Når vil kameraovervåking fange opp særlige kategorier av personopplysninger?
Innledning
EUs personvernforordning 2016/679 av 27. april 2016 (heretter bare kalt «forordningen») regulerer bruk av personopplysninger også ved kameraovervåking. Et særlig spørsmål er når slik overvåking innebærer behandling av «særlige kategorier» av personopplysninger, som er opplysninger listet opp i forordningen artikkel 9 nr. 1. Særlige kategorier av personopplysninger nyter et særlig vern, og er i utgangspunktet forbudt å behandle med mindre det finnes et unntak for behandlingen.
Tradisjonelt sett har det vært lagt til grunn at filmopptak kun fanger opp særlige kategorier av personopplysninger dersom dette er formålet med behandlinger, jf. blant annet Personvernrådets retningslinjer.(1)Personvernrådet, Guidelines 3/2019 on processing of personal data through video devices. I en interessant artikkel i Lov&Data nr. 1/23 problematiserer juristene Hanne Pernille Gulbrandsen, Steinar Østmoe og Ole-Martin Moe fra Deloitte Advokatfirma (i fellesskap omtalt som «Deloitte-juristene») denne tilnærmingen.(2)Hanne Pernille Gulbrandsen, Steinar Østmoe og Ole-Martin Moe, Kameraovervåking og særlige kategorier av personopplysninger. I: Lov & Data nr. 1/2023 (Nr. 153), s. 19-25.
Bakgrunnen er at EU-domstolens rettspraksis i sak C‑184/20 av 1. august 2022 kan forstås som at kameraopptak må sies å inneholde «særlige kategorier» av personopplysninger også når dette ikke er formålet med filmingen. I den aktuelle saken gikk domstolen inn på om publisering av informasjon om offentlig ansattes ektefelle, samboer eller partner ville innebære behandling av særlige kategorier av personopplysninger. Hvis f.eks. en mannlig ansatt oppgis å ha en mannlig ektefelle, kan det uttrykke at han har en homofil legning, som omfattes av vernet i artikkel 9 nr. 1.
Deloitte-juristene fokuserer særlig på EU-domstolens avgjørelse, siden den «kan få betydning for vurderingen av når man fanger opp artikkel 9-opplysninger og som gjør at man kan stille spørsmål om [Personvernrådets] retningslinjer fremdeles gir uttrykk for gjeldende rett.» EU-domstolen påpekte at det må legges vekt på hva informasjon kan «reveal», dvs. avsløre, også selv om dette skjer mer indirekte og ikke uttrykkes eksplisitt.
Overført til situasjonen med kameraopptak, kan det tenkes at et kamera fanger opp informasjon om f.eks. religionstilhørighet, ved at det filmes personer med hijab eller jødisk kalott og tradisjonelle kinnkrøller. Den kontekstuelle tilnærmingen EU-domstolen anlegger, kan innebære at også slik informasjon vil utgjøre særlige kategorier av personopplysninger, selv om det altså ikke er formålet med opptaket.
Deloitte-juristenes artikkel har gjennomtenkte og tankevekkende resonnementer, som er godt underbygget. Jeg kan derfor ikke si at konklusjonen er gal. Mitt anliggende er imidlertid å tilby en annen metodisk tilnærming, som viser at erfarne jurister innenfor et fagfelt kan komme til noe ulike konklusjoner. Oppsummert er det nemlig min vurdering at jeg oppfatter at nettopp kameraopptak må vurderes noe annerledes, med forankring i forordningens formål og ordlyd. Dette kan også underbygges av mer praktiske hensyn.
Den kontekstuelle tilnærmingen EU-domstolen anlegger, kan innebære at også slik informasjon vil utgjøre særlige kategorier av personopplysninger, selv om det altså ikke er formålet med opptaket.
1. Hva innebærer en kontekstuell forståelse av hva som utgjør «særlige kategorier» av personopplysninger?
Deloitte-juristene har åpenbartet poeng når de påpeker at det har vært en altfor ensidig vektlegging av den behandlingsansvarliges formål med behandlingen av personopplysninger – også i anerkjent teori.
