Lov&Data

1/2024: Artikler
26/03/2024

Hvordan skille mellom en protest, en slettebegjæring og en klage etter GDPR?

Av Ingrid Hestnes, jurist, Bergen kommune og Ida Thorsrud, jurist og prosjektleder for den nasjonale Google-DPIA (KS)

Illustrasjon: Colourbox.com

Retten til å protestere er en rettighet som vi opplever mange behandlingsansvarlige synes er vanskelig. Utfordringen ligger blant annet i at en protest kan få veldig mange utfall, og de sammenfaller delvis med klage og slettebegjæring. Det er vår erfaring at de registrerte i liten grad har et bevisst forhold til om de bruker retten til å protestere eller om de spør om sletting. Det stiller krav til at den behandlingsansvarlige må se kunne forskjellen. I denne artikkelen vil vi redegjøre for hvordan en behandlingsansvarlig skal kunne skille en protest fra en slettebegjæring eller en klage.

Problemstilling: Hvordan kan en behandlingsansvarlig skille en henvendelse om en protest fra en slettebegjæring eller en generell klage på GDPR?

Innledning

Retten til å protestere er en personvernforpliktelse som mange behandlingsansvarlige sliter med. Dette kan være fordi den har en annen ordlyd i GDPR enn det som var tilfellet etter personverndirektivet. Men kanskje først og fremst tror vi det er knyttet til at dette er en rettighet som den registrerte kan påberope seg selv om behandlingen er lovlig. Dette betyr at behandlingsansvarlig kan ha å gjøre med en lovlig behandling hvor man etterlever alle krav til personvern i GDPR, og likevel vil behandlingsansvarlig måtte etterkomme en protest.

I det så ligger det at videre behandling av den registrertes personopplysninger faktisk blir ulovlig dersom vilkårene for at protesten skal tas til følge er oppfylt. Behandlingen går med andre ord fra å ha vært lovlig, til å ikke lenger være lovlig overfor den registrerte som faktisk har protestert.

Resultatet av en protest betyr at behandlingsansvarlig kan være forpliktet til å slette personopplysningene til den ene personen som protesterte på behandlingen, mens de kan fortsette å behandle andre registrertes personopplysninger.

I denne artikkelen vil vi redegjøre for retten til å protestere og vise hvordan den behandlingsansvarlige kan skille en henvendelse om protest etter GDPR artikkel 21(1) fra en slettebegjæring eller en generell klage.

Det er ikke noen formkrav på hvordan en protest skal legges frem. Det å påberope seg retten til å protestere fordrer at den registrerte kjenner til retten. Det er vår erfaring at dette er en av de minst kjente personvernrettighetene, og at det derfor er større sannsynlighet for at de registrerte vil be om sletting, generelt klage på en behandling eller stille spørsmål til behandlingen, heller enn at de vil påberope seg retten til å protestere. Dette stiller større krav til den behandlingsansvarlige som må tolke hvorvidt en henvendelse er en protest eller ikke.

I denne artikkelen vil vi redegjøre for retten til å protestere og vise hvordan den behandlingsansvarlige kan skille en henvendelse om protest etter GDPR artikkel 21(1) fra en slettebegjæring eller en generell klage.

Vi avgrenser denne artikkelen mot retten til å protestere etter GDPR artikkel 21(2), det vil si om retten til å protestere på direkte markedsføring.

Utgangspunkter for retten til å protestere

GDPR artikkel 21 inneholder en rett til å protestere som er todelt. Det er både en generell rett til å protestere på enhver behandling i GDPR artikkel 21(1), og en mer absolutt rett til å protestere på direkte markedsføring i GDPR artikkel 21(2). Denne artikkelen tar for seg den generelle retten til å protestere i GDPR artikkel 21(1).

1. Behandlingen må være lovlig

Den registrerte har bare rett til å protestere på generelle behandlinger når behandlingsgrunnlaget er GDPR artikkel 6(1) bokstav e) eller f).(1)Dette i motsetning til retten til å protestere på direkte markedsføring, jf. artikkel 21(2), der har man alltid en rett til å protestere, uavhengig av behandlingsgrunnlag.

Noe av det som gjør retten til å protestere så vanskelig, er at den gjelder når behandlingen er lovlig. Den behandlingsansvarlige har lov til å behandle personopplysningene fordi man har et behandlingsgrunnlag. Likevel har den registrerte rett til å protestere på behandlingen, og få gjennomslag for det på visse vilkår.

