Hva er egentlig en personopplysning? – Vi sier på Breyer-dommen og T-557/20

Written By Ida Tho

Photo by AbsolutVision on Unsplash

I slutten av april 2023 fikk vi en dom fra «Generaldomstolen» som setter noen rammer for hva en personopplysning er (Case T-557/20).

Jeg pleier å si at «alt» er personopplysninger. Dette fordi det skal mye til før noe ikke er en personopplysning. Men da vi fikk den nye dommen, måtte jeg ta stilling til om jeg bør endre hvordan jeg snakker om dette på.

Er det urimelig av meg å si at «alt» er personopplysninger? Vil det være nyttig for meg å nyansere dette? Sånn generelt? Eller er det nyanser som jeg skal vente med til de faktisk er aktuelle, fordi de vil forvirre heller enn å avklare?

Akkurat nå har jeg ikke alle svarene, men la oss resonere oss frem til noe i dette nyhetsbrevet.

Helt konkret, la oss se på den og Breyer-dommen, for å svare på hvordan vi kan vurdere hva en personopplysning er.

Dette blir en langt og skikkelig nørdete bloggpost. Så hold deg fast! Eller ikke! I cannot tell you what to do 😉

Rettsregelen i Breyer-dommen

I Breyer-dommen, hadde en fyr ved navn Breyer, gått til sak mot tyske myndigheter, fordi de lagret IP-adressen hans når han besøkte diverse offentlige hjemmesider. IP-adressen hans var lagret for sikkerhetsformål, nærmere bestemt for å kunne avverge «denial of service»-angrep.

Tyske myndigheter hadde ingen mulighet til å identifisere Breyer. Men det hadde myndighetenes «Internet service provider» eller internettleverandør (tenk Telenor).

Domstolen tok utgangspunkt i definisjonen av hva en personopplysning var etter direktivet, nemlig at enhver opplysning som direkte eller indirekte kan identifisere en person. Dette er samme definisjon som etter GDPR.

Spørsmålet var dermed om Tyske myndigheter kunne identifisere Breyer ut ifra de opplysningene de hadde om ham, nemlig IP-adressen hans.

(En parantes her, er at det var snakk om en dynamisk IP-adresse. Dette er en adresse som endrer seg hver gang Breyer kobler seg på internett. Dette i motsetning til en statisk IP-adresse som forblir den samme, selv om Breyer logger av internett, og så logger på igjen.)

For å svare på om Breyer kunne identifiseres ut ifra IP-adressen sin, så domstolen til fortalepunkt 26 i personverndirektivet av 1995 som ga følgende utgangspunkt: «account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person».

Domstolen tolket så sitatet ovenfor, og slo fast at det ikke betydde at informasjonen som kunne identifisere den registrerte måtte være «i hendene på én person». Det avgjørende vil være om det er mulig å koble den dynamiske IP-adressen til Breyers identitet. 

Generaladvokaten hadde uttalt seg i saken, og domstolen trakk frem punkt 68 som sa at en slik kobling ikke ville være mulig om «the identification of the data subject was prohibited by law or practically impossible on account of the fact that it requires a disproportionate effort in terms of time, cost and man-power».

Og dette tok domstolen til seg i vurderingen. De så på om tysk lov åpnet for deling av identifiserende data knyttet til dynamiske IP-adresser mellom internettleverandøren og eier av nettsider (her tyske myndigheter). Utgangspunktet var at slik deling ikke var lov, men ved cyberangrep kunne eier av nettsiden ta kontakt med internettleverandøren og få utlevert denne typen data for å kunne anmelde forholdet.

Og fordi denne muligheten var til stede ifølge tysk lov, konkluderte domstolen med at det var «likely reasonably» at den registrerte kunne identifiseres på denne måten. Ergo var en dynamisk IP-adresse en personopplysning!

Endres rettsregelen i sak T-557/20 fra «Generaldomstolen»?

Så over til den dommen som kom i april 2023.

Spørsmålet i saken var om Det Europeiske Datatilsynet (EDPS) hadde behandlet en sak riktig. EDPS hadde behandlet flere klager på et firma som hadde utlevert personopplysninger til et konsulentfirma, uten å ha informert de registrerte om det i personvernerklæringen.