Samtidig stiller jeg meg tvilende til om avgjørelsen fra EU-domstolen tilsier at det fremover må legges opp til en klart lavere terskel for når kameraopptak behandler særlige kategorier av personopplysninger. Hvis det hadde vært tilfellet, er det naturlig å se for seg at de europeiske datatilsynene og Personvernrådet ville kommet på banen og uttrykt seg tydelig om rettstilstanden, slik det ble gjort med Schrems II-avgjørelsen. Selv om fravær av aktivitet bør tolkes med en klype salt, tenker jeg at en klarere omkalfatring av rettstilstanden ville påkalt mer oppmerksomhet.
Den formålsorienterte tilnærmingen til hva som utgjør «særlige kategorier» av personopplysninger, vil fokusere på den behandlingsansvarliges intensjonmed behandlingen. Hovedspørsmålet vil ofte være om den behandlingsansvarlige ønsker å utlede særlige kategorier av personopplysninger ved behandlingen.(3)Personvernrådet, Guidelines 3/2019 on processing of personal data through video devices, s. 14.Utgangspunktet etter den kontekstuelle tilnærmingen, er at kategoriseringen av personopplysninger primærtberor på en mer objektiv vurdering. Det er imidlertid ikke slik at den kontekstuelle tilnærmingen utelukker at flere subjektive forhold eller momenter vil være relevante i vurderingen. Tvert imot.
Jeg kan m.a.o. ikke se at en kontekstuell forståelse stenger for at fotografisk materiale (ofte) må behandles annerledes enn informasjon som fremkommer av f.eks. registre. At en vektlegging av formålet mer isolert er en for enkel tilnærming, betyr neppe at formålet er irrelevant i relasjon til kategorisering av fotografisk materiale. Det er tenkelig at forordningen krever svært konkret vurdering av hver enkelt informasjonstype og sammenheng. Dette er ikke et brudd med en kontekstuell fortolkning av materiale, men snarere en operasjonalisering av et slikt prinsipp. Man kan også si at en nedtoning av formålet i for stor grad vil innebære en strengtobjektiv – og ikke en kontekstuell – forståelse av forordningens bestemmelser.
Med henvisning til sak C‑184/20, påpeker Giacomo Delinavelli at EU-domstolen nettopp ikke klargjør hva en kontekstuell tilnærming innebærer: «The Court adopts a contextual approach, without making explicit the specific criteria for the determination of potentially sensitive personal data.»(4)Giacomo Delinavelli, Comment to Case C-184/20 and the perils of a broad interpretation of Art. 9 GDPR, datert 21. september 2022. Lest 21. mai 2023: https://europeanlawblog.eu/2022/09/21/comment-to-case-c-184-20-and-the-perils-of-a-broad-interpretation-of-art-9-gdpr/[Min uthevning]
Jeg kan m.a.o. ikke se at en kontekstuell forståelse stenger for at fotografisk materiale (ofte) må behandles annerledes enn informasjon som fremkommer av f.eks. registre.
I annen juridisk teori er det vist til at en kontekstuell tilnærming kan fokusere på kontekst i bred forstand. Dette kan innebære å ta hensyn til bl.a. den behandlingsansvarliges og potensielle datamottakeres interesser, (for)målet med behandlingen, betingelsene for behandlingen, og dens mulige konsekvenser for de involverte personene.(5)Paul Quinn og Gianclaudio Malgieri, The Difficulty of Defining Sensitive Data—The Concept of Sensitive Data in the EU Data Protection Framework Published online by Cambridge University Press: 19 January 2022. I: German Law Journal (2021), sidene 1583–1612.En kontekstuell forståelse av hva særlige kategorier av personopplysninger er, kan altså fint ta hensyn til den behandlingsansvarliges intensjoner, siden dette får betydning for hvorvidt behandlingen kan innebære en risiko for de registrerte.
