Det har lenge vært diskutert om GDPR opererer med et absolutt eller relativt personopplysningsbegrep. En absolutt tilnærming vil si at det er tilstrekkelig at noen med rimelighet kan benytte informasjonen til identifisering av en person, selv om den som behandler informasjonen selv ikke har slik mulighet. En relativ tilnærming forutsetter at den som behandler opplysningene, selv har en rimelig mulighet for identifisering, basert på sine subjektive forutsetninger. Det som er personopplysninger for én behandler vil dermed ikke nødvendigvis være personopplysninger for en annen. En relativ tilnærming tilsier da også et snevrere personopplysningsbegrep enn ved en absolutt tilnærming.
Avgjørelsen i Breyer v Tyskland fra 2016 har av mange blitt tolket som at det gjelder et relativt personopplysningsbegrep. Uttalelser fra tilsynsmyndigheter de senere år har imidlertid gått langt i å oppstille en nær absolutt tilnærming. Det har derfor vært usikkerhet knyttet til om det gjelder en relativ eller absolutt standard.
Sakens bakgrunn
I denne saken hadde den sentrale rekonstruksjonsorganisasjon i EUs bankunion, SRB, fått innspill fra en rekke personer ved bruk av et standardisert skjema i forbindelse med en høringsrunde.
Etter diverse prosessering hos SRB ble et datasett basert på innspillene oversendt Deloitte. Ingen av respondentene kunne direkte identifiseres ut fra dataene Deloitte mottok, men dataene innhold en ID som potensielt kunne koble kommentarene til respondentene. Deloitte hadde imidlertid ingen mulighet for å gjøre denne koblingen.
Det europeiske datatilsynet (EDPS) anførte at dette innebar overføring av personopplysninger fra SRB til Deloitte, noe SRB bestred både på bakgrunn av opplysningenes karakter, og fordi Deloitte ikke hadde mulighet for å identifisere respondentene.
Strammer inn for sosiale medier: – Vi må beskytte barna
Et relativt begrep?
EU-domstolen* tar utgangspunkt i definisjonen av personopplysninger i GDPR-artikkel 4(1): «enhver opplysning om en identifisert eller identifiserbar fysisk person ('den registrerte')». En identifiserbar person defineres i denne sammenheng som «en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator […]». Ifølge GDPRs fortale skal man ved vurderingen av hvorvidt en person er identifiserbar, ta hensyn til «alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte».
Muligheten for indirekte identifisering, også via annen person enn den som behandler informasjonen, er ofte tatt til inntekt for en (nær) absolutt tilnærming, og terskelen for hva som anses som personopplysninger, har i mange tilfeller blitt svært lav. Tilsvarende har kravene for å fremstille anonymiserte datasett blitt svært høyt.
I den ferske avgjørelsen sier imidlertid domstolen at man må «sette seg i Deloittes posisjon» for å vurdere om informasjonen som ble overført til dem, omhandler identifiserbare personer, noe som altså tilsier en utpreget subjektiv tilnærming og et relativt personopplysningsbegrep.
Krav til innhold
Kommentarene fra høringsrunden kunne gi uttrykk for respondentenes personlige meninger eller oppfatninger. EDPS mente at dette i seg selv gjorde innspillene til personopplysninger, mens SRB mente at innspillene måtte omhandle bestemte personer for å være personopplysninger.
EU-domstolen uttaler i denne sammenheng at det at man gir uttrykk for en personlig mening eller oppfatning, ikke i seg selv gjør en uttalelse til en personopplysning. En mulig kobling til person er altså ikke nok. Man må vurderes om opplysningene etter sitt innhold omhandler en identifiserbar person.
Vi må ikke slutte å tenke
Dommens betydning
Avgjørelsen gir nyttige, og etter vårt syn hensiktsmessige, avklaringer rundt begrepet personopplysninger. Med et relativt personopplysningsbegrep får man etter vårt syn en mer praktisk og risikoorientert tilnærming, der det avgjørende er om den som behandler opplysningene har rimelig mulighet for identifisering. Det er også nyttig at ikke enhver mulig kobling til en person gjør et datasett til en personopplysning, uavhengig av innhold.
Avgjørelsen bør blant annet få betydning for skillet mellom pseudonymiserte personopplysninger og anonymiserte data. Dette er viktig fordi førstnevnte fortsatt regnes som personopplysninger og omfattes av GDPR, mens sistnevnte ikke regnes som personopplysninger og faller i sin helhet utenfor GDPR. Med en relativ tilnærming vil det som er pseudonymiserte personopplysninger for én aktør, i større grad kunne være anonyme data for en annen. En relativ tilnærming vil gjøre det enklere å fremstille anonymiserte data til bruk i testing, forskning, algoritmetrening med videre.
Det gjenstår å se hvilke krav som vil stilles til avsender om å vurdere mottakernes mulighet for identifisering der det utveksles opplysninger som alene ikke gir grunnlag for identifisering. Dette vil nok bero på en konkret vurdering, og muligens vil det også ha betydning hvilken innbyrdes relasjon det er mellom partene i denne sammenheng – eksempelvis om det dreier seg om overføring mellom behandlingsansvarlig og databehandler, eller mellom uavhengige behandlingsansvarlige.
Det blir også interessant å se om denne avgjørelsen vil påvirke vurderingen av krypterte personopplysninger. Vil mottakeren av krypterte data i det hele tatt anses å behandle personopplysninger, dersom de ikke har noen rimelig mulighet til identifisering ved dekryptering eller på annen måte?
* Tilføyd 19.05.2023: Dommen er avsagt av European General Court, som er første instans innen EU-domstolene. Den kan påankes til European Court of Justice, som er høyeste instans innen EU-domstolene.
Dansk samarbeid om retningslinjer for ansvarlig bruk av KI-assistenter