Det du må vite om Scania-dommen (C-319/22) - krav til supplerende behandlingsgrunnlag

Written By Ida Tho

Photo by Ricardo Gomez Angel on Unsplash

Jeg trodde Scania-dommen skulle handle om rammene for hva en personopplysning er. Og dels handler den om det. Men det jeg sitter igjen med etter å ha lest dommen, er ikke innsikt i hvor terskelen for når en opplysning er identifiserende.

Det jeg sitter igjen med er

-          En dypere forståelse av når man kan bruke behandlingsgrunnlaget «rettslig forpliktelse» (GDPR artikkel 6 nr. 1 bokstav c) og

-          Hvilke kriterier som må være oppfylt for noe skal være et supplerende rettsgrunnlag etter GDPR artikkel 6 nr. 3.

Kort fortalt, når du bruker GDPR artikkel 6 nr. 1 bokstav c) «rettslig forpliktelse» eller GDPR artikkel 6 nr. 1 bokstav e) «oppgave i allmennhetens interesse eller utøvelse av offentlig myndighet» som behandlingsgrunnlag, fremgår det av GDPR artikkel 6 nr. 3 at du også trenger et supplerende behandlingsgrunnlag.

Og det kan du enten finne i nasjonal lovgivning eller i EU-lovgivningen.   

(Ja, jeg innser at det er en smule ironisk å skrive en hel artikkel om noe så nørdete som behandlingsgrunnlag i og med at jeg tidligere har rantet at du – Ja, DU – bryr deg for mye om behandlingsgrunnlag. Uansett!)

Litt om faktum

Scania-dommen handler ikke først og fremst om personvern. Den handler om et EU-regelverk som pålegger bilprodusenter å dele data om bilene de lager med virksomheter som skal reparere bilene.

Bilreparatørene er potensielt i konkurranse med bilprodusentene om reparasjon, og i denne saken var den svenske bilprodusenten Scania anklaget for å ikke ha tilgjengeliggjort data på en måte som de var pålagt i EU-regelverket 2018/858 som handler om regulering av bilmarkedet. Du finner den her.

Grunnen til at jeg nevner det med konkurranse, er at dette er en slik sak, der jeg ikke hadde blitt overrasket om Scania brukte GDPR for å slippe å dele opplysninger som kunne komme konkurrentene deres til gode. Men det var ikke spørsmål om innsyn etter GDPR.

Det personvernrelaterte spørsmålet i denne saken, var om bestemmelsen i EU-regelverket 2018/85 om deling av data kunne være et supplerende behandlingsgrunnlag (etter GDPR artikkel 6 nr. 3).

Den ene tingen om terskelen for hva en personopplysning er

Men før vi går inn på det, det som kunne ha blitt en personopplysning er «Vehicule Identification Number» (VIN) - et nummer som skal identifisere den enkelte bilen.

Domstolen sier – ikke overraskende at dette nummeret i seg selv ikke er en personopplysning, men at det blir en personopplysning hvis noen «reasonably likely» kan identifisere en enkeltperson ut ifra det nummeret.

Du som har lest Breyer-dommen vil kjenne igjen den rettslige standarden «reasonably likely» derifra.

Domstolen sa ikke noe mer om VIN var personopplysninger i dette tilfellet, det lot de være opp til den nasjonale domstolen å avgjøre.

Vurderingstemaet for om noe var en rettslig forpliktelse

Det spørsmålet som var oppe for domstolen, var om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være supplerende behandlingsgrunnlaget for overføring av personopplysninger fra Scania til reparatører, hvis det skulle viste seg at VIN var en personopplysning.

Domstolen så aller først på hva som skulle til for å bruke «rettslig forpliktelse» som behandlingsgrunnlag. GDPR artikkel 6 nr. 1 bokstav c) sier nettopp at det må være snakk om en «rettslig forpliktelse» eller en «legal obligation».

Hva betyr egentlig det?

Ifølge domstolen betydde det å se på hva artikkel 61 nr. 1 i EU-regelverket 2018/85 egentlig påla Scania. Bestemmelsen pålegger bilprodusenter å dele ganske detaljert informasjon som vil gjøre reparatører i stand til å f.eks. inspisere eller diagnostisere et problem med bilen.

EU-regelverket har også et vedlegg som inneholder ytterligere detaljert informasjon som bilprodusenter som Scania pålegges å dele, f.eks. VIN, og hvordan det skal deles (via en database).

Domstolen konkluderte med at dette var en «rettslig forpliktelse».

Vurdering om supplerende behandlingsgrunnlag

Domstolen gikk så videre til å vurdere om artikkel 61 nr. 1 i EU-regelverket 2018/85 kunne være et supplerende behandlingsgrunnlag.

For å vurdere det, tydeliggjorde EU-domstolen først hvilke krav til supplerende behandlingsgrunnlag som fremgår av GDPR artikkel 6 nr. 3:

  1. Formålet må fremgå av det supplerende behandlingsgrunnlaget

  2. Det må oppfylle et formål i allmennhetens interesse («public objective»)

  3. Det må være proporsjonalt i forhold til formålet (den norske ordlyden er «stå i et rimelig forhold til det berettigede målet som søkes oppnådd»)

Domstolen fant formålet til EU-regelverket 2018/85 i reguleringens fortalepunkt 50: «ensuring effective and undistorted competition on the market for vehicle repair and maintenance information services». Formålet med behandlingen fremgikk dermed av det supplerende behandlingsgrunnlaget. 

Domstolen konkluderte raskt med at EU-regelverk som søker å være konkurransefremmede og som muliggjør fri flyt av produkter og tjenester, er i allmennhetens interesse («public objective»).

Når det gjaldt spørsmålet om det supplerende behandlingsgrunnlaget var proporsjonalt, gikk domstolen inn på hvilke data som bilprodusenter som Scania måtte dele. Domstolen pekte på at Scania ville oppfylle delingskravet ved å dele VIN, og at det ikke var lagt frem alternative identifikasjonsmetoder som ville være mindre restriktive og samtidig like effektive for domstolen.

Det domstolen gjorde her, var egentlig å si at det supplerende behandlingsgrunnlaget påla Scania å dele akkurat så mye data som nødvendig for å oppfylle formålet.

Og så konkluderte domstolen elegant med at artikkel 61 nr. 1 i EU-regelverket 2018/85 oppfylte kravene for å kunne være et supplerende behandlingsgrunnlag!

Ida Tho
Previous

Hvorfor jeg ikke bruker TikTok

Next

Hva har tidligere barnestjerner fra USA med personvern å gjøre?