Et interessant eksempel på dette, er det svenske datatilsynets tilnærming til når informasjon fra kameraopptak utgjør personopplysninger om «religion». Integritetsskyddsmyndigheten (IMY) synes å ta utgangspunkt i en kontekstuell forståelse, der også formålet er et tungtveiende moment:(6)Integritetsskyddsmyndigheten, Kamerabevakning av religiösa byggnader och kyrkogårdar. Lest 21. mai 2023: https://www.imy.se/verksamhet/kamerabevakning/kamerabevakning-pa-olika-omraden/religiosa-byggnader-och-kyrkogardar/
«Allmänt gäller att endast en bild eller film på en person som bär en religiös symbol, klädsel eller andra kännetecken inte regelmässigt utgör en känslig personuppgift. Det som är avgörande är istället i vilket sammanhang som bilderna hämtas in, för vilket syfte och hur de används.»
Selv om formålet ikke er utslagsgivende for kategoriseringen, kan det altså være relevant i vurderingen.
Mer spesifikt er det også argumentert for at C-184/20 legger til grunn en svært kontekstfokusert forståelse, der man må vurdere mer konkret hva som utgjør særlige kategorier av personopplysninger. Av den grunn antar Giacomo Delinavelli at: «[T]he Court does not provide a taxonomy of personal data, either concerning the same data subject or third parties, that combined among them would reveal sensitive information. The Court leaves this assessment on a case-by-case basis, and by doing this undermines legal certainty.»(7) Giacomo Delinavelli, Comment to Case C-184/20 and the perils of a broad interpretation of Art. 9 GDPR, datert 21. september 2022. Lest 21. mai 2023: https://europeanlawblog.eu/2022/09/21/comment-to-case-c-184-20-and-the-perils-of-a-broad-interpretation-of-art-9-gdpr/
En kontekstuell forståelse kan derfor tilsi at fotografisk materiale må vurderes svært konkret, og normalt ikke anses å inneholde «særlige kategorier»av personopplysninger.
Tilsvarende behøver heller ikke en mer formålsorientert tolkningsstil å innebære at andre hensyn enn intensjon utelukkes. I sin bok om personvernforordningen synes Dag Wiese Schartum å mene at en formålsorientert tilnærming også kan vektlegge bl.a. konsekvenser og risiko. Han viser til at personopplysninger «trolig [vil] kunne anses for å komme inn under artikkel 9(1)» hvis det er «til formålet med behandling av personbilder knyttet behov for kunnskap om etnisitet» – og at det «samme gjelder dersom behandling av slike bildeopplysninger kan gi negative konsekvenser for personers rettigheter og friheter».(8)Dag Wiese Schartum, Personvernforordningen - En lærebok, 2020, s. 47. Dette kan overlappe med kontekstuell tolkningsstil, for som Schartum påpeker:
«Generelt er formålstolkning trolig det viktigste grepet for å løse slike spørsmål. Det betyr at en må vurdere betydningen personopplysningen har for vernet av «fysiske personers grunnleggende rettigheter og friheter, særlig deres rett til vern av personopplysninger», jf. artikkel 1(2). En kan da komme til at f.eks. personbilde som viser hudfarge og religiøse symboler, er uten betydning i noen sammenhenger, mens det i andre sammenhenger kan ha stor betydning.»
En for svart-hvitt forståelse av ulike tolkningsstiler kan derfor fort overskygge nyansene; det er nemlig neppe vanntette skott mellom en kontekstuell og en formålsorientert tolkningsstil.
2. Hva kan utledes av forordningen hva gjelder fotografisk materiale og særlige kategorier av personopplysninger?
Det er også mulig å komme til at EU-domstolens sak C-184/20 ikke innebærer en klart annen forståelse av når særlige kategorier fanges opp av kameraopptak, med forankring i forordningen selv.
