Siden EUs personvernforordning, GDPR, trådte i kraft i 2018, har både privat og offentlig sektor måttet skjerpe egne rutiner og datasikkerhet. Så snart personopplysninger er inne i bildet, gjelder GDPR på de fleste områder (bortsett fra våre rent personlige aktiviteter). Videre forutsetter forordningen at medlemsstatene skal utpeke en tilsynsmyndighet (Datatilsynet i Norge) som skal ha myndighet til å behandle klager og håndheve forordningen. Det finnes likevel noen viktige unntak, blant annet for virksomhet som faller utenfor EU-rettens anvendelsesområde.

GDPRs vide anvendelsesområde, nærmere bestemt om forordningen gjelder for parlamentarisk virksomhet, var tema for en prejudisiell avgjørelse fra EU-domstolen denne uken (C-33/22 Datenbehörde mot WK): Saken gjaldt en parlamentarisk granskningskomité nedsatt av det østerrikske parlamentet. Granskningen gjaldt anklager om politisk innflytelse over et direktorat med ansvar for blant annet bekjempelse av terrorisme. Vitnet «WK» ble innkalt til å forklare seg for komiteen, men ba om å bli anonymisert i offisielle referat. Både for- og etternavn ble imidlertid publisert, og WK klaget derfor komiteen inn for det østerrikske datatilsynet. Datatilsynet mente imidlertid at fordi komiteen var nedsatt av parlamentet som ledd den parlamentariske kontrollen med regjeringen, kunne det av hensyn til maktfordelingsprinsippet ikke behandle saken.

Saken ble siden brakt inn for domstolene. Østerrikes øverste forvaltningsdomstol forela deretter tre spørsmål for EU-domstolen: Det første var om GDPR overhodet gjelder for databehandling i en parlamentarisk granskningskomité nedsatt for å kontrollere regjeringen. Det andre spørsmålet var om granskning av et direktorat med ansvar for terrorismebekjempelse, altså nasjonal sikkerhet, ville være unntatt fra GDPRs virkeområde etter unntaket for aktiviteter som faller utenfor EU-rettens anvendelsesområde, jf. artikkel 2(2)(a). Det tredje spørsmålet var om det østerrikske datatilsynet, til tross for at østerriksk lov ikke la til rette for dette, hadde myndighet til å anvende GDPR.

Når det gjelder det første spørsmålet, viste EU-domstolen til at unntaket i artikkel 2(2) må tolkes strengt. Bare «an activity which is intended to safeguard national security or of an activity which can be classified in the same category» faller utenfor GDPR etter dette unntaket. Komiteer utpekt av et lands nasjonalforsamling står ikke i noen særstilling, da unntaket kun er knyttet til aktivitetens art, ikke til hvem som er databehandler. Domstolen viste her til en tidligere dom, C-272/19 Land Hessen, som også gjaldt en komité nedsatt av et tysk delstatsparlament. Denne komiteen hadde imidlertid til oppgave å motta innspill fra publikum, deltok ikke direkte i det lovgivende arbeidet, og kunne ikke fatte bindende avgjørelser. Østerrike hadde argumentert for at den østerrikske granskningskomiteen stod i en annen stilling, da den var opprettet som ledd i utøvelse av myndighet som direkte og eksklusivt lå hos nasjonalforsamlingen. EU-domstolen anså imidlertid ikke dette som relevant, nettopp fordi det ikke var tilknytningen til nasjonalforsamlingen, men arten av oppgavene, som var avgjørende.

I spørsmålet om granskningskomiteens arbeid falt utenfor EU-rettens område fordi det var knyttet til ivaretakelsen av nasjonal sikkerhet, viste EU-domstolen til at selv om det er opp til medlemsstatene å definere sine nasjonale sikkerhetsinteresser, vil ikke unntaket gjelde for all databehandling hos en myndighet med oppgaver innenfor nasjonal sikkerhet. I dette tilfellet gjaldt granskningen mulig politisk innblanding i sikkerhetsmyndighetens oppgaver. Dermed ville ikke unntaket gjelde. EU-domstolen understreket imidlertid at GDPR artikkel 23 åpner for unntak fra visse regler i GDPR av hensyn til nasjonal sikkerhet, selv der forordningen generelt kommer til anvendelse.

Når det gjaldt det tredje spørsmålet, om tilsynsmyndigheten skulle behandle klagen til tross for at dette var i strid med østerriksk internrett, anså domstolen reglene i GDPR som klare nok til å ha direkte virkning. Så lenge medlemsstaten har opprettet en tilsynsmyndighet, måtte denne derfor ha myndighet til å behandle klager, selv om det stred mot nasjonal rett. Det siste gjaldt selv om det ville stride mot konstitusjonelle prinsipper, som for eksempel forholdet mellom statsmaktene. På dette punktet er det imidlertid visse forskjeller mellom EU-retten og EØS-avtalen, da at EØS-rettens forrang fremfor nasjonal rett (jf. EØS-loven § 2 og EØS-avtalen protokoll 35) gjelder motstrid mot nasjonal lov og forskrift, ikke motstrid mot nasjonal grunnlov. EU-domstolens svar på det tredje spørsmålet må derfor trolig leses med visse tilpasninger i EØS-EFTA-landene.