, är det således inte nödvändigt att den registeransvarige äger eller utövar full kontroll över sådan utrustning för att behandlingen ska omfattas av direktivets tillämpningsområde. Det ska påpekas att det finns en skillnad mellan det ord som används i den engelska versionen av artikel 4.1 c equipment (utrustning), och de ord som används i andra språkversioner av artikel 4.1 c och som mer motsvarar det engelska ordet means (medel) [Övers. anm.: Den svenska versionen överensstämmer dock med den engelska versionen och equipment är i artikel 4.1 c översatt med utrustning]. Den terminologi som används i andra språkversioner av artikel 4.1 c överensstämmer också med ordalydelsen i artikel 2 d, där registeransvarig definieras som den person som bestämmer ändamålen och medlen för behandlingen av personuppgifter. 25 Se WP 56, som nämns ovan