En klar indikasjon om at billedmateriale bør behandles annerledes enn f.eks. informasjon som utledes av et register, fremkommer av at artikkel 9 nr. 1 påpeker at særlige kategorier av personopplysninger omfatter «biometriske opplysninger med det formål å entydig identifisere en fysisk person». For slike opplysninger skal det altså vektlegges hva formålet med behandlingen er, og at det er et vilkår at det er for identifikasjon.
Deloitte-juristene er innom dette poenget, men viser til at: «Det foreligger imidlertid ingen eksplisitte unntak for opptak eller bilder i artikkel 9, og en slik tolkning har derfor mindre støtte i ordlyden.» Denne innvendingen overser imidlertid at det i forordningens fortalepunkt 51 er slått fast at:
« Behandling av fotografier bør ikke systematisk anses som behandling av særlige kategorier av personopplysninger , ettersom fotografier omfattes av definisjonen av biometriske opplysninger bare når de behandles ved hjelp av et særskilt teknisk middel som gjør det mulig entydig å identifisere eller autentisere en fysisk person.» [Min understrekning]
Selv om biometriske personopplysninger nevnes i denne sammenhengen, synes første del av setningen å indikere at fotografier som hovedregel ikke skal anses å inneholde særlige kategorier av personopplysninger. Dette har også blitt lagt til grunn i juridisk teori.(9)Sören Öman, Dataskyddsforordningen (GDPR) m.m.; En kommentar, 2019, s. 228, og Dag Wiese Schartum, Personvernforordningen - En lærebok, 2020, s. 47.
Det er også hensiktsmessig å vurdere forordningens regulering i lys av formålsbestemmelsen. Forordningen «fastsetter regler om vern av fysiske personer i forbindelse med behandling av personopplysninger samt regler om fri utveksling av personopplysninger», jf. artikkel 1 nr. 1. Personvernforordningen er derfor på mange måter et regelverk med et Janus-ansikt; det skal fremme gode, men til tider vanskelig forenlige, formål. Personvernet skal sikres, men også «fri flyt» er et viktig formål. Dette kommer også til uttrykk i artikkel 1 nr. 3: «Fri utveksling av personopplysninger i Unionen skal verken begrenses eller forbys av årsaker knyttet til vern av fysiske personer i forbindelse med behandling av personopplysninger.»
I Brendan van Alsenoys doktorgradavhandling vises det nettop til at harmonisering og fri flyt var et av de sentrale argumentene for et felleseuropeisk regelverk: «The continued fragmentation of national approaches to data protection presented a clear risk to the European vision of further integration. The political push for greater harmonisation provided optimal conditions for further Community action.»(10)Brendan Van Alsenoy, Regulating data protection; The allocation of responsibility and risk among actors involved in personal data processing, 2016, s. 213.
Noe av bakgrunnen for at det i det hele tatt ble utformet et felleseuropeisk regelverk, var at bilprodusenten Fiat fikk problemer med å sende personopplysninger mellom Italia og Frankrike.(11)Jeanne Saliou, 1970-2021: Data protection spreads the world, 2021. Lest. 18. mai 2023: https://linc.cnil.fr/fr/1970-2021-data-protection-spreads-world
Også i rettspraksis har EU-domstolen fremhevet at for strenge vilkår, som bidrar til dårligere harmonisering i EU, kan være uakseptable selv om de sikrer et sterkere personvern. I EU-domstolens dom C-468/10, Asociación National de Establecimientos Finansieros de Crédito(ASNEF), av 24. november 2011, ble EU-domstolen forelagt et spørsmål av en spansk domstol om det var mulig å innføre tilleggsvilkår for å kunne benytte «berettigede interesser»som et rettslig grunnlag. En spansk lov hadde et vilkår utover at det må foreligge berettigede interesser, ved at personopplysningene også måtte fremkomme i et offentlig tilgjengelig register.
