EU-domstolen klargjør: personopplysninger er et relativt begrep

Sakens bakgrunn

I denne saken hadde SRB, altså den sentrale rekonstruksjonsorganisasjon i EUs bankunion, i forbindelse med en høringsrunde fått innspill fra en rekke personer ved bruk av et standardisert skjema.

Et datasett med utdrag av innspillene ble overført til Deloitte, som skulle behandle opplysningene i forbindelse med høringsprosessen. Ingen av respondentene kunne direkte indentifiseres direkte fra det Deloitte mottok, men dataene innehold en ID som potensielt kunne brukes av SRB til å koble kommentaren til respondenten. Deloitte hadde imidlertid ingen mulighet til å gjøre denne koblingen.

Det europeiske datatilsynet (EDPS) anførte at dette innebar overføring av personopplysninger fra SRB til Deloitte. SRB bestred at de hadde overført personopplysninger til Deloitte både på bakgrunn av opplysningenes karakter og fordi Deloitte ikke hadde mulighet for å identifisere respondentene.

En relativ standard

Retten tar utgangspunkt i definisjonen av personopplysninger i GDPR artikkel 4(1): «enhver opplysning om en identifisert eller identifiserbar fysisk person (‘den registrerte’)», hvor en identifiserbar person defineres som «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator […]».

På denne bakgrunn diskuterer domstolen både om kravet til identifisering vil kunne være avhengig av hvem som behandler opplysningene, og hva som objektivt sett utgjør personopplysninger.

Opplysningene som ble delt mellom SRB og Deloitte inneholdt som nevnt en ID som muliggjorde identifisering av avsenderne. SRB hadde tilgang til opplysninger som på denne bakgrunn gjorde det mulig å identifisere respondentene, men Deloitte hadde ikke det. EDPS anførte at det dreide seg om pseudonymiserte personopplysninger, mens SRB anførte at dataene som Deloitte mottok var anonymiserte og dermed ikke inneholdt personopplysninger overhodet.

Etter definisjonen av personopplysninger i GDPR er det tilstrekkelig at man «indirekte» kan identifisere en person, og i følge GDPRs fortale skal man ved vurderingen av hvorvidt en person er identifiserbar ta hensyn til «alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte». Muligheten for indirekte identifisering, også via annen person enn den som behandler informasjonen, er ofte tatt til inntekt for en nær absolutt tilnærming.

Retten uttaler imidlertid at man må «sette seg i Deloittes posisjon for å vurdere om informasjonen som ble overført til dem omhandler ‘identifiserbare personer’», noe som altså tilsier et relativt personopplysningsbegrep med en utpreget subjektiv tilnærming. På denne bakgrunn kommer domstolen også til at EDPS uriktig la til grunn at det var tilstrekkelig at SRB kunne foreta en identifisering: Man skulle ha vurdert om Deloitte hadde en rimelig mulighet til å identifisere de aktuelle personer.

For øvrig konkluderer ikke domstolen med om Deloitte faktisk hadde slik identifiseringsmulighet, men slik sakens faktum er presentert er det etter vårt syn mye som tilsier at dette også må besvares benektende.

Krav til opplysningenes innhold

De aktuelle kommentarene i høringsprosessen handlet ikke direkte om respondentene eller andre personer, men kunne gi uttrykk for respondentenes personlige meninger eller oppfatninger knyttet til høringen. EDPS mente at dette i seg selv gjorde innspillene til personopplysninger, mens SRB mente at innspillene måtte omhandle bestemte personer for å anses som personopplysninger.

Retten uttaler i denne sammenheng at det at man gir uttrykk for en personlig mening eller oppfatning ikke i seg selv gjør uttalelsen til en personopplysning. Det må vurderes om opplysningene omhandler en bestemt person eller ikke.

Domstolen gjorde heller ikke her noen nærmere vurdering av om de aktuelle innspillene omhandlet en bestemt person, men konkluderte med at EDPS ikke hadde foretatt en korrekt vurdering når man la til grunn at opplysningene var personopplysninger utelukkende fordi de ga uttrykk for avsenders mening eller oppfatning.

Betydning

Avgjørelsen er avsagt av den såkalte General Court, og kan derfor påankes til EU-domstolenes høyeste instans (European Court of Justice). Mye tilsier vel også at dette vil skje, og forhåpentligvis vil vi da også få en endelig avklaring om de spørsmål som saken reiser.

Avgjørelsen reiser uansett interessante og nyttige spørsmål rundt begrepet personopplysninger, og må etter vårt syn forstås som at personopplysningsbegrepet vil måtte tolkes relativt – og dermed også snevrere enn det som i mange tilfeller har vært anført både fra tilsynsmyndigheter og andre. Med et snevrere personopplysningsbegrep vil også GDPR få snevrere anvendelse. Selvsagt vil mye fremdeles anses som behandling av personopplysninger, og det vil være viktig å gjøre vurderinger av dette og følge GDPR der man behandler personopplysninger. Et relativt personopplysningsbegrep gjør imidlertid at man får en mer praktisk og risikobasert tilnærming.

Avgjørelsen kan blant annet få betydning for skillet mellom pseudonymiserte og anonymiserte personopplysninger. Dette er viktig fordi førstnevnte fortsatt regnes som personopplysninger etter GDPR, mens sistnevnte ikke regnes som personopplysninger og faller i sin helhet utenfor GDPR. Med en relativ tilnærming vil det som er pseudonymiserte personopplysninger for én aktør, kunne være anonyme data for en annen. Dette vil trolig også gjøre det enklere å fremstille anonymiserte data til bruk i testing og algoritmetrening, forskning mv.

Etter vårt syn vil man med en relativ tilnærming vanskelig kunne opprettholde EDPBs standpunkt knyttet til anonymisering av personopplysninger, og det kan etter vårt syn også stilles spørsmål ved om tilsynsmyndighetene i andre saker har anlagt en for lav terskel for hva som utgjør personopplysninger.

Det gjenstår også å avklare hvilke krav som skal stilles til avsender knyttet til å vurdere mottakernes mulighet for identifisering i tilfeller hvor det utveksles opplysninger som isolert sett ikke gir grunnlag for identifisering av enkeltpersoner. Etter vårt syn vil det trolig også ha betydning hvilken innbyrdes relasjon det er mellom partene i denne sammenheng. Muligens vil man i forholdet mellom behandlingsansvarlig og databehandler i større grad måtte se på partenes samlede mulighet for identifisering, enn i forholdet mellom uavhengig behandlingsansvarlige, men dette fremstår fortsatt som uavklart.

Det vil også være interessant å se hvordan en slik tilnærming til personopplysningsbegrepet vil påvirke vurderingen av krypterte personopplysninger, som prinsipielt sett bærer mange likhetstrekk med pseudonymiserte personopplysninger. Vil mottakeren av krypterte data anses å behandle personopplysninger dersom de ikke har noen rimelig mulighet til å identifisere den enkelte personen ved dekryptering eller på annen måte?