Hva kan vi lære av Nowak-dommen? Kort fortalt at en eksamensbesvarelse er en personopplysning
Photo by Unseen Studio on Unsplash
I det siste har jeg tenkt mye på et av de mest grunnleggende spørsmålene innen personvern, nemlig hva er en personopplysning? Og det finnes flere dommer fra The European Court of Justice (CJEU) som er relevante for å svare på det spørsmålet.
Utgangspunktet kjenner vi alle til. En personopplysning er enhver opplysning som direkte eller indirekte kan knyttes til den identifiserbar person. Breyer-dommen sier noe om hva som skal til for å kunne identifisere en person når du som behandlingsansvarlig ikke har tilgang til alle opplysningene som kan identifisere den registrerte.
Men hva med vilkåret at opplysningen skal kunne knyttes til en enkeltperson? Når kommer det på spissen?
I Case T-557/20 hvor det Europeiske Datatilsynet (EDPS) ble dømt til å måtte oppheve et vedtak fordi de ikke hadde fulgt rettsregelen fra Breyer-dommen, argumenterte motparten at opplysningene i saken ikke var personopplysninger fordi de ikke kunne knyttes til en person. Det var snakk om kommentarer fra kreditorer som hadde rett til å bli hørt i konkursprosessen etter at en bank hadde gått konkurs.
Og motparten i saken argumenterte for at disse kommentarene ikke var personopplysninger, fordi de ikke var personlige nok. Det var kommentarer basert på offentlig tilgjengelig informasjon om konkursen, de var ikke «knyttet til en enkeltperson», og da kunne de ikke være «personopplysninger».
Da jeg leste dette, syntes jeg det var veldig rart. Det kunne vel ikke ha noe å si om innholdet i kommentaren var offentlig tilgjengelig informasjon? La oss se på Nowak-dommen for å se om denne argumentasjonen har noe for seg.
Hva kan vi lære av Nowak-dommen?
Nowak er en mann fra Irland som etter å ha strøket på en revisoreksamen fire ganger, søkte innsyn i sine egne eksamensbesvarelser. Han fikk ikke innvilget innsyn fordi eksamensbesvarelsen hans ikke var en personopplysning. Da han klagde til Det Irske Datatilsynet, fikk han ikke medhold.
Han klagde så saken inn for irsk domstol, og saken gikk helt til Irsk Høyesterett, som sendte spørsmålet til CJEU.
Spørsmålet for CJEU var om eksamensbesvarelsen hans var en personopplysning, og ikke overraskende kom domstolen til at det var det. Men la oss se på begrunnelsen.
Det første argumentet domstolen trekker frem er at en eksamensbesvarelse reflekterer kandidatens kunnskap og kompetanse innenfor et gitt felt. Og i noen tilfeller, hens intellektuelle ferdigheter, tanker, vurderingsevne og dømmekraft. Hvis eksamen avgis for hånd, vil også eksamen gi informasjon om vedkommendes håndskrift, som åpenbart er personlig og en opplysning knyttet til en enkeltperson.
Det andre argumentet domstolen trekker frem er at selve formålet med en eksamen, er å evaluere kandidatens ferdigheter, og for Nowaks konkrete revisjonseksamen, hans egnethet for å utøve den revisorprofesjonen. Dette er alle personlige vurderinger som nødvendigvis må knyttes til den enkelte kandidaten.
Det siste argumentet domstolen trekker frem er at eksamenssvarene og vurderingen av dem, vil få konsekvenser for kandidaten. Resultater på en eksamen kan bestemme om du kommer inn på den skolen du vil eller kvalifiserer til en jobb. Behandlingen av dine personopplysninger i forbindelse med en eksamen vil ha virkninger på dine rettigheter og interesser. Noe som åpenbart er knyttet til den som person.
Hva kan du ta med deg videre fra denne dommen?
Først og fremst at en eksamensbesvarelse er en personopplysning. Dette virker ganske selvsagt, men senest denne uka kom jeg i en diskusjon om bruk av ChatGPT og plagiatkontoll hvor det ble hevdet at eksamensbesvarelsen ikke var en personopplysning og dermed fritt kunne deles med ChatGPT.
Og det kan den ikke. Fordi det i utgangspunktet ER en personopplysning, må man først gjøre en vurdering om OpenAI har tilstrekkelig informasjon til å re-identifisere den registrerte etter rettsregelen i Breyer-dommen.
Og det er en notorisk vanskelig vurdering fordi du har ikke god innsikt i hvilken teknologi OpenAI har tilgjengelig for å re- identifisere personer.
Dommen minner meg også på at det ikke har betydning at sensor ikke vet hvem kandidaten er når hen skal rette. Så lenge den behandlingsansvarlige har mulighet til å identifisere kandidaten, er det en personopplysning.
Vi kan trekke en parallell til andre arbeidsplasser. Selv om ikke JEG har tilgang til alle varslingssakene på arbeidsplassen min, er det noen i HR som har det. Det betyr at varslingssaker er en behandling av personopplysninger for min arbeidsgiver som behandlingsansvarlig, selv om jeg som enkeltarbeidstaker ikke har tilgang til informasjonen.
Obiter dictum
Denne dommen har også flere uttalelser som ikke egentlig har noe å si for resultatet av dommen (et obiter dictum – også kalt en unnskyldning som vi med jussutdannelse har for å briefe med det lille av latin vi har lært på studiet).
Det er særlig disse jeg tar med meg:
Noe kan være en personopplysning knyttet til DEG selv om det også er en personopplysning knyttet til en annen person (Punkt 44).
Selv om eksamensbesvarelsen din er lik som en annens (multiple choice-eksamen), er det fortsatt en personopplysning knyttet til DEG (Punkt 45).
Det er ikke relevant for vurderingen av om en eksamensbesvarelse er en personopplysning, at konsekvensene av at det ER en personopplysning blir at den registrerte har en rett til innsyn eller retting (Punkt 46).
Retten til retting betyr ikke at du har rett til å rette svarene dine i etterkant. Hele poenget med en eksamen er å sjekke hvilke kompetanse du hadde på tidspunktet for eksamen, og da er ikke feil svar «feil» i den forstand at det gir deg en rett til retting (Punkt 52-53).
Innsynsretten innebærer IKKE at du har rett til innsyn i eksamensspørsmålene. Dette er rett og slett ikke DINE personopplysninger (punkt 58).