Lov&Data

2/2023: Artikler
19/06/2023

Retten til å protestere mot behandling av personopplysninger etter personvernforordningen artikkel 21 (1)

Av Melissa Tveit, Vit.ass. ved Nordisk Institutt for Sjørett.

Fem personer med plakater som demonstrerer med krav om beskyttelse av personopplysninger, foto.

Illustrasjon: Colourbox.com

1. Innledning

Den teknologiske utviklingen gjør det mulig for både private og offentlige aktører å benytte seg av personopplysninger i sitt arbeid i større grad enn tidligere. Teknologien har endret det økonomiske og sosiale liv, noe som krever en sterk og mer sammenhengende ramme for vern av personopplysninger. Den økende kapitaliseringen av person­opplysninger har aktualisert et behov for å tydeliggjøre hvilke rettigheter de registrerte kan gjøre gjeldende overfor virksomheter som behandler personopplysningene deres. Personvernforordningen inneholder derfor en rekke rettig­heter som den registrerte kan vise til overfor den behandlings­ansvarlige. En av disse rettighetene er retten til å protestere mot behandling etter artikkel 21 (1). Bestemmelsen lyder slik:

«Den registrerte skal til enhver tid, av grunner knyttet til vedkommendes særlige situasjon, ha rett til å protestere mot behandling av personopplysninger om vedkommende, og som har grunnlag i artikkel 6 nr. 1 bokstav e) eller f) … Den behandlingsansvarlige skal ikke lenger behandle personopplysningene, med mindre vedkommende kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og fri­heter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav».

Retten til å protestere mot en behandling er en mekanisme den registrerte kan bruke til å rette opp i skjevhet i interesser som har oppstått under behandlingen. Den har derfor har en viktig rolle i å sikre at de grunnleggende prinsippene i GDPR overholdes. I denne artikkelen skal jeg se nærmere på hva som er forutsetningene for og konsekvensene av at en registrert frem­setter en protest til en behandlingsansvarlig.

2. Prosessuelle forutsetninger for å protestere

Det oppstilles ingen formkrav i personvernforordningen til selve protesten. Ordlyden tilsier derfor at protesten kan fremsettes både skriftlig og muntlig. Begjæringen trenger ikke å tituleres «innsigelse», «protest» e.l., så lenge den registrerte gjør det klart for den behandlingsansvarlige at man ønsker å bringe behandlingen til opphør.

Personvernforordningen stiller ikke krav om hvor eller hvordan den registrerte kan fremsette en protestbegjæring. Protesten kan derfor fremsettes til hvilken som helst del av organisasjonen.(1)ICO (2019) s. 113. Protesten må likevel aktivt fremsettes – det er ingen automatikk i at en behandling opphører fordi det har gått lang tid.

Behandlingen må imidlertid ha startet for at den registrerte skal kunne protestere. Det er ikke mulig å protestere i forveien og anføre at den behandlingsansvarlige ikke skal behandle personopplysninger i fremtiden.(2)Öman (2021) s. 379. Når behandlingen har startet, indikerer ordlyden at protest­retten kan benyttes for så lenge som behandlingen fortsatt finner sted.

Personvernforordningen stiller ikke krav om hvor eller hvordan den registrerte kan fremsette en protestbegjæring. Protesten kan derfor fremsettes til hvilken som helst del av organisasjonen. Protesten må likevel aktivt fremsettes – det er ingen automatikk i at en behandling opp­hører fordi det har gått lang tid.

Den registrerte vil i praksis ikke ha muligheten til å protestere om vedkommende ikke kjenner til protest­retten. En nødvendig betingelse for at protestretten skal være reell, er derfor at den registrerte blir informert den.(3)C-201/14 avsnitt 33. Den behandlings­ansvarlige har derfor en plikt etter personvernforordningens artikkel 13 og 14 til å fremlegge informasjon om en rekke av forordningens rettigheter, blant annet om retten til å protestere.

