Gå til innhold

Lov&Data

4/2023: Artikler
20/12/2023

Datatilsynet mener det kreves et nytt rettslig grunnlag for behandling av personopplysninger for nye og forenelige formål – tar tilsynet feil?

Av Ole Martin Moe, manager og advokatfullmektig og Hanne Pernille Gulbrandsen, Deloitte Advokatfirma AS.

1. Introduksjon av problemstillingen – forholdet mellom personvernforordningen artikkel 6 nr. 1 og artikkel 6 nr. 4

Innovasjon, effektivisering og datadeling er i vinden både nasjonalt og i EU om dagen. Kunstig intelligens (KI) er på alles lepper og krever bruk av data for trening og vedlikehold.

Personvernforordningen (GDPR) er ett av mange regelverk som treffer dette landskapet og setter grenser for hvordan personopplysninger kan brukes til å utvikle KI. Som Datatilsynets sandkasse for kunstig intelligens har vist, er det ofte snakk om å gjenbruke personopplysninger som virksomheten allerede besitter.(1)Se sandkasserapportene fra eksempelvis prosjektene Ruter, NAV og KS. Man skal for eksempel effektivisere saksbehandling, få ny innsikt i eksisterende data eller tilby en ny tjeneste.

Et sentralt spørsmål som dukker opp i denne forbindelse er forholdet mellom prinsippet om formålsbegrensning i personvernforordningen artikkel 5 nr. 1 bokstav b og lovlighetsprinsippet i bokstav a.

Når man skal bruke personopplysninger en virksomhet allerede har til et nytt formål: kreves det da et nytt behandlingsgrunnlag?

Det følger av formålsbegrensningsprinsippet i personvernforordningen artikkel 5 nr. 1 bokstav b) at personopplysninger kun skal «…samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene».

Et sentralt spørsmål som dukker opp i denne forbindelse er forholdet mellom prinsippet om formålsbegrensning i personvernforordningen artikkel 5 nr. 1 bokstav b og lovlighetsprinsippet i bokstav a.

I henhold til artikkel 6 nr. 1 er en behandling av personopplysninger bare lovlig dersom ett av vilkårene i 6 nr. 1 bokstav a til f er oppfylt. Artikkel 6 nr. 1 er et utslag av lovlighetsprinsippet jf. artikkel 5 nr. 1 bokstav a.

Artikkel 6 nr. 4 sier at dersom det skal foretas en behandling for et annet formål enn hva personopplysningene ble innsamlet for så skal det i utgangspunktet vurderes om dette er forenlig med formålet som de ble samlet inn for jf. formålsprinsippet/formålsbegrensning, artikkel 5 nr. 1 bokstav b.

Personopplysninger skal i utgangspunktet kun behandles for det spesifikt angitte formålet de opprinnelig er samlet inn for. Personvernforordningen artikkel 6 nr. 4 åpner imidlertid for at man kan gjennomføre behandling for andre formål enn det opprinnelige dersom den nye behandlingen, ofte omtalt som viderebehandling, har et formål som etter en konkret vurdering kan anses forenlig med det opprinnelige.

Formålsbegrensningsprinsippet er et av de grunnleggende personvernprinsippene og kan dateres tilbake til 1980 og OECDs retningslinjer innen personvern.(2)Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188 Det er ikke uenighet om at formålsbegrensningsprinsippet er et grunnleggende utgangspunkt i personvernretten og at uforenlige formål kun er tillatt dersom det følger av lov eller den registrerte har samtykket til dette. Det ser imidlertid ut til at det foreligger ulike oppfatninger av rettstilstanden når det gjelder om det er krav om nytt behandlingsgrunnlag ved viderebehandling av personopplysninger til nye formål eller om viderebehandling til forenlige formål kan hjemles i det opprinnelige behandlingsgrunnlaget.

Blant mange jurister er den klare oppfatning at dersom en behandlingsansvarlig skal behandle personopplysninger for et nytt formål, og dette nye formålet anses å være forenlig med det opprinnelige formålet etter en vurdering etter artikkel 6 nr. 4, er det ikke nødvendig å ha et eget behandlingsgrunnlag etter artikkel 6 nr. 1. Kravet til lovlighet er etter denne oppfatningen oppfylt dersom man har bestått forenlighetsvurderingen som artikkel 6 nr. 4 legger opp til

Kravene til forenlighet følger av personvernforordningens fortalepunkt 50 og artikkel 6 nr. 4.

