ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 5035/01/DA/endelig WP 56 Arbejdsdokument om den internationale anvendelse af Fællesskabets databeskyttelseslovgivning ved behandling af personoplysninger på Internet, som foretages af websteder, der er etableret uden for Fællesskabet Vedtaget den 30. maj 2002 Gruppen, der er nedsat ved artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 14 i direktiv 97/66/EF. Gruppens sekretariat varetages af: Europa-Kommissionen; GD for det Indre Marked, Det indre markeds funktion og virkning. Koordinering. Databeskyttelse B-1049 Bruxelles - Belgien - Kontor: C100-6/136 Websted:

2 GRUPPEN VEDRØRENDE BESKYTTELSE AF PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober , som henviser til direktivets artikel 29 og artikel 30, stk. 1, litra a), og artikel 30, stk. 3, som henviser til gruppens forretningsorden, særlig artikel 12 og 14, har vedtaget følgende arbejdsdokument: 1. Indledning Formålet med dette dokument er at behandle spørgsmålet om den internationale anvendelse af Fællesskabets databeskyttelseslovgivning på den behandling, herunder især indsamling, af personoplysninger, der foretages af websteder, som er etableret uden for Fællesskabet 2. Dette arbejdsdokument skal tjene både som arbejdsredskab og referencedokument for de registeransvarlige og deres rådgivere, når de behandler sager vedrørende den behandling af personoplysninger på Internet, der foretages af websteder, der er etableret uden for Fællesskabet. Da dette er et meget kompliceret område, og da Internettet er et meget dynamisk miljø, vil dokumentet ikke indeholde endelige løsninger på alle de forskellige problemer, der kan opstå på dette område. Gruppen påpegede i sit arbejdsdokument om beskyttelse af privatlivets fred på Internettet 3 et klart behov for at præcisere den konkrete anvendelse af reglen om gældende lovgivning i det overordnede databeskyttelsesdirektiv (artikel 4, stk. 1, litra c)) 4, herunder især med hensyn til onlinebehandling af personoplysninger foretaget af registeransvarlige, der er etableret uden for Fællesskabet. De nationale databeskyttelsesmyndigheder anmodes regelmæssigt om at rådgive virksomheder og fysiske personer på dette område. Problemet med at fastslå, hvorvidt en national lovgivning finder anvendelse på en situation, der berører flere lande, er ikke et problem, der er specifikt for hverken databeskyttelse, Internettet eller Fællesskabet. Det er et generelt spørgsmål inden for international ret, der opstår både i online- og offlinesituationer, hvor et eller flere 1 EFT L 281 af , s. 31, tilgængelig på: 2 Direktiv 95/46/EF om databeskyttelse er ligeledes blevet gennemført i Det Europæiske Økonomiske Samarbejdsområde (EØS), og enhver henvisning til Fællesskabet i nærværende dokument er således ligeledes en henvisning til EØS. 3 "Beskyttelse af privatlivets fred på Internettet - En integreret EU-strategi til beskyttelse af onlineoplysninger", WP 37 af Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, EFT L 281 af , s , tilgængelig på: 2

3 elementer berører mere end ét land. Der skal i så fald træffes afgørelse om, hvilken national lovgivning der finder anvendelse, inden der kan tages stilling til sagens faktiske indhold. Disse afgørelser om gældende lovgivning skal træffes under hensyntagen til en række forskellige faktorer. Et lands fornemste opgave er at beskytte sine statsborgeres, indbyggeres, virksomheders og andre retssubjekters rettigheder og interesser, som er fastlagt i den nationale lovgivning. I mange lande gælder det, at straffeloven (i modsætning til de love, der sikrer borgernes rettigheder og friheder) skal anvendes så bredt og internationalt som muligt. Meget kendte sager som f.eks. Yahoo! 