GDPR oppstiller også krav til hvordan informasjon om protest­retten skal gis den registrerte. Etter artikkel 12 (1) skal den behandlingsansvarlige «treffe egnede tiltak for å framlegge for den registrerte informasjonen nevnt i artikkel 13 og 14». Bestemmelsen spesifiserer at informasjonen skal gis på en «kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk». Den behandlingsansvarlige skal unngå generelle og abstrakte formuleringer som «may», «might», «some», «often» og «possible».(4)WP29 (2018) s. 9. Etter artikkel 21 (4) følger det at informasjonen skal fremlegges «atskilt fra annen informasjon». Dette kan eksempelvis gjøres ved å ha lagvise personvernerklæringer, hvor det første laget inneholder den informasjonen som har størst betydning for den registrerte og som kan overraske dem.(5)Jarbekk (2021) note 2 til artikkel 12.

Etter personvernforordningens artikkel 12 (2) skal den behandlingsansvarlige også «legge til rette» for at den registrerte kan utøve en rekke rettigheter, herunder retten til å protestere. Andre bestemmelser i forordningen stiller krav til konkrete tiltak. Artikkel 21 (5) bestemmer at den registrerte kan protestere «ved hjelp av automatiserte midler ved bruk av tekniske spesifikasjoner» i forbindelse med bruk av «informasjonstjenester». Dette kan for eksempel gjøres ved å ha en «opt-out»-lenke i en direkte markedsføringsepost.

3. Materielle vilkår for å protestere

For at den registrerte skal kunne protestere, må vedkommende for det første protestere på bakgrunn av grunner knyttet til vedkommendes «særlige situasjon», jf. GDPR artikkel 21 (1). Videre må behandlingen ha rettslig grunnlag i artikkel 6 (1) (e) eller (f).

Ordlyden av «nødvendig» gir anvisning på at noe må være uunnværlig, og at formålet ikke kan nås på en annen måte. Hensynet til dataminimering etter artikkel 5 (1) (c) må også tas i betraktning; ikke bare må databehandlingen i seg selv være nødvendig, men omfanget av data som behandles må være i tråd med formålet med behandlingen.(6)Krzysztofek (2021) s. 92. Metoden den behandlingsansvarlige velger må derfor være formålstjenlig, effektiv og proporsjonal, samt ikke medføre et unødvendig inngrep i den enkeltes privatliv.(7)Öman (2021) s. 175.

Som nevnt er det bare behandling etter artikkel 6 (1) (e) og (f) den registrerte kan protestere på. Behandling etter artikkel 6 (1) (e) kan skje hvor det er «nødvendig for å utføre en oppgave i allmennhetens interesse» eller for å «utøve offentlig myndighet som den behandlings­ansvarlige er pålagt».

At behandlingen må være «pålagt» den behandlingsansvarlige, gir anvisning på at det må foreligge en rettslig forpliktelse til å foreta behandlingen. Det er ikke klart etter den norske språkversjonen hvilken del av bestemmelsen «pålagt» retter seg mot. Det må derfor avklares om «pålagt» både retter seg mot de tilfeller hvor det utføres en oppgave i «allmennhetens interesse» og de tilfellene hvor man «utøve[r] offentlig myndighet».

Konsultasjon av andre språk­versjonene av GDPR gir heller ikke et entydig svar på spørsmålet. Den engelske og den franske språk­versjonen tilsier at «pålagt» bare retter seg mot offentlig myndighetsutøvelse, mens den danske språkversjonen tyder på det motsatte.

Litteraturen er sprikende, men systemhensyn tilsier at «pålagt» kun retter seg mot offentlig myndighetsutøvelse. Det følger av artikkel 6 (3) at grunnlaget for behandling etter bokstav (e) skal fastsettes av unionsretten eller medlemsstatenes lov. Det er derfor ikke tilstrekkelig at vilkårene i 6 (1) er oppfylt - behandlingen må også ha hjemmel i nasjonal rett eller i EU-retten. Det foreligger derved allerede to sikkerhetsmekanismer – den behandlings­­­-ansvarlige må ha hjemmel, og det må være nødvendig å benytte seg av behandlingsgrunnlaget.

At «pålagt» rettet seg mot opp­gaver som utføres i «allmennhetens interesse» ville også gjøre nødvendighetskriteriet overflødig. Dersom behandlingen både må være pålagt, samtidig som det skal foretas en nødvendighetsvurdering, risikerer den behandlingsansvarlige å måtte bryte med pålegget dersom man kommer frem til at behandlingen ikke er nødvendig. Et pålegg kan derfor sees på som at lovgiver selv har foretatt og vurdert tilfeller hvor behandling av personopplysninger er nødvendig. Dette tilsier at «pålagt» ikke retter seg mot oppgaver som utføres i «allmennhetens interesse». De fleste forhold taler for at dette er den riktige løsningen.

