Persondata og EU-retten
EU-Domstolen kom ved dom af 24. november 2011 frem til, at EU's direktiv om behandling af personoplysninger afskærer medlemsstater fra at stille større krav ved behandling af personoplysninger end foreskrevet i direktivet.
EU-Domstolen kom ved dom af 24. november 2011 frem til, at EU's direktiv om behandling af personoplysninger afskærer medlemsstater fra at stille større krav ved behandling af personoplysninger end foreskrevet i direktivet.
Sagen drejede sig om, hvorvidt de spanske regler om databeskyttelse kunne kræve, at behandling af personoplysninger - uden samtykke - alene kunne finde sted, hvis oplysningerne var opført i offentligt tilgængelige kilder.
EU-Domstolen udtalte, at direktivet indeholdt en udtømmende og fuldstændig liste over de tilfælde, hvor behandling kunne anses for at være lovlig og således i princippet medførte total harmonisering. Medlemsstaterne kunne derfor ikke fastsætte yderligere krav end foreskrevet i direktivet for dataansvarligs behandling af personoplysninger. Yderligere udtalte EU-Domstolen, at medlemsstaternes regler skal muliggøre, at der kan ske en afvejning af hensynet til modstående rettigheder og interesser, som afhænger af den konkrete situation. Det vil derfor ikke være i overensstemmelse med direktivet, såfremt nationale regler for visse kategorier af personoplysninger generelt udelukker muligheden for behandling uden at tillade, at en afvejning af modsatrettede rettigheder og interesser i den konkrete sag kan nå frem til et andet resultat.
Da de spanske regler generelt udelukkede behandlingen af personoplysninger uden samtykke, såfremt disse ikke var opført i offentligt tilgængelige kilder og således gik ud over, hvad der fremgik af direktivet, fandt EU-Domstolen, at dette var i strid med EU-retten.
Dommen viser, at medlemsstaterne generelt ikke kan fastsætte skærpede regler for behandling af persondata, da databeskyttelsesdirektivet i princippet er et totalharmoniseringsdirektiv. Dommen kan derfor have betydning for den danske persondatalov i forhold til de danske bestemmelser, som ikke fremgår af EU's direktiv, herunder særreglerne for beskyttelse af semifølsomme oplysninger.
Såfremt Europa-Kommissionens forslag til nye regler om beskyttelse af personoplysninger vedtages, vil dette dog blive løst ved, at der netop indføres et fælles regelsæt for databeskyttelse i hele EU.