Ny avgjørelse om personopplysningsbegrepet
Definisjonen av personopplysninger
Det mest grunnleggende spørsmålet innenfor personvernfaget er hva som utgjør en personopplysning. At vi har å gjøre med personopplysninger er selve forutsetningen for at personopplysningsregelverket skal komme til anvendelse. Mange vil nok tenke at det ikke kan herske særlig tvil om hva som ligger i dette begrepet, når det tross alt er så grunnleggende og avgjørende. Hva slags opplysninger som utgjør personopplysninger kan imidlertid bli ganske komplisert i noen tilfeller.
Personopplysningsbegrepet er definert i GDPR artikkel 4 nr. 1 som enhver opplysning om en identifisert eller identifiserbar fysisk person. Definisjonen består av fire komponenter:
Informasjon/opplysninger
om/relatert til
en identifisert eller identifiserbar
fysisk person
Et særlig omtvistet spørsmål er hva det innebærer at noen er identifiserbar (nr. 3), da særlig hvilket perspektiv vurderingen skal foretas fra (enten absolutt eller relativ tilnærming).
En absolutt tilnærming til begrepet har grunnlag i fortalepunkt 26:
«Når det skal fastslås om en fysisk person er identifiserbar, bør det tas hensyn til alle midler som det med rimelighet kan tenkes at den behandlingsansvarlige eller en annen person kan ta i bruk for å identifisere vedkommende direkte eller indirekte»
Vurderingen er altså om en person er identifiserbar for noen, ikke nødvendigvis om personen er identifiserbar for deg. Med en relativ tilnærming må du derimot vurdere om du har de nødvendige forutsetningene til å identifisere personen på bakgrunn av datasettet (sammen med eventuell tilleggsinfo som det innenfor rimelighetens grenser er mulig å få tak i).
Vi har skrevet nærmere om denne sondringen i en tidligere utgave av Lov&Data (Lov&Data nr. 154 – hefte 2/2023på side 36 mv.), hvor vi skrev at den relative tilnærmingen til personopplysningsbegrepet langt på vei var bekreftet i en avgjørelse fra EGC (European General Court, en underrettsinstants i EUs domstolshierarki). Saken er imidlertid anket og avgjørelsen er derfor ikke rettskraftig.
I mellomtiden, mens vi venter på avklaring i den saken, har det kommet en annen avgjørelse som kanskje kan si noe om sondringen mellom den relative og absolutte tilnærmingen til personopplysninger. Dette er sak C-319/22 som handler om hvorvidt VIN-nummeret til en bil er en personopplysning.
Sak C-319/22: Er VIN-nummeret til bilen din en personopplysning?
I Sak C-319/22 ble spørsmålet stilt om «VIN number» (vehicle Identification Number) er en personopplysning (på norsk er dette noen ganger omtalt som understellsnummer). EU-domstolen gjentar hva de har lagt til grunn i tidligere avgjørelser. De skriver at VIN-nummer i seg selv ikke er en personopplysning, men kan bli ansett til å være en personopplysning dersom noen, med rimelige midler, kan knytte det til en person. Videre overlater EU-domstolen, ikke overraskende, det til den nasjonale domstolen å vurdere om man kan identifisere enkelt personer på bakgrunn av VIN-nummeret til en bil; i Norge må svaret på dette åpenbart være ja, siden VIN-nummeret kan brukes til å søke opp eier av bilen via statens vegvesen.
Siden EU-domstolen sier at det avgjørende er om noen kan identifisere personer på bakgrunn av VIN-nummeret, ser det ved første øyekast ut som at EU-domstolen legger til grunn en absolutt forståelse av begrepet. Imidlertid skaper den etterfølgende begrunnelsen usikkerhet.
I sin nærmere begrunnelse skriver EU-domstolen at det er personopplysninger såfremt den som har tilgang til VIN-nummeret: «may have means enabling him to use it to identify the owner of the vehicle to which it relates(…)».Selve subsumsjonen bærer derfor preg av en relativ tilnærming til begrepet, siden det avgjørende tilsynelatende er om den konkrete aktøren har de nødvendige forutsetningene for å identifisere personen – ikke om noen har denne muligheten.
Konklusjonen er nok derfor at spørsmålet ikke er helt avklart, iallfall ikke enda.