Noe av det som gjør retten til å protestere så vanskelig, er at den gjelder når behandlingen er lovlig.

Det gjør at det første spørsmålet som man kan stille for å vurdere om en henvendelse fra en registrert er en protest, eller ikke, er om den gjelder en behandling som er lovlig.

Hvis henvendelsen er en påstand om at behandlingen ikke er lovlig, for eksempel at den behandlingsansvarlige har brutt krav til personvern i GDPR, taler det for at henvendelsen ikke er en protest. Det kan heller være snakk om en klage på behandlingen, en slettebegjæring eller kanskje til og med et varsel om et avvik.

2. En protest gjelder personlige forhold på den registrertes side

Retten til å protestere i GDPR artikkel 21(1) er ikke absolutt. Det er en rettighet som bare gjelder hvis den registrerte kan peke på «grunner knyttet til vedkommendes særlige situasjon». Det må altså foreligge individuelle forhold hos den registrerte som tilsier at behandlingen skal stoppes for den personen som har protestert.

I denne artikkelen går vi ikke inn på hvilke krav som kan settes til en individuell begrunnelse for at den registrerte skal få gjennomslag for protesten. Det vil uansett være vanskelig å gi en generell beskrivelse av hvilke individuelle hensyn som vil være nok for å få gjennomslag. Vi nøyer oss med å påpeke at den registrerte må kunne vise til sin egen særlige situasjon. Om denne særlige situasjonen er nok, vil bero på en konkret helhetsvurdering. I helhetsvurderingen vil det være relevant å se på hvor belastende behandlingen er for den registrerte. Dette gjelder særlig der behandlingsgrunnlaget er GDPR artikkel 6(1) bokstav e) – jo mer belastende behandlingen er for den registrerte, desto mer vil det tale for at protesten vil måtte tas til følge.

En protest vil ikke få gjennomslag hvis den bare inneholder argumenter som generelt taler for at en behandling skal stoppe. Dette betyr at en protest som viser til at digitalisering generelt er uønsket, uten å vise til andre, mer personlige grunner hos den registrerte som gjør at akkurat denne registrertes personopplysninger ikke bør behandles på denne måten, ikke vil være en protest etter GDPR artikkel 21(1). En slik mer generell henvendelse, er mest sannsynlig en klage, og trenger ikke behandles som en protest.

Det andre spørsmålet man kan stille for å svare på om en henvendelse er en protest, er derfor om innsigelsen gjelder personlige forhold hos den registrerte. Den registrerte må kunne vise til sider ved seg selv eller eget liv som gjør at behandlingen av deres personopplysninger bør stanses.

Hvordan kan vi visualisere saksgangen?

Dette er et flytdiagram hvor vi har forsøkt å tydeliggjøre gangen i en protest fra en henvendelse mottas til den er ferdig behandlet. Som figuren viser, kan en protest få flere utfall, også andre utfall enn den en protest isolert vil kunne ha.

Vår tese er at retten til å protestere er vanskelig for den behandlingsansvarlige å forholde seg til nettopp fordi den kan få mange ulike utfall. Imidlertid vil det å svare på følgende spørsmål hjelpe den behandlingsansvarlige til å identifisere om en henvendelse er en protest:

  1. Er behandlingen lovlig?

  2. Gjelder henvendelsen personlige forhold eller individuelle hensyn på den registrertes side?

Hvordan en slettebegjæring skiller seg fra en protest

Retten til sletting er regulert i GDPR artikkel 17. Bestemmelsen fastsetter i punkt 1 at den registrerte skal ha «rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige uten ugrunnet opphold», og at den behandlingsansvarlige plikter å «slette personopplysninger uten ugrunnet opphold» dersom det foreligger et tilfelle som nevnt i bestemmelsens punkt 1 bokstav (a)–(f).

Det følger implisitt av bestemmelsen at den behandlingsansvarlige sin plikt til å slette personopplysninger først blir utløst når den registrerte gjør bruk av sin rett til å kreve sletting etter artikkel 17. I denne artikkelen avgrenser vi mot sletting som den behandlingsansvarlige er pliktig å gjennomføre på eget initiativ for å oppfylle prinsippet om lagringsbegrensning i artikkel 5(1) bokstav e). Dette er en forpliktelse som den behandlingsansvarlige har helt uavhengig av om den registrerte har krevd sletting. Vår artikkel tar for seg den behandlingsansvarlige sin plikt til å håndtere en slettebegjæring fra den registrerte.

