Persondataansvaret hos billetbureau

Indledning

Det Digitale Folkebibliotek har gennem en længere periode, og første gang i regi af Danskernes Digitale Bibliotek (DDB), modtaget henvendelser fra en række bibliotekskommuner vedrørende persondataansvarets fordeling i forbindelse med bibliotekernes samarbejde med Place2Book. Vi vil derfor nu offentliggøre vores vurdering af dataansvaret for behandling af personoplysninger i samarbejdet mellem bibliotekskommunerne og billetbureauet Place2Book. Vi gør opmærksom på, at Det Digitale Folkebibliotek ikke selv har nogen aftale med Place2Book og heller ikke har forhandlet aftaler med Place2Book på vegne af folkebibliotekerne eller enkelte folkebiblioteker, der involverer behandling af personoplysninger. Vi er alene gået ind i sagen for at bistå bibliotekerne med en afklaring af dataansvaret i samarbejdet mellem bibliotekskommunerne og Place2Book.   

Vi gør opmærksom på, at Det Digitale Folkebiblioteks vurdering af dataansvaret kun kan betragtes som vejledende. Det skal herved bemærkes, at Datatilsynet eller anden myndighed formentlig ikke kan tage stilling til ansvarets placering for behandling af personoplysninger i konkrete forretningssamarbejder, end ikke vejledende. Det er i sidste instans EU-domstolen, der er kompetent til bindende at afgøre, hvem der har hvilket ansvar for behandling af personoplysninger omfattet af databeskyttelsesforordningen. Men Datatilsynet kan som tilsynsmyndighed påse, hvorvidt en aktør, der behandler personoplysninger og videregiver oplysningerne til andre, har taget stilling til dataansvaret, og om den behandling af personoplysninger, som aktøren må anses for ansvarlig for, sker i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven.      

Billetbureauet Place2Book udveksler personoplysninger med bibliotekskommunerne som et led i opfyldelse af den standardaftale om salg/tildeling af billetter til biblioteksarrangementer mv., som billetbureauet har indgået med de enkelte biblioteker (bibliotekskommuner). Der har i den forbindelse været en vis uklarhed om persondataansvarets fordeling, herunder hvorvidt udveksling af personoplysninger som et led i opfyldelsen af standardaftalen medfører, at der foreligger en databehandlerkonstruktion med den konsekvens, at der skal indgås en databehandleraftale mellem billetbureauet som databehandler og den enkelte bibliotekskommune som den dataansvarlige efter de i databeskyttelsesforordningen fastsatte krav hertil.     

Sammenfatning

Det er efter det oplyste om de nuværende forhold vedrørende behandling af personoplysninger i samarbejdet mellem de enkelte bibliotekskommuner og billetbureauet Place2Book Det Digitale Folkebiblioteks vurdering, at henholdsvis den enkelte bibliotekskommune og billetbureauet, Place2Book er selvstændig dataansvarlig for den i samarbejde mellem parterne foretagne behandling af personoplysninger. Da der således efter Det Digitale Folkebiblioteks opfattelse ikke er tale om en databehandlerkonstruktion, skal der ikke indgås databehandleraftale mellem parterne.

Det juridiske grundlag for vurdering af dataansvar

Det må antages, at dataansvaret for behandling af personoplysninger i konkrete tilfælde skal ske på grundlag af en vurdering ud fra de generelle kriterier om datatansvaret, der følger af databeskyttelsesforordningens begrebsmæssige afgrænsning af de forpligtede fysiske og juridiske personers m.fl. status som ”dataansvarlige” eller ”databehandler”, jf. henholdsvis forordningens art. 4, nr. 7 og nr. 8.  

Ifølge forordningens artikel 4, nr. 7, er den dataansvarlige defineret som den, der ”alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger”. Det bemærkes, at der med forordningens formulering ”sammen med andre” kan være tale om en organisering af behandling af personoplysninger med flere dataansvarlige som ”fælles dataansvarlige”, jf. hertil forordningens artikel 26. En status som databehandler ligger ”i forlængelse” af afgrænsningen af begrebet dataansvarlig og defineres ifølge forordningens artikel 4, nr. 8, som den, ”der behandler personoplysninger på den dataansvarliges vegne.”

I ”Vejledning om dataansvarlige og databehandlere” fra november 2017 har Datatilsynet givet vejledende anvisninger om, hvordan der skal foretages en vurdering af, hvorvidt der foreligger et ansvar for behandling af personoplysninger som dataansvarlig eller databehandler. Der er således i vejledningen (side 11-12 og i opsummeringen side 24-25) anført kriterier eller momenter (i vejledningen konsekvent benævnt ”udsagn”), der kan inddrages i vurderingen, og det er ligeledes anført, hvordan afvejningen af kriterierne eller momenterne skal foretages.