5 eller CompuServe 6 viser, hvorledes domstolene anvender den nationale straffelov til at forbyde adgangen til websteder med pornografisk eller racistisk indhold på udenlandske internetservere. Den tyske højesteret i straffesager har i en nyere afgørelse dømt udgiveren et værk, der afviser Auschwitz' eksistens ("Auschwitz Lüge"), på et australsk websted, selv om det ikke var bevist, at personer fra Tyskland havde haft adgang til det pågældende websted 7. Domstolen var i forbindelse med denne forbrydelse af meget særlig karakter af den opfattelse, at det var tilstrækkeligt, at internetindholdet "kunne" være til skade for den offentlige orden i Tyskland, og at det således var irrelevant, om det rent faktisk var tilfældet. Sådanne internationale virkninger af beskyttelsesregler er som regel et udtryk for lovgivernes eller domstolenes ønske om dels at beskytte borgerne, når det er nødvendigt, til trods for de uundgåelige håndhævelsesproblemer i forbindelse med grænseoverskridende situationer, og dels i praksis at anvende disse regler for at sikre, at det tilsigtede formål opfyldes. Der findes med hensyn til fællesskabslovgivningen adskillige eksempler på disse bestræbelser på at opnå et sammenhængende retsgrundlag. Europa-Kommissionen kan på konkurrenceområdet træffe beslutninger, der påvirker virksomheder, som er etableret uden for Fællesskabet, når de handler med Fællesskabet. Et godt eksempel på dette er en nyere beslutning fra Kommissionen 8 om at forbyde en anmeldt fusion 9 mellem de to amerikanske virksomheder General Electric og Honeywell. Det fremgik af artikel 1 i denne beslutning, der blev truffet i juli 2001, at en fusion mellem de to virksomheder ville skabe en koncentration, der var "uforenelig med fællesmarkedet". Kommissionen fastslog, at de to virksomheder havde en samlet omsætning i Fællesskabet på over 250 millioner euro, og konkluderede derfor, at den anmeldte transaktion var af "fællesskabsdimension". 5 TGI Paris, ordonnance du référé af , tilgængelig på: 6 AG München, dom af Ds 465 Js /95. 7 BGH, dom af , Az: 1 StR 184/00. 8 Beslutning af , sag nr. COMP/M.2220, i medfør af artikel 8, stk. 3, i forordning (EØF) nr. 4064/89 om kontrol med fusioner og virksomhedsovertagelser. 9 General Electric skulle i henhold til den notificerede aftale overtage hele aktiekapitalen i Honeywell. 3

4 Fællesskabslovgivningens ekstra-territoriale dimension gør sig ligeledes gældende inden for forbrugerlovgivning. Det er fastsat i artikel 12 i direktivet om fjernsalg 10, at en forbruger ikke kan miste den beskyttelse, som direktivet giver, ved at der indsættes en klausul om valg af et tredjelands lovgivning som gældende lov for kontrakten, når loven i det valgte tredjeland giver en dårligere beskyttelse end fællesskabslovgivningen. Dette er tilfældet, når aftalen har en "nær tilknytning" til en eller flere medlemsstater 11. Begrebet "nær tilknytning" stammer fra artikel 7 i Rom-konventionen af Det bestemmes i denne artikel, at et lands "ufravigelige regler" skal anvendes på situationer, som er underlagt lovgivningen i et andet land, når den pågældende situation har en "nær tilknytning" til landet. Der er ligeledes blevet udviklet en retspraksis, der følger den samme logik med hensyn til direktivet om selvstændige handelsagenter 12. EF-Domstolen har fastslået 13, at en agenturgiver med hjemsted uden for Fællesskabet, der anvender en handelsagent, som udøver sine aktiviteter inden for Fællesskabet, ikke kan unddrage sig bestemmelserne i direktivet i kraft af kontraktmæssige bestemmelser om, at et tredjelands lovgivning finder anvendelse på forholdet. Domstolen har erklæret, at fællesskabslovgivningen skal finde anvendelse i de tilfælde, hvor "der er en nær forbindelse til Fællesskabet". Et yderligere og mere praktisk eksempel kan findes inden for luftfartsindustrien. Rådet