PERSONOPPLYSNINGER

EU-domstolen klargjør: Personopplysninger er et relativt begrep

En fersk avgjørelse fra EU-domstolen klargjør at personopplysninger er et relativt begrep. Dette har betydning både for anvendelsen av GDPR og for bruk av data til testing, algoritmetrening, forskning, med videre. Avgjørelsen kan medføre et snevrere personopplysningsbegrep enn det som er lagt til grunn i mange saker hittil.

EU-domstolens avgjørelse bør blant annet få betydning for skillet mellom pseudonymiserte personopplysninger og anonymiserte data, skriver advokatene Eivind Grimsø Moe og Petter Enholm i Advokatfirmaet Hjort i denne kronikken.
EU-domstolens avgjørelse bør blant annet få betydning for skillet mellom pseudonymiserte personopplysninger og anonymiserte data, skriver advokatene Eivind Grimsø Moe og Petter Enholm i Advokatfirmaet Hjort i denne kronikken. Foto: Advokatfirmaet Hjort
Eivind Grimsø Moe og Petter Enholm i Advokatfirmaet Hjort
3. mai 2023 - 14:37 | Endret 19. mai 2023 - 11:23

Det har lenge vært diskutert om GDPR opererer med et absolutt eller relativt personopplysningsbegrep. En absolutt tilnærming vil si at det er tilstrekkelig at noen med rimelighet kan benytte informasjonen til identifisering av en person, selv om den som behandler informasjonen selv ikke har slik mulighet. En relativ tilnærming forutsetter at den som behandler opplysningene, selv har en rimelig mulighet for identifisering, basert på sine subjektive forutsetninger. Det som er personopplysninger for én behandler vil dermed ikke nødvendigvis være personopplysninger for en annen. En relativ tilnærming tilsier da også et snevrere personopplysningsbegrep enn ved en absolutt tilnærming.

Avgjørelsen i Breyer v Tyskland fra 2016 har av mange blitt tolket som at det gjelder et relativt personopplysningsbegrep. Uttalelser fra tilsynsmyndigheter de senere år har imidlertid gått langt i å oppstille en nær absolutt tilnærming. Det har derfor vært usikkerhet knyttet til om det gjelder en relativ eller absolutt standard.

Sakens bakgrunn

I denne saken hadde den sentrale rekonstruksjonsorganisasjon i EUs bankunion, SRB, fått innspill fra en rekke personer ved bruk av et standardisert skjema i forbindelse med en høringsrunde.

Etter diverse prosessering hos SRB ble et datasett basert på innspillene oversendt Deloitte. Ingen av respondentene kunne direkte identifiseres ut fra dataene Deloitte mottok, men dataene innhold en ID som potensielt kunne koble kommentarene til respondentene. Deloitte hadde imidlertid ingen mulighet for å gjøre denne koblingen.

Det europeiske datatilsynet (EDPS) anførte at dette innebar overføring av personopplysninger fra SRB til Deloitte, noe SRB bestred både på bakgrunn av opplysningenes karakter, og fordi Deloitte ikke hadde mulighet for å identifisere respondentene.

Garderobeselskapet Leba holder til i Vigra i Giske kommune. Like sør for Ålesund i Møre og Romsdal. Nå krangler de med sin IT-leverandør om nettutikk-løsningen de har betalt vel fem millioner kroner for.
Les også

Krever millionavslag for IT-løsning: Mener systemet er så dårlig at det ikke egner seg for bruk

Et relativt begrep?

EU-domstolen* tar utgangspunkt i definisjonen av personopplysninger i GDPR-artikkel 4(1): «enhver opplysning om en identifisert eller identifiserbar fysisk person ('den registrerte')». En identifiserbar person defineres i denne sammenheng som «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator […]». Ifølge GDPRs fortale skal man ved vurderingen av hvorvidt en person er identifiserbar, ta hensyn til «alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte».

Muligheten for indirekte identifisering, også via annen person enn den som behandler informasjonen, er ofte tatt til inntekt for en (nær) absolutt tilnærming, og terskelen for hva som anses som personopplysninger, har i mange tilfeller blitt svært lav. Tilsvarende har kravene for å fremstille anonymiserte datasett blitt svært høyt.

I den ferske avgjørelsen sier imidlertid domstolen at man må «sette seg i Deloittes posisjon» for å vurdere om informasjonen som ble overført til dem, omhandler identifiserbare personer, noe som altså tilsier en utpreget subjektiv tilnærming og et relativt personopplysningsbegrep.

Krav til innhold

Kommentarene fra høringsrunden kunne gi uttrykk for respondentenes personlige meninger eller oppfatninger. EDPS mente at dette i seg selv gjorde innspillene til personopplysninger, mens SRB mente at innspillene måtte omhandle bestemte personer for å være personopplysninger.

EU-domstolen uttaler i denne sammenheng at det at man gir uttrykk for en personlig mening eller oppfatning, ikke i seg selv gjør en uttalelse til en personopplysning. En mulig kobling til person er altså ikke nok. Man må vurderes om opplysningene etter sitt innhold omhandler en identifiserbar person.

Åpenhet om behandling av personopplysninger er en forutsetning for at folk skal kunne ivareta rettighetene sine, skriver TV 2s personvernombud Erlend Bakken.
Les også

Samtykket har fått en renessanse

Dommens betydning

Avgjørelsen gir nyttige, og etter vårt syn hensiktsmessige, avklaringer rundt begrepet personopplysninger. Med et relativt personopplysningsbegrep får man etter vårt syn en mer praktisk og risikoorientert tilnærming, der det avgjørende er om den som behandler opplysningene har rimelig mulighet for identifisering. Det er også nyttig at ikke enhver mulig kobling til en person gjør et datasett til en personopplysning, uavhengig av innhold.

Avgjørelsen bør blant annet få betydning for skillet mellom pseudonymiserte personopplysninger og anonymiserte data. Dette er viktig fordi førstnevnte fortsatt regnes som personopplysninger og omfattes av GDPR, mens sistnevnte ikke regnes som personopplysninger og faller i sin helhet utenfor GDPR. Med en relativ tilnærming vil det som er pseudonymiserte personopplysninger for én aktør, i større grad kunne være anonyme data for en annen. En relativ tilnærming vil gjøre det enklere å fremstille anonymiserte data til bruk i testing, forskning, algoritmetrening med videre.

Det gjenstår å se hvilke krav som vil stilles til avsender om å vurdere mottakernes mulighet for identifisering der det utveksles opplysninger som alene ikke gir grunnlag for identifisering. Dette vil nok bero på en konkret vurdering, og muligens vil det også ha betydning hvilken innbyrdes relasjon det er mellom partene i denne sammenheng – eksempelvis om det dreier seg om overføring mellom behandlingsansvarlig og databehandler, eller mellom uavhengige behandlingsansvarlige.

Det blir også interessant å se om denne avgjørelsen vil påvirke vurderingen av krypterte personopplysninger. Vil mottakeren av krypterte data i det hele tatt anses å behandle personopplysninger, dersom de ikke har noen rimelig mulighet til identifisering ved dekryptering eller på annen måte? 

* Tilføyd 19.05.2023: Dommen er avsagt av European General Court, som er første instans innen EU-domstolene. Den kan påankes til European Court of Justice, som er høyeste instans innen EU-domstolene.

I andre etasje på dette bygget i Moss holder Total Revisjon DA til. De ble utsatt for et løsepengeangrep og både kundedata og deres egne opplysninger er på avveie.
Les også

Data på avveie: Varslet verken kunder eller Datatilsynet om hackerangrep

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.