Behandling av personopplysninger for andre formål enn de formål personopplysningene opprinnelig ble samlet inn for, bør bare være tillatt dersom behandlingen er forenlig med formålene som personopplysningene opprinnelig ble samlet inn for. I et slikt tilfelle kreves det ikke et annet rettslig grunnlag enn det som ligger til grunn for innsamlingen av personopplysninger(vår uthevning)

Denne oppfatningen kan forankres både i fortalepunkt 50 og juridisk teori, blant annet den norske kommentarutgaven fra Skullerud m.fl.(3)https://www.bakermckenzie.com/-/media/files/insight/publications/2018/10/compatibility_mechanism_responsible_further_personal_data_proessing.pdf?la=en og Compatibility of purposes for further processing of personal data: hit the bull’s eye in darts or hit the ball in a rugby gate? - Lexology og Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6 nr. 4, Behandlingens lovlighet, Juridika

Datatilsynet er imidlertid av en annen oppfatning. I vedtak 20/01626-7 (vedtak om overtredelsesgebyr mot NIF) bemerker Datatilsynet følgende:

For behandling av personopplysninger for et annet formål enn det som personopplysningene ble samlet inn for, er det to kumulative krav i personvernforordningen. For det første kreves det, som ved all behandling av personopplysninger, at behandlingen har et rettslig grunnlag i artikkel 6 nr. 1 for å være lovlig. I tillegg kreves det at det nye formålet med behandlingen av personopplysninger er forenelig med formålet personopplysningene ble samlet inn for, jf. artikkel 6 nr. 4. Det er et unntak fra dette vilkåret dersom den nye behandlingen bygger på den registrertes samtykke eller har hjemmel i lov, men det er klart at dette unntaket ikke kommer til anvendelse i denne saken

Datatilsynet legger følgelig til grunn at dersom en behandlingsansvarlig skal behandle personopplysninger for et nytt og forenlig formål må man i tillegg ha et nytt behandlingsgrunnlag i artikkel 6 nr. 1. Datatilsynets oppfatning er at forenlighetsvurderingen i seg selv ikke kan etablere slik lovlighet.

Denne artikkelen har to formål. For det første ønsker vi å gjøre kjent Datatilsynet sitt syn på forholdet mellom artikkel 6 nr. 1 og artikkel 6 nr. 4 da vår erfaring tilsier at mange ikke er kjent med dette. For det andre ønsker vi å gi innsikt i bakgrunnen for de to alternative standpunktene og med dette legge grunnlag for en videre diskusjon som kan bidra til avklaring av rettstilstanden.

Hoder med ulike symboler på seg, plassert i bokser med ulike farger, digital illustrasjon.

Illustrasjon: Colourbox.com

2. Forenlighetsvurderingen

Artikkel 6 nr. 4 legger opp til en konkret og helhetlig vurdering, der alle vurderingstemaer nevnt i bestemmelsens bokstav a)–e) kan være av betydning. Vurderingstemaene skal imidlertid ikke anses som kumulative vilkår. Dette omtales ofte som forenlighetsvurderingen eller kompatibilitetstesten.

Etter personverndirektivet(4)DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data var det også tydelig at personopplysninger ikke skulle behandles til uforenlige formål. Vurderingstemaer for å fastslå hva som skulle til for at formål ble ansett forenlig var imidlertid verken angitt i direktiv-teksten eller direktivets fortale. For veiledning til gjennomføring av forenlighetsvurderingen, utstedte artikkel 29-gruppen i 2013 sin «Opinion on the purpose limitation principle (WP 203)(5)EDPB har ikke offisielt tilsluttet seg WP 203 fra artikkel 29-gruppen, men har vist til den i en rekke av sine retningslinjer. Etter vår oppfatning har EDBP vist til den i så mange tilfeller at store deler av innholdet fortsatt må anses å være av relevans, særlig for gjelder forståelsen av hva den behandlingsansvarlige må ta stilling som ledd i forenlighetsvurderingen..