har udarbejdet en forordning indeholdende en adfærdskodeks for edbreservationssystemer (CRS) 14. Denne forordning (der indeholder bestemmelser om anvendelsen af CRS-systemer) finder anvendelse på "ethvert edb-reservationssystem, (...) som tilbydes til anvendelse eller anvendes på Fællesskabets område, uanset systemleverandørens status eller nationalitet, (...) eller hvor den pågældende centrale databehandlingsenhed er beliggende". Fællesskabslovgivningen finder således automatisk anvendelse på et system, når der er adgang dertil fra Fællesskabet, også selv om systemets centrale databehandlingsenhed er beliggende uden for Fællesskabet (og oplysningerne lægges ind i systemet via terminaler i Fællesskabet eller på anden vis). Det kan således på grundlag af en analyse af, i hvilket omfang fællesskabslovgivningen finder anvendelse på disse sager med en ekstra-territorial dimension, konkluderes, at der generelt anvendes ensartede kriterier. Uanset om det er et krav, at forholdet er af "fællesskabsdimension" eller har en "nær tilknytning til Fællesskabet", finder EF- Domstolen, Europa-Parlamentet og Rådet samt Europa-Kommissionen det passende at anvende fællesskabsregler på foretagender, der er etableret uden for Fællesskabet. I andre lande, f.eks. USA, går man ved domstolene og i lovgivningen ud fra et lignende princip med henblik på at anvende de lokale regler på udenlandske websteder: Den amerikanske Children s Online Privacy Protection Act af 1998 (COPPA) finder således 10 Direktiv 97/7/EF. 11 Ordlyden i artikel 6, stk. 2, i direktiv 93/13/EØF om urimelige kontraktvilkår i forbrugeraftaler og i artikel 7, stk. 2, i direktiv 99/44/EF om visse aspekter af forbrugerkøb og garantier i forbindelse hermed ligger meget tæt op af ordlyden i artikel 12, stk. 2. Der lægges i begge retsakter vægt på anvendelsen af fællesskabslovgivningen, og i begge tilfælde anvendes begrebet "nær tilknytning". 12 Direktiv 86/653/EØF. 13 Sag nr. C-381/98, Ingmar GB Ltd. og Eaton Leonard Technologies. 14 Adfærdskodeks for CRS (kombinet udgave af Rådets forordning nr. 2299/89, 3089/93 og 323/99). 4

5 anvendelse på udenlandske websteder, der indsamler personoplysninger om børn, som befinder sig i USA 15. En operatør af et websted, der henvender sig til børn under 13 år (eller et websted, der henvender sig til et bredt publikum, men hvor operatøren er vidende om, at webstedet indsamler oplysninger om børn), er forpligtet til at overholde bestemmelserne i denne federale lov. Det bestemmes i COPPA, hvilken information operatøren er forpligtet til at give i sin databeskyttelseserklæring, hvornår og hvorledes en operatør er forpligtet til at opnå verificerbart samtykke fra en forælder, og hvilke forpligtelser en operatør har til at beskytte børns privatliv og onlinesikkerhed. Det er i denne forbindelse interessant, at denne lov ikke finder specifikt anvendelse på amerikanske foretagender, men på foretagender, der "befinder sig på Internettet", og det har med hensyn til det område, hvor loven finder anvendelse, ingen betydning, hvor webstedet rent fysisk er etableret, så længe det udøver sin aktivitet i USA. Hvis dette er tilfældet, vil webstedet være underlagt amerikansk lov på dette område. Det fremgår af en undersøgelse af international lov, at der i de enkelte lande er en udbredt tendens til at anvende en række alternative kriterier for at fastsætte et så udstrakt geografisk anvendelsesområde som muligt for den nationale lovgivning, og således dække så mange situationer som muligt og give forbrugerne og erhvervssektoren en så omfattende beskyttelse som muligt. Denne tendens fører uvægerligt til, at flere nationale lovgivninger finder anvendelse på en situation, der omfatter et grænseoverskridende element. Man forsøger derfor med