Hvorvidt data utgjør personopplysinger – terskelen for identifiserbarhet
26. april avsa EU General Court 8. kammer dom i sak T-557/20 mellom Single Resolution Board, et EU-byrå for krisehåndtering innen bankindustrien, og European Data Protection Supervisor. General Court er en selvstendig domstol i EU og er blant annet overinstans for Personalretten. I andre saker vil General Court være underinstans for EU-Domstolen. I saken som omtales nedenfor opptrer General Court som førsteinstans, og saken kan således ankes videre til EU-Domstolen. Avgjørelsen er med andre ord ikke rettskraftig i skrivende stund.
Mye har allerede vært skrevet om saken frem mot domsavsigelsen, og saken står sentralt i noe så grunnleggende som avklaring av selve begrepet personopplysning. Vi vil i denne artikkelen se spesielt på hvilken terskel som kan utledes av dommen for så vidt angår spørsmålet om identifiserbarhet. Dette har vært et omdiskutert tema, der det blant annet har vært uklart hvor lav terskel som kan legges til grunn for hva som utgjør identifisering og hvorvidt det må avgrenses mot rent teoretiske muligheter for identifisering. Etter avgjørelsen som nå foreligger i saken T-557/20, mener vi det er på tide å revurdere flere av spørsmålene i denne diskusjonen og samtidig legge til grunn en mer praktisk norm for vurderingen knyttet opp mot identifiserbarhet. Saken har betydning utover det konkrete tolkningsspørsmålet og kan på mange måte fremstå som en vekker for personvernmyndigheters tilnærming til tolkningsspørsmål generelt.
Etter avgjørelsen som nå foreligger i saken T-557/20, mener vi det er på tide å revurdere flere av spørsmålene i denne diskusjonen og samtidig legge til grunn en mer praktisk norm for vurderingen knyttet opp mot identifiserbarhet.
Saksforholdet
Saken gjaldt i korte trekk at EU-byrået Single Resolution Board (SRB) gjennomførte en høring av mulige kompensasjon for aksjonærer og kreditorer etter tiltak for å redde den spanske banken Banco Popular Español SA som hadde havnet i økonomisk uføre og blitt overtatt av Banco Santander. SRB utgjør en viktig del av bankunionen innen EU, og har som overordnet formål å sørge for ordnet restrukturering av kriserammede bankvirksomheter. SRB samarbeider både med de enkelte medlemslandenes nasjonale banktilsyn, så vel som Europakommisjonen, den europeiske sentralbank og nasjonale myndigheter i konkret saker.
I den aktuelle saken ønsket SRB å gjennomføre høring kun av aksjonærer og kreditorer som faktisk ble påvirket av de aktuelle tiltakene. SRB implementerte tekniske løsninger med strenge krav til dokumentasjon av identitet og angivelse av nøyaktige økonomiske interesser knyttet til redningsaksjonen. I denne sammenheng ble det publisert en personvernerklæring som gjorde rede for hvordan SRB ville håndtere personopplysninger i forbindelse med høringen.
Høringen besto av 7 spørsmål i et elektronisk skjema og med begrenset plass for besvarelse. En begrenset gruppe innen SRB anonymiserte innspillene som var kommet inn fra 2855 respondenter. Dette ble gjort gjennom først å sjekke og bekrefte identitet, for deretter å allokere en 33-sifret alfanumerisk kode til den enkelte respondent. Det var kun denne gruppen hos SRB som hadde tilgang til koden. Koden var altså et bindeledd som kunne koble besvarelsene som var inngitt til den enkelte respondentenes identitet.
SRB jobbet så med å finne fellesnevnere i de totalt 23822 kommentarene fra de omtalte 2855 respondentene for å lette det videre arbeidet med 15 temaer som SRB hadde identifisert. Enkelte av disse temaene dreide seg om verdsettelse av Banco Popular. SRB hadde engasjert Deloitte for å bistå i verdsettelsen og delte således 1104 kommentarer knyttet til verdsettelse med Deloitte. Kommentarene Deloitte mottok var kun identifisert gjennom den 33-sifrede koden.