Etter bokstav a) må den behandlingsansvarlige vurdere «enhver forbindelse mellom formålene som personopplysningene er blitt samlet inn for, og formålene med den tiltenkte viderebehandlingen». Det følger av dette at den behandlingsansvarlige må vurdere om viderebehandlingen var mer eller mindre implisert i den opprinnelige, eller fremstår som et «logisk neste steg», eller om det kun er en delvis eller ikke-eksisterende kobling mellom formålene. Det følger av WP 203 at i begge tilfeller kan formålet anses forenlig, men jo større avstand mellom formålene jo mer utfordrende blir det å legge til grunn at det foreligger forenlighet.

Etter bokstav b) må den behandlingsansvarlige vurdere «i hvilken sammenheng personopplysningene er blitt samlet inn…» og i den sammenheng særlig se hen «…til forholdet mellom de registrerte og den behandlingsansvarlige». Dette momentet innebærer at en nærmere sammenheng formålene imellom vil trekke klarere i retning av forenelighet. Spennet går etter artikkel 29-gruppens tolkning mellom behandling som er «mer eller mindre implisert» i det opprinnelige formålet, eller i lys av det opprinnelige formålet fremstår som et «logisk neste steg», til tilfeller hvor det kun er en «delvis eller ikke-eksisterende» sammenheng med det opprinnelige formålet. Vurderingen tar utgangspunkt i de faktiske omstendighetene og hvordan et gitt formål «i alminnelighet oppfattes».

Den behandlingsansvarlige skal også vurdere «personopplysningenes art, især om særlige kategorier av personopplysninger «…eller om personopplysninger om straffedommer og lovovertredelser behandles», «de mulige konsekvensene av den tiltenkte viderebehandlingen for de registrerte» og «om det foreligger nødvendige garantier, som kan omfatte kryptering eller pseudonymisering». Forenlighets­vurderingen eller kompatabilitets­testen som den også kalles, er med andre ord svært omfattende. Hvis det nye formålet består denne testen, betyr det at formålet er forenlig.

Det er en omfattende vurdering den behandlingsansvarlige må gjennomføre og spørsmålet er hva som er gevinsten: er det begrenset til at personopplysningene ikke må samles inn på nytt dersom det foreligger et behandlingsgrunnlag for den nye behandlingen, eller innebærer det faktum at kompatibilitetstesten er bestått at også lovlighetskravet er oppfylt?

3. Alternativ 1: personopplysninger kan for forenlige formål viderebehandles med hjemmel i det opprinnelige behandlingsgrunnlaget

Det følger som nevnt av personvernforordningen artikkel 5 nr. 1 bokstav b) at personopplysninger kun skal «…samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene». Forenlighetsvurderingen er i dag nedfelt i artikkel 6 nr. 4 som angir at den behandlingsansvarlige må vurdere det nye formålet opp imot en rekke momenter oppstilt i bestemmelsen for å kunne fastslå om formålet er forenlig.

Dersom den behandlingsansvarlige etter gjennomføringen av denne vurderingen kommer til at det nye formålet er forenlig, er det relevante spørsmålet i denne sammenheng, om behandling til det nye formålet også er lovlig.

Det er verdt å merke seg at ulovlige eller usaklige formål aldri vil bestå forenlighetsvurderingen. Artikkel 6 nr. 4 angir imidlertid at også uforenlige formål kan gjennomføres forutsatt at de dekkes av et nytt samtykke eller at de har hjemmel i lov. Uforenlighet er med andre ord ikke det samme som et ulovlig eller usaklig formål. Det kan med dette anføres at det i personvernforordningen ikke er et totalt forbud mot uforenlige formål. Fordi bruk til slike formål avviker så mye fra det den behandlingsansvarlige opprinnelige hadde i tankene kan det imidlertid bare gjennomføres hvis innhentes et nytt samtykke eller i noen tilfeller at det foreligger hjemmel i lov.