Det kan være vanskelig for den behandlingsansvarlige å skille en slettebegjæring fra en protest, fordi resultatet av begge henvendelsene kan bli det samme, nemlig at personopplysningene skal slettes. Dette følger av GDPR artikkel 17(1) bokstav c), som sier at den registrerte kan kreve sletting når «den registrerte protesterer mot behandlingen i henhold til artikkel 21(1), og det ikke finnes mer tungtveiende berettigede grunner til behandlingen». Den behandlingsansvarlige må da slette de personopplysningene som den registrerte har protestert mot at blir behandlet, med mindre et av unntakene i artikkel 17(3) gjør seg gjeldende.

Det er likevel noen forskjeller som kan hjelpe behandlingsansvarlig å skille en protest fra en slettebegjæring. For det første knytter en protest etter artikkel 21(1) seg mot den behandlingen som den behandlingsansvarlige gjør med personopplysninger om den registrerte. Den registrerte må altså vise til grunner for at den behandlingsansvarlige skal stoppe en «operasjon eller rekke av operasjoner som gjøres med personopplysninger» om vedkommende, jf. GDPR artikkel 4(2). En slettebegjæring knytter seg derimot til hvilke personopplysninger som den behandlingsansvarlige behandler om den registrerte. Med andre ord har det ikke betydning hvordan den behandlingsansvarlige konkret behandler personopplysningene, så lenge sletting av personopplysningene kan begrunnes i et av forholdene som nevnt i artikkel 17(1).

Det kan være vanskelig for den behandlingsansvarlige å skille en slettebegjæring fra en protest, fordi resultatet av begge henvendelsene kan bli det samme, nemlig at personopplysningene skal slettes.

For det andre følger det av artikkel 21(1) at den registrerte «til enhver tid» skal ha rett til å protestere mot behandlingen av personopplysninger om vedkommende. Det betyr at retten til å protestere ikke er begrenset til bestemte forhold som den registrerte må kunne påberope seg som en grunn for å stoppe behandlingen av personopplysninger, så lenge det knytter seg til den registrerte sin «særlige situasjon». Den registrerte sin rett til å kreve sletting av sine personopplysninger gjelder derimot bare dersom «et av de følgende forhold [som nevnt i bokstav (a)–(h)] gjør seg gjeldende». Retten til å protestere kan derfor sies å strekke seg lenger enn retten til å kreve sletting, ettersom den registrerte står fritt i begrunnelsen av sin «særlige sitasjon».(2) Se tilsvarende EDPB, Guidelines 5/2019 on the criteria of the Right to be Forgotten in the search engines cases under the GDPR - part 1(07.07.2020), side 8. Samtidig har den registrerte rett til å kreve sletting uavhengig av behandlingsgrunnlag, og uavhengig av forhold knyttet til den registrerte sin situasjon.

For det tredje forutsetter retten til å protestere i artikkel 21(1) at den behandlingsansvarlige har et gyldig behandlingsgrunnlag i artikkel 6(1) bokstav e) eller f). En slettebegjæring forutsetter derimot at det ikke er «nødvendig» for den behandlingsansvarlige å behandle personopplysningene, og den behandlingsansvarlige kan dermed heller ikke sies å ha et gyldig behandlingsgrunnlag for den videre behandlingen av personopplysningene, jf. GDPR artikkel 5(1) bokstav c).

I korte trekk kan man altså skille en slettebegjæring fra en protest ved å stille følgende spørsmål:

  1. Er den registrerte sin innsigelse knyttet til hvordan den behandlingsansvarlige behandler personopplysninger, i motsetning til hvilke personopplysninger den behandlingsansvarlige behandler?

  2. Gjør den registrerte gjeldende forhold som knytter seg til individuelle forhold som skiller vedkommende fra andre registrerte?

  3. Har den behandlingsansvarlige et gyldig behandlingsgrunnlag i artikkel 6(1) bokstav e) eller f) for å behandle personopplysninger om andre registrerte?

Dersom spørsmålene ovenfor kan svares bekreftende tilsier dette at den registrerte har protestert mot behandlingen, jf. artikkel 21(1).