Klagen og EDPS` behandling
5 av partene som hadde inngitt høringssvar klaget til European Data Protection Supervisor (EDPS) som er EUs eget datatilsyn for EU-myndigheters databehandling. Organet er opprettet direkte i (General Data Protection Regulation, GDPR) artikkel 68, og har en viktig oppsynsrolle innen persondata i EU. Klagen til EDPS viste til at SRB hadde delt respondentenes besvarelser med Deloitte og Banco Santander, uten at dette var opplyst i personvernerklæringen. Grunnlaget for klagen var forordning 2018/1725 artikkel 15(1)(d) om det offentliges behandling av personopplysninger. Bestemmelsen er identisk med GDPR artikkel 13(1)(e).
EDPS kom i første omgang til at delingen av personopplysninger med Deloitte var i strid med forordningen og uttalte kritikk i medhold av forordningen artikkel 58(1)(b). SRB klaget på dette vedtaket med begrunnelse i at dataene som var sendt til Deloitte var anonymisert og ikke lenger utgjorde personopplysninger. EDPS fattet da et nytt vedtak der de kom til at dataene var pseudonymisert. EDPS trakk på denne bakgrunn den formelle kritikken, men anbefalte at SRB i fremtidige saker skulle opplyse om alle delinger som ville bli foretatt. Å pseudonymisere innebærer at man endrer navn fra det opprinnelige ekte navnet til et fiktivt navn slik at identiteten ikke hefter ved opplysningen.
SRB opprettholdt sitt syn og brakte saken inn for EU-domstolen med sikte på å få EDPSs vedtak erklært ugyldig og opphevet.
Saken for EU-domstolen – avvisning
EDPS krevde prinsipalt saken avvist med grunnlag i at SRB manglet rettslig interesse i sakens utfall. Rent formelt var denne anførselen fremsatt som en påstand om inadmissability grunnet manglende rettslig virkning (legal effect) fra det siste vedtaket overfor SRB. Det ble vist til at EDPS hadde korrigert og langt på vei trukket den formelle kritikken av SRB. Denne anførselen fremstår som svakt fundert. EDPS hadde i det siste vedtaket konkludert angående det rettslige spørsmålet om det forelå en rettslig relevant overlevering av personopplysninger. Videre hadde EDPS fremmet en anbefaling på grunnlag av denne konklusjonen om hvordan saksbehandlingen hos SRB skulle foregå i fremtidige saker. Saken hadde også en direkte praktisk konsekvens ved at vedtaket fra EDPS medførte at det ville bli vanskeligere for SRB å innhente bistand til å behandle innspill ved slike høringsrunder. Anbefalingen om at alle delinger av personopplysningene må angis på forhånd setter også skranker for hvordan innsamlet materiale kan benyttes, også der man har tatt skritt for å sikre at identitet og opplysninger ikke uten videre kan sammenkobles. Når saken først var reist fremstår anførselen om manglende rettslig interesse som i overkant formalistisk. En mer pragmatisk tilnærming kunne ha vært å invitere domstolen til å gi en avklaring på et rettslig spørsmål som har praktisk betydning ikke bare for SRB, men også for en rekke andre virksomheter og organer som overleverer personopplysninger til tredjepart for behandling.
Domstolen gjengir endringene i det siste vedtaket fra EDPS i avgjørelsens avsnitt 32:
«1. The EDPS finds that the data the SRB shared with Deloitte were pseudonymous data, both because the comments in [the consultation phase] were personal data and because the SRB shared the alphanumeric code that allows linking the replies given in [the registration phase] with the ones given in [the consultation phase] – notwithstanding the fact that the data provided by the participants to identify themselves in [the registration phase] were not disclosed to Deloitte.
2. The EDPS finds that Deloitte was a recipient of the complainants’ personal data under Article 3(13) of [Regulation 2018/1725]. The fact that Deloitte was not mentioned in SRB’s [privacy statement] as a potential recipient of the personal data collected and processed by the SRB as the controller in the context of the [right to be heard] process constitutes an infringement of the information obligations laid down in Article 15(1)(d) [of Regulation 2018/1725].
3. In light of all the technical and organisational measures set up by the SRB to mitigate the risks for the individuals’ right to data protection in the context of the [right to be heard] process, the EDPS decides not to exercise any of his corrective powers laid down in Article 58(2) of [Regulation 2018/1725].
