Search for a command to run...
Myndighed
Dato
Dokumenttype
Sted
Emner
Eksterne links
Parter
Dommer
EU-medlemsstater, Frankrig, Tjekkiet, Polen, Tyskland, Europa-Kommissionen, Østrig, EU’s institutioner og organer
Generaladvokat
Regan
Sagen omhandler en præjudiciel forelæggelse fra Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) vedrørende fortolkningen af GDPR (forordning 2016/679) i forbindelse med behandlingen af personoplysninger i en asylsag. Sagsøgeren, UZ, anfægtede Forbundskontoret for Migration og Flygtninges (Bundesamt) afgørelse om afslag på asyl. Tvisten opstod, da Bundesamt videresendte UZ's elektroniske sagsmappe (MARIS) til den forelæggende ret via en elektronisk postkasse.
Den forelæggende ret var i tvivl om lovligheden af denne behandling, da Bundesamt ikke havde fremlagt en fuldstændig fortegnelse over behandlingsaktiviteter (i strid med GDPR artikel 30) og heller ikke en formel ordning, der fastlagde det fælles dataansvar mellem myndighederne (i strid med GDPR artikel 26). Domstolen ønskede afklaret, om disse tilsidesættelser af organisatoriske forpligtelser i sig selv gjorde databehandlingen 'ulovlig' i henhold til artikel 17 (ret til sletning) og artikel 18 (ret til begrænsning af behandling), og om retten derved var forpligtet til at se bort fra oplysningerne i sagsbehandlingen.
De præjudicielle spørgsmål drejede sig om:
Domstolen fastslog, at tilsidesættelsen af de organisatoriske og dokumentationsmæssige forpligtelser i GDPR artikel 26 og 30 ikke i sig selv medfører, at databehandlingen er 'ulovlig' i den betydning, der anvendes i artikel 17, stk. 1, litra d) (ret til sletning) eller artikel 18, stk. 1, litra b) (ret til begrænsning).
Domstolen begrundede dette ved at sondre mellem de grundlæggende principper for lovlighed og rimelighed (artikel 5, stk. 1, litra a), jf. artikel 6) og de organisatoriske forpligtelser (artikel 26 og 30), som tjener til at sikre dataansvarlighed (artikel 5, stk. 2). En mangel i dokumentation eller ansvarsfordeling rokker ikke ved det legitime grundlag for selve behandlingen.
| Overtrådt GDPR-bestemmelse | Type af forpligtelse |
|---|
| Konsekvens for lovligheden (Artikel 6) |
|---|
| Primære sanktioner / Retsmidler |
|---|
| Artikel 5 & 6 | Grundlæggende lovlighedsprincipper | Behandlingen er ulovlig | Sletning (Art. 17), begrænsning (Art. 18), administrative bøder (Art. 83(5)) |
| Artikel 26 & 30 | Organisatoriske/Ansvarlighedsforpligtelser | Behandlingen er ikke nødvendigvis ulovlig | Injunktioner (Art. 58(2)), klage (Art. 77), administrative bøder (Art. 83(4)) |
Den dataansvarlige skal kunne påvise overholdelse af lovgivningen (ansvarlighedsprincippet, artikel 5, stk. 2), men manglende dokumentation (artikel 26 og 30) gør ikke automatisk selve behandlingen (som i dette tilfælde var nødvendig for udførelse af en opgave i samfundets interesse, jf. artikel 6, stk. 1, litra e) ulovlig.
Endvidere fastslog Domstolen, at lovligheden af en national rets hensyntagen til sådanne oplysninger ikke er betinget af den registreredes samtykke. Domstolens behandling af oplysningerne sker som led i offentlig myndighedsudøvelse (artikel 6, stk. 1, litra e)), hvilket udgør et tilstrækkeligt lovligt grundlag, uafhængigt af den registreredes samtykke.
DatatilsynetDatatilsynet har afsluttet en række tilsyn med udvalgte frie grundskoler, som omhandlede de frie grundskolers behandling af personoplysninger samt håndtering af anmodninger om indsigt og sletning.
Datatilsynet
Datatilsynet
Sagen vedrører en præjudiciel forelæggelse fra Bulgarien, som omhandler sammenstødet mellem beskyttelse af personoplysninger (GDPR) og forpligtelsen til offentliggørelse af selskabsdokumenter i et nationalt handelsregister, fastsat i henhold til EU’s selskabsdirektiv (nu Direktiv 2017/1132).
Tvisten opstod mellem Agentsia po vpisvaniyata (det bulgarske registreringsagentur, der fører handelsregistret) og en selskabsdeltager, OL. OL anmodede om sletning af visse personoplysninger (såsom identifikationsnummer, detaljer om identitetskort, bopælsadresse og underskrift) fra en selskabsaftale, der var blevet offentliggjort i registret i forbindelse med selskabets stiftelse. Disse oplysninger var ikke lovpligtige i henhold til national lovgivning eller EU-direktivet.
OL gjorde gældende, at offentliggørelsen udgjorde ulovlig behandling og krævede sletning af oplysningerne samt erstatning for immateriel skade som følge af frygt og bekymring over potentielt misbrug. Agenturet afviste sletning med henvisning til, at OL ikke havde indsendt en renset (skjult/redigeret) kopi af aftalen, som krævet af nationale procedureregler, hvilket Agenturet fastholdt var nødvendigt for at opretholde dokumentets integritet.
Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over Telmore A/S’ videregivelse af hans e-mailadresse til Meta Irland. Sagen har været behandlet i Datarådet.
En undersøgelse af tre politikredse afslører alvorlige mangler i logkontrollen af politiets sagsstyringssystem POLSAS, hvor følsomme personoplysninger behandles.
De centrale spørgsmål, som den forelæggende ret stillede, omhandlede Agenturets status som dataansvarlig, lovligheden af behandlingen af ikke-obligatoriske oplysninger, rækkevidden af retten til sletning i lyset af nationale formkrav, og fortolkningen af ”immateriel skade” under GDPR Artikel 82.
Dette lovforslag udmønter dele af den politiske aftale om en reform af beskæftigelsesindsatsen, indgået den 9. april 202...
Læs mere### Formål og baggrund Lovforslaget, kaldet "datadelingsloven", har til formål at supplere og gennemføre Europa-Parlamen...
Læs mereForslag til Lov om ændring af retsplejeloven, lov om skifte af dødsboer, arveloven og databeskyttelsesloven