internationale retlige instrumenter at fastslå de relevante kriterier på en neutral og ikke diskriminerende måde. Det seneste forsøg på at udarbejde et udkast til en konvention om den lov, der skal finde anvendelse på kontrakter, som fandt sted inden for rammerne af Haag-konferencen, mislykkedes, fordi landene ikke kunne blive enige om det afgørende kriterium. Dette udgør således problemets kerne, når man taler om gældende lov, nemlig at der skal tages lige hensyn til de involverede landes forskellige interesser. Det skal på denne baggrund bemærkes, at Fællesskabets databeskyttelsesdirektiv indeholder en udtrykkelig bestemmelse om den gældende lov med angivelse af det kriterium, der skal anvendes. Uanset om det er nemt at forstå eller anvende denne bestemmelse, er det en fordel for fysiske personer og for erhvervslivet, at der i databeskyttelsesdirektivet tages stilling til dette vigtige spørgsmål. 2. Artikel 4 i direktiv 95/46/EF om gældende lovgivning Direktivets artikel 4 lyder som følger: "Gældende national ret 1. Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger: a) der foretages som led i en virksomheds eller et organs aktiviteter inden for den medlemsstats område, hvor den registeransvarlige er etableret; en registeransvarlig, som er etableret på flere medlemsstaters område, skal træffe de nødvendige foranstaltninger til at sikre, at hver af disse virksomheder eller organer opfylder kravene i den gældende nationale lovgivning b) der foretages af en registeransvarlig, der ikke er etableret på den pågældende U.S.C (1)(A)(I), hvortil der henvises i Joel R. Reidenberg, se fodnote 5. 5

6 medlemsstats område, men på et sted, hvor dens nationale lovgivning gælder i henhold til folkeretten c) der foretages af en registeransvarlig, der ikke er etableret på Fællesskabets område, og som med henblik på behandling af personoplysninger anvender midler, det være sig elektroniske eller ikke-elektroniske, som befinder sig på den pågældende medlemsstats område, medmindre disse midler kun benyttes med henblik på forsendelse gennem Det Europæiske Fællesskabs område. 2. I det i stk. 1, litra c), omhandlede tilfælde udpeger den registeransvarlige en repræsentant, der er etableret på den pågældende medlemsstats område, uden at dette i øvrigt berører eventuelle retslige skridt mod den registeransvarlige selv." I denne artikel tages der stilling til de situationer, der giver anledning til spørgsmålet om, hvilken lov der skal finde anvendelse på behandling af personoplysninger. Det er således de situationer, hvor mindst ét aspekt af behandlingen af personoplysninger vedrører mere end én medlemsstat, f.eks. hvis et foretagende, der foretager direkte markedsføring, udarbejder adresselister om forbrugere i flere medlemsstater og anvender dem i en medlemsstat for at sende reklamemateriale til disse forbrugere. Det kan også dreje sig om en situation, hvor et amerikansk websted anbringer en cookie i fysiske personers computer i Fællesskabet, således at webstedet kan identificere computeren og knytte denne oplysning sammen med andre oplysninger. I direktivet sondres der generelt mellem på den ene side de situationer, hvor de grænseoverskridende elementer er begrænset til medlemsstaterne eller til områder uden for Fællesskabets geografiske grænser, men hvor en medlemsstats lov finder anvendelse i henhold til international offentlig ret ("diplomatsagen") 16, og på den anden side de situationer, hvor behandlingen omfatter elementer, der ligger helt uden for Fællesskabets grænser 17. Direktivet har med hensyn til de situationer, der er begrænset til Fællesskabets område, et dobbelt formål, nemlig at undgå situationer, hvor loven om databeskyttelse ikke finder anvendelse (retlige tomrum), og situationer, hvor to eller flere nationale