Hva en behandling i «allmenn­hetens interesse» er, defineres ikke i GDPR. Ordlyden tilsier imidlertid at behandlingen må være begrunnet i en større samfunnsinteresse. En minoritet av befolkningen kan utgjøre «allmennhetens interesse» dersom det er en ubestemt krets av personer.(8)Schartum (2020) s. 131. Det er antatt at interessen skal være «regulert i nasjonale regler som kan håndheves offentligrettslig, og ikke utelukkende være underlagt privatrettslig håndheving.»(9)Skullerud (2019) s. 182. Interessen kan imidlertid ikke komme fra et tredjeland – det er eksempelvis ikke tilstrekkelig at personopplysningene blir etter­spurt av myndighetene i et tredjeland for en etterforskning som tjener en offentlig interesse som indirekte også eksisterer i lov­givningen til et medlemsland.(10)Krzysztofek (2021) s. 90.

Dersom det er i allmennhetens interesse, kan rettssubjektet også være underlagt regler som hånd­heves privatrettslig.(11)Skullerud (2022) note til artikkel 6. Behandlingen kan i de tilfellene utføres av private aktører. Dette er tilfellet ved eksempelvis forskning, som gjennomføres av både av offentligrettslige og privat­rettslige aktører.

Artikkel 6 (1) (e) er også anvendelig for behandling som er «nødvendig for å utøve offentlig myndighet». Ettersom det bare er de tilfellene hvor utøvelsen av offentlig myndighet er «pålagt», betyr det at oppgaver som følger av kontraktsrettslige forpliktelser, selv i den offentlige interesse, faller utenfor.(12)Kotschy (2020) s. 335. Behandlingsgrunnlaget er også anvendelig hvor private rettssubjekter har fått kompetanse til å utøve offentlig myndighet og derfor treffer enkeltvedtak på vegne av det offentlige.(13)Skullerud (2019) s. 182.

Etter artikkel 6 (1) (f) er behandlingen lovlig dersom den er «nødvendig for formål» knyttet til de «berettigede interessene» som forfølges av den behandlingsansvarlige eller en tredjepart med mindre den registrertes «interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn».

Forordningen definerer ikke hva som utgjør en «berettiget interesse». Det er imidlertid ikke noe krav om at den må være tvingende.(14)WP29 (2014) s. 30. Både behandlingsansvarliges og tredjepersoners interesser omfattes, noe som betyr at man kan ta i betraktning mer generelle samfunnshensyn. Vurderingen kan oppsummeres i tre krav: Interessen må være lovlig, tilstrekkelig klart formulert slik at interessen kan veies mot den registrertes interesser og grunnleggende rettigheter, og den må representere en reell og nåværende interesse.(15)WP29 (2014) s. 25.

EU-domstolen har i sin praksis trukket frem utlevering av personopplysninger i forbindelse med erstatningssaker, beskyttelse av eiendom og sunnhet og liv som legitime interesser.(16)C-13/16, C-92/09 og C-212/13. Andre normsystemer må tas i betraktning ved vurderingen, og bestemmelsen skal blant annet tolkes og anvendes i lys av de grunnleggende menneske­rettighetene.(17)C-131/1 avsnitt 68.

Et særskilt spørsmål er om rene økonomiske interesser kan utgjøre en «berettiget interesse». WP29-gruppen anla en lav terskel for at noe skal anses som en «berettiget interesse» etter DPD artikkel 7 (1) (f), og rene kommersielle interesser ble anerkjent etter direktivet. Ettersom det tilsynelatende ikke er noen materielle endringer ved videre­føringen av denne delen av bestemmelsen, tilsier det at det samme gjelder etter GDPR.

Systemhensyn tilsier at kommersielle interesser kan utgjøre en legitim interesse, ettersom en balanse­test vil sikre at usaklige interesser må vike. De berettigede interessene utgjør derfor et startpunkt, heller enn en kvalitativ grense, for hvilke interesser som inngår i balanse­vurderingen.(18)WP29 (2014) s. 25. Man unngår på denne måten at vurderingen av «berettigede interesser» foregriper balansevurderingen.