Forenlighetsvurderingen er dessuten nedfelt i artikkel 6 som nettopp regulerer behandlingens lovlighet. En naturlig forståelse kan derfor være at når nytt formål består forenlighetsvurderingen (kompatabilitetstesten), vil dette samtidig innebære at lovlighetskravet er oppfylt. Dette fordi det nye formålet er så nært knyttet til det opprinnelige at det vil fremstå urimelig at den behandlingsansvarlige ikke skal kunne gjennomføre også behandling til dette formålet med utgangspunkt i det opprinnelige behandlingsgrunnlaget. Dette synet har også støtte i rettspraksis fra EU-domstolen, se for eksempel sak C-77/21.

Denne saken gjaldt en ungarsk leverandør av internett og TV, som brukte personopplysninger fra kundene til å tilby sine tjenester og samtidig lagret disse personopplysningene internt på en annen server med det formål å drive feilretting og sørge for tilgjengelighet til tjenesten. I denne saken viser domstolen til Generaladvokatens uttalelse i saken(6)Opinion of Advocate General Pikamäe (31.03.22). som uttaler følgende om forbindelsen mellom lovlighetsprinsippet og formålsbegrensning:

Article 5(1)(b) of the GDPR does not contain any indication as to the conditions under which further processing for a purpose different from that of the initial collection of the data may be regarded as being compatible with the latter. Reference must be had, in that regard, to Article 6(4) of the GDPR, read in conjunction with recital 50 thereof, the content of which reflects a link between the principle of purpose limitation and the legal basis for the processing concerned.(7)Ibid, avsnitt 54.

Ifølge Skullerud m.fl. vil testen bidra til å avgjøre hvilke behandlingsoperasjoner som kan sies å falle inn under behandlingsformålet den behandlingsansvarlige opprinnelig fastsatte.(8)Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6. Behandlingens lovlighet, Juridika (kopiert 14. november 2023) Dersom den nye behandlingen, eller behandlingsoperasjonen omfattes av det opprinnelige formålet, fremstår det også naturlig å legge til grunn at denne viderebehandlingen kan skje på grunnlag av det opprinnelige behandlingsgrunnlaget.

4. Alternativ 2: Forholdet mellom lovlighets- og formålsprinsippet tilsier at også behandling av personopplysninger til forenlige formål krever et eget behandlingsgrunnlag

Datatilsynet viser til at formåls- og lovlighetsprinsippet er to ulike prinsipper, som i utgangspunktet må holdes adskilt, til tross for at det er et nært forhold mellom dem.

En behandling er definert i artikkel 4 nr. 2 som:

(…) enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring

Definisjonen er veldig omfattende, og vil inkludere det meste man gjør med personopplysninger. For ett og samme formål er det derfor i utgangspunktet mulig å gjennomføre flere behandlinger av personopplysninger. Som et utgangspunkt skal enhver behandling av personopplysninger – til tross for at de er utført for samme formål – forankres i artikkel 6 nr. 1.

Det fremgår av Datatilsynets vedtak rettet mot NIF at vurderingen etter artikkel 6 nr. 4 som gjennomgått foran er en vurdering av om det nye formålet er forenlig, og dermed om hvorvidt den behandlingsansvarlige overholder prinsippet om formålsbegrensning i artikkel 5. Artikkel 6 nr. 1 knytter seg derimot til lovlighetsprinsippet og fordrer en vurdering av om de ulike behandlingsaktivitetene (som kan være utført for samme formål) har et behandlingsgrunnlag. Å forstå forenlighetsvurderingen i artikkel 6 nr. 4 som et unntak fra behovet for å vise at en behandling har et behandlingsgrunnlag blir derfor en blanding av to ulike prinsipper og vurderinger.

Imidlertid må dette nyanseres noe i lys av at definisjonen av en «behandling», og hvordan det er mulig å gruppere flere tilsynelatende selvstendige behandlingsaktiviteter sammen og betrakte dem til å være én enkelt behandling. En slik forståelse kan forankres i definisjonen av hva en «behandling» er, ettersom det vises til at én behandling kan bestå av en «(…) rekke av operasjoner som gjøres med personopplysninger (…)».