Med henvisning til det dagjeldende personverndirektivets formål om å sikre et enhetlig vernenivå i alle medlemsland, fastslo EU-domstolen i ASNEF-saken at direktivets artikkel 7 (som tilsvarer artikkel 6 i forordningen) oppstiller en uttømmende og fullstendig liste over tilfellene hvor behandling av personopplysninger kan anses som lovlig.(12)Avsnittene 28 og 32. Medlemsstatene kunne derfor verken legge til nye prinsipper om for rettslige grunnlag eller fastsette tilleggskrav som endrer omfanget/innholdet av ett av de seks grunnlagene i artikkelen.(13)Avsnitt 36.
Tilsvarende har den svenske regjeringen problematisert om informasjon om at noen har dratt fra regningen på bensinstasjoner vil være opplysninger om lovovertredelser i henhold til artikkel 10. Regjering har langt på vei avvist dette, under henvisning til å sikre flyt av personopplysninger i EU:(14)Prop. 2017/18:105 s. 99.
«Ett av de huvudsakliga syftena med dataskyddsförordningen är att åstadkomma en ytterligare harmonisering av dataskyddsregleringen för att undanröja hindren för det fria flödet av personuppgifter inom EU (se t.ex. skäl 9 och 13). Det är därför angeläget att artikel 10 inte tolkas på ett mer extensivt sätt i Sverige än i andra medlemsstater.»
Det er ingen tvil om at en forståelse av forordningen som innebærer at det er tilstrekkelig at informasjon mer objektivt sett inneholder særlige kategorier av personopplysninger, vil innebære at kamerabruk må begrenses sterkt. Videre vil det også være klart vanskeligere å formidle slik informasjon, f.eks. til samarbeidspartnere eller kunder.
Det er naturligvis også tenkelig at det er tilfeller hvor det er gode grunner for å mene at kategoriseringen av personopplysninger i et kameraopptak i mindre grad bør bero på formål – og være mer objektiv. Et mulig eksempel er hvis et bilde eller filmopptak viser røntgenbilder eller en sykejournal. Det samme kan være tilfellet dersom et kameraopptak filmer en politisk demonstrasjon eller religiøs utøvelse.(15)Sören Öman, Dataskyddsforordningen (GDPR) m.m.; En kommentar, 2019, s. 228-229.
Forordningens ordlyd og formål, samt andre kilder, synes imidlertid likevel å trekke i retning av at formålet bør tillegges betydelig vekt for så vidt gjelder fotografisk materiale.
For sammenhengens skyld nevner jeg at en slik forståelse samsvarer best med løsningen også i det nå opphevede personverndirektivet (95/46/EF)): Forløperen til dagens forordning var enda klarere på at en kontekstuell forståelse skulle legges til grunn når det ble vurdert om informasjon utgjør særlige kategorier av personopplysninger.(16)Personverndirektivet artikkel 8 inneholdt kun en formulering om hva informasjonen kunne «reveal», og hadde ikke holdepunkter knyttet til formål som i dagens forordning. Se også Artikel 29-gruppa, Advice Paper on Special Categories of Data («sensitive data»), (European Commission, Working Paper 444105, 2011), samt Quinn og Malgieri (2021) s. 1592-1593. Likevel var det for det forrige direktivets del antatt at formålet med behandlingen i forbindelse med filming eller fotografering ofte ville være avgjørende.(17)Prop. 56 LS (2017–2018) s. 129, med henvisning til Artikkel 29-gruppen, Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance, side 24. Sml. også Prop. 47 L (2011–2012) side 44. Av den grunn ville avbildning av mer «hverdagslige» situasjoner ikke innebære behandling av særlige kategorier, f.eks. hvis bildet viste en kvinne i rullestol eller med mørk hud.(18)Se blant annet den svenske utredningen SOU 1997:39 s. 358, samt Öman (2019) s. 228-229.
At det skal benyttes en kontekstuell tilnærming når personopplysninger skal kategoriseres, tilsier på ingen måte at formålet er irrelevant eller et «lett» moment.