Utgangspunktet er at dersom det foreligger en «berettiget interesse», er behandlingen lovlig. Dette gjelder imidlertid bare «med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger» jf. artikkel 21 (1) annet punktum.

Ordlyden av «interesser» tilsier at alt med tilknytning til den registrerte kan tas i betraktning. Det fremgår av fortalens punkt 47 at det kan tas hensyn til de «registrertes rimelige forventninger på grunnlag av forholdet mellom den og den behandlingsansvarlige». Domstolen har i forbindelse med forgjengerbestemmelsen i DPD uttalt at «anvendelse av artikkel 7 (f) nødvendiggjør en avveining av de motstridende rettighetene og interessene som er berørt, og i denne sammenheng må det tas hensyn til betydningen av den registrertes rettigheter som følger av artikkel 7 og 8 i Charteret».(19)Se C‑131/12 avsnitt 74. Det er imidlertid mer enn selve person­opplysningsvernet som omfattes av den registrertes «fundamentale rettigheter», som for eksempel negative effekter for ytringsfrihet, religionsfrihet og bevegelsesfrihet.(20)Schartum (2020) s. 133. Også den registrertes subjektive opplevelser og forventninger til behandlingen kan vurderes.(21)Schartum (2020) s. 133.

Dersom «den registrertes interesser eller grunnleggende rettigheter» tilsier at behandling ikke skal finne sted, må disse avveies mot den behandlingsansvarliges og tredje­parters «berettigede interesse[r]». Det skal foretas en forholdsmessighetsvurdering av interessene i saken, og avveiningen skal ta utgangspunkt i omstendighetene i den konkrete sak.(22)C-13/16 Rīgas satiksme. Balanseringen må være genuin, og den skal verken veie til fordel for den registrerte eller behandlingsansvarlige.(23)WP29 (2014) s. 3.

Det neste vilkåret for å protestere mot behandling av personlig data er at protesten knytter seg til den registrertes «særlige situasjon». Ordlyden tilsier at det må foreligge individuelle forhold knyttet til den enkelte registrerte som begrunner protestbegjæringen. I vurderingen kan man ta hensyn til alle spesifikke omstendigheter i den registrertes situasjon.(24)C-398/15 avsnitt 47 Situasjonen må verken være tungtveiende, viktig eller ekstra­ordinær.(25)Skullerud (2020) s. 263. Det stilles ikke krav om at den registrerte har fått ny kunnskap – det er tilstrekkelig at den registrerte bedømmer saksforholdet på en annen måte enn tidligere.(26)Schartum (2020) s. 198 Det må imidlertid gis en individuell begrunnelse for protesten, og generelle betraktninger som at noe er skadelig, galt eller umoralsk kan ikke føre frem.(27)Schartum (2020) s. 198

Ettersom det er den registrertes oppfatning av situasjonen som er utgangspunktet for protest, tilsier dette at den registrertes «særlige situasjon» ikke må kunne dokumenteres eller sannsynliggjøres. Vekten av den registrertes «særlige situasjon» vil uansett avhenge av vurderingen av de «tvingende berettigede grunner» som tilsier at behandlingen skal fortsette.(28)Schartum (2020) s. 198. Hensynet til dataminimering i artikkel 5 (1) (c) tilsier imidlertid at man ikke bør avdekke unødvendig informasjon om personlige forhold for å begrunne situasjonen.

4. Konsekvenser av at den registrerte har protestert

Utgangspunktet etter artikkel 21 (1) annet punktum er at «den behandlingsansvarlige ikke lenger skal behandle personopplysningene» dersom den registrerte har protestert og den behandlingsansvarlige ikke kan godtgjøre at det foreligger tvingende berettigede grunner som går foran den registrertes interesser, rettigheter og friheter. Den registrerte kan også kreve behandlingen begrenset etter artikkel 18 (1) (d) før protesten er vurdert.

Dersom den registrerte protester og vilkårene for videre behandling ikke er oppfylt, må behandlingen avbrytes dersom den allerede er igangsatt.(29)Skullerud (2019) s. 159. Utgangspunktet er derfor at den registrerte skal gis medhold med mindre grunnlag for videre behandling foreligger.(30)Skullerud (2019) s. 263.