lovgivninger finder anvendelse samtidig. Da direktivet behandler spørgsmålet om gældende lov og indeholder et kriterium for fastsættelsen af den lov, der skal lægges til grund for en løsning i en given sag, fungerer det som såkaldt "lovvalgsregel", og det er således ikke nødvendigt at gøre brug af andre kriterier fra international privat ret. Det afgørende kriterium eller "tilknytningsmomentet" i direktivet er det sted, hvor den registeransvarlige er etableret, eller med andre ord princippet om oprindelsesland, der typisk anvendes inden for rammerne af det indre marked. Helt konkret betyder dette følgende: 16 Denne sag vil ikke blive behandlet i dette dokument. Det skal ligeledes bemærkes, at direktivet og dermed artikel 4 begge finder anvendelse på den private og offentlige sektor, der behandler personoplysninger, som er omfattet af fællesskabslovgivningen. Anvendelsen af artikel 4 på sager i den offentlige sektor vil dog ikke blive behandlet i dette arbejdsdokument. 17 Denne sondring gælder hovedsagelig den registeransvarlige. Det skal under alle omstændigheder slås fast, at direktivet finder anvendelse, uanset om den registeransvarlige i Fællesskabet har en registerfører, der udøver sine aktiviteter uden for Fællesskabet. Direktivet finder i så fald fortsat anvendelse på samtlige behandlinger. 6

7 Når behandlingen foretages som led i de aktiviteter, der udføres af et af den registeransvarliges foretagender på en medlemsstats område, finder denne medlemsstats databeskyttelseslovgivning anvendelse på behandlingen. Når en registeransvarlig er etableret i flere medlemsstater samtidig, skal hvert foretagende opfylde de forpligtelser, der er fastsat i de pågældende medlemsstaters lovgivning for den behandling, som foretages i forbindelse med de pågældende aktiviteter. Dette er ingen undtagelse fra princippet om oprindelsesland, men tværtimod en nøje anvendelse af dette princip: Den registeransvarlige kan ikke, hvis han vælger at have foretagender i flere medlemsstater i stedet for bare i ét, opnå nogen fordel ved at gøre gældende, at det er tilstrækkeligt at opfylde betingelserne i én af de nationale lovgivninger for at udøve sine aktiviteter i hele det indre marked. En registeransvarlig vil i denne situation være underlagt en parallel anvendelse af de nationale lovgivninger på de respektive foretagender. Gruppen vil eventuelt behandle dette aspekt på et senere tidspunkt. Anvendelsen af princippet om oprindelsesland er fuldt berettiget i et indre marked, hvor de nationale databeskyttelseslovgivninger giver en ens beskyttelse takket være harmoniseringen af de databeskyttelsesrettigheder, som fysiske personer kan påberåbe sig, og af de forpligtelser, der påhviler erhvervslivet og andre registeransvarlige, som behandler personoplysninger. Princippet om oprindelsesland, der på sin vis er en begrænsning af anvendelsesområdet for medlemsstaternes databeskyttelseslovgivning, har således ingen negativ virkning på borgernes eller erhvervslivets rettigheder og interesser i disse medlemsstater. Selv om medlemsstaternes lovgivning ikke finder anvendelse på alle de behandlinger, der involverer en national registreret eller finder sted på det nationale område, har den omstændighed, at det kun er en anden medlemsstats lovgivning, som finder anvendelse, nemlig kun meget lidt at sige, eftersom begge lovgivninger er harmoniserede i kraft af direktivet og dermed ækvivalente. Tilliden og håndhævelsen sikres derudover gennem samarbejdet mellem de nationale databeskyttelsesmyndigheder, uanset hvilken lovgivning der finder anvendelse. 