Amazons behandling af person­oplysninger er underlagt love i alle EU-lande, hvor Amazon har virksomhed

Grænseoverskridende aktiviteter kan være underlagt love i flere EU-medlemslande, fastslår EU-Domstolen i en sag om internetgiganten Amazons behandling af personoplysninger. Amazons europæiske afdeling har hjemsted i Luxembourg, men aktiviteterne, som også omfatter behandling af personoplysninger om Amazons kunder, foregår i en række forskellige lande. Derfor opstod spørgsmålet om, hvilket lands love der regulerer Amazons aktiviteter, og særligt hvilket lands databeskyttelsesregler Amazon skal følge, når de behandler forbrugernes personoplysninger.

Amazon er en international webshop, hvis europæiske afdeling har hjemsted i Luxembourg. Forbrugere fra mange forskellige lande kan altså købe varer fra Amazon, og det stiller spørgsmål om, hvilket lands lov om databeskyttelse der finder anvendelse, når Amazon behandler forbrugernes personoplysninger. I princippet har alle EU-medlemslande implementeret databeskyttelsesdirektivet fra 1995, men spørgsmålet er ikke desto mindre relevant, da implementeringen har ført til uensartede regler og uensartet håndhævelse på det persondataretlige område.

EU-Domstolen har nu taget stilling til, om det alene er databeskyttelseslovgivningen i det land, hvori Amazon er etableret, der finder anvendelse, det vil sige reglerne i Luxembourg, eller om databeskyttelseslovene i andre EU-lande, som Amazons aktiviteter “tager sigte på”, også kan finde anvendelse.

LOVENE I DE EU-MEDLEMSLANDE, HVOR AMAZON HAR VIRKSOMHED, KAN FINDE ANVENDELSE
EU-Domstolen fastslog, at også lovgivningen i andre EU-medlemslande, end den hvor Amazon har hjemsted, kan finde anvendelse på Amazons behandling af personoplysninger. Databeskyttelseslovene i de EU-medlemslande, som Amazons virksomhed tager sigte på, det vil sige potentielt en lang række andre EU-lande, kan finde anvendelse, når blot Amazon foretager databehandlingen som et led i deres aktiviteter som virksomhed, og når denne virksomhed kan anses for at være beliggende i det pågældende medlemsland.

Det afgørende for, om et andet medlemslands lov kan finde anvendelse, når Amazon behandler personoplysninger, er herefter, om Amazon kan siges at drive virksomhed på medlemslandets område. I overensstemmelse med EU-Domstolens tidligere dom (Weltimmo, sag C-230/14) er der tale om, at der drives virksomhed, når der blot er en minimal, men faktisk og reel aktivitet, som udøves via en permanent struktur på et medlemslands område.

EU-Domstolen bemærkede, at det ikke er et krav, at Amazon har et datterselskab eller en filial på et medlemslands område førend, at de kan siges at drive virksomhed i landet. Dog er det forhold, at der er adgang til Amazons hjemmeside i et medlemsland, ikke i sig selv tilstrækkeligt til at opfylde kriterierne for at drive virksomhed i landet.

DET ER TILSTRÆKKELIGT, AT DATABEHANDLING SKER SOM LED I VIRKSOMHEDENS AKTIVITETER
EU-Domstolen gentog desuden, hvad den tidligere har slået fast i Weltimmo-sagen, nemlig at det ikke er et krav, at den pågældende databehandling skal foretages af Amazon selv. Det er nemlig tilstrækkeligt, at behandlingen foretages som led i virksomhedens aktiviteter. Det betyder, at et medlemslands databeskyttelseslovgivning kan finde anvendelse, selvom databehandlingen rent faktisk foretages af en tredjepart – enten inden for eller uden for EU – når blot databehandlingen sker som et led i en virksomhed, som er beliggende i medlemslandet.

Med dommen fra EU-Domstolen må det nu anses for endeligt afklaret, hvilke landes databeskyttelseslove der kan finde anvendelse, når en virksomhed foretager databehandling af personoplysninger i flere EU-medlemslande. Det er således tilstrækkeligt, at der udøves en vis minimal, men faktisk og reel aktivitet i medlemslandet, samt at databehandlingen af personoplysninger sker som et led i denne virksomhed, for at et medlemslands lovgivning finder anvendelse.

INGEN STILLINGTAGEN TIL LOVVALGSKLAUSULERNE MELLEM AMAZON OG FORBRUGERNE
Amazon havde i sine almindelige forretningsbetingelser til de aftaler, der blev indgået med forbrugerne, angivet, at luxembourgsk lov skulle finde anvendelse på købsaftalen. EU-Domstolen tog imidlertid ikke stilling hertil, hvilket formentlig er et udtryk for, at almindelige og standardiserede forretningsbetingelser om lovvalg i forhold til den leverede vare/ydelse ikke har afgørende betydning for vurderingen af, hvilket medlemslands lov, der finder anvendelse på en virksomheds behandling af personoplysninger.

Det vil derfor være et særskilt spørgsmål, om en sådan lovvalgsklausul vil være bindende for en forbruger bosiddende i et andet EU-land end Luxembourg. Afhængigt af blandt andet, hvordan klausulen er aftalt med forbrugeren, kan det nemlig ikke udelukkes, at det ikke er muligt at håndhæve klausulen.

DEN KOMMENDE PERSONDATAFORORDNING KAN LØSE UDFORDRINGEN
Dommens resultat er egentlig ikke overraskende, men fører en del praktiske udfordringer med sig. Store koncerner skal f.eks. overveje nøje, hvilket EU-lands lovgivning der kan finde anvendelse på deres behandling af personoplysninger og have kendskab til de forskellige regelsæt, som alle tager afsæt i databeskyttelsesdirektivet.

Den nye persondataforordning, der træder i kraft den 25. maj 2018, kan dog fremadrettet i et vist omfang løse udfordringen. Forordningen, som vil gælde direkte i alle EU-medlemslande, har netop til formål at harmonisere reglerne på det persondataretlige område, så virksomheder inden for EU i høj grad alene skal forholde sig til dette regelsæt. Da forordningen dog på visse områder giver mulighed for at fastsætte nationale regler, afhænger det dog meget af, hvilken type virksomhed og hvilke behandlingsaktiviteter der er tale om, da nationale regler i andre EU-lande således også efter forordningens ikrafttræden kan være relevante.

Læs flere nyheder her

Artiklen er forfattet af: