Inte heller religiösa samfund står över dataskyddsreglerna
Många organisationer har fått arbeta hårt för att anpassa sin verksamhet till den nya dataskyddsförordningen. Det religiösa samfundet Jehovas vittnen ansåg att det inte omfattades av dataskyddslagstiftningen. EU-domstolen håller inte med utan konstaterar att samfundet inte kan undantas från GDPR. Detta eftersom samfundet är personuppgiftsansvarigt över persondata som de erhåller genom medlemmarnas predikan vid dörrknackning.
Jehovas vittnen i Finland ansåg sig stå över dataskyddsreglerna
Datasekretessnämnden i Finland beslutade att samfundet Jehovas vittnen skulle förbjudas att samla in och behandla personuppgifter när samfundets medlemmar predikade genom dörrknackning, om samfundet inte följde personuppgiftslagstiftningen. Samfundet ansåg att det inte behövde följa dessa regler och därför togs frågan upp i finsk domstol. Det fanns vissa oklarheter gällande tolkningen av dataskyddsdirektivet (numera dataskyddsförordningen) och därför togs målet till slut hela vägen till EU-domstolen.
EU-domstolen har prövat frågan
Nu har EU-domstolen prövat om samfundet omfattas av dataskyddslagstiftningen. Intressant i målet är att det faktiskt är samfundets medlemmar som samlar in uppgifter. Samfundet ger dock vissa riktlinjer om hur anteckningar bör föras och organiserar samt samordnar medlemmarnas predikoarbete.
Om en verksamhet är av rent privat natur eller om den endast har samband med en persons hushåll kan den undantas från dataskyddsdirektivets tillämpningsområde. EU-domstolen tycker dock inte att predikoarbete genom dörrknackning omfattas av dessa undantag. Verksamheten är nämligen utåtriktad i förhållande till de predikande medlemmarnas privata sfär. Dessutom vidarebefordras de uppgifter som samlas in av medlemmarna till församlingar som då upprättar förteckningar över personer som inte önskar få besök.
Utgör insamlingen ett register och är samfundet registeransvarigt?
Det är inte bara undantagen som EU-domstolen tar upp. Den svarar också på frågan om insamlingen av personuppgifter genom dörrknackning och senare behandling utgör ett register och om samfundet är registeransvarigt (numera personuppgiftsansvarigt) tillsammans med sina medlemmar.
Gällande begreppet “register” anser EU-domstolen att de uppgifter som samlas in är strukturerade och att det är betydelselöst exakt vilken form som valts för samlingen. Samlingen omfattas alltså av begreppet register och samfundet måste därför följa EU:s regler om skydd för persondata.
Slutligen tar EU-domstolen också upp frågan om samfundet är registeransvarigt tillsammans med sina medlemmar. Domstolen konstaterar att medlemmarnas predikoarbete organiseras och samordnas av samfundet. Minnesanteckningar samlas in för att användas vid senare tillfällen och samfundets församlingar upprättar förteckningar över personer som inte vill ta emot besök. Insamlingen av personuppgifter hjälper samfundet att sprida sin tro, vilket är dess ändamål. EU-domstolen drar därför slutsatsen att samfundet uppmuntrar medlemmarna att inom ramen för sitt predikoarbete ägna sig åt behandling av personuppgifter.
Eftersom samfundet deltar i att bestämma ändamålen och medlen med behandlingen av personuppgifter är det ansvarigt för behandlingen av personuppgifter.
Victor Wiklert
Redaktör och rådgivare, jurist
Publicerad 30 aug 2018