Opplysningene som ble utlevert var kommentarer fra registrerte i forbindelse med oppgjør etter at en bank hadde gått konkurs. Selskapet som tok seg av konkursboet hadde leid et konsulentfirma til å gjennomgå kommentarene for å se hvilke som var relevante.

Selskapet hadde pseudonymisert de forskjellige kommentarene bak et tilfeldig generert nummer. Selskapet beholdt lista som gjorde re-identifisering mulig for revisjonsformål. Det kunne bli aktuelt å demonstrere at alle de som hadde rett til å uttale seg, faktisk hadde fått gjort det.

Konsulentfirmaet fikk bare se selve kommentaren og det genererte nummeret, og hadde ikke mulighet til å koble den enkelte kommentar tilbake til den personen som hadde kommet med den.

EDPS kom til at selskapet hadde delt personopplysninger med konsulentfirmaet, og anbefalte dem å informere de registrerte om denne delingen. Selskapet var ikke enig i at de hadde utlevert personopplysninger til konsulentfirmaet, og klagde saken inn for domstolen.

Denne saken er interessant fordi domstolen ikke egentlig sier at dette VAR personopplysninger. Domstolen ser her på om behandlingen til EDPS var korrekt. Hadde de vurdert alle sidene av saken?

Med utgangspunkt i Breyer-dommen, kommer domstolen til at EDPS ikke har vurdert saken korrekt.   

Domstolen så først på om informasjonen som ble sendt til konsulentfirmaet kunne identifisere enkeltpersoner. GDPR har tilsvarende ordlyd i sin fortale (se punkt 26) som fortalen til 1995-direktivet som som domstolen viste til i Breyer-dommen. 

Det betyr at EDPS burde ha vurdert «all the means reasonably likely to be used» for å se om det vil være mulig for konsulentfirmaet å identifisere de registrerte ut ifra den informasjonen de hadde mottatt.

Og siden EDPS ikke hadde satt seg inn i konsulentfirmaets sted, opphevet domstolen avgjørelsen til EDPS. EDPS skulle ha undersøkt om konsulentfirmaet hadde tilgjengelige, lovlige måter å skaffe seg den informasjonen som var nødvendig for å re-identifisere de registrerte.

Hva er lærdommen her? Kommer jeg til å slutte å si at «alt» er personopplysninger?

Det korte svaret på det er nei. Det er fortsatt nyttig å si at alt er personopplysninger, fordi lista er ganske lav. Kan du indirekte identifiseres, er det en personopplysning.

Men det jeg tar med meg, er at for deg som jobber med personvern og er personvernekspert, er at når en behandlingsansvarlig deler det som er personopplysninger for dem med en annen behandlingsansvarlig, er det ikke sikkert det er personopplysninger for DEM.

Som så mye annet i jussen beror det på en konkret helhetsvurdering.

Og vurderingskriteriet er hva som er «reasonably likely». Fra Breyer-dommen er det to situasjoner hvor noe IKKE er «reasonable likely»:

  1. Det å innhente de identifiserende opplysningene er forbudt ved lov

    Har den andre behandlingsansvarlige en lovlig adgang til å skaffe informasjon som vil identifisere den registrerte sammen med de opplysningene de har mottatt? Hvis svaret er ja, er det personopplysninger.

    Og dette gjelder selv om formålet er avgrenset til et bestemt tilfelle. Breyer-dommen viser at så lenge muligheten for identifisering er det, er det «reasonably likely».

  2. Det å innhente de identifiserende opplysningene er praktisk umulig

    Dette går ikke Breyer-dommen veldig inn på fordi det var ikke slik tyske myndigheter gikk frem for å identifisere Breyer. Men spørsmålet er om det ville ta uforholdsmessig innsats i form av tid, kost og menneskelige ressurser å skaffe de identifiserende opplysningene.  

Ida Tho
Previous

Hvordan så personvernverden ut i 1998? Veldig annerledes!
Next

Hvorfor kan du bli felles behandlingsansvarlig sammen med Meta hvis du oppretter en side på Facebook som administrator?