Det følger imidlertid av artikkel 21 (1) at behandling likevel kan fortsette eller igangsettes igjen hvor den behandlingsansvarlige kan «påvise at det foreligger tvingende berettigende grunner» for behandlingen og disse går foran den registrertes «interesser, rettigheter og friheter». For det andre kan den behandlingsansvarlige fortsette behandlingen for å «fastsette, gjøre gjeldende eller forsvare et rettskrav».

Den legitime interessen må være «overwhelming and override the data subject’s interests in a strong, significant way.»(31)Zanfir-Fortuna (2020), s. 517. Vilkåret nødvendig­gjør en individuell vurdering av hvor betydelige interessene, rettighetene og frihetene til den registrerte er og i hvilken grad de krenkes dersom behandlingen fortsetter.(32)Krzysztofek (2021) s. 184.

Det fremgår ikke av 21 (1) annet punktum hvordan vurderingen skal foretas, men det slås fast at den behandlingsansvarlige kan nekte å imøtekomme protesten dersom et av unntaksvilkårene foreligger. Ettersom vurderingen i artikkel 21 (1) annet ledd er modellert på artikkel 6 (1) (f), kan det tenkes at man kan se hen til WP29 sin veileder knyttet til DPD artikkel 7 for å få en idé om hvordan vurderingen bør foretas.(33)Det siktes her til WP29 (2014). Begge bestemmelser gir anvisning på en balanseringsøvelse, og vurderingstemaet er som utgangspunkt sammenfallende.

Legitime hensyn etter veilederen er b.la. interessenes aktverdighet, virkningen for den registrerte, en generell avveining av hensynene i saken og hvilke sikkerhetstiltak som iverksettes for behandlingen. Ettersom protestretten er nært knyttet til menneskerettighetene i Charterets artikkel 7 og 8, er det også naturlig at man kan la seg veilede av vurderingen til EMD og EU-domstolen knyttet til disse bestemmelsene.(34)Ausloos (2020) s. 285. Balanseringen må imidlertid gjøres på sak-til-sak basis.(35)Ausloos (2016)

Det må likevel tas hensyn til de særlige hensyn som gjør seg gjeldende for artikkel 21 (1). Balanseringen i artikkel 21 har et større fokus på den konkrete konteksten i den registrertes situasjon sammenliknet med artikkel 6 (1) (f).(36)Ausloos (2020) s. 296. Også bestemmelsenes ulike formål må tas i betraktning. Behandling etter artikkel 6 (1) (f) har til hensikt å forhindre urettferdig databehandling og foretas før behandlingen har startet. Balanseringen i artikkel 21 (1) skal avhjelpe ubalanse som har oppstått under behandlingsaktiviteten.(37)Ausloos (2020) s. 295

Det er den behandlingsansvarlige som må påvise at det foreligger «tvingende berettigede grunner» som går foran den registrertes interesser eller grunnleggende rettigheter og friheter.(38)Fortalepunkt 69. Den behandlings­ansvarlige må derfor fremføre argumenter for at interessene som taler for videre behandling veier tyngst i forholdsmessighetsvurderingen. Dette er en materiell endring fra bestemmelsens forgjenger i DPD. Etter DPD artikkel 14 (1) kunne den registrerte protestere «dersom innsigelsen er berettiget». Etter person­vernforordningen er utgangspunktet det motsatte – behandlingen opphører, med mindre den behandlingsansvarlige fremfører «tvingende berettigede grunner» for behandlingen. Bevisbyrden er i så måte endret fra å påhvile den registrerte til å nå påhvile den behandlingsansvarlige, noe som kan gjøre det lettere for den registrerte å få medhold i protesten.

Det må foretas en forholdsmessighetsvurdering mellom den de «tvingende berettigede grunner» og den registrertes «interesser, rettigheter og friheter» ved protest både hvor behandlingen bygger på artikkel (6) (e) og (f). Hvor behandlingen bygger på artikkel 6 (1) (f), har den behandlingsansvarlige allerede foretatt en forholdsmessighetsvurdering mellom den registrertes og den behandlingsansvarliges interesser. Ordlyden av «tvingende berettigede grunner» i artikkel 21 (1) annet punktum tilsier at terskelen er høyere for at den behandlingsansvarlige kan fortsette behandlingen etter en protest sammenliknet med iverksetting av behandling. Den behandlingsansvarlige må derfor foreta en ny balanseøvelse, og kan ikke nøye seg med å vise til vurderingen etter 6 (1) (f). Balansetesten etter artikkel 21 (1) annet punktum tar hensyn til den registrertes subjektive forestillinger og til de spesielle argumentene den registrerte har fremsatt, heller enn generelle vurderinger slik som er tilfellet etter artikkel 6 (1) (f).