18 Situationen er imidlertid ikke den samme, når det drejer sig om behandlinger, der involverer en registeransvarlig i et tredjeland. De nationale lovgivninger i disse tredjelande er ikke harmoniserede, direktivet finder ikke anvendelse i disse lande, og beskyttelsen af fysiske personer med hensyn til behandlingen af deres personoplysninger kan derfor være mangelfuld eller ikke-eksisterende. Princippet om oprindelsesland, der tager udgangspunkt i det sted, hvor den registeransvarlige er etableret, kan ikke længere anvendes til at afgøre, hvilken lovgivning der finder anvendelse. Det er således nødvendigt at anvende et andet tilknytningsmoment. Europa-Parlamentet og Rådet har besluttet at anvende et af de klassiske tilknytningsmomenter i international ret, nemlig den konkrete forbindelse mellem selve handlingen og retsordenen. Fællesskabslovgiveren har valgt at tage udgangspunkt i det land, hvor det anvendte udstyr befinder sig 19. Direktivet finder således anvendelse, når den registeransvarlige ikke er etableret på Fællesskabets område, men beslutter sig for at behandle personoplysninger til specifikke formål og anvender automatisk eller andet udstyr, der befinder sig på en medlemsstats område. 18 Se artikel 28, stk. 6, første punktum, i direktiv 95/46/EF: "Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel". Se også sidste punktum i samme stykke om forpligtelsen til at samarbejde. 19 Dette er ikke tilfælde, hvis udstyret blot anvendes til forsendelse gennem Fællesskabets område. 7

8 Denne bestemmelse i artikel 4, stk. 1, litra c), i direktiv 95/46/EF har til formål at sikre, at en fysisk person i en medlemsstat ikke står uden beskyttelse i forbindelse med en behandling, der finder sted i denne medlemsstat, blot fordi den registeransvarlige ikke er etableret på Fællesskabets område. Dette kan således være tilfældet, hvis den registeransvarlige i princippet ikke har nogen tilknytning til Fællesskabet. Det kan dog også tænkes, at registeransvarlige etablerer deres foretagende uden for Fællesskabet for ikke at være omfattet af fællesskabslovgivningen. Det skal bemærkes, at den fysiske person ikke behøver at være EF-statsborger eller være fysisk til stede eller bosiddende i Fællesskabet. Der foretages i direktivet ingen sondring på grundlag af statsborgerskab eller opholdssted, fordi det harmoniserer medlemsstaternes lovgivning om grundlæggende rettigheder, der gives alle mennesker uanset statsborgerskab. Den fysiske person kan således i de situationer, der behandles nedenfor, lige så godt være amerikansk eller kinesisk statsborger. Denne fysiske person vil med hensyn til anvendelsen af Fællesskabets databeskyttelseslovgivning være beskyttet på lige fod med enhver EF-statsborger. Det afgørende element er det sted, hvor behandlingsudstyret befinder sig. Fællesskabslovgiverens beslutning om at lade en behandling, hvor der anvendes udstyr, som befinder sig på Fællesskabets område, være omfattet af sin databeskyttelseslovgivning, afspejler således ønsket om at beskytte fysiske personer på sit eget område. Det anerkendes på internationalt niveau, at landene kan sikre en sådan beskyttelse. Artikel XIV i den almindelige overenskomst om handel med tjenesteydelser (GATS) tillader undtagelser fra reglerne om fri handel, når formålet er at beskytte fysiske personers rettigheder med hensyn til deres privatliv og databeskyttelse og at håndhæve denne lov. I de efterfølgende afsnit beskrives de begreber, som er nødvendige for at fastslå, hvilken lov der finder anvendelse Etablering Begrebet etablering er relevant i direktivets artikel 4, stk. 1, litra c), når den registeransvarlige ikke er etableret på Fællesskabets område. Det sted, hvor en registeransvarlig er etableret, svarer til det sted, hvor aktiviteterne rent faktisk udøves gennem en mere permanent struktur, og det skal fastsættes i overensstemmelse med EF- Domstolens retspraksis. Begrebet etablering omfatter i henhold til Domstolen den faktiske udøvelse