Skullerud mfl. (2019) viser som nevnt at flere operasjoner utført for samme formål kan anses til å være en enkelt behandling.(9)Åste Marie Bergseng Skullerud mfl., Personopplysningsloven og personvernforordningen (GDPR). Kommentarutgave, Universitetsforlaget, 2019 s. 153 til 154 En slik forståelse kan være nyttig i praksis, ved at dette medfører at det ikke er nødvendig å, for eksempel, foreta en dokumentert vurdering hver eneste gang en virksomhet utfører flere behandlingsoperasjoner som har et nært, og tilnærmet sammenhengende, forhold. I et slikt tilfelle vil en samlet, dokumentert, vurdering av flere nærstående operasjoner kunne utføres samlet. Skullerud mfl. skriver videre hvordan det å knytte behandlingsbegrepet til formålet har en lang tradisjon etter personopplysningsloven av 2000.

Til tross for en nær relasjon mellom formålet til en behandling og definisjonen av en «behandling» foretar Høyesterett et klart skille mellom de to i den såkalte «avfallservice»-dommen (Rt-2013-143). I denne avgjørelsen vurderer Høyesterett forholdet mellom kravet til at behandlingen må være lovlig, og det at behandlingen av personopplysninger må være for et forenlig formål. Høyesterett konkluderer med at dette er to ulike spørsmål, og at begge må være oppfylt; behandlingen må være for et forenlig formål, og behandlingen som sådan må ha et behandlingsgrunnlag. Som ledd i denne begrunnelsen bemerker høyesterett hvordan forenlighetsvurderingen knytter seg til:

(…) et formålsprinsipp – også omtalt som finalité-prinsippet – som innebærer at innsamling av opplysninger skal skje til uttrykkelig angitte og saklige formål, og at senere behandling ikke må være uforenlig med disse formål

Følgelig er også Høyesterett tydelige på at dette er to ulike aspekter ved personopplysningsregelverket. Dette til tross for at forholdet mellom formålet til en behandling og definisjonen til hva en behandling har nær sammenheng. Personvernrådets (EDPB) forløper Artikkel 29-gruppen har tidligere kommet med uttalelser som støtter denne tolkningen(10)Se Opinion on the purpose limitation principle (WP 203), https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf

5. Tar Datatilsynet feil?

5.1 Fortalepunkt 50)

Fortalen til personvernforordningen er ikke bindende, men den er likevel en kilde som det bør tas hensyn til der bestemmelsene skaper usikkerhet og åpner opp for flere tolkningsalternativer. Dette er også i tråd med EU-domstolens rettspraksis(11)Se for eksempel EU-domstolens avgjørelse C-582/14 Breyer, avsnitt 42 flg. .

Datatilsynet ser imidlertid bort fra ordlyden i foretalepunkt 50 i sitt vedtak overfor NIF.

Det er visse holdepunkter for at fortalepunkt 50 ikke bør tillegges så stor vekt som en fortale vanligvis får. Bakgrunnen for dette er muligheten for at denne uttalelsen «henger igjen» fra et eldre utkast til personvernforordningen.(12)Se tabellen på side 43 i WP204, der Artikkel 29-gruppen kommer med anbefalinger om å stryke den foreslåtte ordlyden i GDPR artikkel 6 nr. 4. Et opprinnelig utkast av forordningen beskrev et meget bredt handlingsrom for nye behandlinger utført for nye formål, herunder at det skulle være mulig å behandle personopplysninger for nye formål såfremt de skulle utføres for en berettiget interesse. Dette skulle til og med inkludere uforenlige formål. Med en slik ordlyd fremstår det naturlig at den behandlingsansvarlige ikke skal trenge å foreta en ny vurdering etter artikkel 6 nr. 1. Denne ordlyden ble endret etter press fra, blant annet, Artikkel-29 gruppen.(13)Press release on Chapter II of the draft regulation for the March JHA Council. Link: 20150317__wp29_press_release_on_on_chapter_ii_of_the_draft_regulation_for_the_march_jha_council.pdf (europa.eu)

Artikkel 29-gruppen gir i denne anledning for øvrig en uttalelse som er egnet til å underbygge synet vårt, beskrevet i punkt 2.1 ovenfor. Artikkel 29-gruppen, i presseuttalelsen, kritiserer utkastet på, blant annet, følgende vis: «Such an approach, which conflates the notions of legal basis and further processing for compatible purpose (…)».

