Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Amazons behandling af person­oplysninger er underlagt love i alle EU-lande, hvor Amazon har virksomhed

Kromann Reumert
08/09/2016
Amazons behandling af person­oplysninger er underlagt love i alle EU-lande, hvor Amazon har virksomhed
Kromann Reumert logo
Grænseoverskridende aktiviteter kan være underlagt love i flere EU-medlemslande, fastslår EU-Domstolen i en sag om internetgiganten Amazons behandling af personoplysninger. Amazons europæiske afdeling har hjemsted i Luxembourg, men aktiviteterne, som også omfatter behandling af personoplysninger om Amazons kunder, foregår i en række forskellige lande. Derfor opstod spørgsmålet om, hvilket lands love der regulerer Amazons aktiviteter, og særligt hvilket lands databeskyttelsesregler Amazon skal følge, når de behandler forbrugernes personoplysninger.

Amazon er en international webshop, hvis europæiske afdeling har hjemsted i Luxembourg. Forbrugere fra mange forskellige lande kan altså købe varer fra Amazon, og det stiller spørgsmål om, hvilket lands lov om databeskyttelse der finder anvendelse, når Amazon behandler forbrugernes personoplysninger. I princippet har alle EU-medlemslande implementeret databeskyttelsesdirektivet fra 1995, men spørgsmålet er ikke desto mindre relevant, da implementeringen har ført til uensartede regler og uensartet håndhævelse på det persondataretlige område.

EU-Domstolen har nu taget stilling til, om det alene er databeskyttelseslovgivningen i det land, hvori Amazon er etableret, der finder anvendelse, det vil sige reglerne i Luxembourg, eller om databeskyttelseslovene i andre EU-lande, som Amazons aktiviteter "tager sigte på", også kan finde anvendelse.

LOVENE I DE EU-MEDLEMSLANDE, HVOR AMAZON HAR VIRKSOMHED, KAN FINDE ANVENDELSE
EU-Domstolen fastslog, at også lovgivningen i andre EU-medlemslande, end den hvor Amazon har hjemsted, kan finde anvendelse på Amazons behandling af personoplysninger. Databeskyttelseslovene i de EU-medlemslande, som Amazons virksomhed tager sigte på, det vil sige potentielt en lang række andre EU-lande, kan finde anvendelse, når blot Amazon foretager databehandlingen som et led i deres aktiviteter som virksomhed, og når denne virksomhed kan anses for at være beliggende i det pågældende medlemsland.

Det afgørende for, om et andet medlemslands lov kan finde anvendelse, når Amazon behandler personoplysninger, er herefter, om Amazon kan siges at drive virksomhed på medlemslandets område. I overensstemmelse med EU-Domstolens tidligere dom (Weltimmo, sag C-230/14) er der tale om, at der drives virksomhed, når der blot er en minimal, men faktisk og reel aktivitet, som udøves via en permanent struktur på et medlemslands område.

EU-Domstolen bemærkede, at det ikke er et krav, at Amazon har et datterselskab eller en filial på et medlemslands område førend, at de kan siges at drive virksomhed i landet. Dog er det forhold, at der er adgang til Amazons hjemmeside i et medlemsland, ikke i sig selv tilstrækkeligt til at opfylde kriterierne for at drive virksomhed i landet.

DET ER TILSTRÆKKELIGT, AT DATABEHANDLING SKER SOM LED I VIRKSOMHEDENS AKTIVITETER
EU-Domstolen gentog desuden, hvad den tidligere har slået fast i Weltimmo-sagen, nemlig at det ikke er et krav, at den pågældende databehandling skal foretages af Amazon selv. Det er nemlig tilstrækkeligt, at behandlingen foretages som led i virksomhedens aktiviteter. Det betyder, at et medlemslands databeskyttelseslovgivning kan finde anvendelse, selvom databehandlingen rent faktisk foretages af en tredjepart – enten inden for eller uden for EU – når blot databehandlingen sker som et led i en virksomhed, som er beliggende i medlemslandet.

Med dommen fra EU-Domstolen må det nu anses for endeligt afklaret, hvilke landes databeskyttelseslove der kan finde anvendelse, når en virksomhed foretager databehandling af personoplysninger i flere EU-medlemslande. Det er således tilstrækkeligt, at der udøves en vis minimal, men faktisk og reel aktivitet i medlemslandet, samt at databehandlingen af personoplysninger sker som et led i denne virksomhed, for at et medlemslands lovgivning finder anvendelse.

INGEN STILLINGTAGEN TIL LOVVALGSKLAUSULERNE MELLEM AMAZON OG FORBRUGERNE
Amazon havde i sine almindelige forretningsbetingelser til de aftaler, der blev indgået med forbrugerne, angivet, at luxembourgsk lov skulle finde anvendelse på købsaftalen. EU-Domstolen tog imidlertid ikke stilling hertil, hvilket formentlig er et udtryk for, at almindelige og standardiserede forretningsbetingelser om lovvalg i forhold til den leverede vare/ydelse ikke har afgørende betydning for vurderingen af, hvilket medlemslands lov, der finder anvendelse på en virksomheds behandling af personoplysninger.

Det vil derfor være et særskilt spørgsmål, om en sådan lovvalgsklausul vil være bindende for en forbruger bosiddende i et andet EU-land end Luxembourg. Afhængigt af blandt andet, hvordan klausulen er aftalt med forbrugeren, kan det nemlig ikke udelukkes, at det ikke er muligt at håndhæve klausulen.

DEN KOMMENDE PERSONDATAFORORDNING KAN LØSE UDFORDRINGEN
Dommens resultat er egentlig ikke overraskende, men fører en del praktiske udfordringer med sig. Store koncerner skal f.eks. overveje nøje, hvilket EU-lands lovgivning der kan finde anvendelse på deres behandling af personoplysninger og have kendskab til de forskellige regelsæt, som alle tager afsæt i databeskyttelsesdirektivet.

Den nye persondataforordning, der træder i kraft den 25. maj 2018, kan dog fremadrettet i et vist omfang løse udfordringen. Forordningen, som vil gælde direkte i alle EU-medlemslande, har netop til formål at harmonisere reglerne på det persondataretlige område, så virksomheder inden for EU i høj grad alene skal forholde sig til dette regelsæt. Da forordningen dog på visse områder giver mulighed for at fastsætte nationale regler, afhænger det dog meget af, hvilken type virksomhed og hvilke behandlingsaktiviteter der er tale om, da nationale regler i andre EU-lande således også efter forordningens ikrafttræden kan være relevante.






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
04/03/2021
Persondata
Ny vejledning: Sådan skal GDPR-bøder udmåles
Ny vejledning: Sådan skal GDPR-bøder udmåles
04/03/2021
Persondata
Nu bliver det et krav at registrere sine overvågnings­kameraer
Nu bliver det et krav at registrere sine overvågnings­kameraer
04/03/2021
Persondata, Compliance, Øvrige
Storbritannien på vej mod status som sikkert tredjeland
Storbritannien på vej mod status som sikkert tredjeland
26/02/2021
Persondata
Ny forpligtelse for flyselskaber til at indsamle og videregive passageroplysninger
Ny forpligtelse for flyselskaber til at indsamle og videregive passageroplysninger
25/02/2021
Transportret, Øvrige, Persondata
EU-UK tilstrækkeligheds­afgørelser er på vej
EU-UK tilstrækkeligheds­afgørelser er på vej
24/02/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted