Välkommen till Delphi Data Protection Blog! Vi kan förvänta oss stora förändringar i kraven på företags och myndigheters hantering av data. Inom EU pågår nämligen en lagstiftningsprocess om en ny reglering om skydd för personuppgifter ("dataskyddsförordningen"). Den här bloggen drivs av jurister i Advokatfirman Delphis TMT/IP-grupp i samarbete med Christine Kirchberger, doktorand vid Institutet för rättsinformatik på Stockholms universitet. Bloggen syftar till att öka medvetenheten om den kommande regleringen och peka på hur reglerna på dataskyddsområdet kan komma att ändras. Vi följer utvecklingen och uppdaterar självklart även om andra nyheter på området.

Vilka dataskyddsregler är tillämpliga för online företag?

Jurisdiktionsfrågor i samband med elektronisk handel och online tjänster blir alltmer viktigare. Väldigt ofta är det svårt att avgöra i vilket land ett online företag kan anses ha verksamhet. Behövs ett kontor med flera anställda, eller räcker en representant i det landet? Under sommaren avgjorde EU domstolen ett mål som gällde just dessa frågor, både gällande Rom I och Rom II förordningen samt dataskyddsdirektivet: C–191/15: Verein für Konsumenteninformation v Amazon.

Amazon EU är etablerat i Luxemburg, och har bl.a. en webbplats med toppdomänen .de. Online företaget riktar sig dock även till konsumenter som är bosatta i Österrike trots att företaget varken har ett säte eller driftställe där. Enligt de allmänna villkoren för e-handels sajten gäller luxemburgisk rätt. VKI, en österrikisk konsumentförening, begärde dock ett förbud mot att tillämpa samtliga avtalsvillkor i de allmänna avtalsvillkoren. EU domstolen ombads därför att avgöra vilket lands regler som gäller enligt Rom II förordningen, luxemburgiskt eller österrikist, och även vilken lag är tillämplig enligt artikel 4.1 a dataskyddsdirektivet. Specifikt ställdes frågan om företaget ska följa dataskyddsreglerna både i det landet där företaget har sitt verksamhetsställe samt i det landet till vilket företaget riktar sin affärsverksamhet (stycke 34 i domen).

Enligt artikel 4.1 i direktivet ska reglerna av det landet tillämpas, “där den registeransvarige är etablerad”. EU domstolen har tidigare dömt i Weltimmo, C‑230/14[FN 1] att det inte behövs registrering i det landet, utan att den personuppgiftsansvarige faktiskt bedriver verksamhet med hjälp av en stabil struktur (punkt 41). Faktorer som kan bidra till en stabil struktur är:
– webbplats som företaget drivet riktar sig huvudsakligen till ett visst land (som inte är det landet där företaget är registrerat), t.ex. genom språket, innehållet, osv
– företaget har en företrädare i det andra landet och företrädaren driver t.ex. in fordringar och representerar företaget vid administrativa förfaranden och i rättegångar.

EU domstolen bekräftade nu i VKI v Amazon att etablering enligt artikel 4.1 a i dataskyddsdirektivet betyder “all verklig och faktisk verksamhet, även om den är ytterst liten, som utövas med hjälp av en stabil struktur” (punkt 75). Det betyder att det inte behövs ett dotterbolag eller någon filial för att kunna anses ha en etablering. Domstolen ansåg dock att endast en webbplats tillgänglighet i ett land inte räcker för att anses vara en etablering (punkt 76).

Avgörandet av frågan var Amazon EU faktiskt behandlar uppgifterna hänskjöts – tyvärr – tillbaka till den österrikiska högsta domstolen. Generaladvokaten antydde dock i sitt förslag till avgörande att de tyska dataskyddsregler skulle kunna vara tillämpliga – med hänvisning till klausul 6 i Amazon EU:s allmänna försäljningsvillkor som anger att ”Amazon.de kontrollerar, värderar och utbyter – det vill säga behandlar – kundernas personuppgifter” (punkt 127).

Slutsatsen är i alla fall att det är det landet där behandlingen av personuppgifterna anses faktiskt ske, och inte även de länderna som organisationens webbplats kan nås ifrån. Det gäller därför för online företag att vara tydliga i sin utformning och struktur för att undvika onödiga risker.

 

FN 1: I Weltimmo, C‑230/14 – som avgjordes i oktober 2015 – drev Weltimmo, ett företag registrerad i Slovakien, en webbplats för fastighetsannonser i Ungern. EU domstolen kom fram till att flera faktorer tillsammans ledde till bedömningen att Weltimmo ansågs ha etablering i Ungern och därför tvungen att följa de ungerska dataskyddsregler och beslutet av den ungerska tillsynsmyndigheten. Faktorerna var följande:
– företaget drev en webbplats som huvudsakligen riktade sig till Ungern (fastighetsannonser för egendom som var belägen i Ungern, webbplatsens språk var ungerska)
– företaget hade en företrädare i Ungern som drev in fordringar och företrädde företaget vid administrativa förfaranden och rättegångar.

This entry was posted in Internationellt, Nyheter. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment .

Kommentera

  • ANSVAR – RÄTTIGHETER – INTEGRITET

    Innehållet i denna blogg är av allmän karaktär och är inte att betrakta som rådgivning. Användning av innehållet på bloggen sker på egen risk. Advokatfirman Delphi ansvarar inte för innehållet på de webbplatser som Delphis webbplats länkar till. Vid länkning till denna blogg eller till Delphis webbplats skall länkning göras till startsidan. Advokatfirman Delphi kan inte garantera säker överföring eller konfidentiell hantering av information som överförs via webbplatsen. Kommunikation till Advokatfirman Delphi via webbplatsen innebär inte att det föreligger ett klient-/rådgivarförhållande mellan Advokatfirman Delphi och avsändaren. Advokatfirman Delphi förbehåller sig alla rättigheter till innehållet på webbplatsen. För de områden på webbplatsen där andra villkor för användande anges skall dessa gälla.