Det kan samtidig være at artikkel 6 nr. 4 ble justert på bakgrunn av disse innspillene, men ikke slik at artikkel 29-gruppens ståsted ivaretatt fullt ut. Det er for eksempel tydelig ut ifra ordlyden til artikkel 6 nr. 4 at uforenlige formål krever samtykke og lovhjemmel. Vi ser dessuten at EU i dag, med Kommisjonen som toneanførende part, fremhever verdien av data som sådan og i stor grad foreslår lovgivning som legger til rette for gjenbruk av data. Ved å beholde artikkel 6 nr. 4 som en del av artikkelen som regulerer lovlighet, og fortalepunkt 50 i dagens format, åpnet man for at gjenbruk for forenlige formål skulle være mulig.

EU-domstolen har imidlertid brukt fortalepunkt 50 som kilde ved tolkning av artikkel 6 nr. 4 ved flere anledninger, og har ikke oppstilt nytt grunnlag etter artikkel 6 nr. 1 som kriterium. Tvert om har EU-domstolen lagt vekt på forbindelsen mellom prinsippene om formålsbegrensning og lovlighetsprinsippet.(14)Se for eksempel sakene C-77/21 og C-175/20 der domstolen kun oppstiller artikkel 6 nr. 4 som kriterium for viderebehandling av personopplysninger og peker på den indre sammenhengen mellom formål og lovlighet.

5.2 Konsekvenser for den registrerte?

Konsekvensbetraktninger kan tale for å legge til grunn Datatilsynets syn.

Dersom en legger til grunn forståelsen i fortalen vil dette kunne medføre at det blir en større anledning til å foreta behandlinger for nye (forenlige) formål enn for det opprinnelige formålet. Dette fremstår ikke til å være i tråd med systemet til personvernforordningen. Personvernforordningen er strukturert ut fra en tanke om åpenhet og transparens ovenfor de registrerte. De registeret skal på tidspunktet for innsamlingen (dersom innsamlingen foretas direkte fra den registrerte) få informasjon om, blant annet, formålet med innsamlingen. Informasjonen som gis fra den behandlingsansvarlige vil typisk være essensiell for dens registrertes vurdering av, for eksempel, om en avtale skal inngås eller om et samtykke skal gis. Ved å kreve at behandlingene for nye formål skaloppfylle både artikkel 6 nr. 1 og artikkel 6 nr. 4, sørger man for at handlingsrommet blir mindre for behandlinger for nye formål.

I tillegg er det grunnlag for å vurdere hvilken betydning dette får for offentlige virksomheter som utøver offentlig myndighet. Det fremgår av artikkel 6 at offentlige myndigheter ikke skal ha muligheten til å benytte artikkel 6 nr. 1 bokstav f når de utfører sine oppgaver. Bakgrunnen for dette er at disse bør kunne basere seg på lovhjemmel. Imidlertid vil artikkel 6 nr. 4 være tilgjengelig for dem. Dette vil kunne føre til en utglidning der offentlige myndigheter konkluderer – etter en konkret skjønnsmessig vurdering – til at nye behandlingsaktiviteter for nye formål er akseptable, uten å vurdere artikkel 6 nr. 1 c eller e. I verste fall kan dette undergrave kravet om et supplerende rettsgrunnlag.

Samtidig vil det følge av artikkel 13 sammenholdt med artikkel 14 at den behandlingsansvarlige må informere de registrerte om det nye formålet. Den registrerte vil da kunne benytte sin rett til å protestere etter artikkel 21. Denne gjelder også for behandlinger hjemlet i artikkel 6 nr. 1 bokstav e) som

5.3 Enkelte formål er alltid forenlige

Det fremgår tydelig av artikkel 5 nr. 1 bokstav b) at enkelte formål som statistikk, arkivering, historisk eller vitenskapelig forskning alltid vil være forenlig. Det er imidlertid ikke bredt anført at denne type behandlinger skal skje uten at det foreligger et eget behandlingsgrunnlag. I norsk rett har vi dessuten fått på plass supplerende behandlingsgrunnlag for disse formålene i personopplysningsloven § 8 og § 9, hvilket kan tyde på at Stortinget er av den oppfatning at det er nødvendig med et selvstendig behandlingsgrunnlag.