Det må lægges til grund, at de i vejledningen opregnede kriterier eller momenter og afvejningen imellem dem, har støtte i databeskyttelsesforordningens afgrænsning af dataansvaret som henholdsvis dataansvarlig og databehandler, og der ses ikke at foreligge mellemkommende fortolkningsbidrag siden 2017 fra EU-domstolen, nationale tilsyn e.l., som væsentligt har ændret ved afgrænsningen af dataansvaret for behandling af personoplysninger. Den i vejledningen givne fremstilling af de kriterier eller momenter, som indgår i vurderingen, og afvejningen heraf, er nok indimellem for omtrentlig og kunne godt præciseres. Fx er der ikke givet en opregning af kriterier, der taler for en status som dataansvarlig og en anden opregning af kriterier, der taler for en status som databehandler. Kriterierne og deres afvejning ses samlet under ét, hvilket kan give det indtryk, at når to parter udveksler personoplysninger med hinanden eller behandler personoplysninger i et samarbejde, er den ene part dataansvarlig og den anden part databehandler. Men de to parter kan også være selvstændige dataansvarlige, eller der kan bestå fælles dataansvar mellem de dataansvarlige. Det er endvidere ikke i vejledningen tydeliggjort, at de anførte kriterier eller momenter ikke alle er selvstændige, men i flere tilfælde støttekriterier til eller en nærmere beskrivelse af et eller flere afgørende hovedkriterier. Det bemærkes herved, at det helt afgørende kriterium for, hvorvidt man har status som dataansvarlig for en given behandling af personoplysninger er, om man træffer afgørelse om formålet og de væsentligste hjælpemidler, hvortil og hvormed der behandles personoplysninger. Hvis man ikke har den afgørelseskompetence over formål og de væsentligste hjælpemidler, kan man følgelig ikke have status som dataansvarlig. I grænsetilfælde vil det endvidere være et afgørende kriterium for en vurdering af dataansvaret, hvem der over for de registrerede fremstår som den dataansvarlige. Hvis man er opmærksom på disse kriteriers afgørende vægt for vurderingen, udgør Datatilsynets vejledning et godt og solidt grundlag for konkret at fastlægge dataansvaret for behandling af personoplysninger.      

De faktiske forhold vedrørende behandling af personoplysninger mellem bibliotekskommunerne og billetbureauet (Place2Book)

Forud for drøftelser mellem daværende DDB og billetbureauet Place2Book var forholdene følgende:

• At en bruger, der tilgik billetbureauets platform fra et biblioteks hjemmeside, kun via adressefeltet blev opmærksom på, at brugeren nu var blevet viderestillet til en anden platform end bibliotekets og afgav personoplysninger på billetbureauets platform.
• At billetbureauet ikke var under nogen direkte instruks fra de enkelte bibliotekskommuner, men billetbureauet havde lagt en af billetbureauet selv udfærdiget standarddatabehandleraftale på sin hjemmeside og havde også haft korrespondance med visse bibliotekskommuner om indgåelse af en databehandleraftale og vilkårene herfor.
• At billetbureauet i sin lidt uklar formulerede privatlivspolitik i videre omfang henholdt sig til bl.a. bibliotekskommunernes behov vedrørende behandling af personoplysninger.
• At bibliotekskommunerne havde haft væsentlig indflydelse på skabeloner for indhentning af oplysninger om deltagere til biblioteksarrangementer, hvilket sammen med de øvrige foreliggende oplysninger var egnet til at give de registrerede det indtryk, at billetbureauet indsamlede personoplysninger på de enkelte bibliotekskommuners vegne.
• At bibliotekskommunerne i et vist omfang selv kunne træffe afgørelse om, hvorvidt og hvornår personoplysninger skulle slettes.

Disse momenter indikerede, at der forelå et databehandlerforhold mellem de enkelte bibliotekskommuner som dataansvarlige og billetbureauet som databehandler. På den anden side stod det klart, at billetbureauet behandlede de omhandlede personoplysninger med det eget formål at ”sælge” billetter eller opfylde kundernes billetbestillinger til bibliotekernes arrangementer, ligesom billetbureauet til enhver tid kunne indrette hjælpemidlerne (billetsystemet/platformen), som billetbureauet fandt det hensigtsmæssigt uden herved at misligholde standardaftalen med bibliotekskommunerne.

Efter drøftelser mellem daværende DDB og senere Det Digitale Folkebibliotek og billetbureauet blev de faktiske forhold vedrørende behandlingen af personoplysninger ændret. Det lægges herefter til grund:

• At det er klart og tydeligt, at brugere på billetbureauets platform afgiver personoplysninger over for billetbureauet, der på egne vegne indsamler personoplysningerne.
• At billetbureauet i forbindelse med indsamling og viderebehandling af personoplysninger til brug for billetbestilling til bibliotekernes arrangementer meddeler de registrerede, at billetbureauet er den dataansvarlige for behandling af de omhandlede personoplysninger og endvidere på sin hjemmeside informerer de registrerede om behandlingen af personoplysninger om dem til opfyldelse af den dataansvarliges oplysningspligt i medfør af databeskyttelsesforordningens artikel 13 (og 14).
• At billetbureauet træffer afgørelse om, hvilke personoplysninger der kan indsamles.
• At billetbureauet afgør, hvorvidt og hvornår de omhandlede personoplysninger slettes.

Billetbureauet indsamler og viderebehandler personoplysninger til det eget formål at ”sælge” billetter eller opfylde billetbureauets kunders billetbestillinger til bl.a. bibliotekernes arrangementer. Det bemærkes endvidere, at forholdene vedrørende behandling af personoplysninger mellem billetbureauet og de enkelte bibliotekskommuner svarer til forholdene i eksempel 7 i Datatilsynets vejledning for et rejsebureaus, et hotels og et flyselskabs udveksling/behandling af personoplysninger, hvor alle tre parter i eksemplet anses for selvstændige dataansvarlige.   

Vurdering af dataansvarsfordelingen mellem bibliotekskommunerne og billetbureauet (Place2Book)

På den ovenfor anførte baggrund finder Det Digitale Folkebibliotek, at den enkelte bibliotekskommune og biblioteksbureauet er selvstændige dataansvarlige for den i samarbejdet mellem parterne foretagne behandling af personoplysninger. Der findes således ikke at være tale om en databehandlerkonstruktion, hvorfor der ikke skal indgås databehandleraftale mellem parterne. Der ses heller ikke at foreligge omstændigheder, hvorunder der består et fælles dataansvar mellem parterne.