4. The EDPS nevertheless recommends the SRB to ensure that the data protection notice in future [right to be heard] processes covers the processing of personal data in both the registration phase and the consultation phase, and includes all potential recipients of the information collected, in order to fully comply with the obligation to inform data subjects in accordance with Article 15 [of Regulation 2018/1725].»
Det er verdt å merke seg punkt 1 ovenfor, der bruken av pseudonyme data omtales. Ved at Deloitte ikke hadde fått tilgang til koblingen mellom kode og identitet mente Deloitte at dataene for Deloitte var å anse som anonymiserte. Lest som en helhet er det ikke vanskelig å forstå at SRB hadde et reelt behov for å få avklart grensene for bruk av slike data der respondentenes identitet rent faktisk ikke var gjort tilgjengelig.
EU-domstolen konkluderte med at SRB hadde rettslig interesse av en avgjørelse ettersom EDPS hadde fattet vedtak om at behandlingen var i strid med regelverket. Hvilken reaksjon EDPS hadde valgt i den konkrete saken var av underordnet betydning – SRB ville uansett blitt behandlet strengere i en senere sak dersom de hadde opprettholdt sin eksisterende praksis. Det ble også lagt vekt på at EDPS ved oversendelse av sitt andre vedtak hadde opplyst at saken kunne bringes inn for EU-domstolen. Selv om slike formuleringer er standardtekst i denne typen vedtak, gjenspeiler teksten nettopp det forhold at domstolen skal kunne vurdere og eventuelt overprøve vedtakets innhold.
Det materielle innhold
SRB påberopte seg to grunnlag for opphevelse av vedtaket - saksbehandlingsfeil ved brudd på god forvaltningsskikk og feil i vurderingen av hva som utgjør en personopplysning. Ettersom SRB fikk medhold i at dataene delt med Deloitte ikke var personopplysninger, var det ikke nødvendig for domstolen å ta stilling til spørsmålet om feil ved saksbehandlingen.
Det fremgår fra avgjørelsens avsnitt 14 følgende at behandlingen av opplysningene ble gjort på en måte som var strengt kontrollert og gjennomtenkt. En begrenset gruppe i SRB hadde tilgang til de opprinnelige høringsuttalelsene med kontaktdetaljer og informasjon om relasjonen til Banco Popular. En annen gruppe innen SRB hadde tilgang til alle besvarelser, men kun med den alfanumeriske 33-sifrede koden. Deloitte hadde tilgang kun til et sub-sett av dette datagrunnlaget. EDPS hadde i sin avgjørelse ikke sondret klart mellom gruppene, og spesielt ikke mellom SRB som avgiver og Deloitte som mottaker, slik definert i forordning 2018/1725 artikkel 3 (13) / GDPR artikkel 4(9).
EU-domstolen tok naturlig nok utgangspunkt i forordningens definisjonen av personopplysning og viste til avgjørelsen i C‑434/16 (Nowak). Her er det slått fast at det ved vurderingen av eventuell kobling mellom data og person må ses hen til både innhold, formål og effekt. Disse punktene må vurderes konkret opp i mot hvilken mottaker som vurderes. I den aktuelle saken var det Deloittes relasjon til dataene som var gjenstand for vurdering og det hadde ikke EDPS tatt tilstrekkelig høyde for. EU-domstolen oppsummerte dette i avsnitt 70 slik:
70: However, in the revised decision, the EDPS did not examine the content, the purpose or the effect of the information transmitted to Deloitte.
Det følger av dette at en vurdering av hva som utgjør en personopplysning ikke er absolutt, men relativ. Dette skal vurderes konkret for den som behandler opplysningene. Dette poenget ble også gjentatt i dommen under avsnitt 97:
However, it is also apparent from the judgment of 19 October 2016, Breyer (C 582/14, EU:C:2016:779), that, in order to determine whether the information transmitted to Deloitte constituted personal data, it is necessary to put oneself in Deloitte’s position in order to determine whether the information transmitted to it relates to ‘identifiable persons’.
EDPS hadde angrepet saken feil ved å vurdere personopplysningene på avgivers hånd, i stedet for å foreta en relativisert vurdering utfra hva som faktisk var gjort tilgjengelig for mottakeren.