6. Avsluttende betraktninger

Datatilsynets forståelse, til tross for å være i strid med fortalepunkt 50, sørger for at skillet mellom formålsprinsippet og lovlighetsprinsippet ivaretas. Videre vil standpunktet sikre at den behandlingsansvarlige ikke i realiteten ender opp med å få et bredere handlingsrom for behandlingsaktiviteter som er forankret i behandlinger for nye forenlige formål enn for de opprinnelige formålet.

Er det inkonsistens mellom personvernforordningens bestemmelser eller er det slik at Datatilsynet (og EDPB) ikke har tatt inn over seg lovgivers hensikt med artikkel 6 nr. 4)?

Men hva tilfører egentlig artikkel 6 nr. 4 tilfører dersom også forenlige formål der ny behandling ikke er dekket i et nytt samtykke eller et eget supplerende rettsgrunnlag, må ha et selvstendig behandlingsgrunnlag? Artikkel 6 nr. 4 fremstår å være tilnærmet uten verdi dersom det uavhengig av om formålet er uforenlig eller forenlig må foreligge et selvstendig behandlingsgrunnlag. Dette følger jo allerede av artikkel 5 nr. 1 bokstav a). En tolkning som sier at nr. 4 i artikkel 6 med overskriften Behandlingens lovlighet ikke betyr noe som helst, fremstår svært innskrenkende. EU-domstolen har som vi allerede har nevnt dessuten i sin rettspraksis ikke oppstilt nytt behandlingsgrunnlag som et tilleggskriterium ved viderebehandling.

Er det inkonsistens mellom personvernforordningens bestemmelser eller er det slik at Datatilsynet (og EDPB) ikke har tatt inn over seg lovgivers hensikt med artikkel 6 nr. 4)?

Noter

  1. Se sandkasserapportene fra eksempelvis prosjektene Ruter, NAV og KS.
  2. Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188
  3. https://www.bakermckenzie.com/-/media/files/insight/publications/2018/10/compatibility_mechanism_responsible_further_personal_data_proessing.pdf?la=en og Compatibility of purposes for further processing of personal data: hit the bull’s eye in darts or hit the ball in a rugby gate? - Lexology og Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6 nr. 4, Behandlingens lovlighet, Juridika
  4. DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data
  5. EDPB har ikke offisielt tilsluttet seg WP 203 fra artikkel 29-gruppen, men har vist til den i en rekke av sine retningslinjer. Etter vår oppfatning har EDBP vist til den i så mange tilfeller at store deler av innholdet fortsatt må anses å være av relevans, særlig for gjelder forståelsen av hva den behandlingsansvarlige må ta stilling som ledd i forenlighetsvurderingen.
  6. Opinion of Advocate General Pikamäe (31.03.22).
  7. Ibid, avsnitt 54.
  8. Åste Marie Bergseng Skullerud mfl., Personvernforordningen. Lovkommentar, Artikkel 6. Behandlingens lovlighet, Juridika (kopiert 14. november 2023)
  9. Åste Marie Bergseng Skullerud mfl., Personopplysningsloven og personvernforordningen (GDPR). Kommentarutgave, Universitetsforlaget, 2019 s. 153 til 154
  10. Se Opinion on the purpose limitation principle (WP 203), https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
  11. Se for eksempel EU-domstolens avgjørelse C-582/14 Breyer, avsnitt 42 flg.
  12. Se tabellen på side 43 i WP204, der Artikkel 29-gruppen kommer med anbefalinger om å stryke den foreslåtte ordlyden i GDPR artikkel 6 nr. 4.
  13. Press release on Chapter II of the draft regulation for the March JHA Council. Link: 20150317__wp29_press_release_on_on_chapter_ii_of_the_draft_regulation_for_the_march_jha_council.pdf (europa.eu)
  14. Se for eksempel sakene C-77/21 og C-175/20 der domstolen kun oppstiller artikkel 6 nr. 4 som kriterium for viderebehandling av personopplysninger og peker på den indre sammenhengen mellom formål og lovlighet.
Ole Martin Moe
Ole Moe, portrett
Hanne Pernille Gulbrandsen
Hanne Gulbrandsen, portrett