3. Oppsummerende merknader
Det er ingen klare fasitsvar om det nå må legges til grunn en mer objektiv forståelse av når kameraopptak inneholder særlige kategorier av personopplysninger. Deloitte-juristenes bidrag er i så måte både viktig og interessant. Som jeg påviser over, er det imidlertid ikke åpenbart at EU-domstolens praksis tilsier en signifikant senket terskel for når fotografisk materiale inneholder opplysninger som er omfattet av forordningen artikkel 9 nr. 1. Selv antar jeg at den tidligere oppfatningen om vektlegging av formålet med behandlingen, i stor grad kan videreføres. At det skal benyttes en kontekstuell tilnærming når personopplysninger skal kategoriseres, tilsier på ingen måte at formålet er irrelevant eller et «lett» moment.
Noter
- Personvernrådet, Guidelines 3/2019 on processing of personal data through video devices.
- Hanne Pernille Gulbrandsen, Steinar Østmoe og Ole-Martin Moe, Kameraovervåking og særlige kategorier av personopplysninger. I: Lov & Data nr. 1/2023 (Nr. 153), s. 19-25.
- Personvernrådet, Guidelines 3/2019 on processing of personal data through video devices, s. 14.
- Giacomo Delinavelli, Comment to Case C-184/20 and the perils of a broad interpretation of Art. 9 GDPR, datert 21. september 2022. Lest 21. mai 2023: https://europeanlawblog.eu/2022/09/21/comment-to-case-c-184-20-and-the-perils-of-a-broad-interpretation-of-art-9-gdpr/
- Paul Quinn og Gianclaudio Malgieri, The Difficulty of Defining Sensitive Data—The Concept of Sensitive Data in the EU Data Protection Framework Published online by Cambridge University Press: 19 January 2022. I: German Law Journal (2021), sidene 1583–1612.
- Integritetsskyddsmyndigheten, Kamerabevakning av religiösa byggnader och kyrkogårdar. Lest 21. mai 2023: https://www.imy.se/verksamhet/kamerabevakning/kamerabevakning-pa-olika-omraden/religiosa-byggnader-och-kyrkogardar/
- Giacomo Delinavelli, Comment to Case C-184/20 and the perils of a broad interpretation of Art. 9 GDPR, datert 21. september 2022. Lest 21. mai 2023: https://europeanlawblog.eu/2022/09/21/comment-to-case-c-184-20-and-the-perils-of-a-broad-interpretation-of-art-9-gdpr/
- Dag Wiese Schartum, Personvernforordningen - En lærebok, 2020, s. 47.
- Sören Öman, Dataskyddsforordningen (GDPR) m.m.; En kommentar, 2019, s. 228, og Dag Wiese Schartum, Personvernforordningen - En lærebok, 2020, s. 47.
- Brendan Van Alsenoy, Regulating data protection; The allocation of responsibility and risk among actors involved in personal data processing, 2016, s. 213.
- Jeanne Saliou, 1970-2021: Data protection spreads the world, 2021. Lest. 18. mai 2023: https://linc.cnil.fr/fr/1970-2021-data-protection-spreads-world
- Avsnittene 28 og 32.
- Avsnitt 36.
- Prop. 2017/18:105 s. 99.
- Sören Öman, Dataskyddsforordningen (GDPR) m.m.; En kommentar, 2019, s. 228-229.
- Personverndirektivet artikkel 8 inneholdt kun en formulering om hva informasjonen kunne «reveal», og hadde ikke holdepunkter knyttet til formål som i dagens forordning. Se også Artikel 29-gruppa, Advice Paper on Special Categories of Data («sensitive data»), (European Commission, Working Paper 444105, 2011), samt Quinn og Malgieri (2021) s. 1592-1593.
- Prop. 56 LS (2017–2018) s. 129, med henvisning til Artikkel 29-gruppen, Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance, side 24. Sml. også Prop. 47 L (2011–2012) side 44.
- Se blant annet den svenske utredningen SOU 1997:39 s. 358, samt Öman (2019) s. 228-229.