En ekstra vurdering er viktig ettersom protesten kan fremsettes på et mye senere tidspunkt enn behandlingens startpunkt. Både den behandlingsansvarliges interesser og den registrertes interesser kan derfor ha utviklet seg siden første vurdering. Behandlingen kan eksempelvis ha innvirket på den registrertes personvern på en måte som ikke var forventet da behandlingen startet eller nødvendigheten av behandlingen kan ha endret seg.

Behandlingen kan også fortsette for å «fastsette, gjøre gjeldende eller forsvare et rettskrav». Ordlyden sier ikke noe om hvem som må inneha rettskravet eller hvem som er rettighetssubjekt. Dette virker å være et bevisst valg, ettersom det følger av fortalepunkt 10 at «[n]år det gjelder behandling av personopplysninger for å oppfylle en rettslig forpliktelse (…) bør medlemsstatene kunne opprettholde eller innføre nasjonale bestemmelser for nærmere å presisere anvendelsen av reglene i denne forordning». Det er derfor den nasjonale retten som bestemmer når vilkåret er oppfylt. Etter fortalens punkt 52 gjelder dette uansett om det skjer innenfor rammen av rettergang eller en administrativ eller utenrettslig prosedyre.

Oppsummeringsvis kan det sies at konsekvensene av protesten avhenger av den behandlingsansvarliges konklusjon.

En potensiell konsekvens er at personopplysningene må slettes. I behandlingsbegrepet inngår også lagring av data.(39)Se artikkel 4 nr. 2. Hvor den registrerte får medhold i en protest som gjelder lagring, vil det vil da være nødvendig å slette personopplysningene. Etter forordningens artikkel 17 (1) (c) har også behandlings­ansvarlig en «plikt til å slette personopplysninger uten ugrunnet opphold» dersom registrerte protesterer mot behandlingen i henhold til artikkel 21 nr. 1 og det «ikke finnes mer tungtveiende berettigede grunner til behandlingen».

Personvernforordningen definerer ikke hva sletting innebærer, men ordlyden tilsier en permanent fjerning av personopplysningene. Dette vil også være resultatet hvor den registrerte protesterer på lagring etter artikkel 21 (1). I de tilfellene hvor den registrerte får medhold i en protest knyttet til behandlingsoperasjoner som ikke er lagring, er det ingen automatikk i at personopplysningene slettes.

Oppsummeringsvis kan det sies at konsekvensene av protesten avhenger av den behandlingsansvarliges konklusjon. Dersom den behandlingsansvarlige gis medhold i sin protest, skal behandlingen straks opphøre. Dersom den registrerte ikke gis medhold, må den behandlingsansvarlige enten kunne «påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran den registrertes interesser, rettigheter og friheter» eller for å «fastsette, gjøre gjeldende eller forsvare rettskrav» for å fortsette behandlingen.

Litteraturliste

Litteratur

Bøker

  1. Ausloos (2020): Ausloos, Jef. The Right to Erasure in EU Data Protection Law. Oxford, Oxford University Press, 2020. Conditions of the Right to Erasure | The Right to Erasure in EU Data Protection Law | Oxford Academic ( uio.no )

  2. Kotschy (2020): Kotschy, Waltraut. «Article 6 Lawfulness of processing» I The EU General Data Protection Regulation (GDPR): A Commentary Oxford: Oxford University Press USA 2020

  3. Krzysztofek (2021): Krzysztofek, Marius. GDPR: Personal Data Protection in the European Union, Vol. 114, European Monographs Series Set. Alphen Aan Den Rijn: Wolters Kluwer, 2021

  4. Öman (2021): Öman, Sören. Dataskyddsförordningen (GDPR) m.m. (2. utgave). Stockholm, Norstedts Juridik, 2021.