af en aktivitet ved hjælp af en fast indretning i et ikke nærmere angivet tidsrum 20. Dette krav anses ligeledes for opfyldt, når et foretagende er oprettet for en nærmere angivet periode. Etableringsstedet for et foretagende, der leverer tjenester via et websted, er ikke det sted, hvor den benyttede teknologi befinder sig, eller det sted, hvor webstedet er tilgængeligt, men det sted, hvor foretagendet udøver sin erhvervsmæssige virksomhed 21. Dette er f.eks. tilfældet, når et foretagende, der foretager direkte markedsføring, er etableret i London og tilrettelægger sin salgskampagne for hele Europa her. Den omstændighed, at det anvender servere i Berlin og Paris, ændrer ikke ved, at det er etableret i London. 20 Sag C-221/89, Factortame, Sml I, s. 3905, præmis Direktiv 2000/31/EF, betragtning 19. 8

9 2.2. Den registeransvarlige Den registeransvarlige er et fast begreb i direktivet, som betegner den fysiske eller juridiske person, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger (artikel 2, litra d), i direktiv 95/46/EF). I definitionen af dette begreb tages der ikke hensyn til den registeransvarliges etableringssted. Begrebet dækker alle situationer, idet det skal være muligt at knytte enhver behandling til en eller flere registeransvarlige. Det betyder inden for rammerne af direktivets artikel 4, stk. 1, litra c), at der et eller andet sted må findes en registeransvarlig i direktivets forstand. Det synes også at være nødvendigt, at behandlingen finder sted i forbindelse med en aktivitet, som er omfattet af fællesskabslovgivningen og dermed direktivet. En behandling, der foretages af en fysisk person inden for rammerne af aktiviteter af personlig eller familiemæssig karakter, er således ikke omfattet af direktivets anvendelsesområde. For at udløse direktivets artikel 4, stk. 1, litra c), skal den registeransvarlige med henblik på behandling af personoplysninger (og ikke kun med henblik på forsendelse gennem Fællesskabets område) anvende udstyr, som befinder sig på en medlemsstats område 22. Dette betyder således, at den registeransvarlige skal være aktiv og have en særlig hensigt. Hans beslutning om, til hvilket formål og med hvilke hjælpemidler der må foretages behandling, er således omfattet af dette aspekt Udstyr Direktivet indeholder ingen definition af dette begreb. Ordet udstyr (equipment) defineres i den engelske ordbog Collins English dictionary som en række værktøjer eller anordninger, der er samlet til et specifikt formål (a set of tools or devices assembled for a specific purpose). Udstyr kan f.eks. være computere, terminaler og servere, der kan anvendes til næsten alle former for behandling. Det præciseres i direktivet, at "udstyr" som sådan kan være elektronisk eller ikkeelektronisk, så længe det ikke udelukkende benyttes med henblik på forsendelse gennem Fællesskabets område. Et typisk eksempel, hvor udstyr anvendes udelukkende til forsendelse, er telenetværk (back bones, kabler osv.), som er en del af Internet, og hvorigennem internetkommunikationer cirkulerer fra afsenderpunkt til modtagerpunkt Anvendelse af udstyret 22 Det skal bemærkes, at der er en forskel mellem terminologien i den engelske udgave af artikel 4, stk. 1, litra c), hvor ordet "udstyr" (equipment) anvendes, og terminologien i de andre sprogudgaver af artikel 4, stk. 1, litra c), der anvender ordet "midler", som mere svarer til det engelske "means". Terminologien, der anvendes i disse andre sprogudgaver af artikel 4, stk. 1, litra c), er i overensstemmelse med ordlyden i artikel 2, litra d), hvor den registeransvarlige defineres som den person, der afgør, til hvilket formål og med hvilke "hjælpemidler" (means) der må foretages behandling. Det skal dog ligeledes bemærkes, at ordet "midler" (means) anvendes i de tidligere engelske udgaver (f.eks. i ændret forslag af 1992), men at dette på et sent tidspunkt under drøftelserne blev ændret til "udstyr" (equipment), således som det også fremgår af den fælles holdning af marts