EU-domstolen gikk så over til å vurdere hva som ligger i vilkåret som omfatter enhver opplysning om en «identifisert eller identifiserbar» fysisk person. EDPS påpekte, og fikk støtte for, at det ikke oppstilles noe krav om at den den parts behandling som vurderes er den samme part som sitter på nøkkelen til å koble anonymiserte data og de opprinnelige personopplysningene. Det spiller altså ikke noen rolle om disse funksjonene er på én eller to hender.
EDPS hadde videre lagt til grunn at skillet mellom anonymiserte data og pseudonymiserte data går på hvorvidt det objektivt sett finnes informasjon som kan koble dataene til personopplysninger eller ikke. EU-domstolen angir EDPS` anførsel slik:
81 ... he stated that the difference between pseudonymous and anonymous data is that, in the case of anonymous data, there was no ‘additional information’ that could be used to attribute the data to a specific data subject, whereas, in the case of pseudonymous data, there is such additional information. Therefore, in order to assess whether data are anonymous or pseudonymous, it is necessary to consider whether there is any ‘additional information’ that can be used to attribute the data to specific data subjects.
Vurderingstemaet for EDPS hadde altså vært om det fantes en kobling mellom den alfanumeriske koden Deloitte hadde fått og de aktuelle personopplysningene. Det var ikke gjort noen form for vurdering av hva som i praksis skulle til for å etablere noen slik kobling. EU-domstolene hadde ikke grunnlag for å foreta en subsumpsjon slik saken var fremlagt, men avgjorde saken på det grunnlag at EDPS` vedtak var ugyldig fordi EDPS ikke hadde foretatt denne nødvendige og konkrete vurderingen.
For så vidt angår innholdet av testen for identifiserbarhet viser EU-domstolen til sin tidligere avgjørelse i C 582/1 (Breyer). Breyer dreide seg om potensiale for kobling mellom en brukers tildelte dynamisk IP-adresse og adressen på et nettsted. EU-domstolen kom i Breyer etter en konkret vurdering til at abonnenter var identifiserbare gjennom den tildelte dynamiske IP-dressen. Det er to sentrale punkter domstolen utleder fra Breyer og bruker i vår sak under avsnittene 92 og 93:
92: The Court of Justice nevertheless held that it must be determined whether the possibility to combine a dynamic IP address with the additional information held by the internet service provider constituted a means likely reasonably to be used to identify the data subject (judgment of 19 October 2016, Breyer, C582/14, EU:C:2016:779, paragraph 45).
93: The Court of Justice stated that that would not have been the case if the identification of the data subject had been prohibited by law or had been practically impossible on account of the fact that it would have required a disproportionate effort in terms of time, cost and man-power, so that the risk of identification would have appeared in reality to be insignificant (judgment of 19 October 2016, Breyer, C582/14, EU:C:2016:779, paragraph 46).
Det er verdt å merke at terskelen som beskrives i avsnitt 92 og 93 ikke er den samme. I avsnitt 92 er temaet hvorvidt muligheten for re-identifisering er rimelig sannsynlig. Terskelen er i avsnitt 93 gjengitt som at muligheten for re-identifisering i realiteten er ubetydelig. Domstolen avklarer forholdet mellom disse to tersklene i tilknytning til det foreliggende spørsmålet, og skriver i avsnitt 104:
104 It is apparent from paragraph 45 of the judgment of 19 October 2016, Breyer (C582/14, EU:C:2016:779), cited in paragraph 92 above, that it was for the EDPS to determine whether the possibility of combining the information that had been transmitted to Deloitte with the additional information held by the SRB constituted a means likely reasonably to be used by Deloitte to identify the authors of the comments.
Det er altså terskelen i avsnitt 92 som er relevant for denne vurderingen - likely reasonably. Begrepet likely reasonable kan oversettes til norsk med rimelig sannsynlig. Men, oversettelsen treffer ikke helt. Det vil være mer nærliggende å oppfatte dette som to-leddet: likely og reasonable. Dommen er ikke oversatt til svensk eller dansk, så det er ingen veiledning å hente fra disse språkene.. På tysk er følgende benyttet: vernünftigerweise .. werden konnte. På norsk kunne dette beskrives som «med rimelighet kan forventes».