  5. Schartum (2020): Schartum, Dag Wiese. Personvernforordningen – en lærebok. Bergen: Fagbokforlaget, 2020.

  6. Skullerud (2019): Skullerud, Åste Marie Bergseng, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. Personopplysningsloven og personvernforordningen (GDPR): Kommentarutgave. (1. utg.), Oslo: Universitetsforlaget, 2019.

  7. Zanfir-Fortuna (2020): Zanfir-Fortuna, Gabriela. “Article 21. Right to object”. I The EU General Data Protection Regulation (GDPR): A Commentary Oxford: Oxford University Press USA 2020

Artikler og lovkommentarer

  1. Ausloos (2016): Ausloos, Jef. The Interaction between the Rights to Object and to Erasure in the GDPR, 2016 The Interaction between the Rights to Object and to Erasure in the GDPR - CITIP blog (kuleuven.be)

  2. Jarbekk (2021): Jarbekk, Eva. «Karnov lovkommentar til personopplysningsloven.» (2021), [Lest i Lovdata Pro] hentet 16.11.2022.

  3. Skullerud (2022): Skullerud, Åste Marie Bergseng, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud. «Person­opplysningsloven og person­vernforordningen (GDPR): Kommentarutgave.», (2022) [Lest på Juridika.no] hentet 22.11.22

Traktater

  1. Personverndirektivet: Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger [Personverndirektivet].

Avgjørelser fra EU-domstolen

  1. Joined cases C-92/09 and C-93/09 Volker und Markus Schecke GbR (C-92/09) and Hartmut Eifert (C-93/09) v Land Hessen: ECLI:EU:C:2010:662

  2. Case C-131/12 Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González: ECLI:EU:C:2014:317

  3. Case C-212/13 František Ryneš v Úřadpro ochranu osobních údajů: ECLI:EU:C:2014:2428

  4. Case C-201/14 Smaranda Bara and Others v Casa Naționalăde Asigurări de Sănătate and Others: ECLI:EU:C:2015:638

  5. C-13/16 Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde mod Rīgas pašvaldības SIA «Rīgas satiksme»: ECLI:EU:C:2017:336

Retningslinjer og rapporter

  1. WP29 (2014): Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf

  2. WP29 (2018): Article 29 Working Party Guidelines on transparency under Regulation 2016/679 https://ec.europa.eu/newsroom/article29/items/62222

  3. ICO (2019): Information Commissioner’s Office, Guide to Data Protection, 2019 https://ico.org.uk/media/for- organisations/guide-to-data-protection-1-1.pdf (sist sjekket 16.11.2022)

Noter

  1. ICO (2019) s. 113.
  2. Öman (2021) s. 379.
  3. C-201/14 avsnitt 33.
  4. WP29 (2018) s. 9.
  5. Jarbekk (2021) note 2 til artikkel 12.
  6. Krzysztofek (2021) s. 92.
  7. Öman (2021) s. 175.
  8. Schartum (2020) s. 131.
  9. Skullerud (2019) s. 182.
  10. Krzysztofek (2021) s. 90.
  11. Skullerud (2022) note til artikkel 6.
  12. Kotschy (2020) s. 335.
  13. Skullerud (2019) s. 182.
  14. WP29 (2014) s. 30.
  15. WP29 (2014) s. 25.
  16. C-13/16, C-92/09 og C-212/13.
  17. C-131/1 avsnitt 68.
  18. WP29 (2014) s. 25.
  19. Se C‑131/12 avsnitt 74.
  20. Schartum (2020) s. 133.
  21. Schartum (2020) s. 133.
  22. C-13/16 Rīgas satiksme.
  23. WP29 (2014) s. 3.
  24. C-398/15 avsnitt 47
  25. Skullerud (2020) s. 263.
  26. Schartum (2020) s. 198
  27. Schartum (2020) s. 198
  28. Schartum (2020) s. 198.
  29. Skullerud (2019) s. 159.
  30. Skullerud (2019) s. 263.
  31. Zanfir-Fortuna (2020), s. 517.
  32. Krzysztofek (2021) s. 184.
  33. Det siktes her til WP29 (2014).
  34. Ausloos (2020) s. 285.
  35. Ausloos (2016)
  36. Ausloos (2020) s. 296.
  37. Ausloos (2020) s. 295
  38. Fortalepunkt 69.
  39. Se artikkel 4 nr. 2.
Melissa Tveit
Melissa Tveit, portrett