10 Vurderingen af, om "den registeransvarlige med henblik på behandling af personoplysninger anvender midler" i henhold til direktivets artikel 4, stk. 1, litra c), er i Fællesskabet afgørende for databeskyttelseslovgivningens anvendelse. Gruppen anbefaler, at man i forbindelse med konkrete sager anvender denne regel i databeskyttelsesdirektivet med en vis forsigtighed. Formålet hermed er at sikre, at fysiske personer er omfattet af de nationale databeskyttelseslovgivningers beskyttelse og de nationale databeskyttelsesmyndigheders behandlingskontrol i de situationer, hvor det er nødvendigt, hvor det må anses for relevant, og hvor der i et rimeligt omfang kan ske håndhævelse under hensyntagen til eventuelle grænseoverskridende elementer. Gruppen er derfor at den opfattelse, at det ikke er enhver interaktion mellem en internetbruger i Fællesskabet og et websted, der er etableret uden for Fællesskabet, der nødvendigvis fører til anvendelsen af Fællesskabets databeskyttelseslovgivning. Gruppen har givet udtryk for, at udstyret skal være til rådighed for den registeransvarlige med henblik på behandling af personoplysninger. Det er samtidig ikke nødvendigt, at den registeransvarlige har fuld kontrol over udstyret. Det kan variere, i hvilket omfang udstyret er til den registeransvarliges rådighed. Den nødvendige rådighedsgrad anses for at være til stede, hvis den registeransvarlige - ved at fastsætte, hvorledes udstyret skal fungere - har mulighed for at træffe de relevante beslutninger om oplysningernes indhold og fremgangsmåden for deres behandling. Den registeransvarlige fastsætter med andre ord, hvilke data der indsamles, lagres, overføres, ændres osv., på hvilken måde og til hvilket formål. Gruppen er af den opfattelse, at begrebet "anvendelse" forudsætter to elementer, nemlig at den registeransvarlige udfører en eller anden form for aktivitet, og at den registeransvarlige har til hensigt at behandle personoplysninger. Dette indebærer, at det ikke er alle "anvendelser" af "udstyr" i Fællesskabet, der er omfattet af direktivet. Den registeransvarliges råderet over udstyret skal dog ikke forveksles med ejendomsretten til den registeransvarliges eller den fysiske persons udstyr. Det har således i direktivet ingen betydning, hvem der ejer udstyret. Gruppens fortolkning er i fuld overensstemmelse med fælleskabslovgiverens begrundelse for direktivets artikel 4, stk. 1, litra c), jf. betragtning 20: "den omstændighed, at den registeransvarlige er etableret i et tredjeland, må ikke hindre personer i at nyde den beskyttelse, der fastsættes ved dette direktiv; den pågældende behandling bør i så fald underkastes lovgivningen i den medlemsstat, hvor de hjælpemidler, der benyttes til behandlingen, befinder sig, og der bør stilles garanti for, at de rettigheder og forpligtelser, der følger af dette direktiv, også overholdes". Dette er et nødvendigt element med henblik på gennemførelsen af direktivets overordnede målsætning, som er "at forhindre, at en person unddrages den beskyttelse, der sikres ved dette direktiv". 3. Praktiske eksempler Formålet med dette kapitel er at omsætte vejledningen i artikel 4 til konkrete løsningsmodeller i typiske sager. Et fællestræk ved nedenstående sager er, at internetbrugeren ikke nødvendigvis altid er klar over, om det websted, som han vil besøge og (bevidst eller ubevidst) give oplysninger til, er beliggende i eller uden for Fællesskabet. Det er ikke muligt uden yderligere oplysninger at stedfæste de domænenavne, som ikke indeholder nogen geografisk angivelse, og der er selv for de 10