Udvidet fortolkning af begrebet 'dataansvarlig' under GDPR: Kan en administrativ hjælpeenhed uden juridisk personlighed udpeges ved national lov?

Sagen omhandler en præjudiciel anmodning fra Østrigs Verwaltungsgerichtshof (Forvaltningsdomstol), der søger fortolkning af artikel 4, nr. 7), i databeskyttelsesforordningen (GDPR). Tvisten udspillede sig mellem Amt der Tiroler Landesregierung (Kontoret), en administrativ enhed i delstaten Tyrol, og den østrigske databeskyttelsesmyndighed (Datenschutzbehörde).

Kontoret havde som led i foranstaltninger til bekæmpelse af COVID-19-pandemien sendt 'vaccinationspåmindelser' til voksne borgere i Tyrol. Til dette formål blev der behandlet personoplysninger fra centrale registre.

En borger (CW) klagede over ulovlig behandling af sine oplysninger, da Kontoret angiveligt ikke havde adgang til registrene. Kontoret var i henhold til Tiroler Datenverarbeitungsgesetz (TDVG) direkte udpeget som dataansvarlig for delstatens behandlingsaktiviteter.

Det centrale juridiske spørgsmål for den forelæggende ret var, om Kontorets udpegelse som dataansvarlig var gyldig under GDPR, da Kontoret:

• blot fungerer som et administrativt hjælpeorgan for delstatsregeringen/formanden.
• ikke har status som juridisk person.
• ikke har egen retsevne.
• ikke selvstændigt har afgjort formålene med og hjælpemidlerne til databehandlingen, men snarere fungerede som instrument for den øverste myndigheds beslutning.

Domstolen fastslog, at GDPR’s artikel 4, nr. 7), ikke er til hinder for en national lovgivning, der udpeger en administrativ enhed uden juridisk personlighed eller egen retsevne som dataansvarlig, forudsat at visse betingelser er opfyldt.

Gyldigheden af udpegelse af et hjælpeorgan

Domstolen bemærkede, at den brede definition af 'dataansvarlig' i GDPR omfatter 'institutioner eller andre organer', som ikke nødvendigvis skal have status som juridisk person i national ret. Det afgørende er, at enheden faktisk og retligt kan opfylde de forpligtelser, som påhviler den dataansvarlige i henhold til forordningen.

• Det er op til den nationale ret at sikre, at den udpegede enhed kan påtage sig det ansvar og de forpligtelser, der følger af GDPR, herunder ansvarlighedsprincippet (artikel 5, stk. 2).

Krav til fastlæggelse af formål og hjælpemidler i national ret

Domstolen præciserede, at den nationale lovgivning ikke behøver udtømmende at opregne alle specifikke behandlinger af personoplysninger. Det er tilstrækkeligt, at omfanget af den ansvarlige behandling følger udtrykkeligt eller i det mindste implicit af de bestemmelser, der regulerer den pågældende enheds virksomhed, rolle, opgave og beføjelser (p. 40).