I forordning 2018/1725 fortalepunkt 16, som også EU-domstolen viser til i avsnitt 87, benyttes i relasjon til terskelen for identifisering reasonably likely – altså samme ord i motsatt rekkefølge. Denne teksten tilsvarer GDPRs fortalepunkt 26, tredje setning: «To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly.». Offisiell norsk oversettelse av samme punkt i GDPRs fortalepunkt 26 tredje setning er: «Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkesat den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte, f.eks. utpeking.». I den svenske versjonen brukes uttrykket «med rimlig sannolikhet».
Men, i realiteten er poenget etter vår mening uansett at det må gjøres en konkret vurdering av faren for for at re-identifisering rimeligvis vil kunne skje.
Om «med rimelighet kan tenkes» er en god oversettelse av «reasonably likely» kan nok diskuteres. Men, i realiteten er poenget etter vår mening uansett at det må gjøres en konkret vurdering av faren for for at re-identifisering rimeligvis vil kunne skje. Den tyske oversettelsen viser klarere at man skal bruke sunn fornuft i vurderingen av hva mottaker med rimelighet kan tenkes å kunne gjøre for å re-identifisere. I vurderingen skal det legges vekt på flere elementer, f eks. tid, kostnader og innsats. I vurderingen vil det formodentlig være relevant også å se hen til også hvilket motiv den som besitter personopplysningene rimeligvis skulle ha for å ville re-identifisere. For øvrig har domstolen ikke uttrykkelig tatt stilling til hvilke krav som skal stilles for at opplysningene skal anses å være tilstrekkelig anonymisert.
Reglene fremstår i mange tilfelle som lite praktiske og like lite fleksible. Det er ikke uventet at denne saken fikk det utfallet den fikk.
Konklusjoner
Avgjørelsen i SRB-saken gir oss en viktig avklaring knyttet til overlevering av pseudonymiserte opplysninger. Denne måten å arbeide er svært utbredt, og avgjørelsen legger til rette for mer ryddige forhold på dette området. I avgjørelsen er det lagt til grunn en bred helhetsvurdering, der flere forhold inngår. SRB har for eksempel hatt en ryddig håndtering internt hos seg. Hver enkelt gruppe som har hatt befatning med opplysningene har kun hatt tilgang eller innsikt definert etter hvilket behov som foreligger. En slik tilnærming som er klart beskrevet og fulgt opp i praksis vil være et viktig element ved vurderingen. I dette ligger også at nøkler for å låse opp koblingen mellom opplysninger og identitet må oppbevares trygt og med tilgangsbegrensning. Da er det liten grunn til å tro – det kan ikke rimeligvis forventes – at nøklene kommer på avveie eller tilflyter den tredjeparten som har fått tilgang til opplysningene.
Videre vil det være et poeng å avtaleregulere og beskrive hvordan identiteten til avgiveren er beskyttet og samtidig slå fast at mottakeren ikke har rett til å forsøke re-identifisering av en eller flere personer. Ved at det da ikke er snakk om personopplysninger, kan man se for seg at det ikke vil være behov for en databehandleravtale. Tatt i betraktning at opplysningene opprinnelig har vært personopplysninger, og kun er for vanlige opplysninger å regne i den grad de er pseudonymiserte, kan det være et spørsmål om det er behov for en databehandleravtale eller ikke. Dette vil man måtte ta stilling til avhengig av hvordan den enkelte avtale og underliggende databehandling er tenkt utført.
I tillegg til det rene tolkningsspørsmålet, viser avgjørelsen en tilnærming fra EDPS som var snever og formalistisk uten å foreta de nødvendige konkrete vurderinger med en porsjon sunn fornuft. Det er et gjennomgående problem i møtet med GDPR og personopplysninger at reglene kan medføre store utfordringer fra aktører som etter beste evne forsøker å innrette seg etter regelverket. Reglene fremstår i mange tilfelle som lite praktiske og like lite fleksible. Det er ikke uventet at denne saken fikk det utfallet den fikk. Kanskje mer overraskende er det at EDPS så lenge holdt fast på en lovforståelse som var så unødvendig sett opp mot formålet til forordningen. EDPS er ikke alene om slike feilvurderinger, som synes å bygge på en for stor avstand mellom skrivebordet og det virkelige liv, og er på sikt egnet til å svekke tilliten til både personvernmyndigheter og personvernlovgivningen.