Hvordan en klage på en behandling av personopplysninger skiller seg fra en protest

Reglene om klage er regulert i kapittel VIII i GDPR. Artikkel 77 fastsetter at den registrerte skal ha mulighet til å kunne klage til en tilsynsmyndighet dersom man mener at det foreligger et brudd på reglene om behandling av personopplysninger i GDPR. Det er Datatilsynet som er tilsynsmyndighet for overholdelsen av personvernregelverket i Norge, jf. personopplysningsloven § 20.

En klage til Datatil­synet skiller seg fra en protest på en behandling ved at det er et påstått brudd på reglene i GDPR.

En klage til Datatilsynet skiller seg fra en protest på en behandling ved at det er et påstått brudd på reglene i GDPR. Som allerede beskrevet, er det en forutsetning at en behandling som en helhet er lovlig for at den behandlingsansvarlige skal vurdere å stoppe behandlingen overfor den registrerte på grunn av vedkommende sin «særlige situasjon». Den behandlingsansvarlige kan altså fortsette behandlingen som den registrerte har protestert mot overfor andre registrerte med behandlingsgrunnlag i artikkel 6(1) bokstav e) eller f).

Dersom den registrerte sin innsigelse mot den behandlingsansvarlige sin behandling avdekker at den behandlingsansvarlige ikke har gyldig behandlingsgrunnlag i bokstav e) eller f), må derimot innsigelsen oppfattes som en klage på behandlingen. Den registrerte kan med andre ord klage direkte til Datatilsynet, mens en protest mot en behandling i første rekke må vurderes av den behandlingsansvarlige selv.

Oppsummert kan man altså si at en protest etter artikkel 21(1) må vurderes ut i fra individuelle forhold, mens en klage skal vurdere den generelle lovligheten av en behandling.

Konklusjon

I denne artikkelen har vi vist at en henvendelse er en protest hvis de to følgende spørsmålene kan svares bekreftende:

  1. Er behandlingen lovlig?

  2. Gjelder innsigelsen personlige forhold på den registrertes side?

Vi understreker at hvorvidt en registrert skal få gjennomslag for en protest, er en interesseavveining som vi ikke har gått nærmere inn på i denne artikkelen.

Det som skiller en protest fra en generell klage, er det siste spørsmålet. En generell klage på at behandlingsansvarlig ikke overholder krav til personvern i GDPR generelt, vil ikke beskrive den registrertes særlige situasjon. En klage vil i all hovedsak gjelde lovligheten av behandlingen eller andre påstander om brudd på GDPR. En protest er skiller seg fra en klage i den forstand at den ikke anfører at behandlingen er ulovlig. Det er den registrertes unike situasjon som gjør at protesten må tas i betraktning.

I denne artikkelen har vi også vist at retten til å protestere er utfordrende fordi den kan få mange forskjellig utfall.

En slettebegjæring kan både komme sammen med en protest, eller som en egen henvendelse med påstand om sletting fordi behandlingen er ulovlig. Dette for eksempel ved at behandlingsgrunnlaget ikke lenger er gyldig, eller at formålet med behandlinger allerede er oppfylt og at det ikke lenger er nødvendig å behandle personopplysningene (de skal slettes). En slettebegjæring skiller seg først og fremst fra en protest ved at den også forutsetter at behandlingen er ulovlig, eller nærmere bestemt, at man ikke lenger har et behandlingsgrunnlag.

I denne artikkelen har vi også vist at retten til å protestere er utfordrende fordi den kan få mange forskjellig utfall. Det vanligste er at en protest – når den blir tatt til følge – fører til at behandlingen stoppes og at personopplysningene om den registrerte som har protestert blir slettet. Men en protest kan også avsløre personvernrisikoer behandlingsansvarlig ikke opprinnelig hadde tatt stilling til eller svakheter ved behandlingen. Retten til å protestere vil kunne føre til at den behandlingsansvarlige oppdager at det må gjøres generelle endringer i hvordan behandlingsansvarlig behandler personopplysninger, selv om den opprinnelige henvendelsen gjaldt et individuelt forhold.

Det vil kunne gjøre at den behandlingsansvarlige må iverksette generelle tiltak for å redusere personvernrisiko eller endre internkontrollsystemet sitt. Dette er resultater som også en generell klage på behandlingen ville kunne medføre.

Ingrid Hestnes
Ida Thorsrud